[Security] Handmatig je Windows install beveiligen

Ik heb getracht me een beetje te verdiepen in de aanpak van Windows beveiliging, liever gezegd, Als je kijkt naar de technische kenmerken die een virus achterlaat, of hoe een virus of hacker controle verkrijgt over een systeem, is het in 99% van de gevallen terug te voeren op een aantal acties/kenmerken. Ik probeer een beetje in kaart te brengen wat nou al die kenmerken zijn en aan de hand daarvan wil ik een checklist maken (of een programmaatje) waarmee je veel van de standaardhacks / virussen voor kan zijn. Misschien leg ik het wat onduidelijk uit, laat ik wat concreter worden.

- Vrijwel alle virussen plaatsen een entry in HKLM\Software\Microsoft\Windows\CurrentVersion\Run, zodat elke keer dat Windows start, het virus ook start. Ook de volgende regkeys zouden daarvoor misbruikt kunnen worden:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit

Deze regkeys kan je monitoren en als er een wijziging voordoet, dat je dan meteen een mailtje krijgt met de wijziging. _Mocht_ je dan een virus krijgen, wordt je meteen op de hoogte gebracht.

- In geval van een exploit (zoals code red in IIS) wordt vaak een beroep gedaan op het bestand cmd.exe, in dit geval wil dus het SYSTEM account, waar IIS onder draait gebruik maken van CMD.exe. Mijn idee is om de rechten voor cmd.exe te ontnemen voor het SYSTEM account. Ik heb dit nu al een paar maanden ingesteld op mijn servertjes thuis --> geen problemen tegengekomen.

- Ook wordt vaak in het geval van een exploit via ftp bestanden binnengehaald (Serv-U ftp server bijv.). Ik heb op al mijn servers ftp.exe, tftp.exe en tftpd.exe hernoemd of verwijderd. Ik heb ook hiermee geen problemen kunnen vinden (bijv. virus def updates die gebruik maken van ftp.exe)

Ik ben benieuwd of mensen nog meer van dit soort fingerprints van virussen of hacks weten!

PS: Ik weet dat er kant-en-klare programmaatjes zijn die dit voor je regelen, daar leer ik niets van, dus laten we het daar niet over hebben

Verwijderd schreef op 30 juli 2004 @ 17:25:
kan je niet gewoon beter zorgen dat je geen virussen krijgt op je pc/server ipv dingen gaan disablen die op zich geen problemen geven

system geen rechten geven op cmd kan zeer zeker probs geven; zowieso zal als er via iis een cmd wordt opgestart dit via de iwam of iusr_sysname gebeuren en niet via het system account, install van de iislockdowntool lijkt me dan ook zinniger.

maar kijk verder eens naar de security templates (hisecure). download die van nsa dan zie je wel het een en ander...

Dat bedoel ik nou met "PS: Ik weet dat er kant-en-klare programmaatjes zijn die dit voor je regelen, daar leer ik niets van, dus laten we het daar niet over hebben"

Tuurlijk draait een IIS server IISLockdown, tuurlijk kan je gebruik maken van standaard security templates, maar is het niet leuker en interessanter om zelf te kijken wat misbruikt wordt en dat proberen tegen te gaan? Ik vindt van wel, al mijn servers zijn sowieso gehardened, dit is alleen een extra stapje daarin. Ik heb nooit gehoord of gelezen in een security guide dat als je ftp.exe onbruikbaar maakt dat je dan veiliger bent. Toch weet ik dat bij hacks er vaak via dat bestand software wordt binnengehaald door hackers. Dast ben je toch veiliger als dat niet meer kan?

cmd.exe voor system rechten ontnemen heeft dan misschien voor IIS minder zin, maar ik heb ook alleen domain admins rechten gegeven op cmd.exe, dus ook iwam en iusr accounts hebben dan geen cmd.exe rechten.

elevator schreef op 30 juli 2004 @ 19:55:
Veel 'exploits' voor IIS zijn/waren gevaarlijk omdat ze zichzelf automatisch verspreidden - een worm dus.

