ved bruk av security compliance manager (scm) … · 2020. 6. 24. · it-veiledning for ugradert nr...
TRANSCRIPT
IT-veiledning for ugradert nr 5 (U-05)
Oppdatert: 2015-10-08
Windows
Grunnsikring av Windows Server 2012
Ved bruk av Security Compliance Manager (SCM) sikkerhetsbaseliner
Dette dokumentet gir uformell og uforpliktende veiledning i tiltak for sikring av IT-systemer som an-
vender Windows Server 2012. Målgruppen er personell som administrerer og utvikler ugraderte sys-
temer i offentlig forvaltning, primært departementer og andre store sentrale etater. Dokumentet ut-
gjør også første byggestein i herding av graderte systemer som anvender Windows Server 2012.
Nasjonal sikkerhetsmyndighet
NSM U-05 2015-10-08
Grunnsikring av Windows Server 2012 Side 2 av 15
Nasjonal sikkerhetsmyndighet
Nasjonal sikkerhetsmyndighet er tverrsektoriell fag- og tilsynsmyndighet innenfor forebyggende sikkerhetstjeneste i Norge og forvalter lov
om forebyggende sikkerhet av 20. mars 1998. Hensikten med forebyggende sikkerhet er å motvirke trusler mot rikets selvstendighet og sik-
kerhet og andre vitale nasjonale sikkerhetsinteresser, primært spionasje, sabotasje og terrorhandlinger. Forebyggende sikkerhetstiltak skal
ikke være mer inngripende enn strengt nødvendig, og skal bidra til et robust og sikkert samfunn.
Hensikt med veiledning
NSM sin veiledningsvirksomhet skal bygge kompetanse og øke sikkerhetsnivået i virksomhetene, gjennom økt motivasjon, evne og vilje til å
gjennomføre sikkerhetstiltak. NSM gir jevnlig ut veiledninger til hjelp for implementering av de krav sikkerhetsloven stiller. NSM publiserer
også veiledninger innen andre fagområder relatert til forebyggende sikkerhetsarbeid.
Postadresse Sivil telefon/telefaks Militær telefon/telefaks Internettadresse
Postboks 814 +47 67 86 40 00/+47 67 86 40 09 515 40 00/515 40 09 www.nsm.stat.no
1306 Sandvika E-postadresse
NSM U-05 2015-10-08
Grunnsikring av Windows Server 2012 Side 3 av 15
Innhold
1 Innledning ............................................................................................................................................... 5
2 Oversikt .................................................................................................................................................. 6
3 Tiltak ...................................................................................................................................................... 7
3.1 Sikkerhetsbaseline for domener .......................................................................................................... 7
3.2 Sikkerhetsbaseliner for medlemsservere og domenekontrollere ............................................................. 7
Vedlegg A Oppsummering ........................................................................................................................ 11
Vedlegg B Implementasjon av tiltak ............................................................................................................ 12
Vedlegg C Dokumentasjon av tiltak ............................................................................................................ 12
Vedlegg D Testing av tiltak ........................................................................................................................ 12
Vedlegg E Håndtering av avvik .................................................................................................................. 12
Vedlegg F Vedlagte filer ............................................................................................................................ 13
Vedlegg G Referanser .............................................................................................................................. 14
Vedlegg H Dokumenthistorie ..................................................................................................................... 15
NSM U-05 2015-10-08
Grunnsikring av Windows Server 2012 Side 4 av 15
NSM U-05 2015-10-08
Grunnsikring av Windows Server 2012 Side 5 av 15
1 Innledning
Dette dokumentet gir uformell og uforpliktende veiledning i tiltak for sikring av IT-systemer som an-
vender Windows Server 2012 (WS2012). Målgruppen er personell som administrerer og utvikler ugra-
derte systemer i offentlig forvaltning, primært departementer og andre store sentrale etater. Doku-
mentet utgjør også første byggestein i herding av graderte systemer som anvender WS2012.
