All rights reserved Sat, 06 Sep 2008 17:03:33 GMT Sat, 06 Sep 2008 17:03:33 GMT http://blogs.law.harvard.edu/tech/rss GoT - list_messages http://gathering.tweakers.net Gathering of Tweakers http://tweakimg.net/g/if/logo.gif nl-nl http://gathering.tweakers.net/rss/list_messages/825138 [200X]Howto:Security Configuration and Analysis - Windows Clients - GoT gathering@tweakers.net (Administrator) mutsje http://gathering.tweakers.net/forum/list_message/19053879?data%5Bsource%5D=rss#19053879 dummy@example.com (mutsje) dinsdag 21 oktober 2003 18:43 HOWTO: Security Configuration and AnalysisInleidingHoe importeer ik Security templates en hoe maak ik ze eventueel zelf (hard part).Op welk OS werkt dit: Windows2000 (alle versies) Windows XP Windows2003 (alle versies)NOTE: Howto is gemaakt op WindowsXP machine.‹ ·^Aan de slag ...Stap 1: Aanmaken van de consoleWe beginnen met het openen van een MMC console. Dit doe je door als volgt te werk te gaan.Sart > Run (uitvoeren), [type in] mmc [enter]Nu opent windows een lege consoleFig. 1:Nu ga je naar File en kies je voor Add/remove snapin. Je krijgt nu het standaard lege add/remove venster te zien en hier kies je ADD. (Als er al meerdere staan kun je ook remove kiezen)Fig. 2:Scroll naar beneden en kies de snap in "Security Configuration and Analysis" en klik op AddFig. 3:Nu zie je dat "Security Configuration and Analysis" bij je lijst gekomen is. Klik nu op OK.Fig. 4:Stap 2: Database creeerenVolgende stap is het kiezen van een database. Heb je al eens met deze snapin gewerkt zul je een bestaande database hebben die je eventueel kunt gebruiken. Als je "Open Database" kiest (rechts klikken op "Security Configuration and Analysis") kun je een nieuwe database aanmaken. Hier is gekozen voor de naam "tweakers_template". Fig. 5:Na het openen of aanmaken van een nieuwe database krijg je altijd de vraag om een template te kiezen. De default directory is "%windir%\security\templates".Selecteer een template die je wilt importeren.Fig. 6:Volgende templates zijn available compatws.inf (compatle maken met vorig OS) Hisecdc.inf (High secure template domain controller) hisecws.inf (High secure template workstation) Rootsec.inf (geen idee ) securedc.inf (Secure template domain controller) securews.inf (Secure template workstation) Setup Security.inf (geen idee )Nog uitgebreidere templates zitten in whitepapers met betrekking tot Security Windows 2000 Server of Windows Server 2003 family. Stap 3: Analyseren systeemNa het selecteren van een template kun je een systeem analyseren. Rechts klik op de "Security Configuration and analysis" en kies "Analyze Computer now". Fig. 7:Het systeem vraag je nu naar een locatie om de logfile naar toe te kunnen schrijven. Dit kun je gewoon wijzigen naar een andere locatie.(wel handig om te onthouden waar..)Fig. 8:Analysing in progress.Fig. 9:Volgende zaken worden geanalyseerd User right Assigment Restricted Groups Registry File System System Services Security PolicyStap 4: Geanalyseerd systeemAls men voor bijvoorbeeld High Secure Template kiest zal men vele recommended settings zien. Omdat we dit hier niet doen zul je niet zoveel veranderingen zien. Compatws.inf maakt namelijk het systeem alleen maar backwords compatible met programma's die onder Microsoft Windows NT4 draaien.Als er wel dingen veranderd zijn zul je dit in de kolom "Database Settings" te zien krijgen. De Analyse maakt namelijk een vergelijking met wat het systeem momenteel ingesteld heeft en wat de inf file aanraad.Fig. 10:Als je met de instellingen akkoord gaat kun je voor "Configure Computer Now" kiezen. From the field: Voordat je hiervoor kiest is het handig om eerst "Export Template" te kiezen. Dan worden huidige instellingen geexporteerd. Na de keuze gemaakt te hebben van "Configure Computer now" is je systeem volgens de template geconfigureerd.Fig. 11:Stap 5: Zelf templates bouwenJe kent het misschien wel je beheerd een domain met bijvoorbeeld 50 domain controllers en de manager wil dat je maar even alle security event properties naar 10240 mb (10mb) verhoogt. Je begint alleen al bij de gedachte te zuchten... Nu is er een wonderschone oplossing.Sloop gewoon een template open en haal eruit wat voor jou van toepassing is Onderstaande is gedeelte van de Hisecdc.inf file. Ik configureer op deze manier 20 settins op een domain controller binnen een minuut. inclusief auditing en veranderen van logfile size en over ze overschreven worden of niet en dergelijke.; (c) Microsoft Corporation 1997-2000;; Security Configuration Template for Security Configuration Editor;; Template Name: HiSecDC.INF; Template Version: 05.10.HD.0000;----------------------------------------------------------------;Event Log - Log Settings;----------------------------------------------------------------;Audit Log Retention Period:;0 = Overwrite Events As Needed;1 = Overwrite Events As Specified by Retention Days Entry;2 = Never Overwrite Events (Clear Log Manually)[System Log]RestrictGuestAccess = 1[Security Log]MaximumLogSize = 10240AuditLogRetentionPeriod = 0RestrictGuestAccess = 1[Application Log]RestrictGuestAccess = 1 Zoals in elk kookboek: Test voordat je het op een productie omgeving loslaat. Hou er rekening mee dat er vele templates zijn. Voor Windows 2003 zijn er lekker veel in de white paper Stap 6: Extra ResourcesMicrosoft Solution for securing Windows 2000 server klik hierWindows Server 2003 Security Guide klik hierStap 7: Extra tipMocht je High Security template geimporteerd hebben en nu vast lopen omdat je toch iets open wilt hebben maar niet weet waar te zoeken (been there done it) importeer dan de "Setup Security.inf" (windows 2003 inf file dus is niet op 2000 daar is het basicsvc.inf uit mijn hoofd) deze zet de default waardes terug. (thanks to luckyme_ )‹ ·^Thanks to Deze howto is geschreven door Hans, beter bekend als mutsje (www.datacrash.net).Op- of aanmerkingen, en suggesties kunnen worden doorgegeven aan de WOS moderators ‹ ·^Lijst met figuren Figuur 1: Lege management console Figuur 2: Snap in toevoegen Figuur 3: Security Configuration and Analysis snap in kiezen Figuur 4: Security Configuration and Analysis is toegevoegd Figuur 5: Creeren database Figuur 6: Selecteren van een security template Figuur 7: Analyseren van systeem Figuur 8: Lokatie opgeven van de logfile Figuur 9: Analyse in progress Figuur 10: Geanalyseerd systeem Figuur 11: Configureren van de computer volgens de template‹ ·^Inhoudsopgave 1: Inleiding 2: Aan de slag ...Stap 1. Aanmaken van de consoleStap 2. Database creeerenStap 3. Analyseren systeemStap 4. Geanalyseerd systeemStap 5. Zelf templates bouwenStap 6. Extra ResourcesStap 7. Extra tip 3: Thanks to 4: Lijst met figuren 5: Inhoudsopgave

