Verwendung von Microsoft Security Tools

GET secure, STAY secure!

Microsoft Exchange Server 2000

Mario Bono

Agenda

Q & A

Sicherheitskonzept Get secure

Stay secure

Microsoft Security Tool KitChecklisten

Dienste

MS WUPD

MSBSA

Hotfixes

Tools

Patch Management

MSUSSecurity Operations Guides (W2K/E2K)

Securing E2K & OWA Server Security (Firewalls/DMZ)

Netzwerk Traffic

Client Zugriff

Sicherheitskonzept

Programm – integriert Microsoft Produkte, Support und

Dienstleistungen (Microsoft Security Tool Kit)

Phase 1: GET secure Unterstützung für Windows NT 4.0 und Windows 2000 Enthält Tools und Richtlinien zum sicheren Betreiben eines Servers der am Internet angeschlossen ist

Phase 2: STAY secure Tools, Updates Patches, Consulting

Microsoft Security Tool Kit

http://www.microsoft.com/technet/

treeview/default.asp?url=/

technet/security/tools/Default.asp

Microsoft Security Tool Kit

Arbeitsstationen und

Server Security Checklisten Security Vorlagen

Hot Fixes Windows Update Microsoft Base Security

Analyzer HFNetCheck QChain Critical Update

Notification

IIS Dienste

IIS Checklisten

IIS Lockdown Tool

URLScan

Checklisten / Vorlagen

Vorhanden für:Vorhanden für:

Windows NT 4.0Windows NT 4.0

Windows NT 4.0 Terminal ServerWindows NT 4.0 Terminal Server

Windows 2000 Windows 2000

Windows XPWindows XP

IIS Dienste

Das Toolkit enthält Checklisten zum Sicheren Das Toolkit enthält Checklisten zum Sicheren betreiben von Internet Information Server und betreiben von Internet Information Server und

Internet ExplorerInternet Explorer

IE (für alle Versionen)IE (für alle Versionen)

IIS 5.0IIS 5.0

IIS 4.0IIS 4.0

IIS TOOLS

IIS Lockdown Wizard

Konfiguriert IIS auf Windows NT 4.0 oder Windows 2000 Server

URLScan

Windows 2000 SP1 oder später Analysiert vom IIS empfangene HTTP Anfragen

Hotfixes - MS Windows Update

Update bei Publikation der Sicherheits Bulletins

Voraussetzungen:

Internet Explorer muss Cookies und ActiveX Controls erlauben Lokale Administrator Berechtigungen

MS Baseline Security Analyzer

Unterstützte Plattformen:

Windows 2000 Professional/Server Windows XP Home Edition/Professional

Voraussetzungen:

Lokale Administrator Berechtigungen Mehr Sicherheits-Checks als Microsoft Windows Update Unterstützung Remoter Workstations und Server

MS Baseline Security Analyzer

Überprüfung folgender Produkte/Services:

Windows NT 4.0 Workstation/Server Windows 2000 Professional/Server Windows XP Home Edition/Professional IIS 4.0/5.0 SQL 7.0/2000 Erkennt SQL Server Instanzen IE 5.01+

MS Baseline Security Analyzer

Überprüfung folgender Produkte/Services

Fortsetzung:

Exchange und Windows Media Player Office 97, 2000, XP Support für Software Update Services (SUS)

http://www.microsoft.com/technet/http://www.microsoft.com/technet/

security/tools/Tools/mbsahome.aspsecurity/tools/Tools/mbsahome.asp

The Hotfix Network Checker

Anwendung für Server und Client Workstations Remote Unterstützung Mehr Security-Checks als Windows Update

o Windows 2000, IIS 4.0, IIS 5.0, SQL Server 7.0, SQL Server 2000, Internet Explorer 5.01 and later

Download verfügbarer Updates und Fixes als .XML

Zusätzliche Funktionalität in der Pro und LT Version Download der LT Version http://www.shavlik.com

Hotfix

Allgemeine Überlegungen

Viele Neustarts Reihenfolge Hotfix Installation

beachten

Lösung

Windows Critical Update Notification Security Tool Kit: QChain Tool

QChain verwenden

In BetriebssystemIntegriert

Seit SP3 integriert

QChain verwenden

QChain Entscheidungs Baum

BetriebssystemBetriebssystemWindows NT 4.0?Windows NT 4.0?

