Grunnsikring av Windows Server 2012 og Windows 7 SP1

Publisert: 22.10.2015

NSM har publisert nye veiledere innenfor systemteknisk sikkerhet. De nye veilederne ser på sikkerheten i Microsoft-produktene Windows Server 2012 og Windows 7 SP1.

Sikkerheten til et Microsoft produkt styres gjennom en rekke innstillinger. Vi referer til en samling sikkerhetsinnstillinger og deres anbefalte verdier som en sikkerhetsbaseline.

Microsoft har sikkerhetsbaseliner for mange av sine produkter. Disse er basert på Microsofts egne erfaringer og commercial best practice innenfor området.

NSM har tatt utgangspunkt i Microsofts sikkerhetsbaseliner for Windows Server 2012 og Windows 7 SP1 og laget egne sikkerhetsbaseliner basert på disse, der NSM har lagt til noen nye innstillinger og justert noen av Microsofts anbefalte verdier.

De to nye NSM-veiledningene

beskriver grunnsikring av henholdsvis Windows Server 2012 og Windows 7 SP1.

Tiltakene i NSMs sikkerhetsbaseliner er ment å reflektere commercial best practice og beskytter mot konvensjonell ondsinnet kode (mass malware).

NSM har lagt vekt på å finne en god balanse mellom sikkerhet og brukervennlighet. Ved bruk av sikkerhetsbaselinene får man et godt sikkerhetsnivå for sine ugraderte Windows systemer, uten at dette vesentlig reduserer brukervennligheten.

Følgende sikkerhetsbaseliner har blitt utviklet:

Windows Server 2012 Baseliner (laster ned .zip-fil)

  • Domene Baseline med tiltak for sikring av Active Directory (AD) domener
  • Medlemsserver Baseline med tiltak for sikring av medlemsservere (generisk server-rolle)
  • Domenekontroller Baseline med tiltak for sikring av domenekontrollere

Windows 7 SP1 Baseline (laster ned .zip-fil)

  • Klient Baseline med tiltak for sikring av klienter

Med hensyn til sikkerhetsbaselinen Domene Baseline, er de viktigste forskjellene mellom NSMs og Microsofts versjoner som følger:

  • NSMs Password Policyer noe mindre restriktiv enn Microsofts sikkerhetsbaseline med hensyn til passordlevetid, ved at den har blitt økt fra 60 til 180 dager. Merk at passordlevetid på inntil 180 dager er bare ment for vanlige brukerkonti.

    NSM anbefaler for øvrig at administratorer av ugraderte systemer skifter sine passord oftere enn hver 180 dag, der dette er hensiktsmessig, for eksempel hver 90-120 dag.
  • NSMs Account Lockout Policy tar i større grad høyde for Denial of Service (DoS) angrep mot brukerkonti (provosert lockout) enn Microsofts sikkerhetsbaseline.

Med hensyn til sikkerhetsbaselinene Medlemsserver Baseline, Domenekontroller Baseline og Klient Baseline, er de viktigste forskjellene mellom NSMs og Microsofts versjoner som følger:

  • NSM tildeler eksplisitte verdier til de fleste innstillingene. I Microsofts sikkerhetsbaseliner er mange baseline-innstillinger udefinerte, på grunn av at Microsoft ikke anbefaler noen spesielle verdier for de aktuelle innstillingene. Når en sikkerhetsbaseline ikke definerer en innstilling, gjøres det heller ingen endring i operativsystemet. NSMs eksplisitte verdier sikrer at disse udefinerte innstillingene blir satt til fornuftige verdier, for eksempel dersom innstillingen blir feilkonfigurert av en administrator etter installasjon. De eksplisitte verdiene muliggjør også sikkerhetstesting av innstillingene opp mot sikkerhetsbaseliner.
  • NSMs sikkerhetsbaseliner slår av Auto Run og Auto Play. Disse innstillingene er udefinerte i de tilsvarende Microsoft sikkerhetsbaselinene.
  • NSMs sikkerhetsbaseliner har noe strengere krav til protokollsikkerhet enn det de tilsvarende Microsoft sikkerhetsbaselinene har. Dette gjelder spesielt for NT Lan Manager (NTLM) protokollen, Kerberos protokollen, Lightweight Directory Access Protocol (LDAP), Server Message Block (SMB) protokollen og Remote Desktop Protocol (RDP).
  • NSMs sikkerhetsbaseliner legger opp til mer logging enn det gjøres i de tilsvarende Microsoft sikkerhetsbaselinene
  • NSMs sikkerhetsbaseliner setter en rekke brannmurspesifikke innstillinger som ikke finnes i de tilsvarende Microsoft sikkerhetsbaselinene. I tillegg inneholder NSMs sikkerhetsbaseliner innstillinger som blokkerer noen utvalgte nettverksporter.

Målgruppen for veiledningene er personell som administrerer ugraderte Windows systemer i offentlig forvaltning. Veiledningene utgjør også første byggestein i graderte systemer som anvender Windows Server 2012 og Windows 7 SP1.

NSM anbefaler at sikkerhetsbaselinene for Windows Server 2012 og Windows 7 SP1 bør prøves ut i test- og referanseanlegg før de implementeres i produksjonsmiljøer. Se for øvrig de to veiledningene for informasjon om innstillinger som kan være problematiske i enkelte driftsmiljøer.

I den nye veiledningen U-08 Sikkerhetsbaseliner gir NSM anbefalinger for hvordan man kan implementere, teste og dokumentere tiltak fra sikkerhetsbaseliner i IT-systemer som anvender Microsoft produkter, samt hvordan man kan håndtere avvik fra NSMs anbefalte tiltak. Med U-08 følger en sjekkliste for testing av tiltak fra sikkerhetsbaseliner og Windows PowerShell scripts (laster ned .zip-fil).

Kurs
NSM tilbyr kurs i grunnsikring av ugraderte, men sensitive Windows-baserte systemer, fortrinnsvis i offentlig sektor, 2. desember 2015.

comments powered by Disqus