Verwenden der Sicherheitskonfigurations-Assistenten in Windows 2003

El SP1 de Microsoft Windows 2003 bringt ein neues Werkzeug, das uns bei der Sicherung unserer Server helfen und Sicherheitsfragen konfigurieren. Es ist ein Assistent, der unsere capandole bestimmte Teile des Registrierungsserver hilft sicherzustellen,, Deaktivieren nicht benötigter Dienste, MS-Anwendungen von Microsoft nicht verwendet und natürlich entfernen würde die Firewall aktivieren und schließen die Ports, die nicht benötigt werden,.

zu verwenden,, einfach, wir müssen gehen “Systemsteuerung” > “Programme hinzufügen oder entfernen” > “Hinzufügen oder Entfernen von Windows-Komponenten” > Und wir sollten die Komponente markieren “Sicherheitskonfigurations-Assistenten”, “folgende” und wir legen Sie die CD für uns zu installieren.

einmal installiert, wir können die Konsole aus dem Zugriff “Verwaltungstools” > “Sicherheitskonfigurations-Assistenten”

gut, bevor wir uns klar sein müssen, dass wir alle Anwendungen, die unsere Server laufen verwenden. Wenn ein FTP-Server, als Dienst oder FTP-Dienst-Anwendung sollte für die Assistenten finden Sie im Anschluss im Einsatz sein 20 und 21 offen und im Einsatz; und der Assistent wir nicht schließen. “folgende”

Wenn dies das erste Mal ist, dass wir es laufen sollten wir die erste Option wählen “Erstellen Sie eine neue Sicherheitspolitik” So erstellen Sie ein, die dann auf mehrere Server angewendet werden, wenn wir mehrere haben, die die gleiche Konfiguration haben.

Wenn wir die Basiskonfiguration eines Servers, damit er auf dem lokalen bekommen. Zum Beispiel, wenn wir mehrere Sicherheitsrichtlinien haben bereits in einigen Server für aplicarnosla umgesetzt. Wir setzen die Servernamen & “folgende”

Wir hoffen, während die Richtlinien des Host-Lesen…

OK, “folgende”

Dieser Prozess wird uns Service (Merkmale, Funktionen und Optionen) Sie laufen auf dem Server, wo wir angeben, ob sie richtig sind oder ob wir einige fügen Sie uns nicht erkennen,. “folgende”

Wir überprüfen Dienste (Funktionen) dass sie installiert sind, und wir ermöglichen diejenigen, die uns interessieren, in diesem Fall ist mein Server ein Webserver (IIS) und FTP-Server (IIS), so überprüfe ich alle Rollen, die mich interessieren, und dass aktiviert sind und die Sorge sich nicht distanzieren. “folgende”

In diesem Fall, bestimmte Dienste, die nicht Server-Anwendungen sind, andernfalls, Kundschaft, und wir ermöglichen, dass das Interesse uns. Zum Beispiel für den Windows Update funktioniert nach wie vor einwandfrei, logisch “Automatische Update-Client” Es muss gekennzeichnet werden, so dass alle uns interessieren, “folgende”,

Diese Optionen sind in der Regel auf den Server remote verwalten. Wenn Sie Interesse an einem sind wir es bringen, zum Beispiel, wenn wir werden aktiviert werden an diesen Server mit RDP-Client verbinden “Remote Desktop-Management”; “folgende”

Es handelt sich um eine Zusammenfassung der Dienste, die nicht erkannt werden als S.O. und sollte aktivieren oder nicht zu arbeiten, nachdem. “folgende”,

Alle Leistungen sind nicht zwei Optionen aktiviert, Wir können sie alle deaktivieren (ein wenig aggressiv, aber es könnte notwendig sein,) und nicht zu starten oder zu lassen, wie sie sind (Manuell oder deaktiviert). Wir entschieden uns für die Möglichkeit, die uns interessiert und “folgende”

Es ist eine Zusammenfassung, wie Dienste, die modifiziert werden. Überprüfen Sie, ob alles in Ordnung ist, “folgende”,

Nun startet der Assistent für die Netzwerksicherheit. Es wird Thema Windows-Firewall und mit IPSec auf dem Server. “folgende”

Dieser Assistent erkennt Ports wir im Einsatz und haben standardmäßig, Wir öffnen die. Wir müssen dafür sorgen, dass wir tatsächlich öffnen oder nicht. Wir können sie anpassen und zum Beispiel sagen, mein FTP-Dienst (Puerto 21) von “erweiterte Optionen…” da wir Websites verbinden, in diesem Beispiel ist es, dass nur das Netz gesehen 172.16.0.0/255.255.0.0 Sie können den FTP, aber auch andere Netzwerke nicht, für die Sicherheit.

Wir überprüfen die Zusammenfassung, Ports, die wir uns offen läßt und schließen. “folgende”,

Zur Sicherheit, was wir tun werden, ist jetzt capar mehr Häfen. Zum Beispiel von Windows 2003 bringt Unterstützung Authentifizierung S. O. wer sie sind bereits verletzlich und diese Sicherheitsanfälligkeiten Vorteil jeder nehmen könnte “Hacker”, “folgende” einstellen.

