eWorld Network ReSearch
Last update: 4/11/2003
by Alessandro Polo
Windows 2000 Professional Installed and Secured [version 1.0B]
   
   
   
Installazione sistema

30-40min

Sorgenti possibili dell'installazione:

  • Installazione da CD, CD Bootable (avviabile) del sistema operativo, il BIOS deve supportare il boot dal drive CD (tutti dopo 1996).
  • Dischetti di Installazione del Sistema operativo.
  • Aggiornamento da un Sistema operativo esistente.
  • Installazione da Rete (da Sistema DNS appropriatamente configurato e con i files immagine online).
     
  Creazione dischetti di boot  
     
 

Eseguire

D:\BOOTDISK\MAKEBOOT.EXE A:

Dove D:\ è l'unità CD-Rom con il CD di installazione di Windows2000 e A: è l'unità floppy.

 
     
     

 

   
   

 

 

Aggiornamento
base del sistema

20-40min

Ora si suppone che la rete sia operativa e che si disponga della maggior parte dei drivers e aggiornamenti su un computer accessibile o almeno su CD.

  Installazione Service Pack  
     
 

Scaricate il Service Pack più recente dal sito della microsoft (microsoft.com/windows2000/downloads/servicepacks/)
Eseguire il file Archivio e al termine riavviare il computer come richiesto.

Avviare REGEDIT (Start->Esegui, scrivere "regedit" e cliccare ok) selezionare la cartella:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update

Modificare "AUOptions" ad 1.
Aggiungere il Valore DWORD "AUState" ed impostarlo a 7. [vedi foto]

oppure esegure il file di registro WinAutoUpdate_Fix.reg.

 
     
  Installazione/Aggiornamento di Internet Explorer  
 

 

 
 

(puo essere necessaria connessione a Internet)

Installare Internet Explorer 6.0 e l'ultimo aggiornamento disponibile:

http://www.microsoft.com/windows/ie/downloads/default.asp
http://www.microsoft.com/windows/ie/security/default.asp

 
     
  Installazione dei Drivers del computer  
     
 

Usate i drivers piu recenti (puo essere necessaria connessione a Internet), non installateli più volte, riavviate sempre quando richiesto. Per la Gestione delle perifefiche:

Desktop->Risorse del Computer->(tasto destro)->Gestisci
oppure
Desktop->Risorse del Computer->(tasto destro)->Proprietà->(scheda Hardware)->Gestione Periferiche
oppure
Start->Impostazioni->Pannello di Controllo->Strumenti di Ammisitrazione->Gestione Computer

 
     
  Installazione DirectX  
     
 

Scaricate e installate la versione piu recente:

http://www.microsoft.com/windows/directx/

 
     
  Installazione Windows MediaPlayer  
     
 

Scaricate e installate la versione piu recente:

http://www.microsoft.com/windows/windowsmedia/download/default.asp

 
     
     
     
     
Configurazioni Opzionali  
     
     
  Configurazione GUI "leggera"  
     
 

Per computer dedicate a mansioni sever-like è consigliabile disabilitare una serie di opzioni inulili e pesanti:

Desktop->(tasto destro)->Proprietà->(scheda effetti)->
Disabilitare tutto.

Desktop->(tasto destro)->Proprietà->(scheda impostazioni)->
Impostare la gamma di colori al massimo a 16bit e la risoluzione al max 1024x768.

Desktop->Risorse del Computer->(tasto destro)->Proprietà->(scheda avanzate)->Opzioni prestazioni->

per fare musica e per i server è fortemente consigliato impostare "Servizi in background",
per l'uso comune impostare "Applicazioni".
Incrementare il file di paging (512Mb) e il file di registro (64Mb).

 
     
  Auto-Completamento nel Prompt dei Comandi  
     
 

Se siete affezzionati al Prompt del comandi o quando lo usate benedite i sistemi *NIX che completano il nome del file/cartella premendo TAB, potete attivare questa comoda opzione anche sui sistemi Windows 2000:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Command Processor
Impostare la chiave CompletionChar a 9.

oppure esegure il file di registro Prompt_AutoComplete.reg

 
     
     
  Visualizzare e personalizzare una finestra informativa al login  
     
 

Per abilitare la finestra:

Strumenti di Amministrazione->Criteri di Protezione locali->Criteri locali->Opzioni di protezione
modificare i due valori in fondo alla lista "Testo del messaggio.."

oppure nel Registro di configurazione:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Current Version\Winlogon

Name: LegalNoticeCaption
Type: REG_SZ
Value: Inserire il messaggio della finestra.

