7. august 2006		Hvordan sikre Windows 2000 Windows 2000 Professional Edition er i utgangspunktet et ganske sikkert og stabilt OS, men det er allikevel etpar ting man kan (bør) gjøre hvis man ønsker maksimal sikkerhet. Nettsikkerhet.info viser deg hvordan...

- SP2
- Security Rolluot Patch
- Internet Explorer 6 Cumulative Update
- IIS Cumulative Update
- IIS Lockdown Tool


De åpne porterne
Før du starter bør du sjekke hvilke porter som er åpne på din maskin. Det finnes flere måter å gjøre dette på, en av de mest populære er "ShiellsUP" fra GRC. Denne testen tar for seg de vanligste portene og tjenestene samt kjente Trojanske porter. Du kan også teste din maskin hos oss, ved å fylle ut og sende skjemaet her. Fra vår DL-seksjon kan du også laste ned programmer som sjekker åpne porter. ActivePorts rapporterer porter maskinen din mener er åpne, og FastScan scanner alle 65535 porter for aktivitet. Du kan også bruke "netstat -an" eller "netstat -an 4" (for å oppdatere netstat hvert fjerde sekund). "Netstat" er en kommando som kan kjøres fra Kommandolinjen på Win 2000 (Start - Run : skriv "cmd" : skriv inn "netstat -an" (uten gåseøyne) og trykk "enter").

• Noter de portene du finner, og sjekk hva de brukes til. Hvis du er usikker kan du søke på www.google.com, eller sjekke IANA sin liste over porter og hvilke tjenester som kjører på dem.
  
  
• Sørg for å ikke ha programmer aktive under testing. Selv enkle programmer åpner porter på din maskin ved oppstart.
  
  
• Noen porter kan ikke lukkes uten Brannmur. Disse vil variere mht. hva slags internett-forbindelse du har (ADSL/Oppringt/Trådløst osv), hvilke programmer du bruker m.m.
  
  

Stenge porter
Her tar vi for oss de vanligste åpne portene i Windows 2000 Pro. Ettersom andre faktorer enn OS spiller inn, er det ikke sikkert at veiledningen under fungerer på akkurat din maskin, men på en standard-maskin med "normale" programmer fungerer det fint.

• Port 135
  Kjør C:\WinNT\System32\Dcomcnfg.exe og skru den av (velg Default Properties og velg bort punktet Enable Distributed COM on this Computer. (Dette kan også gjøres med Register-nøkkelen: HKEY_LOCAL_MACHINE\Software\Microsoft\OLE - Verdien EnableDCOM kan være satt til Y endre denne til N for å skru av DCOM.) Mange programmer "støtter" Distributed Communication (DCOM) uten å bruke det. Listen over programmer du får opp ved å kjøre C:\WinNT\System32\Dcomcnfg.exe, er nok lang. Noen av disse er f.eks. Windows Media Player og Wordpad, som er laget for å kunne brukes over nettverk, men ikke er avhengige av det for å virke. Mens du kikker igjennom listen over programmer kan du se etter tredjeparts-programmer som muligvis faktisk trenger nettverksstøtte. For å avgjøre om programmer virkelig trenger DCOM, må du skru DCOM av, kjøre de aktuelle programmene, og se hva som hender. Merk deg at det egentlig bare er nødvendig å lete etter tredjeparts-programmer her; Microsoft sine programmer er designet til å kjøre på hjemme- og kontor-maskiner uten nettverk, og støtter, -men krever ikke DCOM.
  Etter at du har skrudd av DCOM (med C:\WinNT\System32\Dcomcnfg.exe), må du starte maskinen på nytt, og evt. teste de programmene som kanskje trenger DCOM ett etter ett...
  
  NB! - Hvis alt fungerer som normalt etter at DCOM er skrudd av, kan du gå tilbake til C:\WinNT\System32\Dcomcnfg.exe og slette alle protokoller listet i Default Protocols.
  
  NB! - Hvis det viser seg at noen programmer virkelig trenger DCOM, kan du gå tilbake til C:\WinNT\System32\Dcomcnfg.exe og slette alle protokoller listet i Default Protocols bortsett fra Connection-oriented TCP/IP.
  