De beskrevne tiltakene er ment å reflektere commercial best practice og beskytter mot konvensjonell
ondsinnet kode (mass malware).
I tillegg til tiltakene beskrevet i dette dokumentet, anbefaler NSM at også de grunnleggende tiltakene
beskrevet i U-01 [1] blir implementert.
Dokumentet anbefaler tiltak for sikring av:
WS2012 domener (dvs Active Directory (AD) domene-tiltak)
WS2012 medlemsservere (dvs tiltak for en generisk WS2012 server-rolle)
WS2012 domenekontrollere (dvs tiltak for WS2012 DC serverrollen)
Dokumentet gir også en innføring i hvordan de anbefalte tiltakene kan implementeres, testes og do-
kumenteres, samt hvordan avvik fra NSMs anbefalte tiltak bør håndteres.
Kontaktpunkt for denne veiledningen er [email protected]. Vennligst bruk veiledningens navn som
emne. Kommentarer og innspill mottas med takk.
NSM U-05 2015-10-08
Grunnsikring av Windows Server 2012 Side 6 av 15
2 Oversikt
Sikkerheten til en WS2012 server styres gjennom en rekke innstillinger. Vi referer til en samling sikker-
hetsinnstillinger og deres anbefalte verdier som en sikkerhetsbaseline (SB).
Gjennom verktøyet Security Compliance Manager (SCM) [2], anbefaler Microsoft tiltak i form av SCM
SB´er for sikring av WS2012. SB´ene er et resultat av Microsofts egne erfaringer og commercial best
practice innenfor området.
Ved å ta utgangspunkt i Microsofts SCM SB´er kan man lage egne SB´er som er tilpasset ulike sikker-
hetsnivåer og bruksområder. Dette gjøres ved å justere de anbefalte verdiene i Microsofts SB og even-
tuelt ved å legge til eller fjerne innstillinger som inngår i SB´en. Nye SB´er som lages på denne måten
kalles da delta sikkerhetsbaseliner til Microsofts SB´er.
NSM har i denne veiledningen laget tre delta SB´er til Microsofts SCM SB´er for WS2012:
NSM WS2012 Domain Baseline er delta til WS2012 Domain Security Compliance 1.0 (SB for
AD-domene)
NSM WS2012 Member Server Baseline er delta til WS2012 Member Server Security
Compliance 1.0 (SB for medlemsserver)
NSM WS2012 Domain Controller Baseline er delta til WS2012 Domain Controller Security
Compliance 1.0 (SB for domenekontroller)
Kapittel 3 beskriver de viktigste forskjellene mellom NSMs delta SB´er og Microsofts SB´er. I tillegg
beskrives innstillinger i NSMs delta SB´er som kan være problematiske i enkelte driftsmiljøer.
Vedlegg A oppsummerer dokumentet.
Vedlegg B beskriver hvordan NSMs delta SB´er kan implementeres både på maskiner i et AD-domene
og på frittstående maskiner. I tillegg gir vedlegget en kort innføring i installasjon og bruk av verktøyet
SCM.
Vedlegg C beskriver hvordan tiltak som er spesifisert i SCM og implementert i systemet bør dokumen-
teres.
Vedlegg D beskriver prosedyren for testing av implementerte tiltak ift spesifiserte tiltak.
Vedlegg E beskriver hvordan avvik mellom NSMs anbefalte tiltak og virksomhetens tiltak bør håndte-
res.
Vedlegg F gir en kort beskrivelse av konfigurasjonsfilene (SCM, GPO, osv) som følger med dokumentet.
Vedlegg G og Vedlegg H inneholder henholdsvis referanseliste og dokumenthistorie.
Merk at Vedlegg B – E viser til kapiteler i «U-08 Sikkerhetsbaseliner» [3].
NSM U-05 2015-10-08
Grunnsikring av Windows Server 2012 Side 7 av 15
3 Tiltak
NSMs anbefalte tiltak kommer i form av SCM SB´er som er deltaer til anbefalte SB´er fra Microsoft.