BetriebssystemBetriebssystemWindows XP?Windows XP?

BetriebssystemBetriebssystemWindows 2000 SP3 Windows 2000 SP3

oder späteroder später

QChain Tool - Funktionsweise

FalscheVersionFalscheVersion

RichtigeVersionRichtigeVersion

Hotfix B

X.dll (v3)

Hotfix A

X.dll (v1)

Hotfix C

X.dll (v2)X.dll (v2)

Hotfix B

X.dll (v3)

Hotfix A

X.dll (v1)

Hotfix C

X.dll (v2)

X.dll (v3)

Server

QChain ToolQChain ToolQChain ToolQChain Tool

QChain Tool für Windows NT 4.0

@echo off

setlocal

set PATHTOFIXES=E:\Hotfix

%PATHTOFIXES%\Q123456i.exe -z -m

%PATHTOFIXES%\Q123321i.exe -z -m

%PATHTOFIXES%\Q123789i.exe -z -m

%PATHTOFIXES%\qchain.exe

@echo off

setlocal

set PATHTOFIXES=E:\Hotfix

%PATHTOFIXES%\Q123456i.exe -z -m

%PATHTOFIXES%\Q123321i.exe -z -m

%PATHTOFIXES%\Q123789i.exe -z -m

%PATHTOFIXES%\qchain.exe

Switch – Z unterdrückt den Neustart

Switch – Z unterdrückt den Neustart

Switch – MUnattended Mode

Switch – MUnattended Mode

QChain Tool für Windows 2000

@echo off

setlocal

set PATHTOFIXES=E:\hotfix

%PATHTOFIXES%\Q123456_w2k_sp2_x86.exe -z -m

%PATHTOFIXES%\Q123321_w2k_sp2_x86.exe -z -m

%PATHTOFIXES%\Q123789_w2k_sp2_x86.exe -z -m

%PATHTOFIXES%\qchain.exe

@echo off

setlocal

set PATHTOFIXES=E:\hotfix

%PATHTOFIXES%\Q123456_w2k_sp2_x86.exe -z -m

%PATHTOFIXES%\Q123321_w2k_sp2_x86.exe -z -m

%PATHTOFIXES%\Q123789_w2k_sp2_x86.exe -z -m

%PATHTOFIXES%\qchain.exe

HotfixWindows 2000

HotfixWindows 2000

Critical Update Notification Service

Informiert über neue Updates

Drei Optionen:

Automatischer Download und Benachrichtigung über Installation

Benachrichtigung bei Download und Installation Manuell

Unternehmensweites Patch Management

Windows Update Site – Permission Denied

Keine Tests = keine Installation; Unternehmensweite Sicherheitsrichtlinien

Lösung:

Microsoft Software Update Services (SUS)

SUS Komponenten

MSUS Server

Wird im Intranet zur Verfügung gestellt Synchronisation mit Windows Update Site Kontrolle über Update und Hotfix Verteilung

Auto Update Client

Beruht auf Windows XP Auto Update Check Intranet und öffentliche Windows Update Site Zentralisierte Konfiguration Auto-Download und Installation

Microsoft Software Update Services

Microsoft Windows Microsoft Windows Update ServerUpdate Server

AAAA

BBBB

CCCC

InternetInternet

MSUS ServerMSUS Server

ServerServer

WorkstationsWorkstations

AAAA

BBBB

CCCC

Administrator definiertUpdates

Konfiguration und VerteilungPer Group Policy

Download GEPRÜFTER GEPRÜFTER Updates

MSUS Überlegungen

Kann verwendet werden für:

Rollout von Hotfixes undSecurity Updates

Keine Unterstützung für:

