Toon posts:

HOWTO: Beveilig je (Windows) pc

Pagina: 1
Acties:
  • 5.732 views sinds 30-01-2008

vrijdag 19 maart 2004 09:41

Acties:
  • 0 Henk 'm!
  • SysRq
  • Registratie: December 2001
  • Laatst online: 10:39

SysRq

Topicstarter

HOWTO: Beveilig je (Windows) pc

Inleiding

Iloveyou, Melissa, MyDoom... Zomaar een paar woorden. En toch zal iedereen ze herkennen. Een virus kan je (virtuele) leven behoorlijk zuur maken. Maar niet alleen virussen zijn vervelend; ook trojaanse paarden en verborgen ftp-servers kunnen behoorlijk in de weg zitten. Of -bij bedrijfskritische toepassingen- catastrofaal. En als je eenmaal besmet bent met een agressieve variant, kun je de installatie- of backupcd'tjes weer op gaan zoeken. Als je dat op dit moment aan het doen bent, of je wilt je systeem tegen dit gespuis beveiligen, dan is dit stappenplan iets voor jou.

Het stappenplan is als eerste opgezet om een Windows 2000 server te beveiligen. Uiteraard is de achtergrond voor ieder besturingssysteem geldig. Aan de hand van een nieuw geïnstalleerd 2k server systeem zal ik de verschillende beveiligingsstappen toelichten.
ps: Het gaat hier om een standalone Windows 2000 server, zonder Active Directory. Een howto over het beveiligen van Win2k/Win2003 mét Active Directory zit in de pijplijn, en zal over een tijdje beschikbaar komen. :)

« ·^

Aan de slag ...

Stap 1: Lostrekken die boel!

De enige manier waarop een systeem volledig veilig is, is een niet te bereiken systeem. Oftewel: Zorg dat de pc fysiek losgekoppeld is van het netwerk. Virussen zoals MSBlaster hebben geen interactie van de gebruiker nodig om een systeem te besmetten. En helaas is een vers geïnstalleerd systeem -in ons geval een Windows 2000 server- zo vatbaar voor een griepje als een pasgeboren baby in de regen. Door stap één zijn we in ieder geval verzekerd dat ons systeem schoon blijft terwijl we de volgende stappen uitvoeren.

Stap 2: Er op uit...

Installeer alle beschikbare patches. Dit een belangrijke stap in de beveiliging. De patches voor de gaten die er in Windows 2000 server gevonden (en gedicht) zijn sinds de introductie, zijn te downloaden via Windows Update. Héé, we hebben geen netwerkverbinding! :) Nee, inderdaad. We gaan de updates dus op een andere manier downloaden. Ga (op een andere pc) naar Windows Update. Vervolgens klik je onderaan op Windows Update Catalogus.

Fig. 1:

Nu kun je voor jouw besturingssysteem de beschikbare updates ophalen, op cd/dvd branden en installeren.

Stap 3: Eruit met die gebruikers!

Bij deze stap gaan we onnodige gebruikers verwijderen, en de noodzakelijke gebruikers goed beveiligen. (configuratiescherm -> systeembeheer -> computerbeheer -> lokale gebruikers en groepen)

Fig. 2:

Gast account
Als eerste pakken we de gast account bij de kladden. De gast-account is een "Ingebouwde account voor gasttoegang op de computer of het domein". Daar hebben we dus niets aan. Zorg er voor dat deze account uitgeschakeld wordt. (eigenschappen - account uitschakelen), en geef een sterk wachtwoord (je kan nooit zeker genoeg wezen :) ).
Let op: verwijder de gast account niet! Als de gast account verwijderd wordt, kan er bij een update van het besturingssysteem de gast-acoount opnieuw aangemaakt worden.

Administrator accountNu komen we aan bij de man/vrouw die alles kan: de administrator. Aangezien de administrator alles kan en mag in ons systeem is het van groot belang dat deze account goed beveiligd wordt. Dit doen we als eerste door er een sterk wachtwoord aan te geven (minimaal 9 karakters, cijfers en letters). Een brute-force attack is met zo'n wachtwoord behoorlijk tijdrovend (in feite onmogelijk, of je moet Guus Geluk heten :) . Een tweede maatregel die we kunnen nemen is het hernoemen van de administrator naar een andere naam, in mijn geval SysRq. Dit weerhoudt de doorgewinterde cracker er niet van om achter de admin-account te komen (voor de insiders: door middel van het SID), maar script-kiddie's en ander tuig wordt het in ieder geval erg moeilijk gemaakt.

Gebruikers account
Maak een gebruikersaccount aan waarmee je dagelijks gaat werken. Voor de normale taken heb je die administrator-rechten helemaal niet nodig. Een Hoofdgebruiker (of Power user) is in principe voldoende. Mocht je -bijvoorbeeld voor een installatie van een programma- meer rechten nodig hebben kun je de setup altijd starten door "Uitvoeren als...". (shift+rechtklik)

Andere accounts
Er zijn nog een aantal andere accounts aanwezig. Een ieder voor zich zal moeten beslissen of deze account nodig zijn. Als je bijvoorbeeld geen gebruik maak van asp.net, kun je de ASPNET account verwijderen. Dit zelfde geldt voor de TsInternetUser, die gebruikt wordt bij Terminal Services.