Hver SB består av en samling sikkerhetsinnstillinger og deres anbefalte verdier.
Se [4,5] for detaljert teknisk informasjon om de ulike sikkerhetsinnstillingene i SCM. SCM sin egen hjel-
petekst inneholder i stor grad også samme informasjon om disse innstillingene. Se ellers Kapittel 3.1 i
[3] for mer informasjon om SCM.
Den påfølgende teksten beskriver NSMs WS2012 SCM SB´er for AD-domener, medlemsservere og do-
menekontrollere.
3.1 Sikkerhetsbaseline for domener
Domene-sikkerhetsbaselinen inneholder innstillinger som Account lockout policy og Password policy.
3.1.1 Viktigste forskjeller mellom NSMs og Microsofts sikkerhetsbaseliner
Denne seksjonen beskriver avvikene mellom NSMs og Microsofts SB´er for AD-domener på et overord-
net nivå:
NSMs Password policy er noe mindre restriktiv enn Microsofts SB mht passordlevetid.
NSMs Account lockout policy tar i større grad høyde for Denial of Service angrep mot bruker-
konti (provosert lockout) enn Microsofts SB.
Innstillingen Maximum password age under noden Computer Configuration > Windows Settings >
Security Settings > Account Policies > Password Policy er f eks blitt gjort mindre restriktiv ved å øke
passordlevetiden fra 60 til 180 dager.
Passordlevetiden på inntil 180 dager er bare ment for vanlige brukerkonti. For graderte systemer skal
passordlevetiden til administratorkonti være inntil 90 dager. NSM anbefaler administratorer av ugra-
derte systemer å også skifte sine passord oftere enn hver 180 dag, der dette er hensiktsmessig, f eks
hver 90-120 dag.
AD kan implementere forskjellige passordinnstillinger for ulike brukergrupper vha Fine-grained
password policies [6,7]. Men fordi finkornede passordinnstillinger ikke dekkes av SCM, dekkes disse
innstillingene heller ikke av denne veiledningen.
Den vedlagte Excel-filen NSM WS2012 Domain Baseline vs Microsoft Baseline XLSM.xlsm gir en de-
taljert oversikt over forskjellene mellom NSMs og Microsofts SB´er for AD-domener. Se Vedlegg F for
mer informasjon.
3.2 Sikkerhetsbaseliner for medlemsservere og domenekontrollere
SB´en for medlemsservere inneholder OS-nivå innstillinger for en generisk WS2012 serverrolle. Denne
generiske serverrollen danner en felles basis for mer spesifikke WS2012 serverroller, f eks filserver,
epost-server, databaseserver, osv.
SB´en for domenekontrollere inneholder de fleste av innstillingene som man finner i den generiske
medlemsserver-sikkerhetsbaselinen, men noen av disse innstillingene har justerte verdier som er til-
passet DC rollen. I tillegg inneholder SB´en for domenekontroller en rekke andre innstillinger som er
NSM U-05 2015-10-08
Grunnsikring av Windows Server 2012 Side 8 av 15
spesifikke for en WS2012 server som innehar DC rollen, bl a innstillinger for systemtjenester (system
services).
3.2.1 Viktigste forskjeller mellom NSMs og Microsofts sikkerhetsbaseliner
Denne seksjonen gir en overordnet beskrivelse av NSMs avvik fra:
Microsofts SB for medlemsservere
Microsofts SB for domenekontrollere
Vi velger å beskrive NSMs avvik for både medlemsservere og domenekontrollere i samme seksjon på
grunn av de store likhetene i avvikene, sett på et overordnet nivå.
Medlemsservere. For en detaljert liste over alle avvik mellom NSMs og Microsofts SB´er for medlems-
servere henvises det til Excel-filen NSM WS2012 Member Server Baseline vs Microsoft Baseline
XLSM.xlsm. Se Vedlegg F for mer informasjon.