Service Packs

o Verteilung über Group Policies

Security Operations Guide For Windows 2000 Server

Chapter 1 - Introduction Chapter 2 - Understanding Security Risk Chapter 3 - Managing Security with Windows 2000

Group Policy Chapter 4 - Securing Servers Based on Role Chapter 5 - Patch Management Chapter 6 - Auditing and Intrusion Detection Chapter 7 - Responding to Incidents

http://www.microsoft.com/technet/http://www.microsoft.com/technet/security/prodtech/windows/security/prodtech/windows/windows2000/staysecure/windows2000/staysecure/

Sicherheitsvorlagen …

Serverrolle Beschreibung Sicherheitsvorlagen

Windows 2000-

Domänencontroller

Ein Active Directory-

Domänencontroller

BaselineDC.inf

Windows 2000-

Anwendungsserver

Ein gesperrter

Mitgliedsserver, auf dem ein

Dienst, beispielsweise

Exchange 2000, installiert

werden kann. Damit der

Dienst ordnungsgemäß

funktioniert, muss die

Sicherheit gelockert werden.

Baseline.inf

Windows 2000-Datei- und -

Druckserver

Ein gesperrter Datei- und

Druckserver

Baseline.inf und File and

Print Incremental.inf

Windows 2000-

Infrastrukturserver

Ein gesperrter DNS-, WINS-

(Windows Internet Name

Service) und DHCP-Server

Baseline.inf und

Infrastructure

Incremental.inf

Windows 2000-IIS-Server Ein gesperrter IIS-Server Baseline.inf und IIS

Incremental.inf

Tool

EventComb

Zentralisierte Auswertung der Event Logs

multi-threaded

Speicherung und Weiterverarbeitung per CSV Text File

Security Operations Guide For Exchange 2000 Server

Chapter 1 – Introduction

Chapter 2 – Securing your Exchange 2000 Environment

Chapter 3 – Securing Exchange 2000 Servers based on Role

Chapter 4 – Securing Exchange Communications

http://www.microsoft.com/technet/security/http://www.microsoft.com/technet/security/prodtech/mailexch/opsguide/default.aspprodtech/mailexch/opsguide/default.asp

Sicherheit: E2K & OWA

Zuerst – Sicherheit beim Zugriff auf Server! Firewalls/DMZ Virus Protection

Netzwerkzugriffe zwischen Servern Protokolle Ports Spoofing usw.

Clientzugriffe sichern MAPI – OUTLOOK OWA

Serverzugriffe

Hardening Windows 2000 - siehe Sicherheitsvorlagen

Unnötige Dienste deaktivieren

Firewalls Deaktivieren nicht benötigter Ports ISA server versus Hardwarelösungen

o Spezial HW bietet weniger Angriffspunkte– Teurer in der Anschaffung

o ISA server– Integration mit Microsoft Server & Backoffice Familie

– Günstigere Anschaffung

Einfache Firewall

FirewallFirewallOffene Ports: Offene Ports: 443, 993, 995443, 993, 995

Exchange 2000Exchange 2000Front-EndFront-EndServerServer

Active DirectoryActive DirectoryGlobal Catalog ServerGlobal Catalog Server

Exchange 2000Exchange 2000ServerServer

Exchange 2000Exchange 2000ServerServer

InternetInternet

HTTP, IMAPHTTP, IMAPoder POP3 Clientoder POP3 Client

Typische DMZ Konfiguration

FirewallFirewallOffene Offene Ports:Ports:443, 993, 443, 993, 995995

Exchange Exchange 20002000Front-EndFront-EndServersServers

Exchange 2000Exchange 2000ServerServer

Active DirectoryActive DirectoryGlobal Catalog ServerGlobal Catalog Server

Exchange 2000Exchange 2000ServerServer

Internet Internet

FirewallFirewallOffeneOffenePorts: 80Ports: 80143, 110,143, 110,LDAP, …LDAP, …

DMZDMZ

HTTP, IMAPHTTP, IMAPoder POP3 Clientoder POP3 Client

Firewalls und Client Zugriffe

Zugriff auf “Internen” (Firewall) Exchange Server

vom Internet Inbound RPC Zugriff auf Firewall Typisches Szenario für Roaming Users