Name: LegalNoticeText
Type: REG_SZ
Value: Inserire il titolo della finestra.


 
  Disabilitare la visualizzazione dell'ultimo utente che ha effettuato il login (accesso locale)  
     
 

Per i sistemi domestici è molto utile non dover scrivere ogni volta il nome utente, ognimodo per disabilitare l'opzione:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Current Version\Winlogon

Name: DontDisplayLastUserName
Type: REG_SZ
Value: 1

Opzione predefinita: 0 [visualizza nome utente]

 
     
  Disabilitare il Shutdown del pc nella finestra di logon  
     
 

Le workstation solitamente possono essere riavviate senza il login ma nel caso di server è consigliabile disattivare la funzionalità, anche se si puo staccare la spina..

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Current Version\Winlogon

Name: ShutdownWithoutLogon
Type: REG_SZ
Value: 0

Opzione predefinita: 0 [visualizza pulsante "Chiudi sessione.."]

 
     
  Visualizzare la cartella Preferiti nel menu Start  
     
 

Per visualizzare la cartella modificare:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced

Name: StartMenuFavorites
Type: REG_DWORD
Value: 1

Opzione predefinita: 0

 
     
  Modifica dello sfondo al Logon  
     
 

Per modificare lo sfondo della finestra di logon di Windows:

HKEY_USERS\Default\Control Panel\Desktop

Name: Wallpaper
Type: REG_SZ
Value: <percorso e nome file>

Name: TileWallpaper
Type: REG_SZ
Value: <0 per ingrandimento automatico, 1 per originale>

Name: WallpaperStyle
Type: REG_SZ
Value: <0 per normale, 2 per immagine a tutto schermo>

Nota: E' necessario riavviare il sistema.

 
     
     

 

   
   

 

 

Configurazione
base di Sicurezza

Decalogo di suggerimenti per la sicurezza del sistema

     
01 Disabilitare il boot da CD e Floppy. Impostare una password sul BIOS. 000001
02 Se presente verificare la sicurezza del boot Menu. 000010
03 Verificare che tutte le partizioni siano formattate con file system NT (NTFS). 000011
04 Verificare che la password dell'Amministratore sia sicura e modificarla periodicamente. 000100
05 Disabilitare tutti i servizi non necessari. 000101
06 Disabilitare o cancellare gli account non necessari. 000110
07 Proteggere file e directory. 000111
08 Assicurarsi che l'account Guest sia disabilitato. 001000
09 Proteggere la registrazione dell'accesso anonimo. 001001
10 Applicare appropriate impostazioni di sicurezza (registry ACLs). 001010
11 Limitare l'accesso pubblico alle informazioni LSA (Local Security Authority). 001011
12 Impostare restrizioni sulle password (minimo numero di caratteri, ecc) 001100
13 Impostare la sicurezza e i permessi degli accounts. 001101
14 Configurare l'account dell'Amministratore. 001110
15 Negare il diritto di Debug agli utenti. 001111
16 Rimuovere tutte le condivisioni di rosorse non necessarie. 010000
17 Impostare permessi e sicurezza delle condivisioni (ACLs) 010001
18 Abilitare il Registro degli eventi (Auditing) 010010
19 Installare un software anti-virus e mantenerlo aggiornato (automaticamente se possibile) . 010011
20 Installare periodicamente le versioni piu recenti di Service Pack e Patchs. 010100
21 Controllare il sistema con Baseline Security Analyzer (o HotFix Checker) 010101
     

Per mettere in pratica almeno la maggior parte dei consigli:

     
  Servizi  
     
 

Quanti più servizi sono operativi tanto più vulnerabile e lento è il sistema, è quindi fortemente cosigliabile disabilitare tutti i servizi non necessari, in particolare alcuni sono soggetti a attacci DoS e di escalazione dei privilegi.

