Microsoft Security Tools Christian Thor Systems Engineer
Microsoft GmbH
Folie 2
Agenda Windows Security Windows Security Windows 2000 Windows
2000 Windows XP Windows XP IIS Security IIS Security Security Tools
Security Tools MBSA MBSA IIS Lockdown IIS Lockdown URLScan URLScan
HFNetChk HFNetChk Software Update Service Software Update
Service
Folie 3
Window Security Security Checklist Alle Partitionen sind NTFS
Partitionen Admin Account hat ein Strong Password deaktivieren
nicht bentigter Dienste deaktivieren nicht bentigter Accounts
entfernen nicht genutzter File Shares ACLS auf Files, Shares &
Registry Security Policies UptoDate mit Services Packs & Fixes
Anti-Virus Software http://www.microsoft.com/technet/tools/
Folie 4
Windows 2000/XP Security demo demo Windows 2000 Sichern der
Registry Sichern der Registry Sichern der LSA Sichern der LSA
Security Templates und Configuration Editor Security Templates und
Configuration Editor Windows XP Personal Firewall Personal Firewall
Software Restriction Policies Software Restriction Policies
Folie 5
Agenda Windows Security Windows Security Windows 2000 Windows
2000 Windows XP Windows XP IIS Security IIS Security Security Tools
Security Tools MBSA MBSA IIS Lockdown IIS Lockdown URLScan URLScan
HFNetChk HFNetChk Software Update Service Software Update
Service
Folie 6
IIS Security Step by Step ACLs auf virtuelle Verzeichnisse ACLs
auf die IIS Log-Files Logging aktivieren entfernen des iisadmpwd
Verzeichnisses entfernen nicht genutzter Script Mappings Prfen der
Authentifizierungs Methoden Installieren der minimalen Internet
Dienste deaktivieren von RDS
Folie 7
IIS Security ACL Basis Empfehlung Datei Typ Zugriff CGI
(.exe,.dll,.cmd,.pl) Everyone (X) Administrators (Full Control)
System (Full Control) Scripts (.asp) Everyone (X) Administrators
(Full Control) System (Full Control) Include Files
(.inc,.shtm,.shtml) Everyone (X) Administrators (Full Control)
System (Full Control) Statischer Content (.txt,.gif,.jpg,.html)
Everyone (R) Administrators (Full Control) System (Full
Control)
Folie 8
Erstellen der Verzeichnisstruktur nach Dateityp Erstellen der
Verzeichnisstruktur nach Dateityp ACLs auf die Verzeichnisse
effektiver als ACLs auf die einzelnen Dateien ACLs auf die
Verzeichnisse effektiver als ACLs auf die einzelnen Dateien bei
SMTP oder FTP Nutzung beschrnken des Zugriffs via ACLs bei SMTP
oder FTP Nutzung beschrnken des Zugriffs via ACLs
C:\inetpub\ftproot C:\inetpub\ftproot C:\inetpub\mailroot
C:\inetpub\mailroot IIS Security Empfehlung fr virtuelle
Verzeichnisse
Folie 9
IIS Security Script Mappings Wenn nicht bentigt entfernen
Web-based Passwords.htr Internet Database Connector.idc Server-Side
Includes.stm,.shtm, shtml Internet Printing. printer Index
Server.htw,.ida, idq
Folie 10
IIS Security Beispiel Applikationen Beispiel Applikation
Virtuelles Verzeichnis Physikalisches Verzeichnis IIS Samples
\IISSamplesc:\inetpub\iissamples IIS Documentation
\IISHelpc:\winnt\help\iishelp Data Access \MSADC C:\program
files\common files\system\Msadc
Folie 11
IIS Security demo demo einrichten von ACLs auf die virtuellen
Verzeichnisse einrichten von ACLs auf die virtuellen Verzeichnisse
Logging aktivieren Logging aktivieren entfernen nicht genutzter
Script Mappings entfernen nicht genutzter Script Mappings
Folie 12
Agenda Windows Security Windows Security Windows 2000 Windows
2000 Windows XP Windows XP IIS Security IIS Security Security Tools
Security Tools MBSA MBSA IIS Lockdown IIS Lockdown URLScan URLScan
HFNetChk HFNetChk Software Update Service Software Update
Service
Folie 13
Security Tools IIS Lockdown Wizard Assistent zum Security Check
Assistent zum Security Check Setzt IIS 4.0 und IIS 5.0
Konfiguration Setzt IIS 4.0 und IIS 5.0 Konfiguration
http://www.microsoft.com/technet/treeview/
default.asp?url=/technet/security/tools/ locktool.asp
http://www.microsoft.com/technet/treeview/
default.asp?url=/technet/security/tools/ locktool.asp Express Mode
