F6 Exchange 2007 2013-01-16 EC Utbildning AB 2013-01-16 1
Kapitel 6, Sid 303-310 Antivirus and Security EC Utbildning AB 2013-01-16 2
Dagens meny Idag: Allmän uppsäkring av system Defense in-depth Verktyg Portar Antivirusprogram Forefront Security for Exchange Egenskaper Konfiguration 2013-01-16 EC Utbildning AB 2013-01-16 3
Säkra upp Windows Server Grundläggande uppsäkring: Security Templates och SCW. Bygger på att AD designen är gjord på specifikt sätt. Konfigureras med fördel via Group Policy. Uppdatering av Patchar, Hotfixar och Service Pack. Här bör en rutin finnas och följas för hur detta ska gå till: Återkommande kontroll av systemet om uppdatering behöver ske till MS OS finns Microsoft Baseline Security Analyser. Patchhanteringssystem WSUS (Windows Software Update Service). SMS (System Management Server) eller 3:e parts programvara. När en patch/hotfix/sp har hämtas bör denna testa i en verklighetsbaserad testmiljö för att se om den fungerar eller orsakar ytterliggare problem. Alla servrar ska uppdateras samtidigt då en missad server kan hindra möjligheten att täppa till säkerhetsluckan. EC Utbildning AB 2013-01-16 4
Säkra upp Exchange Server 2007 Grundförutsättning: Totalförståelse/insikt för hur man säkrar upp ett system. En miss kan betyda att allt annat som är rätt konfigurerat med lätthet kan kringgås. Använd layered approach för att åstadkomma total säkerhet (Defense-in-depth). De delar som ingår i Defense-In-Depth är följande: Data. Se till så att en hacker inte kan komma till företagsdata (filer) genom att ha starka lösenord, rättkonfigurerade ACL:er och en effektiv backup/restore strategi. Application. Här handlar det om att minimera en hackers möjligheter att utnyttja hål och svagheter i själva mjukvaran genom olika attacker (buffer overflow, lösenordsattacker mfl). Lösning uppdaterade program. Att konfigurera rätt ingår också här. EC Utbildning AB 2013-01-16 5
Säkra upp Exchange Server 2007 Defense-In-Depth forts: Host. Här handlar det om svagheter i OS och dess konfiguration och hur risken för att dessa ska utnyttjas minimeras. Lösning uppdatering, stark autentisering, antivirus och övervakning. Internal Network. Handlar om att skydda data som skickas i det interna nätet. Lösning Segmenterade nätverk, övervakning, VLAN, kryptering mfl. Perimeter. Handlar om de risker som finns mot kopplingar/anslutningar från enheter som inte administreras av interna administratörer (Internet, DMZ, VPN, Outlook Webaccess mfl.) Physical Security. Handlar om att säkra upp den fysiska miljön med tillgång till servrar, nätuttag mfl. Policies, procedures and awareness. Grundstenarna för att åstadkomma ovan nämnda är de säkerhetspolicy som företaget satt upp + utbildning av användare. EC Utbildning AB 2013-01-16 6
Defense-in-Depth EC Utbildning AB 2013-01-16 7
Verktyg - SCW SCW (Security Configuration Wizard). Används för att: Konfigurera den inbyggda Win-brandväggen, blockerar portar. Avaktivera Windows tjänster som inte behövs. Avaktivera IIS tjänster som inte behövs. Säkrar upp de autentiseringsprotokoll som används. Konfigurerar övervakning. Rollbaserad konfiguration ger säkrare system Kan appliceras via Group Policy eller direkt. Rollback är möjligt. EC Utbildning AB 2013-01-16 8
Portar som används av Exchange Från Internet hosts (TCP): SMTP port 25 med och utan SSL HTTP (OWA) port 80 eller port 443 (SSL) POP3 port 110 eller 995 (SSL) IMAP4 port 143 eller 993 (SSL) NNTP port 119 eller 563 (SSL) Interna portar (TCP): LDAP to DC port 389 eller 636 (SSL) LDAP to GC port 3268 Kerberos TCP / UDP port 88 DNS lookup TCP / UDP port 53 RPC port endpoint mapper port 153 RPC service Ports portar 1024+ RPC over HTTP portar 6001,6002 och 6004 Netlogon port 445 EC Utbildning AB 2013-01-16 9
Inför installation av Exchange Server Tänk säkerhet redan i planeringsstadiet! Steg att göra innan installation: Säkra upp Windows Server, planera sin AD struktur. Planera för de olika Exchange-rollerna och var de placeras. Skapa Säkerhetsgrupper/Administratörer för Exchange Fördelar med rollbaserad konfiguration: Separera administrativa roller behöver en Exchange administratör logga in på en DC?? Disaster Recovery. Om olyckan skulle vara framme är komplexiteten med separata roller en bråkdel av om Exchange skulle varit installerad på t ex en DC. Prestanda: AD är krävande. Exchange är krävande. EC Utbildning AB 2013-01-16 10
Antivirusprogram Antivirusprogram är en självklarhet. EC Utbildning AB 2013-01-16 11
Antivirusprogram Sid 303 2013-01-16 EC Utbildning AB 2013-01-16 12
Antivirusprogram Forefront Security for Exchange Protection Levels: Baseline protection Mailscanning konfigurerad på Edge Transport och Hub Transport servrar Global protection Baseline protection + mailscanning på Mailbox servrar. Rekommenderas för de flesta miljöer EC Utbildning AB 2013-01-16 13
Antivirusprogram Forefront Security for Exchange, exempel 1 Inkommande mail scannas vid Edge Transport och mailet stämplas som virusfritt Stämplat mail scannas inte igen EC Utbildning AB 2013-01-16 14
Antivirusprogram Forefront Security for Exchange, exempel 2 Utgående mail scannas vid Hub Transport och mailet stämplas som virusfritt Stämplat mail scannas inte igen EC Utbildning AB 2013-01-16 15
Antivirusprogram Forefront Security for Exchange, exempel 3 Intern mail scannas vid Hub Transport och virusfritt mail stämplas Stämplat mail scannas inte igen EC Utbildning AB 2013-01-16 16
DEMO Scan jobs inställningar Scan engines / Bias Filtering File Operate Run Job General Settings 2013-01-16 EC Utbildning AB 2013-01-16 17
2013-01-16 EC Utbildning AB 2013-01-16 18
Inför L6 L6: Läs labben noga, samarbeta mellan grupperna Tänk på att inaktivera Windows Defender på Windows 7 klienterna. Annars plockas eicar.com bort från datorn 2013-01-16 EC Utbildning AB 2013-01-16 19