Start->Impostazioni->Pannello di Controllo->Strumenti di Ammisitrazione->Servizi
oppure:
Desktop->Risorse del Computer->(tasto destro)->Gestisci->Servizi
oppure:
Start->Run->scrivere services.msc e cliccare ok

Windows 2000 Professional Services

Nome servizio   Processo Dipendenze Predefinito HomeNet ICS
             
Alerter   services.exe Workstation Manuale Disabilitato Disabilitato
Application Management   services.exe Manuale Manuale Manuale
Automatic Updates   svchost.exe Automatico Disabilitato Disabilitato
Background Intelligent Transfer Service   svchost.exe System Event Notification, Remote Procedure Call (RPC), Windows Management Instrumentation Driver Extension, Workstation Manuale Disabilitato Disabilitato
ClipBook   clipsrv.exe Network DDE Manuale Disabilitato Disabilitato
COM+ Event System   svchost.exe Remote Procedure Call (RPC) Manuale Manuale Disabilitato
Computer Browser   services.exe Server, Workstation Automatico Automatico Manuale
DHCP Client   services.exe Automatico Automatico Automatico
Distributed Link Tracking Client   services.exe Remote Procedure Call (RPC) Automatico Manuale Disabilitato
Distributed Transaction Coordinator   msdtc.exe Remote Procedure Call (RPC), Security Accounts Manager Manuale Manuale Disabilitato
DNS Client   services.exe Automatico Automatico Disabilitato
Event Log   services.exe Automatico Automatico Automatico
Fax Service   faxsvc.exe Plug and Play, Print Spooler, Remote Procedure Call (RPC), Telephony Manuale Disabilitato Disabilitato
FTP Publishing Service   inetinfo.exe IIS Admin Service Opzionale Disabilitato Disabilitato
IIS Admin Service   inetinfo.exe Protected Storage, Remote Procedure Call (RPC) Opzionale Disabilitato Disabilitato
Indexing Service   cisvc.exe Remote Procedure Call (RPC) Manuale Disabilitato Disabilitato
Internet Connection Sharing   svchost.exe Remote Access Connection Manager Manuale Disabilitato Automatico
IPSEC Policy Agent   lsass.exe Remote Procedure Call (RPC) Automatico Manuale Disabilitato
Logical Disk Manager   services.exe Automatico Automatico Disabilitato
Logical Disk Manager Administrative Service   dmadmin.exe Manuale Manuale Disabilitato
Message Queuing   mqsvc.exe Distributed Transaction Coordinator, NT LM Security Support Provider, Protected Storage, Remote Procedure Call (RPC), Security Accounts Manager, Server Opzionale Disabilitato Disabilitato
Messenger   services.exe Remote Procedure Call (RPC), Workstation Automatico Disabilitato Disabilitato
Net Logon   lsass.exe Workstation Manuale Disabilitato Disabilitato
NetMeeting Remote Desktop Sharing   mnmsrvc.exe Manuale Disabilitato Disabilitato
Network Connections   svchost.exe Remote Procedure Call (RPC) Manuale Automatico Automatico
Network DDE   netdde.exe Network DDE DSDM Manuale Manuale Disabilitato
Network DDE DSDM   netdde.exe Manuale Manuale Disabilitato
NT LM Security Support Provider   lsass.exe Manuale Manuale Manuale
Performance Logs and Alerts   smlogsvc.exe Manuale Manuale Disabilitato
Plug and Play   services.exe Automatico Automatico Automatico
Print Spooler   spoolsv.exe Remote Procedure Call (RPC) Automatico Automatico Disabilitato
Protected Storage   services.exe Remote Procedure Call (RPC) Automatico Automatico Automatico
QoS RSVP   rsvp.exe Manuale Disabilitato Disabilitato
Remote Access Auto Connection Manager   svchost.exe Remote Access Connection Manager, Telephony Manuale Manuale Automatico
Remote Access Connection Manager   svchost.exe Telephony Manuale Disabilitato Automatico
Remote Procedure Call (RPC)   svchost.exe (but everything depends on it) Automatico Automatico Automatico
Remote Procedure Call (RPC) Locator   locator.exe Workstation Manuale Manuale Disabilitato
Remote Registry Service   regsvc.exe Automatico Disabilitato Disabilitato
Removable Storage   svchost.exe Remote Procedure Call (RPC) Automatico Disabilitato Disabilitato
RIP Listener   svchost.exe Remote Procedure Call (RPC) Opzionale Disabilitato Disabilitato
Routing and Remote Access   svchost.exe NetBIOSGroup, Remote Procedure Call (RPC) Disabilitato Disabilitato Disabilitato
RunAs Service   services.exe Automatico Disabilitato Disabilitato
Security Accounts Manager   lsass.exe Automatico Automatico Disabilitato
Server   services.exe Automatico Automatico Automatico
Simple Mail Transport Protocol (SMTP)   inetinfo.exe IIS Admin Service Opzionale Disabilitato Disabilitato
Simple TCP/IP Services   tcpsvcs.exe Opzionale Manuale Disabilitato
Smart Card   SCardSvr.exe Plug and Play Manuale Disabilitato Disabilitato
Smart Card Helper   SCardSvr.exe Manuale Disabilitato Disabilitato
SNMP Service   snmp.exe Event Log Opzionale Disabilitato Disabilitato
SNMP Trap Service   snmptrap.exe Event Log Opzionale Disabilitato Disabilitato
System Event Notification   svchost.exe COM+ Event System Automatico Automatico Automatico
Task Scheduler   MSTask.exe Remote Procedure Call (RPC) Automatico Automatico Automatico
TCP/IP NetBIOS Helper Service   services.exe Automatico Manuale Disabilitato
TCP/IP Print Server   tcpsvcs.exe Print Spooler Opzionale Manuale Disabilitato
Telephony   svchost.exe Plug and Play, Remote Procedure Call (RPC) Manuale Disabilitato Automatico
Telnet   tlntsvr.exe Remote Procedure Call (RPC) Manuale Disabilitato Disabilitato
Uninterruptible Power Supply   ups.exe Manuale Disabilitato Disabilitato
Utility Manager   UtilMan.exe Manuale Disabilitato Disabilitato
Windows Installer   msiexec.exe Manuale Manuale Manuale
Windows Management Instrumentation   WinMgmt.exe Remote Procedure Call (RPC) Manuale Manuale Manuale
WMI Driver Extension   services.exe Manuale Manuale Manuale
Windows Media Program Service   nspm.exe Remote Procedure Call (RPC), Windows Media Station Service Opzionale Manuale Disabilitato
Windows Time   services.exe Manuale Disabilitato Disabilitato
Wireless Configuration   svchost.exe Protected Storage, Remote Procedure Call (RPC), Windows Management Instrumentation Driver Extension Manuale Disabilitato Disabilitato
Workstation   services.exe Automatico Automatico Automatico
World Wide Web Publishing Service   inetinfo.exe IIS Admin Service Opzionale Opzionale Opzionale
             
