Grunnsikring av Windows Server 2012 R2

Publisert: 14.03.2016

NSM har publisert en ny veileder innenfor systemteknisk sikkerhet. Den nye veilederen ser på sikkerheten i Microsoft-produktet Windows Server 2012 R2.

Veiledningen presenteres på Sikkerhetskonferansen 2016 på torsdag 17. mars kl. 09:00 i foredraget «Grunnsikring av Windows Server 2012 R2».

Sikkerheten til et Microsoft produkt styres gjennom en rekke innstillinger. Vi referer til en samling sikkerhetsinnstillinger og deres anbefalte verdier som en sikkerhetsbaseline.

Microsoft har sikkerhetsbaseliner for mange av sine produkter. Disse er basert på Microsofts egne erfaringer og commercial best practice innenfor området.

NSM har tatt utgangspunkt i Microsofts sikkerhetsbaseliner for Windows Server 2012 R2 og laget egne sikkerhetsbaseliner basert på disse, der NSM har lagt til noen nye innstillinger og justert noen av Microsofts anbefalte verdier. NSMs sikkerhetsbaseliner er også i stor grad basert på NSMs Windows Server 2012 Baseliner (laster ned .zip-fil).

Den nye NSM-veiledningen U-10 Grunnsikring av Windows Server 2012 R2 beskriver grunnsikring av Windows Server 2012 R2.

Tiltakene i NSMs sikkerhetsbaseliner er ment å reflektere commercial best practice og beskytter mot konvensjonell ondsinnet kode (mass malware).

NSM har lagt vekt på å finne en god balanse mellom sikkerhet og brukervennlighet. Ved bruk av sikkerhetsbaselinene får man et godt sikkerhetsnivå for sine ugraderte Windows systemer, uten at dette vesentlig reduserer brukervennligheten.

Følgende sikkerhetsbaseliner (laster ned .zip-fil) har blitt utviklet for Windows Server 2012 R2:

  • Domene Baseline med tiltak for sikring av Active Directory (AD) domener
  • Medlemsserver Baseline med tiltak for sikring av medlemsservere (generisk server-rolle)
  • Domenekontroller Baseline med tiltak for sikring av domenekontrollere

Med hensyn til sikkerhetsbaselinen Domene Baseline, er de viktigste forskjellene mellom NSMs og Microsofts versjoner som følger:

  • NSMs Password Policyer noe mindre restriktiv enn Microsofts sikkerhetsbaseline med hensyn til passordlevetid, ved at den har blitt økt fra 60 til 180dager. Merk at passordlevetid på inntil 180 dager er bare ment for vanlige brukerkonti.

    NSM anbefaler for øvrig at administratorer av ugraderte systemer skifter sine passord oftere enn hver 180 dag, der dette er hensiktsmessig, for eksempel hver 90-120 dag.
  • NSMs Account Lockout Policy tar i større grad høyde for Denial of Service (DoS) angrep mot brukerkonti (provosert lockout) enn Microsofts sikkerhetsbaseline.

Med hensyn til sikkerhetsbaselinene Medlemsserver Baseline og Domenekontroller Baseline er de viktigste forskjellene mellom NSMs og Microsofts versjoner som følger:

  • NSM tildeler eksplisitte verdier til de fleste innstillingene. I Microsofts sikkerhetsbaseliner er mange baseline-innstillinger udefinerte, på grunn av at Microsoft ikke anbefaler noen spesielle verdier for de aktuelle innstillingene. Når en sikkerhetsbaseline ikke definerer en innstilling, gjøres det heller ingen endring i operativsystemet. NSMs eksplisitte verdier sikrer at disse udefinerte innstillingene blir satt til fornuftige verdier, for eksempel dersom innstillingen blir feilkonfigurert av en administrator etter installasjon. De eksplisitte verdiene muliggjør også sikkerhetstesting av innstillingene opp mot sikkerhetsbaseliner.
  • NSMs sikkerhetsbaseliner slår av Auto Run og Auto Play. NSMs sikkerhetsbaseliner har strengere restriksjoner for Auto Run og Auto Play enn det de tilsvarende Microsoft sikkerhetsbaselinene har.
  • NSMs sikkerhetsbaseliner har noe strengere krav til protokollsikkerhet enn det de tilsvarende Microsoft sikkerhetsbaselinene har. Dette gjelder spesielt for NT Lan Manager (NTLM) protokollen, Kerberos protokollen, Lightweight Directory Access Protocol (LDAP), Server Message Block (SMB) protokollen og Remote Desktop Protocol (RDP).
  • NSMs sikkerhetsbaseliner legger opp til mer logging enn det gjøres i de tilsvarende Microsoft sikkerhetsbaselinene
  • NSMs sikkerhetsbaseliner setter en rekke brannmurspesifikke innstillinger som ikke finnes i de tilsvarende Microsoft sikkerhetsbaselinene.
  • NSMs sikkerhetsbaseliner slår av Windows Remote Shell. Denne innstillingen er udefinert i de tilsvarende Microsoft sikkerhetsbaselinene.

Se for øvrig veiledningen for de viktigste forskjellene mellom NSMs sikkerhetsbaseliner for Windows Server 2012 R2 og Windows Server 2012.

Målgruppen for veiledningen er personell som administrerer ugraderte, men sensitive Windows systemer i offentlig forvaltning. Veiledningen utgjør også første byggestein i graderte systemer som anvender Windows Server 2012 R2.

NSM anbefaler at sikkerhetsbaselinene for Windows Server 2012 R2 prøves ut i test- og referanseanlegg før de implementeres i produksjonsmiljøer. Se for øvrig veiledningen for informasjon om innstillinger som kan være problematiske i enkelte driftsmiljøer.

I veiledningen U-08 Sikkerhetsbaseliner gir NSM anbefalinger for hvordan man kan implementere, teste og dokumentere tiltak fra sikkerhetsbaseliner i IT-systemer som anvender Microsoft produkter, samt hvordan man kan håndtere avvik fra NSMs anbefalte tiltak. Med U-08 følger en sjekkliste for testing av tiltak fra sikkerhetsbaseliner og Windows PowerShell scripts (laster ned .zip-fil).

comments powered by Disqus