HOWTO: Security Configuration and Analysis

Inleiding


Hoe importeer ik Security templates en hoe maak ik ze eventueel zelf (hard part).
Op welk OS werkt dit:

  • Windows2000 (alle versies)
  • Windows XP
  • Windows2003 (alle versies)

NOTE: Howto is gemaakt op WindowsXP machine.



·^

Aan de slag ...


Stap 1: Aanmaken van de console


We beginnen met het openen van een MMC console. Dit doe je door als volgt te werk te gaan.
Sart > Run (uitvoeren), [type in] mmc [enter]
Nu opent windows een lege console


Fig. 1:
Lege management console


Nu ga je naar File en kies je voor Add/remove snapin. Je krijgt nu het standaard lege add/remove venster te zien en hier kies je ADD. (Als er al meerdere staan kun je ook remove kiezen)


Fig. 2:
Snap in toevoegen


Scroll naar beneden en kies de snap in "Security Configuration and Analysis" en klik op Add


Fig. 3:
Security Configuration and Analysis snap in kiezen


Nu zie je dat "Security Configuration and Analysis" bij je lijst gekomen is. Klik nu op OK.


Fig. 4:
Security Configuration and Analysis is toegevoegd



Stap 2: Database creeeren


Volgende stap is het kiezen van een database. Heb je al eens met deze snapin gewerkt zul je een bestaande database hebben die je eventueel kunt gebruiken. Als je "Open Database" kiest (rechts klikken op "Security Configuration and Analysis") kun je een nieuwe database aanmaken. Hier is gekozen voor de naam "tweakers_template".


Fig. 5:
Creeren database


Na het openen of aanmaken van een nieuwe database krijg je altijd de vraag om een template te kiezen. De default directory is "%windir%\security\templates".

Selecteer een template die je wilt importeren.


Fig. 6:
Selecteren van een security template


Volgende templates zijn available

  • compatws.inf (compatle maken met vorig OS)
  • Hisecdc.inf (High secure template domain controller)
  • hisecws.inf (High secure template workstation)
  • Rootsec.inf (geen idee :+ )
  • securedc.inf (Secure template domain controller)
  • securews.inf (Secure template workstation)
  • Setup Security.inf (geen idee :+)


Nog uitgebreidere templates zitten in whitepapers met betrekking tot Security Windows 2000 Server of Windows Server 2003 family.