             

Le due configurazioni proposte sono:

  • HomeNet
    Destinata a PC che fanno parte di una rete domestica (ip statico o dinamico) e che condivisono risorse.
    La connessione a Internet puo essere condivisa solo tramite un proxy server installato sul Gateway della rete.
  • ICS
    Destinata a PC di una rete domestica come la precedente ma con la condivisione della connessione a Internet abilitata.
    (La configurazione del PC Gateway, volgarmente "server", è praticamente compatibile con le WorkStation)

In entrambi i casi sono stati disabilitati tutti i servizi non strettamente necessari, ovviamente questa lista è un template generale da modificare in caso di malfunzionamenti o necessità personali.

 
     
  Impostazioni di Protezione Locale  
     
 

( le seguenti impostazioni hanno validità generale, se fossero troppo restrittive modificare singolarmente i parametri.)

Start->Impostazioni->Pannello di Controllo->Strumenti di Ammisitrazione->Criteri di Protezione locali [vedi foto]

Criterio Password:

Modificare la lunghezza minima della password (8 o 10 caratteri)

Criterio di blocco account:

Blocca account per (30 minuti)
Limite di blocchi (5 tentativi..)
Reimposta account dopo (30 minuti)

Criterio Controllo:

Modificare sicuremente le voci "Controlla uso privilegi" e "Modifica del criterio di privilegi" in modo che vengano schedate le operazioni riuscite e fallite, è consigliabile attivare per le altre voci almeno la segnalazione degli eventi falliti. Se siete paranoci come il sottoscritto attivate tutte le voci.