Zugriff auf Exchange Server (DMZ) von Intern Untypisches Szenario Outbound RPC Zugriff erlauben

Best Practice: VPN´s = keine Probleme mehr

(HTTP, IMAP, POP) DMZ Überlegungen

FE und BE müssen dem gleichen Forest angehören

FE benötigt Zugriff auf DNS Server

FE benötigt RPC beim Zugriff auf AD nur wenn Authentisierung eingeschalten ist

RPCs in der DMZ

IIS verwendet RPCs für Authentisierung

Vor SP2, RPCs zum Auffinden von DCs

RPC nicht erforderlich; Einschränkungen: Explizites Logon erforderlich

http://server/exchange/user

Kein Load Balancing für Öffentliche Ordner

Port Filtering in der DMZBenötigte Ports

Client Mail Zugriff 443 TCP vom Internet (HTTPS) 80 TCP zum Intranet (HTTP)

LDAP 389 TCP und UDP 3268 TCP (Globaler Catalog)

Kerberos 88 TCP und UDP

DNS (oder DNS Server in DMZ) 53 TCP und UDP

Port Filtering in der DMZBenötigte Ports …

IPsec (optional) Kerberos Ports

• Securing Kerberos with IPSec on DCs broken in Win2K SP2 (Q309304) oder SP3

500 UDP: Internet Key Exchange (IKE) ESP (Encapsulating Security Payload ):

Port 50 AH (Authentication Header):

Port 51

RPCs (optional) 135 und 1024 oder.. 135 und Single Port (Konfiguration, Q224196)

Überlegungen zu SPAM Relaying

Was ist SPAM Relaying?

““Evil SpammerEvil Spammer””

MAIL FROM: <info@bono.to>RCPT TO: <billi@MS.com> OO

550 5.7.1 Unable to relay for <billi@MS.com>

Bono.toBono.to

Überlegungen zu SMTP 

Definition SPAM Relaying?

““EVIL SpammerEVIL Spammer””

MAIL FROM: <info@bono.to>RCPT TO: <virus@bono.to>

Bono.toBono.to

Falsch “Von:”Falsch “Von:” Richtig “An:” Richtig “An:” NachrichtNachricht Filter greifen nicht?Filter greifen nicht?

SMTP Server Einstellungen

Relay Einstellungen

Best Practice: Default!

Anti-Spoofing: ResolveP2

Problem: irgend jemand übermittelt eine Nachricht

Von: Info@Bono.to

Beim Öffnen dieser erscheint: Von: Mario Bono Betreff: DU BIST GEFEUERT

Eigenschaften des Senders anzeigen Name wird aufgelöst

ResolveP2

Was ist “P2”? X.400 Name für “Body” der Nachricht Envelope (Umschlag) ist P1 Bei SMTP, P2 entspricht dem „Body“ nach RFC 2822 Anzeige der Clients immer in Form von

Von: und An: oder P2

Was bedeutet “resolve”? Werden Informationen die bei Zustellung einer Nachricht

zum Server und Abruf durch MAPI Clients mit dem Adressbuch abgeglichen?

Ja, wenn Übereinstimmungen gefunden werden sieht die E-Mail wie von “Intern” aus.