Overweeg een dummy-administrator
Eventueel zou je een dummy administrator account aan kunnen maken. Zorg ervoor dat deze account geen rechten heeft, en zet een sterk wachtwoord (+10 karakters).

Stap 4: Services afserveren

Het aan- en uitzetten van services is een belangrijke stap in het beveiligen van een systeem. Bij het doorlopen van de lijst met services (configuratiescherm - systeembeheer - services) is het van belang om te weten welke services vereist zijn, en welke uitgeschakeld kunnen worden.

Fig. 3:

Uiteraard hangt dit af van de configuratie van de pc. Op een Windows 2000 server is bijvoorbeeld de DHCP-client meestal overbodig. Bij een client is juist de DHCP-server niet nodig. Het beste kun je de lijst met services sorteren op opstarttype. Ga vervolgens de lijst langs, let op de services die automagisch gestart worden en ga na of je ze wel nodig hebt.

Stap 5: Pak die hamer, we gaan timmeren

Het goed dichttimmeren van een (server) systeem kan behoorlijk wat consequenties hebben. Het is daarom aan te raden om bij de volgende punten goed na te gaan of het gebruiksgemak niet te veel ten koste gaat van de veiligheid.

Het lokale beveiligingsbeleid
We beginnen bij het lokale beveiligingsbeleid (start - uitvoeren - secpol.msc /s).

Fig. 4:

Als je geen server hebt kun je de map accountbeveiliging overslaan. Als er slechts enkele gebruikers werken op het systeem heeft het opstellen van een wachtwoordpolicy e.d. niet veel effect. De diverse opties die bij accountbeveiliging in te stellen zijn spreken eigenlijk voor zich. Iedereen zal voor zichzelf uit kunnen maken of deze beveiligingsopties voor hem/haar effect hebben.
Het lokale beleid (tweede keuze) heeft wat leukere opties.

Fig. 5:

Auditing
Als eerste het controlebeleid. Bij het controlebeleid kun je aangeven welke acties er gelogd moeten worden. Je kunt het beste bij iedere actie zowel de geslaagde als de mislukte pogingen loggen (op objecttoegang na: alleen bij geslaagde pogingen loggen). Mocht er -ondanks alle beveiligingen- toch iemand zich toegang verschaffen tot ons systeem kunnen we dit aan het eventlog in ieder geval merken.
Maar een eventlog heeft natuurlijk geen zin als een inbreker ook het eventlog kan benaderen. Dit is op te lossen door in het volgende mapje (toewijzing van gebruikersrecht) de rechten voor het eventlog wat aan te scherpen. Bij "controlebeleid en beveiligingslogboek" mag alleen de administrator vermeldt staan, iedere andere gebruiker moet hier verwijderd worden.

Beveiligingsopties
Bij de beveiligingsopties tenslotte is het van belang bij de optie "extra beperkingen voor anonieme verbindingen" de instelling te wijzigen in "geen toegang zonder uitdrukkelijke toestemming anonieme verbindingen". Voor een server is het van belang de andere opties ook langs te lopen, en eventueel aan te passen.

Bestandsextensies
Als laatste kun je ervoor zorgen dat de volgende bestandsextenties gekoppeld worden aan notepad: .js,.jse,.vbe,.vbs,.wsf. Zo worden de visual basic scripts in ieder geval onschadelijk gemaakt. Mocht je toch een script nodig hebben kan dat via "openen met..."

Stap 6: Externe hulpmiddelen

Vuurmuur
Bij het dichttimmeren van een systeem hoort uiteraard ook een goede firewall. Voor een lijst met firewalls zie Welke firewalls zijn er allemaal?
Virusscanner
Zie: Welke Anti-Virus software is er allemaal?.

En verder?
De volgende hulpmiddelen kunnen je van dienst zijn bij het bewaken van de veiligheid van je pc('s):
Controleren of je systeem gepatched is:
Microsoft Baseline Security Analyzer
Uitstekende poortscanner voor het detecteren van open poorten:
Nmap

Stap 7: We zijn er!?

Als je het tot hiertoe overleefd hebt, mag je met gerust hart het netwerkkabeltje weer inpluggen. We hebben nu een veilig systeem draaien. Als je echter denkt dat dit het is, heb je het mis. Het is uiteraard van belang dat je met regelmaat de Windows Update site bezoekt, je virusdefinities bijwerkt en backups maakt. Want hoewel met deze handleiding je pc een stuk veiliger is geworden, kan ik natuurlijk geen garantie geven dat er nooit iets mis gaat. :)

« ·^

Thanks to

Deze howto is geschreven door Marco, beter bekend als SysRq

« ·^

Lijst met figuren



« ·^

Inhoudsopgave


[ Voor 139% gewijzigd door Anoniem: 55140 op 27-09-2004 00:00 ]

-

Dit topic is gesloten.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq