Sikkerhed på server

Gode råd:

1) Hold din PC opdateret med opdateringer og nye Hotfixes fra www.windowsupdate.com og sørg for at have den nyeste Service Pack installeret.

2) Installer Microsoft Baseline Security Analyzer (http://support.microsoft.com/default.aspx?scid=KB;EN-US;Q320454&ID=KB;EN-US;Q320454&FR=1) og følg de råd den giver dig !

3) Åben ikke for mere i den router end du virkelig har brug for. Jo flere porte du åbner for, jo størrer chancer er der for at du får ubudne gæster !

4) Hold din antivirus opdateret, og sæt den til automatisk at scanne de filer du åbner. Tager godt nok lidt kræfter, men giver også størrer sikkerhed i den sidste ende.

5) Log alt hvad der sker på WWW, Mail og FTP - i det hele taget alt på maskinen. Så har du flere chancer for at finde personen hvis uheldet skulle være ude (Microsoft Baseline Security Analyzer giver flere råd vedr. logning!)

Det var så lige et par grundlæggende råd :)

Snowball

Se evt. http://www.bufferzone.dk/Vidensbank/sikkerwebserver.htm for sikring af IIS (hvis det da er den du kører med ;))

Snowball

Snoball har fat i meget af det rigtige, så jeg kommer nok til at gentage lidt.

Sikkerhed skal ses i et samlet lys, hvor alle forhold inddrages, du bør overveje følgende.

Brug et netværksoperativsystem og et ordentligt fil system. NT eller win2000 er beregnet på netværk med alle de sikkerhedsfaciliteter der høre til. Ligeså er NTFS fil systemet lavet til netværk og du kan her meget fint styre adgangen med ntfs rettigheder. Du bør ikke have fat (32) maskiner i dit net, sikkerheden er afhængig af det svageste led og en fat maskine giver muligheder for indbrug fordi sikkerheden er ringe

Hold dit operativsystem og dine applikationer updatet med seneste sikkerhedsopdateringer og patches.

Tune alle dine maskiner med de sikkerhedsanbefalinger der findes på www.cert.org, www.nsa.gov og www.sans.org, herer mange gode konfigurations ændringer og registry hacks, der forhøjer sikkerheden, brug dem.

Når du køre web, mail og ftp, bør du placere disse i DMZ. Du sætter 3 netkort i din firewall. Et netkort til dit eget net, et netkort til interrnettet og et netkort til DMZ. Hvis du placere de usikre tjenester her vil en kompromittering af disse ikke berøre resten af dit net, det giver højest sikkerhed.

Følg med på Bugtraq (www.securityfocus.com) de har en af de bedste sikkerhedsmailingslister hvor alle huller og andet rapporteres.

Ordentlig og opdateret virusscanner på alle maskiner, især din mailserver

Brug tredieparts loging. Win2000 har en udemærket log, problemet er bare at det er for let for en hacker at slette sine sporg i denne. Hvis du også køre med tredieparts loging, skal han slette 2 steder og så skal han først finde ud af hvordan han cracker den anden log.

Læs og spørg

ej, nu vil jeg også lige...

Den bedste sikkerhed fås ved at hive netstikket ud ;)

*G*

Solle...

Solle>og huske at slukke for strømmen

Foreløbig tak for de gode inputs. Jeg prøver at gennemgå det når jeg kommer hjem til maskinen. Det eneste jeg lige falder over er FAT/NTFS problematikken. Jeg har netop formateret alle drev som FAT, da jeg tidligere har haft store problemer med NTFS-partioner som jeg pludeselig ikke kunne komme i kontakte med.

Er det en stor sikkerhedsrisiko at køre med FAT, eller kan der kompenseres for dette på én eller anden måde ? (Specielle patches e.l.)

/cholm

I bund og grund er det en sikkerhedsrisiko ja, da man ikke kan sætte rettigheder på folder/fil niveau når man ikke kører NTFS ! Tror næppe der findes en patch der løser det problem !

Snowball

Hvad så hvis jeg slet ikke har nogle delte drev, på hverken den ene eller anden PC ? (Men så kan man måske slet ikke tilgå serveren....-))

/cholm

Man bør ikke bruge fat hvis man kan undgå det. hvis du har win95/98 maskiner i dit net er du nød til at bruge fat. Du bør også undgå win95/98 maskiner. Disse kan tilgå dit net uden du først har indmeldt dem, det kan man ikke med en NT/2000 maskine.
Ved at køre NTFS undgår du problemer med 95/98 maskiner