  Overnevnte vil ikke egentlig gjøre maskinen din noe tryggere, men det minsker antallet protokoller du trenger bry deg med. Etter dette skal ikke Port 135 lytte lenger. Hvis den allikevel gjør det, kan det hende du har andre programmer/tjenester som tvinger den opp. Prøv å skru av Task Sheduler i Services (se pkt. "Services" under). Du må også sjekke din Ethernet Connection Protocol Start>Settings>Network And Dialup Connections : Velg den oppkoblingen du bruker for Internett og sørge for at valget "File And Printer Sharing for Microsoft Networks" er skrudd av.
  
  
• Port 445
  Denne porten er gjenstand for mye debatt av Microsoft selv, og mange andre. Dens bruk kan leses mer om her: http://ntsecurity.nu/papers/port445/
  
  Alternativ 1:
  Gjelder Windows 2000 Professional, SP2: (Les hele punktet før du gjør noe. Mange ISPer krever at du har DHCP for å kunne gi deg internett-forbindelse, -alternativ 1 endrer oppsettet for DHCP)
  
  1. Åpne Computer Management
  2. Klikk på Device Manager
  3. Velg View: Show Hidden Devices
  4. Klikk på Non-Plug and Play Drivers
  5. Åpne Properties for NetBIOS over TCPIP
  6. Klikk på Disable
  7. Reboot på forespørsel
  
  Hvis du ikke skrur av TCP/IP Helper Service samtidig (Se pkt "Services" under) vil det bli logget en feil til System-event-loggen.
  
  Alternativ 2:
  Gå til : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters\ Value Name: TransportBindName Data: \device\ Endre TransportBindName til f.eks. TransportBindNameX (Enklere å endre igjen senere) Eller slett \device\ og Reboot. Register-justeringen er mer fleksibel, fordi NetBT-driveren får lov til å kjøre (-og tillater avhengige tjenester å kjøre), men åpner aldri port 445 (Hverken TCP eller UDP).
  
  
• Port 137 & 139
  Du kan bruke følgende fremgangsmåte for å nekte NetBIOS over TCP/IP. Vær forsiktig når du følger denne beskrivelsen. Den endrer maskinens muligheter for å kommunisere med eldre OSer via SMB-traffik.
  
  1. Klikk Start - Settings, og klikk Network and Dial-up Connection.
  2. Høyre-klikk Local Area Connection, og velg Properties.
  3. Klikk på Internet Protocol (TCP/IP), og klikk Properties.
  4. Klikk Advanced.
  5. Klikk på WINS taben, og deretter klikk Disable NetBIOS over TCP/IP, og fjærn valget Enable LMHOSTS Lookup.

Generell sikring
De fleste innbrudd, både via nettet og rent fysiske baserer seg på å misbruke rettigheter. Mye kan gjøres for å sikre seg mot dette, og under har vi laget en liten oversikt over ting du kan gjøre hvis du er oppriktig opptatt av å ha en sikker maskin.

• Bruk sterke passord. Ikke bruk fødselsdatoer, navn, "vanlige" ord o.l., bruk passord med omlag 15 tegn, og i en kombinasjon av tall og bokstaver.
  
  
• Kvitt deg med den ferdig-oppsatte "Administrator-kontoen" Opprett en ny bruker med administrator-privilegier og kall den noe helt annet (ikke "admin", "root" eller lignende).
  
  
• Opprett en falsk "administartor-konto" -uten rettigheter...
  
  
• Bruk NTFS på alt i steden for Fat32. (-litt sent å få vite dette nå, kanskje... :-)
  
  
• Administrative Tools
  Klikk Start>Programs>Administrative Tools>Local Security Policy.
  
  
  • Under Security Settings ekspander Account Policy og klikk på Password Policy Dobbel-klikk Minimum password length (høyre) og sett minimum password length til Greater than 15 characters (du må evt endre passordet ditt før dette...)
    
    
  • Klikk på Account Lockout Policy og endre Account lockout duration til 30 min. og sett Reset account lockout counter after til 30 min. Sett Account lockout threshold til 5 Invalid logon attempts (eller hva du måtte føle deg trygg på).
    
    
  • Ekspander Local Policies og klikk Audit Policy. Aktiver Success & Failure for alt som er listet opp.
    
    
  • Klikk User Rights Assignment. Dobbel-klikk Deny access to this computer from the network. Klikk Add. Dobbel-klikk Alle, klikk OK og OK igjen.
    
    
  • Klikk Security Options. Dobbel-klikk Additional restrictions for anonymous connections og velg No access without explicit anonymous permissions.