Express Mode Advanced Mode Advanced Mode Hilfe Dateien/
Dokumentation Hilfe Dateien/ Dokumentation
Folie 14
Security Tools URLScan
http://www.microsoft.com/technet/security/ tools/URLscan.asp
http://www.microsoft.com/technet/security/ tools/URLscan.asp Rule
Based Filtering Rule Based Filtering Screent alle eingehenden
Requests an den Webserver Screent alle eingehenden Requests an den
Webserver
Folie 15
Security Tools Hfnetchk berprft Machinen auf installierte
Patches berprft Machinen auf installierte Patches Command Line Tool
Command Line Tool Netzwerkfhig - Admin Rechte Netzwerkfhig - Admin
Rechte berprft Status berprft Status Windows NT 4.0 / 2000 Windows
NT 4.0 / 2000 SQL 7.0/2000 SQL 7.0/2000 System Dienste System
Dienste IE 5.01 und hher IE 5.01 und hher Q303215 Download Q303215
Download -nosum Parameter fr lokalisierte Server -nosum Parameter
fr lokalisierte Server
Folie 16
Security Tools Baseline Security Advisor berprft die Security
Konfiguration berprft die Security Konfiguration Passwort
Sicherheit Passwort Sicherheit Basiert auf HFNetChk Basiert auf
HFNetChk Grafisch und CommandLine Tool Grafisch und CommandLine
Tool Netzwerkfhig Netzwerkfhig berprft: berprft: Windows NT 4.0 /
2000/ XP Windows NT 4.0 / 2000/ XP SQL 7.0/2000 SQL 7.0/2000 IIS
4.0/5.0 IIS 4.0/5.0 IE 5.01 und hher IE 5.01 und hher Office 2000/
2002 Office 2000/ 2002 http://www.microsoft.com/technet/
security/tools/Tools/mbsahome.asp http://www.microsoft.com/technet/
security/tools/Tools/mbsahome.asp
Folie 17
Security Tools Bulletins und Updates Windows Update/ Office
Update Windows Update/ Office Update Automatisierte Updates
Automatisierte Updates Security Bulletins - Download Center
Security Bulletins - Download Center
http://www.microsoft.com/technet/security/
http://www.microsoft.com/technet/security/
http://www.microsoft.com/technet/security/ Bulletin Newsletter und
Critical Alerts Bulletin Newsletter und Critical Alerts EMail
Notification Service EMail Notification Service
Agenda Windows Security Windows Security Windows 2000 Windows
2000 Windows XP Windows XP IIS Security IIS Security Security Tools
Security Tools MBSA MBSA IIS Lockdown IIS Lockdown URLScan URLScan
HFNetChk HFNetChk Software Update Service Software Update
Service
Folie 20
Software Update Service BITS Background Intelligent Transfer
Service BITS Background Intelligent Transfer Service Im Intranet
stehender Update Server Im Intranet stehender Update Server Admin
entscheidet ber Updates und stellt diese ber intern stehenden
Server zur Verfgung Admin entscheidet ber Updates und stellt diese
ber intern stehenden Server zur Verfgung Clients holen sich Updates
vom internen Server Clients holen sich Updates vom internen Server
Spart Bandbreite Spart Bandbreite Z.Z. nur MS Software Z.Z. nur MS
Software Noch nicht im.NET Server vorhanden Noch nicht im.NET
Server vorhanden Als Webdownload auch fr Windows 2000 (SP2) Als
Webdownload auch fr Windows 2000 (SP2)
Folie 21
Software Update Service Windows Update Web sites and Download
Servers Windows QFEs, feature XML & SOAP Internet Signed Cabs
Client Computer WHQL Device Drivers Software Intranet Automatic
Update Dynamic Update Device Manager Microsoft Software Update
Server XML & SOAP
Folie 22
Software Update Service
Folie 23
Folie 24
User Configuration\Administrative Templates\Windows
Components\Windows Update User Configuration\Administrative
Templates\Windows Components\Windows Update
Folie 25
Software Update Service
Folie 26
Folie 27
Folie 28
Summary Nutzen der Security Checklist Nutzen der Security
Checklist Anwenden der aktuellen Patches und Service Packs Anwenden
der aktuellen Patches und Service Packs Prozess zum regelmigen
berprfen der Netzwerksicherheit Prozess zum regelmigen berprfen der
Netzwerksicherheit www.microsoft.com/technet/
security/bulletin/notify.asp
2002 Microsoft Corporation. All rights reserved. This
presentation is for informational purposes only. Microsoft makes no
warranties, express or implied, in this summary.