mullfreak 10 Posted July 31, 2006 Report Posted July 31, 2006 Hallo, wir beabsichtigen für unsere DMZ einen Windows Server 2003 Standard, auf dem dann ein IBM Webserver als Reverse Proxy läuft, zu installieren. Dieser Server soll natürlich hochsicher installiert werden. Nun habe ich den MBSA 2.x verwendet und alle notwendigen Einstellungen getroffen. Außerdem wurde das Admin-Konto umbenannt, 10stelliges hochsicheres Kennwort verwendet. Nur TCP/IP erlaubt ohne Client für Microsoft-Netzwerke, kein NetBIOS over TCP/IP usw. Jetzt will ich noch die Netzwerkbindungen gegen DoS-Attacken impfen. D. h. ich will den TCP/IP Stäck härten. Dazu gibt es ja eine gute Anleitung aus der Microsot TechNet. Damit komme ich jetzt aber nicht ganz klar. Hier der Link für die deutsche Übersetzung: http://support.microsoft.com/?kbid=324270 Hier lautet der Reg-Key: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ Tcpip\Parameters\Interfaces\interfac Hier der Link für die engl. Übersetzung: http://support.microsoft.com/?scid=kb%3Ben-us%3B324270&x=9&y=12 Hier lautet der Reg-Key: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services Frage: Wo soll ich nun die Optionen eintragen? Ist es überhaupt notwendig das Hardening durchzuführen, da wir Juniper Netscreen´s 204er verwenden? Gruss Mullfreak Quote
grizzly999 11 Posted July 31, 2006 Report Posted July 31, 2006 Schlag mich, aber ich meine mich zu erinnern, dass die ganzen TCP/IP hardening Werte (es sibnd ja mehrere) bei SP1 schon eigetragen sind. SP1 sollte natürlich unbedingt drauf. Hier nochmals: http://www.microsoft.com/technet/archive/security/prodtech/network/secdeny.mspx?mfr=true grizzly999 Quote
mullfreak 10 Posted July 31, 2006 Author Report Posted July 31, 2006 Hi grizzly, SP1 ist natürlich mit von der Partie. Wir verwenden den neuen R2 für diesen oben genannten Server. Schlagen tue ich Dich nicht, auf keinen Fall. Du sollst doch für dieses Forum noch erhalten bleiben. :-) Leider kann ich aber keine der Werte irgendwo finden in der Registry. Anscheinend sind diese doch nicht dabei. Die Frage bleibt: Unter welcher Verzweigung sind die Einstellungen zu setzen? Gruss Mullfreak Quote
olc 18 Posted July 31, 2006 Report Posted July 31, 2006 Nicht ganz das, wonach Du gefragt hast - aber Du solltest noch weitere Sicherheitsmaßnahmen ergreifen. Je nach Aufgabengebiet und nötigen Diensten kannst Du IMHO die Highsec.inf auch ohne Domäne als Gruppenrichtlinie anwenden. Serverdienst abschalten kann für 'nen Webserver auch sinnvoll sein etc. Gruß olc Quote
Undying 11 Posted August 1, 2006 Report Posted August 1, 2006 Also ich würd IPSec Richtlinien erstellen, zusätzlich Ports auf TCP/IP Ebenen sperren. Und am ende eventuell den noch mal this.Pose() as Expert fragen : D Quote
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.