IPSec, IP Filtrering og LSA
Når det gjelder nettverk, ta en titt på TCP/IP advanced og velg Valg/Options for nettverksinstillinger. Herifra kan du sette opp IPSec og IP Filtrering. De fleste er ikke klar over at disse kan benyttes ganske effektivt til å sikre en maskin. Her kan man blokkere IP-adresser, omtrent som å stille inn en SW-Firewall.

Begrens tilgang til offentlig Local Security Authority (LSA) informasjon
Du trenger å kunne identifisere alle brukere av ditt system. Du burde sette restriksjoner for anonyme brukere slik at informasjonen de kan hente ut om Windows NT sitt sikkerhetssystem vedr. LSA er begrenset til et minimum.
LSA håndterer sikkerhetsaspekter på Local Computer, og behandler bl.a. tilgangskontroll. For å legge til restriksjoner for anonyme brukere, kan du legge til denne verdien i Registeret: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA Value Name RestrictAnonymous Type REG_DWORD Value 1 Default value for denne er 0, så du trenger egentlig bare endre den til 1.

Services
Services er tjenester/programmer som kjører i bakgrunnen under Windows. Det er et intrikat system av avhengige ressusrer som fra Microsoft kommer uten særlig tanke på sikkerhet. Man kan justere innstillingene til de forskjellige Services, eller nekte dem å starte. Under følger en liste over Services du kan endre i forhold til standard Windows-konfigurasjon.
Klikk Start>Programs>Administrative Tools>Sevices og sett følgende services til manual eller disabled hvis de ikke er det allerede.

• Alerter
  
• Application Management
  
• ClipBook
  
• Computer Browser
  
• Distributed Link Tracking Client
  
• Distributed Transaction Coordinator
  
• DNS Client (OBS: Trengs ved bruk av IPSec)
  
• Fax Service
  
• Indexing Service
  
• Internet Connection Sharing
  
• IPSEC Policy Agent
  
• Logical Disk Manager Administrative Service
  
• Messenger
  
• Network DDE
  
• Network DDE DSDM
  
• NT LM Security Support Provider
  
• Performance Logs and Alerts
  
• QoS RSVP
  
• Remote Access Auto Connection Manager
  
• Remote Procedure Call (RPC) Locator
  
• Smart Card
  
• Smart Card Helper
  
• Task Scheduler
  
• Uninterruptible Power Supply (hvis dette ikke benyttes)
  
• Utility Manager
  
• Windows Installer
  
• Windows Time
  

Følgende Services bør settes til disabled.

• Net Logon
  
• NetMeeting Remote Desktop Sharing
  
• Remote Registry Service
  
• Routing and Remote Access
  
• Server
  
• TCP/IP NetBIOS Helper Service
  
• Telnet
  

Konklusjon og anbefalinger/kommentarer
Det er en del som må gjøres før Windows 2000 Pro er sikkert, men det lar seg gjøre. I tillegg til de justeringene som er nevnt ovenfor, har vi og anbefaler følgende sikkerhets-tiltak satt aktive til enhver tid:

Software Firewall? - Både ZoneAlarm og BlackIceDefender...
Skal Man først ha dem, kan man liksågodt prøve å gjøre det ordentlig... Overnevnte utfyller hverandre ganske bra. ZoneAlarm er satt opp strengt, og blokkerer uønskede IPer og porter, samt utgående støy fra ymse komponenter på maskinen. I utgangspunktet ser vi ingen stor vits i å kjøre "Stealth", men det høres så utrolig stilig ut at vi gjør det alikevel ... :-) (-høres ut som man er en slags Stealth-bomber, -dødbringende, udødelig og usynelig for alle andre... -fantastisk oppfinnelse :-) For ordens skyld vil vi bare si at hadde vi hatt sensitive data (eller noe vi virkelig ville beskytte) på vår test-maskin, ville vi aldri kjørt i "Stealth", da dette faktisk skiller seg fra det å ikke være tilstede. Hvis man kjører "Stealth", signaliserer man til kyndige som snuser på portene at man er der, men prøver frenetisk å skjule det faktum at man er det. I vår oppfatning er det bedre å nøye seg med "Closed/Blocked", så virker man ikke like innbydende utenifra, hvis man ikke har råd til en HW-Brannmur, da... (-hvis vi hadde sensitive data på vår testmaskin ville vi faktisk kjøpt en HW-Brannmur... :-)