Assegnazione diritti utente:

   
Accesso Locale Togliere Guests
Arresto forzato da un sistema remoto Nessuno
Nega accesso al computer dalla rete Accesso Anonimo, Guests
   

Opzioni di Protezione:

   
Cancella i file di paginazione di memoria virtuale all'arresto del sistema Attivato
Consente di arrestare il sistema senza effettuare l'accesso Attivato (da valutare)
Limita accesso Floppy a utenti che hanno effettuato l'accesso locale Attivato
Non consente agli utenti di installare i driver della stampante Attivato
Non visualizzare l'ultimo nome utente nella schermata di accesso Attivato (da valutare)
Rinomina account Amministratore Inserire un nome diverso
Rinomina account Guests Inserire un nome diverso
   

 

 
     
  Limitare l'accesso Anonimo (Null Sessions)  
     
 

L'impostazione predefinita di Windows 2000 permette a utenti anonimi e alle sessioni nulle di elencare una serie di risorse e informazioni che possono essere usate per capire la struttura della rete e i punti deboli, in ogni caso è consigliabile modifcare la chiave nel Registro di configurazione di ogni computer:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA

Value: RestrictAnonymous
Value Type: REG_DWORD
Value Data: 0x2 (Hex) [2 dec]

E' necessario riavviare il PC perchè la modifica abbia effetto.

Nota: è vivamente consigliato di bloccare le porte NETBIOS, controllare la sezione Configurazione firewall e la lista delle porte insicure.

Per testare la sicurezza alle sessioni Null:

WININFO 127.0.0.1
e
WININFO 127.0.0.1 -n
Wininfo è un utility freeware, disponibile nel pacchetto completo della guida o nel sito eWorld Tools & Services.
Per una descrizione del programma consultare la sezione Comandi & Tools.

oppure

NET USE \\192.168.0.1\IPC$ "" /u:""

In questo modo si mappa l' IPC$ (Inter Process Communications) usando sessioni nulle (e password nulla "")
Se il comando viene eseguito correttamente (significa che )e poi si esegue

NET VIEW \\192.168.0.1

Si avrà magicamente la lista delle condivisioni senza alcun autenticazione!

Fare riferimento a How to Use the RestrictAnonymous Registry Value in Windows 2000 (Q246261) [keyword: kbenv kbhowto kbnetwork KB246261]
e a http://www.brown.edu/Facilities/CIS/CIRT/help/netbiosnull.html.

 
     
  Configurazione di Internet Explorer  
     
 

E' possible creare un collegamento che non apra la pagina defalut (Home Page) con il parametro -nohome.
Esempio: C:\Programmi\Internet Explorer\IEXPLORE.EXE –nohome

Aprire una finestra di Internet Explorer, selezionare la voce Opzioni Internet nell'ultimo menu Strumenti, aprire la scheda Sicurezza e cliccare Personalizza.Disabilitare gli ActiveX non certificati, le operazioni di copia/incolla e l'active Scripting.

Le installazioni di Internet Explorer e Outlook Express da riviste personalizzano una serie di parametri che è consigliabile azzerare:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main
Eliminare CompanyName

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
ModificareWindow Title

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings
Modificare User Agent
Nota: sconsiglio di modificare la stringa perchè alcuni siti potrebbero non essere più accessibili correttamente.


 
     
  Configurazione di Outlook  
     
 

Se utilizzate Microsoft Outlook (express o completo) è necessario modificare alcune impostazioni che limitano le vulnerabilità che sfruttano i Macro Virus: ActiveX, VBA e VBS.

Selezionare la voce Opzioni Internet nell'ultimo menu Strumenti, nella scheda lettura abilitare la lettura di solo testo, in questo modo il testo delle email viene visualizzato come testo e non come HTML, i componenti ActiveX e lo scripting non possono essere eseguiti perchè vengono trattati come "parole".

Gli allegati continuano ad essere pericolosi, l'esecuzione di allegati è potenzialmente dannosa anche se apparentemente l'estensione del file è innocua.

Ecco un esempio, solo a scopo dimostrativo: hta_exploit.zip (da eseguire con gestione risorse)

 
     
     
  Configurazione Firewall  
     
 

Firewall software per Windows gratuiti, ovviamente solo per utenze domestiche:

Una lista delle porte insicure da proteggere e monitorare è disponibile nella sezione Informazioni Aggiuntive sulla Sicurezza.

A scopo informativo, per utenze avanzate:

 

 
     
     

 


   
   

 

 

Comandi & Tools

     
  Command Line Tools - ipconfig  
     
 

Per visualizzare molte interessanti informazioni sulla configurazione della rete di un sistema Windows 2000 digitare in una Prompt dei comandi:

IPCONFIG /ALL

L'output del comando ipconfig /all > ipconfig_out.txt
IPCONFIG /? visualizza le opzioni.


