Windows Server Security Hardening | Nexsys

[email protected] www.nexsys.it
About Windows Server
Security Hardening
IserverWindowsstandardpotrebberonondisporredituttele
misuredisicurezzanecessarieperentrareinproduzione.
Investendounpo'ditemponellaprotezionedeltuoserver
Windows,identificandoecorreggendolevulnerabilitàche
possonoesseresfruttatedapossibiliattaccanti,puoiridurre
significativamenteilrischiodicostoseviolazionideidatie
attacchichecauserebberol’interruzionedelleattività.
Nexsyspresentaquestoelencodicontrollodivisoinottosezioni
pergarantirecheituoiserverWindowssianoadeguatamente
protettidallamaggiorpartedegliattacchiinformatici.
Perognisezionecontrollaedeffettuatutteleazioniindicatee
spuntanell’appositacasellal’azionecompletata.

[email protected] www.nexsys.it
Windows Server Installations
UsalamodalitàdiinstallazioneServerCoreperiruolidiDomain
Controller,DNSServer,DHCPServereFileServer
Creareunaconfigurazionedisistemabasatasulruolospecificonecessario.
ÈpossibilepertalescopoutilizzarelostrumentoMicrosoftdihardening
gratuito“MicrosoftSecurityConfigurationWizard”
Appenaterminatal’installazionedelSistemaOperativoWindowsServer
provvediadeffettuarel’aggiornamentodellepatchMicrosoftdaWSUSo
SCCM
General Security Settings
RimuoviiruolielefunzionalitàdiWindowsServernonnecessari
Abilital'EncryptingFileSystem(EFS)integratoconNTFSoBitLocker
Visualizzareunavvisolegalecomeilseguenteprimachel'utenteaccedadel
tipo:"L’usononautorizzatodiquestocomputerelerisorsediretesono
proibite…”
Impostareladata/l'oradelsistemaeconfigurarlaperlasincronizzazione
conitimeserverdeldominio
Configurauntimeoutchebloccaautomaticamenteloschermodella
consolesevienelasciatoincustodito

[email protected] www.nexsys.it
User Account Security Hardening
Disabilitaerinominal’accountGuestlocale
Disabilitaerinominal’accountAdministratorlocale
Minimizzal’erogazionediprivilegiavanzati,prestandoparticolare
attenzioneaigruppiBuilt-income:LocalSystem(NTAUTHORITY\System),
NetworkService(NTAUTHORITY\NetworkService),Administrators
group,BackupOperatorsgroup,Usersgroup,Everyonegroup
Assicuratichelepassworddegliaccountdisistemaedamministrativi
utilizzinocredenzialirobuste,nonpresentineidizionarireperibilionlinee
lunghealmeno15caratteri,conlettere,numeri,caratterispecialie
caratteriinvisibili(CTRLˆ)sparpagliatiovunque
BloccalapossibilitàpergliutentidicreareaccountMicrosoftOnline
Disabilital’enumerazioneanonimadiaccountSAMecondivisioni
Bloccal’utilizzodellepermissionper“everyone”inquantoqueste
verrebberoapplicateancheaglianonymoususers

[email protected] www.nexsys.it
Network Security Configuration
AbilitailfirewalldiWindowseassicuraticheilfirewallsiaabilitatoperogni
profilo:dominio,privatoepubblico
Consentisoloagliutentiautenticatidiaccedereaqualsiasicomputerdalla
rete
Nonconcedereanessunutenteildirittodi"agirecomepartedelsistema
operativo"
Negaagliaccountguestlapossibilitàdiaccederecomeservizio,come
processobatch,localmenteotramiteRDP
SesiutilizzaRDP,impostareillivellodicrittografiadellaconnessioneRDP
sualto
DisabilitaNetBIOSoverTCP/IP
ConfiguraresiaMicrosoftNetworkClientcheMicrosoftNetworkServer
perfirmaresempredigitalmentelecomunicazioni
Disabilital'inviodipasswordnoncrittografateaserverSMBditerzeparti
ImpostareLANManagerperrifiutareebloccarel'autenticazioneLMe
NTLMv1
Configurareitipidicrittografiaconsentitiperl'autenticazioneKerberos
Rimuovilacondivisionedifileestampantidalleimpostazionidirete.La
condivisionedifileestampepotrebbeconsentireachiunquediconnettersi
aunservereaccedereaidaticriticisenzarichiedereunIDutenteouna
password

[email protected] www.nexsys.it
Registry Security Configuration
Proteggil’accessoalregistrodall'accessoanonimo
Nonconsentirel'accessoalregistroremotosenonrichiesto
ImpostarelachiaveMaxCachedSockets(REG_DWORD)a0
ImpostarelachiaveSmbDeviceEnabled(REG_DWORD)a0
ImpostarelachiaveAutoShareServera0
ImpostarelachiaveAutoShareWksa0
EliminaretuttiivalorinellachiaveNullSessionPipes
EliminaretuttiivalorinellachiaveNullSessionShares
Audit Policy Configuration
Abilitarel’auditingAccountLogonper:AuditCredentialValidation
Abilitarel’auditingAccountManagementper:AuditComputerAccount
Management,AuditOtherAccountManagementEvents,AuditSecurity
GroupManagement,AuditUserAccountManagement
Abilitarel’auditingDSAccesssuiDomainControllerper:AuditDirectory
ServiceAccess,AuditDirectoryServiceChanges
Abilitarel’auditingLogoneLogoffper:AuditLogon,AuditSpecialLogon
Abilitarel’auditingSystemper:AuditIPsecDriver,AuditSecurityState
Change,AuditSystemIntegrity

[email protected] www.nexsys.it
Hardening Domain Member
Crittografareofirmaredigitalmenteidatidelcanalesicuro(sempre)
AbilitarelaRichiestadichiavidisessionecomplesse(Windows2000o
successive)tramiteilregistry:ComputerConfiguration\Windows
Settings\SecuritySettings\LocalPolicies\SecurityOptions
Configurareilnumerodiaccessiprecedentidamemorizzarenellacache
tramitelachiavedelregistryComputerConfiguration\Windows
Settings\SecuritySettings\LocalPolicies\SecurityOptionsa0
Hardening Security Features
AbilitareEnableWindowsDefenderCredentialGuard
AbilitareWindowsDefenderExploitGuard
Implementaunasoluzionecentralizzatadigestionedellecredenziali
amministrativelocalitramitelasoluzioneMicrosoftLAPS