Dies ermöglicht LanManager zu Netzwerk-Kommunikationsserver anmelden, beide Dateien und Drucker. Wenn wir erfüllen ihre Anforderungen Zeichen “folgende”, (SMB – Server Message Block)

Wir markieren die Anmeldungen, die diesen Server unterstützen, Wenn wir immer mit einer Domäne logeamos Konto der Marke, oder wenn es sich um eine lokal… Logisch, wenn wir diese Sicherheits-Assistenten ausführen es ist, weil wir kein Windows 9x auf dem Netzwerk, das lokal speichert Schlüssel. “folgende”

Wir markieren die Optionen, die wir tun können, Ich hoffe, dass beide und “folgende”, Es ist das Thema für LAN Manager…

Dies wäre die Zusammenfassung dessen, was wir sagen, nur den Assistenten, Wir überprüfen, ob alles in Ordnung ist und wir “folgende”,

Es ist eine Politik sein, Aktionen auf Objekte zu prüfen korrekt sind oder nicht, Nun setzen wir es, wenn wir etwas überwachen möchten. “folgende”. Um diese Prüfungsergebnisse anzeigen kann nur vom Ereignisanzeige-Server.

Mark, wie wir wollen, Objekte prüfen, wenn wir nur korrekte Berichte generieren wir Objekte verwenden (zum Beispiel eine erfolgreiche Anmeldung, aber nicht uns, wenn falschen Anmeldungen logearía). persönlich, ob Windows-Audits verwenden, werden beide markieren, Recht und Unrecht zu prüfen, das ist es, was uns zeigt, wenn wir ein Sicherheitsproblem im Netzwerk haben, zum Beispiel versucht, die eine Datei zu löschen und nicht oder, aber es wäre aufzunehmenden. “folgende”,

Standardmäßig würde der Assistent wir alle Objekte überwachen oder “Arten von Veranstaltungen”, wenn wir nicht daran interessiert, in einem bestimmten sind, könnten wir diese Vorlage bearbeiten und bestimmte valos ändern, indem “ungeprüft”. “folgende”

Wir haben, dass eine IIS erkannt, Wir bitten Sie nun, was wir es verwenden,, Webseite, zu sichern, Marke Erweiterungen Service, den wir verwenden. Wenn nur Server in ASP-Websites würden die erste Komponente markieren, o si por ejemplo Sohn HTM o HTMLS, wir müssten jede Erweiterung nicht wählen; oder wenn wir WebDAV verwenden… Es ist logisch, dass andere Erweiterungen wir nicht die Markierung denegemos sehen “Verbieten andere Web-Service-Erweiterungen, die nicht oben gezeigt werden” & “folgende”,

mehr, Er erkennt, dass unsere IIS die folgenden virtuellen Verzeichnisse hat, die Zinsen werden uns markieren, auf die zugegriffen werden kann,, Wenn zum Beispiel sind Sie ein Server, der OWA-Dienst ausgeführt wird, würde markieren Sie das virtuelle Verzeichnis “Austausch”; “folgende”,

Typischerweise können anonyme Benutzer nicht alles auf dem Server schreiben, was wir ermöglichen. Und es geht auch davon aus, dass, wenn ein Server nicht ein FAT-Dateisystem, um sicherzustellen, verwendet wird,, Wenn keine NTFS. “folgende”

Eine kurze Zusammenfassung dessen, was wir haben gerade eingestellt, wir überprüft und, wenn alles in Ordnung ist, wir folgen “folgende”,

Wir können jetzt die Richtlinie speichern, die Sie gerade erzeugt, und wir haben, die auf diesem Server anwenden, viel weniger, andernfalls, speichern und es auf andere Server die gleichen Assistenten, aber zunächst würden wir nicht eine neue Sicherheitsrichtlinie erstellen, Wenn Sie nicht mehr eine erstellt haben, würde sich öffnen. “folgende”

Bewahren Sie es in jedem Pfad, I wo alle Standards sind, wir weisen auf eine .xml Namen und eine Beschreibung dessen, was diese Richtlinie macht, es hat klar, dass die Server angewandt werden könnten,. “folgende”.

Wir können es jetzt anwenden oder später (jetzt nicht mehr gelten). In diesem Beispiel, Ich werde jetzt bewerben, das wäre, was in einem Server passieren würde, “Ziel”, marco “jetzt bewerben” und wir geben “folgende”. Es zeigt an, dass Sie müssen den Server neu starten, damit alle Dienste / Funktionen / Komponenten / Anwendungen, die modifiziert werden können, sind betroffen. “akzeptieren”

Wir warteten eine Weile, als wir die Richtlinie anwenden…

Tal, Der Assistent zeigt uns, wo wir die Richtlinie gespeichert. Wenn wir beantragt haben, die, Jetzt sollten wir den Server neu starten, um zu überprüfen, dass die Auswirkungen in ihm haben, wenn es wirklich mehr kastriert ist oder nicht. Nach dem Neustart könnten wir Sie mit zwei versuchen, angreifen, oder jede Schwachstellen-Scanner zu überprüfen Verbesserung. “zum Abschluss bringen”

Wir können sehen, dass ich wirklich deaktiviert bestimmte Leistungen haben, oder direkt an die Windows-Firewall ist bereits Ports aktiviert, die angegeben haben, dass


Letzte Artikel von Hector Herrero (Alle anzeigen)