Domenekontrollere. For en detaljert liste over alle avvik mellom NSMs og Microsofts SB´er for dome-
nekontrollere henvises det til Excel-filen NSM WS2012 Domain Controller Baseline vs Microsoft
Baseline XLSM.xlsm. Se Vedlegg F for mer informasjon.
3.2.1.1 Eksplisitte verdier for innstillinger som ikke dekkes i Microsoft sine baseliner
I Microsofts SB´er for medlemsservere og domenekontroller er mange innstillinger satt til Not defined,
Not configured eller No auditing, på grunn av at Microsoft ikke anbefaler noen spesielle verdier for de
aktuelle innstillingene.
Når en SB ikke definerer en innstilling, gjøres det heller ingen endring i operativsystemet.
For å sikre at også disse udefinerte innstillingene blir satt til fornuftige verdier, f eks dersom feilkonfi-
gurert etter installasjon, og for at innstilligene skal kunne sikkerhetstestes opp mot SB´en, tildeles disse
innstillingene eksplisitte verdier i NSMs SB´er.
3.2.1.2 Slå av Auto Run og Auto Play
NSMs SB´er for medlemsserver og domenekontroller slår av Auto Run og Auto Play. Disse innstilling-
ene er udefinert i de tilsvarende Microsoft SB´ene.
3.2.1.3 Strengere protokollsikkerhet
NSMs SB´er for medlemsserver og domenekontroller har noe strengere krav til protokollsikkerhet enn
det de tilsvarende Microsoft SB´ene har. Dette gjelder spesielt for følgende protokoller:
NT Lan Manager (NTLM) protokollen
Kerberos protokollen
Lightweight Directory Access Protocol (LDAP)
Server Message Block (SMB) protokollen
Remote Desktop Protocol (RDP)
NSM U-05 2015-10-08
Grunnsikring av Windows Server 2012 Side 9 av 15
3.2.1.4 Aktivere ekstra logging av hendelser
NSMs SB´er for medlemsserver og domenekontroller legger opp til mer logging enn det gjøres i de
tilsvarende Microsoft SB´ene.
For de fleste Audit Policyene i noden Computer Configuration > Windows Settings > Security Settings
> Advanced Audit Policy Configuration > Audit Policies velger Microsoft No auditing mens NSM velger
logging av en eller flere typer hendelser.
3.2.1.5 Aktivere global brannmurpolicy og -logging
NSMs SB´er for medlemsserver og domenekontroller setter en rekke brannmurspesifikke innstillinger
som ikke finnes i de tilsvarende Microsoft SB´ene. Se XTRA-seksjonen i NSM SB´ene NSM WS2012
Member Server Baseline SCM.cab og NSM WS2012 Domain Controller Baseline SCM.cab for disse og
andre innstillinger som NSM har lagt til Microsoft sine SB´er.
Blant annet settes følgende for de tre brannmurprofilene Domain, Private og Public:
Logging av dropped packets
Logging av successful connections
Størrelse på logg-fil
Lokasjon for lagring av logg-fil
I tillegg inneholder NSMs SB´er innstillinger som blokkerer noen utvalgte nettverksporter.
3.2.2 Innstillinger som kan være problematiske i enkelte driftsmiljøer
Denne seksjonen beskriver innstillinger i NSMs SB´er som gjelder både medlemsservere og domene-
kontrollere som kan være problematiske i enkelte driftsmiljøer.
3.2.2.1 Log on as a service / Deny log on as a service
Følgende innstillinger har blitt konfigurert i noden Computer Configuration > Windows Settings >
Security Settings > Local Policies > User Rights Assignment:
Log on as a service har blitt satt til NT SERVICE\ALL SERVICES
Deny log on as a service har blitt satt til Administrators, Users, Guests
Virksomheter som anvender brukerkontoer med passord som tjenestekonti istedenfor Windows sine
innebygde tjenestekonti (SYSTEM, LocalService, NetworkService) for å kjøre tjenester, vil få proble-
mer med disse innstillingene.