Nota: Questo comando è disponibile ed eseguibile per default su tutte le installazioni di Windows2000, per gli utenti con restrizioni (gruppi users, ecc.) non è possibile tramite la GUI di Windows ottenere informazioni sui parametri della rete, ma se non impostato dall'amministratore (rarissimo) è molto semplice leggere tutti i dati grazie a ipconfig.

 
     
  Command Line Tools - netstat  
     
 

Netstat è un semplicissimo ma potente tool che elenca tutte le connessioni attive e le porte di ascolto, le statistiche Ethernet o per protocollo, la tabella di Routing. Digitare in una Prompt dei comandi:

NETSTAT -A per visualizzare le connessioni
NETSTAT -R per visualizzare la tabella di Routing
NETSTAT -S per visualizzare le statistiche

L'output del comando netstat /?> netstat_options.txt

Nota: Anche questo comando, come ipconfig, è per default disponibile su ogni installazione e accessibile anche agli utenti.

 
     
  Command Line Tools - net  
     
 

Digitare in una Prompt dei comandi:

NET

Parametri disponibili:
ACCOUNTS | COMPUTER | CONFIG | CONTINUE | FILE | GROUP | HELP |
HELPMSG | LOCALGROUP | NAME | PAUSE | PRINT | SEND | SESSION |
SHARE | START | STATISTICS | STOP | TIME | USE | USER | VIEW

Il parametro NET HELP fornisce informazioni abbastanza chiare e dettagiate.

 
     
  Command Line Tools - nbtstat  
     
 

Visualizza le statistiche di protocollo e le connessioni TCP/IP correnti mediante NBT (NetBIOS su TCP/IP).

NBTSTAT /?

 
     
  Command Line Tools - route  
     
 

Modifica le tabelle di routing della rete. [Attenzione, non usare questo comando senza cognizione di causa]

ROUTE

Fare riferimento a TCP/IP Routing Basics for Windows NT [keyword: kbhowto kbusage KB140859]

 
     
  VCN  
 

VCN è un tool gratuito e open source che permette di controllare un sistema remoto tramite inferfaccia grafica.
In pratica le informazioni trasmesse sono le schermate del sistema remoto e le azioni input dell'utente (tastiera/mouse).

http://www.realvnc.com/

o direttamente su eWorld Network: VNC 3.3.7 [Nov 2003] [4.2 Mb]


 
     
     
  Altri Tools gratuiti sono disponibili su eWorld Tools & Services  
     
  Altri Tools Microsoft per Windows 2000:  
  http://www.microsoft.com/windows2000/downloads/tools/default.asp  


   
   

 

 

Connessione
alla rete locale

1-15min

Se volete installare una rete domestica è necessario decidere consapevolmente come strutturare della rete, segue una lista di argomenti da tenere in considerazione:

      • Budget [quanti soldi posso spendere, quali hardware aquistare, un hub?]
      • Come si usa la Rete [condivisione risorse(file e stampanti), condivisione connessione a Internet, ecc]
      • Priorità di sicurezza [è importante la sicurezza di quali computer in particolare]
      • Scalabilità della rete [possibilità di usare diversi sistemi operativi, di aggiungere computers..]

Ritengo inutile approfondire discorsi teorici sul design di reti, esistono molte guide anche gratuite a riguardo, quindi seguono alcuni esempi di configurazioni diffuse o probabili nel campo delle reti domestiche.

     
  Configurazione A: Server + WorkStations, IP statico.  
     
 

In questo caso il computer "Server" è connesso a Internet (è mantiene la connessione attiva), inoltre sono connessi N computer tramite N LAN. Il computer Server deve essere configurato come pseudo-firewall (sarebbe meglio avere un computer dedicato con sistema Linux, con due schede di rete: una connessa al router ADSL e l'altra al Server)
I computers condividono le risorse (file e stampanti) e condividono la connessione a Internet tramite un proxy software installato sul Server.

  • Installare le schede di rete, aggiungere i protocolli necessari.
  • Impostare l'indirizzo del Server a 192.168.0.1
  • Impostare l'indirizzo delle WorkStation a 192.168.0.X dove X è un numero univoco per ogni pc (1<X<255).
  • Allineare il Gruppo di lavoro su tutti i computer.
  • Aggiungere le risorse condivise.
  • Installare l'HTTP Proxy server sul computer Server. [scarica da eWorld Tools & Services]
  • Configurare Internet Explorer in modo che usi il proxy server [vedi foto]
  • Configurare i permessi di accesso alle risorse e alla rete. (attenzione perchè è molto importante visto che non si dispone di un firewall dedicato)

 

 
     
  Configurazione B: Server + WorkStations, IP dinamico: DHCP  
     
 

La situazione è identica alla precedente ma gli indirizzi IP delle WorkStation non sono configurati manualmente e non sono necessariamente gli stessi al riavvio del computer.
Il computer server assegna l'indirizzo IP automaticamente, questo è utile quando si hanno piu computer nella rete o si utilizza un Hub.