Ingen maskin er særlig spennende å bruke uten åpne porter. Nettlesere og annet er jo faktisk nødt til å ha en port til kommunikasjon. Har man servere eller annen software kjørende er man også avhengig av å ha porter åpne, og i mange tilfeller holder ikke en ordinær Software Firewall. Som sagt stenger vi porter og kontrollerer IPer med ZoneAlarm, men de portene som er åpne og i bruk... -vi vil jo kontrollere dem også...? -her kommer BID - BlackIceDefender inn i bildet. BID fungerer som et enkelt NIDS - Network Intrusion Detection System, som aktivt overvåker den trafikken som faktisk skjer i åpne porter, og blokkerer hvis kommunikasjonen er forhåndsdefinert som mistenksom/forbudt.

En brannmur er en kilde til kunnskap...
Dette høres kanskje flåsete og rart ut. men vi mener man skal se på en SW-Brannmur som en kilde til læring. De fleste SW-Brannmurer bombarderer brukere med krisemaksimerte profetier om farlige angrep i hytt og pine. Det er viktig å lære seg hva som egentlig foregår, og det er lurt å finne en innstilling som ikke spretter opp hele tiden med advarsler og formaninger. Ikke ring Support når en SW-brannmur gir deg en advarsel. Finn ut hva advarselen egentlig betyr, og lær deg når noe er verd å si ifra om. I løpet av en to-års-periode med ADSL-forbindelse, har vi kun stilt spørsmål til Support en gang, og det var kvelden CodeRed brøt ut...

Trenger man virkelig en brannmur?
Svaret er ... -tja... Det er viktig å ikke blande HardWare-Brannmurer og de atskillig dårligere SoftWare-Brannmurene. Hvis man følger punktene over, og er forsiktig med hvilke programmer og tjenester man kjører, er man egentlig like trygg uten en eneste SW-Brannmur. Det er ikke noe poeng i å "stenge" med SW-Brannmur en port som allerede ikke er i bruk... Eneste grunnen til at d skal bruke en SW-Brannmr er at du etter nye knoting ikke har klart å stenge en bestemt port, og/eller du er redd for at ondsinnet kode skal koble seg opp på internett uten din vilje. Det er viktig at din SW-Brannmur stopper trafikk begge veier. Hvis du har litt penger til overs vil vi anbefale deg å kjøpe en ekte brannmur, -en HW-Brannmur. Vi anbefaler NetGear RT-311, eller lignende.

AntiVirus og AntiTrojan-programmer - Norton og TheCleaner
Vi bruker Norton Antivirus CorporateEdition, og The Cleaner (fra MooSoft). Tradisjonellt forsøker ikke vanlige AV-software å oppdage Trojanere, og en Trojan-scanner overser gjerne alle andre virus. Grensene mellom "vanlige" virus og "trojanere" blir stadig mer diffuse, og vi spår at det for fremtiden blir nødvendig for de store AV-produsentene å implementere AT-software i sine programmer.
Vi scanner absolutt alt hver dag. Oppdatering av Software (Signatur-filer/motor) skjer også daglig. Hvis et virus er oppdaget ute i den store verden, sjekker vi manuellt i tillegg. Scanning med både AV og AT tar omlag tre timer, og det hele skjer automatisk fra klokken 03.00 til 06.00.
The Cleaner kommer med et eget lite program som overvåker registerert og varsler når nye programmer legger seg inn i essensielle oppstarts-nøkler. Programmet heter TheCleanerMonitor, og fungerer på samme måte som StartupMonitor som du kan laste ned fra våre sider, og som vi selvfølgelig også kjører.

AdAware og MailWasher
Mange mener man er trygg bare man bruker sunn fornuft, og vi er egentlig tilbøylige til å være enige. Det er bare så synd at de verste truslene er de man ikke har klart å forutse... -Vi forsøker så langt det er mulig å sikre vår maskin, -også mot ting som ikke er oppdaget enda, og som et ledd i dette arbeidet bruker vi AdAware til sjekking av snuskete Spion-programmer, og MailWasher til rask og enkel POP-konto (e-post) sjekking. Vi liker å bruke maskinen uten å hele tiden måtte tenke på sikkerhet og hva som er så inmari lurt, og har prøvd å sette opp en maskin som tåler "uvøren" bruk...

Vår testmaskin har aldri blitt infisert med virus. Vi får omlag 20-40 e-post daglig med alle mulige og umulige virus, og vi bruker Outlook Express og Internet Explorer :-)