NSM fraråder bruk av andre tjenestekonti enn Windows sine innebygde tjenestekonti.
3.2.2.2 Log on as a batch job / Deny log on as a batch job
Følgende innstillinger har blitt konfigurert i noden Computer Configuration > Windows Settings >
Security Settings > Local Policies > User Rights Assignment:
Log on as a batch job har blitt satt til Administrators
Deny log on as a batch job har blitt satt til Guests, Administrator
NSM U-05 2015-10-08
Grunnsikring av Windows Server 2012 Side 10 av 15
NSM tillater i utgangspunktet at kun Administrators schedulerer jobber. For noen virksomheter vil det
være behov for at også andre brukere skal kunne schedulere jobber, uten at dette nødvendigvis er
sikkerhetsmessig problematisk.
3.2.2.3 Interactive logon: Number of previous logons to cache
I noden Computer Configuration > Windows Settings > Security Settings > Local Policies > Security
Options har innstillingen Interactive logon: Number of previous logons to cache (in case domain
controller is not available) blitt satt til 2.
NSM tillater caching av et relativt lite antall interaktive innlogginger, bl a som følge av Pass the Hash-
problematikken. Se [8,9] for mer informasjon om Pass the Hash.
3.2.2.4 Microsoft network server: Server SPN target name validation level
I noden Computer Configuration > Windows Settings > Security Settings > Local Policies > Security
Options har innstillingen Microsoft network server: Server SPN target name validation level blitt satt
til Required from client.
Windows XP klienter takler ikke denne innstillingen.
NSM fraråder bruk av Windows XP.
3.2.2.5 Network security: LDAP client signing requirements
I noden Computer Configuration > Windows Settings > Security Settings > Local Policies > Security
Options har innstillingen Network security: LDAP client signing requirements blitt satt til Require
signature.
Windows XP klienter takler ikke denne innstillingen.
NSM fraråder bruk av Windows XP.
NSM U-05 2015-10-08
Grunnsikring av Windows Server 2012 Side 11 av 15
Vedlegg A Oppsummering
Sikkerheten til en WS2012 server styres gjennom en rekke innstillinger. Vi referer til en samling sikker-
hetsinnstillinger og deres anbefalte verdier som en sikkerhetsbaseline (SB).
Ved å ta utgangspunkt i Microsoft sine SB´er for WS2012 AD-domener, medlemsservere og domene-
kontrollere har NSM laget deltaer til disse SB´ene, dvs SB´er hvor noen av Microsofts anbefalte verdier
har blitt justert og hvor nye sikkerhetsinnstillinger har blitt lagt til.
Delta SB´ene har blitt laget for å sikre ugraderte WS2012 systemer i offentlig forvaltning, og da primært
i departementer og andre store sentrale etater.
Delta SB´ene utgjør også første byggestein i herding av graderte systemer som anvender Windows
Server 2012.
NSM U-05 2015-10-08
Grunnsikring av Windows Server 2012 Side 12 av 15
Vedlegg B Implementasjon av tiltak
Se Kapittel 3 i [3].
Vedlegg C Dokumentasjon av tiltak
Se Kapittel 4 i [3].
Vedlegg D Testing av tiltak
Se Kapittel 5 i [3].
Vedlegg E Håndtering av avvik
Se Kapittel 6 i [3].
NSM U-05 2015-10-08
Grunnsikring av Windows Server 2012 Side 13 av 15
Vedlegg F Vedlagte filer
Arkivfilen NSM WS2012 SCM Baselines.zip [10] følger med dokumentet. Denne filen inneholder føl-
gende arkivfiler:
NSM WS2012 SCM Domain Baseline.zip
NSM WS2012 SCM Member Server Baseline.zip
NSM WS2012 SCM Domain Controller Baseline.zip
Hver av de tre arkivfilene inneholder følgende filer:
NSM WS2012 [ Domain | Member Server | Domain Controller ] Baseline SCM.cab
NSM WS2012 [ Domain | Member Server | Domain Controller ] Baseline GPO REPORT.htm
NSM WS2012 [ Domain | Member Server | Domain Controller ] Baseline GPO REPORT.xml
NSM WS2012 [ Domain | Member Server | Domain Controller ] Baseline GPO.zip
NSM WS2012 [ Domain | Member Server | Domain Controller ] Baseline XLSM.xlsm
NSM WS2012 [ Domain | Member Server | Domain Controller ] Baseline vs Microsoft Baseline XLSM.xlsm
Se Kapittel 4.3 i [3] for en beskrivelse av de ulike filene.