  • Installare le schede di rete, aggiungere i protocolli necessari.
  • Impostare l'indirizzo del Server a 192.168.0.1
  • Impostare "Ottieni IP automaticamente", Ottieni DSN automaticamente" [vedi foto]
    e aggiungere il Gateway predefinito su tutte le workstation. [vedi foto]

Nota: E' necessario che su tutti i computer sia attivo (stato: automatico) il servizio "Client DHCP".

Riassunto configurazione di una WorkStation con l'output di IPCONFIG /ALL
Riassunto configurazione del Server con l'output di IPCONFIG /ALL

Per testare manualmente il funzionamento dell'assegnazione automatica:
Aprire una Prompt dei comandi, digitare IPCONFIG /ALL per vedere le impostazioni correnti, poi digitare

IPCONFIG /RELEASE
per rilasciare l'ip corrente assegnato al client, l'outpu dovrebbe essere:
"Rilascio dell'indirizzo IP per la scheda ** riuscito."

poi digitare:

IPCONFIG /RENEW
per ottenere dal server un nuovo IP, l'esecuzione corretta del comando mostrerà il nuovo IP a video.
Nota: probabilmente l'IP assegnato è lo stesso del precedente se non ci sono altre workstation che fanno una richiesta di assegnazione contemporaneamente.

Esempio di design di una rete domestica con un Hub:

In questo caso il computer Host è il server (gateway) che configurato a dovere è compie anche mansioni del firewall.

 
     
  Condivisione Connessione a Internet  
     
 

Questo sistema integrato in Windows 2000 permette di condividere la connessione a Internet tra piu computers, praticamente viene effettuato un Routing a livello software tra la rete locale e la rete collegata al modem.

La configurazione è piuttosto semplice ma rende molto vulnerabile la rete e ogni computer che ne fa parte. Consiglio almeno di installare firewall sulle singole workstation e configurare accuratamente il Server per non compromettere la sicurezza di tutta la rete.

La configurazione della ICS (Internet Connection Sharing) è affrontata nella prossima sezione.

 
     

 

Spiegazione dei singoli passi:

     
  Configurazione scheda di Rete e IP Statico  
     
 

Una scheda di rete 10/100Mbps comune costa sui 15 Euro.

Installazione hardware e software (drivers se non Plug & Play)

Start->Impostazioni->Reti e connessioni Remote->Connessione alla rete locale (LAN)->(tasto destro)->Proprietà

Se la sheda di rete è collegata ad un router (adsl o isdn) connesso a Internet abilitare solo il servizio TCP [vedi foto].
Se la scheda di rete è connessa alla rete domestica abilitare anche altri servizi come ad esempio la condivisione di file e il client di reti microsoft che gestisce l'autenticazione. [vedi foto]

Selezionare Protocollo Internet TCP, impostare IP statico (es 192.168.0.98) o dinamico, lasciare la configurazione WINS vuota. Spuntare il CheckBox "Mostra icona sulla barra..."

 
     
  Allineamento del Gruppo di Lavoro  
     
 

Desktop->Risorse del Computer(tasto destro)->Proprietà->(scheda Identificazione di rete)->Proprietà

immettere nome del computer univoco e semplice (o comunque identificativo)
immettere nome del gruppo di lavoro unico per tutti i computer connessi. [vedi foto]

 
     
  Sharing delle Cartelle e Sicurezza  
     
 

Per verificare la connessione Aprire Esplora risorse, selezionare:

Tutta la rete->(tasto destro)->Cerca Computer
immettere il nome del computer.

Per condividere dati:

file/cartella/disco->(tasto destro)->Proprietà->(scheda Condivisione)->Condividi Cartella

immettere un commento e un numero di utenti ragionevole (8?) per la vostra rete ma non eccessivo.
Cliccare su Autorizzazioni e consentire solo le operazioni necessarie.
Eventualmente rimuovere Everyone, Guest, accesso anonimo, IUSR_*, Web *.
Aggiungere il gruppo "Authernicated Users". [vedi foto]
(Gli ultimi due gruppi contraddistinguono gli eventuali utenti web per i server Web (con IIS)).