Stap 3: Analyseren systeem


Na het selecteren van een template kun je een systeem analyseren. Rechts klik op de "Security Configuration and analysis" en kies "Analyze Computer now".

Fig. 7:
Analyseren van systeem


Het systeem vraag je nu naar een locatie om de logfile naar toe te kunnen schrijven. Dit kun je gewoon wijzigen naar een andere locatie.(wel handig om te onthouden waar..)


Fig. 8:
Lokatie opgeven van de logfile


Analysing in progress.


Fig. 9:
Analyse in progress


Volgende zaken worden geanalyseerd

  • User right Assigment
  • Restricted Groups
  • Registry
  • File System
  • System Services
  • Security Policy


Stap 4: Geanalyseerd systeem


Als men voor bijvoorbeeld High Secure Template kiest zal men vele recommended settings zien. Omdat we dit hier niet doen zul je niet zoveel veranderingen zien. Compatws.inf maakt namelijk het systeem alleen maar backwords compatible met programma's die onder Microsoft Windows NT4 draaien.
Als er wel dingen veranderd zijn zul je dit in de kolom "Database Settings" te zien krijgen. De Analyse maakt namelijk een vergelijking met wat het systeem momenteel ingesteld heeft en wat de inf file aanraad.


Fig. 10:
Geanalyseerd systeem


Als je met de instellingen akkoord gaat kun je voor "Configure Computer Now" kiezen.

From the field: Voordat je hiervoor kiest is het handig om eerst "Export Template" te kiezen. Dan worden huidige instellingen geexporteerd. Na de keuze gemaakt te hebben van "Configure Computer now" is je systeem volgens de template geconfigureerd.


Fig. 11:
Configureren van de computer volgens de template



Stap 5: Zelf templates bouwen


Je kent het misschien wel je beheerd een domain met bijvoorbeeld 50 domain controllers en de manager wil dat je maar even alle security event properties naar 10240 mb (10mb) verhoogt. Je begint alleen al bij de gedachte te zuchten... Nu is er een wonderschone oplossing.

Sloop gewoon een template open en haal eruit wat voor jou van toepassing is :D
Onderstaande is gedeelte van de Hisecdc.inf file. Ik configureer op deze manier 20 settins op een domain controller binnen een minuut. inclusief auditing en veranderen van logfile size en over ze overschreven worden of niet en dergelijke.



; (c) Microsoft Corporation 1997-2000
;
; Security Configuration Template for Security Configuration Editor
;
; Template Name:        HiSecDC.INF
; Template Version:     05.10.HD.0000
;----------------------------------------------------------------
;Event Log - Log Settings
;----------------------------------------------------------------
;Audit Log Retention Period:
;0 = Overwrite Events As Needed
;1 = Overwrite Events As Specified by Retention Days Entry
;2 = Never Overwrite Events (Clear Log Manually)

[System Log]
RestrictGuestAccess = 1

[Security Log]
MaximumLogSize = 10240
AuditLogRetentionPeriod = 0
RestrictGuestAccess = 1

[Application Log]
RestrictGuestAccess = 1

Zoals in elk kookboek: Test voordat je het op een productie omgeving loslaat. Hou er rekening mee dat er vele templates zijn. Voor Windows 2003 zijn er lekker veel in de white paper



Stap 6: Extra Resources


Microsoft Solution for securing Windows 2000 server klik hier

Windows Server 2003 Security Guide klik hier



Stap 7: Extra tip


Mocht je High Security template geimporteerd hebben en nu vast lopen omdat je toch iets open wilt hebben maar niet weet waar te zoeken (been there done it) importeer dan de "Setup Security.inf" (windows 2003 inf file dus is niet op 2000 daar is het basicsvc.inf uit mijn hoofd) deze zet de default waardes terug. (thanks to luckyme_ )



·^

Thanks to


Deze howto is geschreven door Hans, beter bekend als mutsje (www.datacrash.net).
Op- of aanmerkingen, en suggesties kunnen worden doorgegeven aan de WOS moderators



·^

Lijst met figuren


  • Figuur 1: Lege management console
  • Figuur 2: Snap in toevoegen
  • Figuur 3: Security Configuration and Analysis snap in kiezen
  • Figuur 4: Security Configuration and Analysis is toegevoegd
  • Figuur 5: Creeren database
  • Figuur 6: Selecteren van een security template
  • Figuur 7: Analyseren van systeem
  • Figuur 8: Lokatie opgeven van de logfile
  • Figuur 9: Analyse in progress
  • Figuur 10: Geanalyseerd systeem
  • Figuur 11: Configureren van de computer volgens de template


·^

Inhoudsopgave



]]> http://gathering.tweakers.net/forum/list_message/19053879#19053879 Tue, 21 Oct 2003 16:43:59 GMT