NSM U-05 2015-10-08
Grunnsikring av Windows Server 2012 Side 14 av 15
Vedlegg G Referanser
[1] ............... NSM. U-01 Grunnleggende tiltak for sikring av Windows 7, 2012. https://nsm.stat.no/publikasjoner/regelverk/veiledninger/veiledning-for-sys-temteknisk-sikkerhet/
[2] ............... Microsoft. Security Compliance Manager (SCM). http://technet.microsoft.com/en-us/solutionaccelerators/cc835245.aspx
[3] ............... NSM. U-08 Sikkerhetsbaseliner, 2015. https://nsm.stat.no/publikasjoner/regel-verk/veiledninger/veiledning-for-systemteknisk-sikkerhet/
[4] ............... Microsoft. Windows Server 2012 Security Guide, Version 1.0, 2013. Dokumentet er tilgjengelig fra SCM verktøyet under Microsoft Baselines > Windows Server 2012 > Attachments \ Guides > Windows Server 2012 Security Guide.docx
[5] ............... Microsoft. Threats and Countermeasures Guide: Security Settings in Windows 7 and Windows Server 2008 R2, 2011. http://www.microsoft.com/en-us/download/de-tails.aspx?id=26137
[6] ............... Microsoft. AD DS: Fine-Grained Password Policies, 2012. http://technet.mi-crosoft.com/en-us/library/cc770394(v=ws.10).aspx
[7] ............... Microsoft. AD DS Fine-Grained Password and Account Lockout Policy Step-by-Step Guide, 2012. http://technet.microsoft.com/en-us/library/cc770842.aspx
[8] ............... Microsoft. Mitigating Pass-the-Hash (PtH) Attacks and Other Credential Theft Tech-niques, 2012. http://download.microsoft.com/download/7/7/A/77ABC5BD-8320-41AF-863C-6ECFB10CB4B9/Mitigating%20Pass-the-Hash%20(PtH)%20At-tacks%20and%20Other%20Credential%20Theft%20Techniques_English.pdf
[9] ............... Information Assurance Directorate, NSA. Reducing the Effectiveness of Pass-the-Hash, Revision 1, 2013. http://www.nsa.gov/ia/_files/app/Reducing_the_Effective-ness_of_Pass-the-Hash.pdf
[10] ............. NSM. NSM WS2012 SCM Baselines, 2015. https://nsm.stat.no/publikasjoner/re-gelverk/veiledninger/veiledning-for-systemteknisk-sikkerhet/
NSM U-05 2015-10-08
Grunnsikring av Windows Server 2012 Side 15 av 15
Vedlegg H Dokumenthistorie
2014-05-23 Dokumentet ble opprettet.
2014-12-12 Første versjon ferdig. Begrenset sirkulasjon utenfor NSM.
2014-12-12 Sendt ut på høring i Teknologiavdelingen i NSM.
2015-01-15 Mindre endringer i dokumentet.
Mindre endringer i SB´ene NSM WS2012 Domain Controller Baseline og NSM WS2012
Member Server Baseline. Se CHANGELOG.txt, som følger med SB´ene, for mer infor-
masjon.
2015-01-15 Begrenset publisering.
2015-06-24 Vedlegg B – F ble editert. Mesteparten av innholdet ble flyttet til dokumentet «U-08
Sikkerhetsbaseliner».
2015-10-08 Publisering på nett.