ResolveP2 History

Exchange 5.0 Default: “resolve everything” Regkey zum Deaktivieren

Exchange 5.5: Default: “resolve nothing” Regkey zum Aktivieren

Exchange 2000 Default: “resolve everything”,

keine Kontrolle bei E2K RTM Exchange 2000 SP1: ResolveP2 Regkey

Exchange 2000 SP1+ ResolveP2

Registry Key für ResolveP2 Siehe KB-Artikel Q288635

Outlook XP Erweiterungen Vorschaufenster unterscheidet zwischen

unaufgelösten Adressen ohne die Nachricht zu öffnen

Bei Antworten; nicht aufgelöste Adressen werden als <xxxx@yyyy.com>Name dargestellt

Allgemeine Überlegungen zu SMTP

Internet Mail ist nicht sicher! Ausnahme Verschlüsselung

Jeder kann E-Mails an jeden senden

“Evil People” Können immer mit Ihrer Adresse als Absender

auftreten! Aber nicht über Ihren Server, wenn Relaying

ausgeschalten ist!

Authentisierung zwischen Servern im Netzwerk

Automatische Server zu Server Authentisierung mit X-EXPS Kerberos/NTLM Default SMTP Protokoll Erweiterungen in

Exchange 2000

SMTP AUTH (RFC 2554) Verbindung zu externen Systemen,

wird am SMTP Connector eingestellt

Verschlüsselung zwischen Servern im Netzwerk

IPSec Einfache Konfiguration Über Group Policy Einstellung: “erfordert

Verschlüsselung des Inbound Traffics, Port 25” auf allen Exchange Servernhttp://www.microsoft.com/windows2000/techinfo/planning/security/ipsecsteps.asp

Einsatz von IPSec Accelerator Ethernet Cards

Client Zugriff

Outlook (MAPI) Clients

Outlook Web Access (HTTP) Clients

Netzwerk Sicherheit mit Outlook Clients

Verschlüsselung in Mail Einstellungen

ändern

MAPI RPC Am FE keine Mailboxen Verwendet UDP vom

Server zum Client für Benachrichtigung über neue E-Mail

OWA Verschlüsselung zwischen Servern

Traffic von FE zu BE Isolierte Netzwerke IPSec? (RFCs 1825, 1826, 1827)

• Internet Key Exchange (IKE): RFC 2409

• Encapsulating Security Payload (ESP) oder Authentication Header (AH)

• Client (respond only) policy

• ISA can inspect IPSec’d traffic

OWA Authentisierung am Server

(Optional) FE Authentisierung aktiviert Erfordert RPC Deaktivieren anonymer Anfragen auf BE

SMTP Domain auf virtuellem Server Benutzer benötigt E-Mail Adresse der Domain um

sich anzumelden

OWA Verschlüsselung vom Client zum Server

SSL 128-Bit Encryption „erfordert SSL“ ist konfigurierbar Client benötigt entsprechende 128-Bit Browser

Version

Stärkste Authentisierung verwenden...

Zusammenfassung

Zuviel INFO für zuwenig ZeitWhite Papers und KB´s lesen (Consulting?)!

GET secure mit:Betriebssystem und Server sichern

Zugriff auf Server sichernClients sichern

STAY secure mit:MSUS

QCHAIN

...

Referenzen

Exchange 2000 Security Recommendationshttp://www.microsoft.com/exchange/techinfo/deployment/2000/BestConfig.asp

Windows VPN Security White Paperhttp://www.microsoft.com/ntserver/techresources/commnet/VPN/VPNSecurity.asp http://www.microsoft.com/technet/treeview/default.asp?url=/TechNet/columns/security/essays/10salaws.asp

Hardening Windows 2000: http://www.systemexperts.com/win2k

NSA Guide to Securing Windows 2000 http://www.nsa.gov

Referenzen…

Security Operations Guide for Windows 2000http://www.microsoft.com/technet/security/prodtech/windows/windows2000/staysecure/

Security Operations Guide for Exchange 2000http://www.microsoft.com/technet/security/prodtech/mailexch/opsguide/default.asp

Front-End/Back End Deployment paperhttp://www.microsoft.com/exchange/techinfo/deployment/2000/E2KFrontBack.asp

General Security infohttp://www.microsoft.com/technet/itsolutions/security/secthret.asp

Q & A

Mario Bono EDV Dienstleistungen und Beratung

Münzgasse 3/25, A-1030 Wien

GETsecure@bono.to http://www.bono.to

Tel. +43699/10801341