Ik rename dan ook op productie servers die naar het internet staan altijd de standaard directory. Je zal er geen C:\Windows of C:\WinNT tegen komen, ook geen Inetpub of WwwRoot - gewoon andere namen

Alhoewel dit natuurlijk onder security through obscurity valt en het absoluut geen security is in een stricte vorm, zorgt het er wel voor dat een boel standaard worms vastlopen op je PC en dat is al wat

En wat voor IIS al een erg goede beveiliging is, is dat je de wwwroot map (met een andere naam ) op een aparte partitie zet, omdat het niet mogelijk is om via dir traversal exploits andere partities te benaderen. (bron: Hacking exposed 4de druk)

[ Voor 23% gewijzigd door collin op 31-07-2004 10:44 ]

Verwijderd schreef op 31 juli 2004 @ 11:51:
van die kant en klare programma's kan je veel leren... urlscan die tevens in de lockdown tool zit heeft een hele mooie inifile waar je veel van kan leren!

Ja die ken ik maar al te goed, anders werkte Outlook Web Acces niet meer (als er bijv '..' in het subject van een mailtje voorkwam )

overigens codered/nimbda voorkomen door de application mappings te verwijderen, volgens mij maakt een dir veranderen niet uit voor codered, maar dan zou ik ff de strings opnieuw moeten zien (lang geleden ).

Code red ging twee dirs omhoog door iets van /../ oid en daarnaa naar je windir\system32\cmd.exe. Als je wwwroot op een andere schijf staat, kan een eventuele nieuwe exploit dus niet via dir traversal je cmd aanspreken.

administrator renamen was ook zo 1, die naar mijn idee alweer achterhaald is. De meeste "hack" proggries kijken allang naar de sid. zelf rename ik de admin nooit meer, maar zorg dat ik direct een melding krijg als de admin succesvol inlogt.

Juistem! Dat soort dingen bedoel ik

edit: ik blijf erbij dat ftp.exe renamen echt niet opschiet, omdat je er dan nog steeds vanuit gaat dat er iemand op je system kan komen. je kan je naar mijn idee beter richten op het voorkomen dat iemand je systeem kan "compromisen" dan als ze op het systeem zitten de "hackers" het zo moeilijk mogelijk maken...

Dus jij bouwt een bank met een stalen gevel en voordeuren en als je eenmaal binnen bent, dat je dan kan doen en pakken wat je wil? Je denkt misschien dat ik het hardenen van een server niet nodig acht door deze 'truukjes', maar dan heb je me verkeerd! Er is altijd een mogelijkheid dat er een nieuwe exploit/hack gevonden wordt voor wie weet, de SMTP service van MS. Hierdoor kan wellicht arbitrary code uitgevoerd worden, die met behulp van CMD en FTP een ServU of trojan binnen kan halen.

Dan heb je dus niets meer aan je security templates, het feit dat je alle updates binnenhaalt en wellicht al je andere beveiligingsmaatregelen. Zie het als een 'last line of defense' en een soort van IDS, net als dat jij een berichtje krijgt als de administrator zich valideert.

Alles wat je noemt vindt ik geen vervanging voor het 'verwijderen' van ftp.exe. Alle andere dingen die je tot nu toe hebt aangedragen zijn dingen die ik zelf ook uitvoer. Mijn simpele NAT routertje thuis ondersteunt geen packet filters, ik kan wel met IPSec poorten blokkeren naar buiten (doe ik wel voor poort 25 om virusverspreiding te voorkomen, behalve voor de mailservert ), maar dan kan ik niet meer FTP'en en dan kan bijv. me virusscanner zijn defs niet meer updaten.

Op de zaak heb ik al het uitgaande verkeer geblokt, behalve voor de exchange server poorten 25 en 53 naar buiten voor de email en de AV server mag 's avonds 5 minuten HTTP'en en FTP'en om zijn definities te updaten, en alleen de ISA server mag naar buiten HTTP'en en FTP'en tijdens kantooruren; geen enkele poort staat onnodig open op elk tijdstip. Daar heeft het inderdaad weinig zin om FTP.exe te renamen. Thuis heb ik die luxe niet en vindt ik het best een aardig struikelblok. Weet jij een andere manier om bestanden binnen te halen, zonder ftp.exe en cmd.exe? Als die er niet is, zijn we toch echt een stuk veiliger lijkt mij

(btw koele sig heb je )