Inoltre è possibile aggiungere dischi virtuali al proprio computer:

Risorse del Computer->(tasto destro)->Connetti unità di rete.. [vedi foto] [vedi foto]

Inserire la stringa \\"nome computer" \"nome condivisione"

 

 
     


   
   

 

 

Collegamento
a Internet

10-15min

Tramite Router ADSL/ISDN, Modem ADSL Ethernet/USB, Modem PSTN/ISDN, LAN.
Nota: Sconsiglio i modem ADSL USB, non sono ancora compatibii con Linux.

     
     
  Installazione Connessione ADSL con Modem Ethernet  
     
 

Se avete un modem ADSL è necessario configurare la rete tra il PC Firewall e il modem, installare il driver PPPoE (PPP over Ethernet), ad esempio Alice di Tin comprende nell'installazione i driver PPoE di Efficient Networks' Enternet 300.

Quando la connessione è operativa il driver PPPoE appare come una rete locale, quindi in realtà si vedono due reti locali per la connessione a Internet (una vera con il modem, una virtuale del driver) e una rete locale vefa con un altro pc o con un Hub. [vedi foto]

Assicurarsi che l'unico protocollo attivo sulle due reti per Internet sia "Protocollo TCP". [vedi foto]

Nota: La connessione con il modem ADSL è sicuramente a 10 Mbps mentre molto probabilmente la rete con gli altri computer è a 100Mbps, questo puo' essere un semplice sistema per riconoscere la rete Adsl durante l'installazione.

 
     
  Condivisione Connessione a Internet (ICS)  
     
 

L'impostazione predefinita del software che gestisce il PPPoE è incompatibile con ICS, per modificarla aprire il software, sezionare "Settings", "Advanced" ed impostare DHCP invece di Private API. [vedi foto]

Configurare la rete locale con IP dinamici (DHCP): configurare le WorkStation come indicato della sezione Rete Locale.

Selezionare le proprietà della connessione PPPoE, selezionare la scheda Condivisione, attivare la condivisione per la rete locale [vedi foto].
Il sistema notifica che è necessario attivare il server DHCP e configurare gli altri computer della rete. Premere OK e riavviare il computer server, poi le workstation.

Riassunto configurazione di una WorkStation con l'output di IPCONFIG /ALL
Riassunto configurazione del Server con l'output di IPCONFIG /ALL

 
     
  Configurazione finale della Condivisione  
     
 

Se i passi sono stati eseguiti correttamente dovrebbe essere possibile navigare dalle workstation.

Esiste un problema di basso livello tra il driver PPPoE e la rete locale che quasi sicuramente impedirà l'accesso ad alcuni siti dalla workstation (mentre sul server sono accessibili).

Il problema è l'incompatibilità della grandezza del MTU, l'impostazione predefinita in Windows è 1500 mentre per il PPPoE è 1492 o 1454 o 1424. Ciò riguarda la grandezza dei pacchetti, il PPPoE supporta pacchetti piu piccoli dell'impostazione predefinita della rete di Windows quindi i pacchetti dovrebbero essere frammentati (divisi):

Eseguire su una WorkStation in una Prompt dei Comandi:

PING -F -L 1500 192.168.0.1
Questo comando invia un pacchetto di lunghezza 1500 senza frammentarlo.

Se il risultato è

"E' necessario frammentare il pacchetto ma DF è attivo."

Fate altre prove con i valori 1492, 1454, 1424.
Quando i pacchetti vengono inviati correttamente avete trovato la dimensione massima corretta, normalmente il valore da applicare è 1424. [vedi foto]

Ora è necessario configurare ogni WorkStation in modo che il MTU sia quello corretto:

Aprire Regedit e accedere alla chiave

HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Services\ Tcpip\ Parameters\Interfaces

cercare l'interfaccia che contraddistingue la scheda di rete connessa alla rete locale con condivisione Internet, si riconosce facilmente dalle informazioni contenute (IP ad esempio).
Aggiugere una chiave DWORD con il valore decimale che si è trovato prima. [vedi foto]
(es. 1424 in decimale = 590 esadecimale).
Riavviare le workstation riconfigurate.

 
     
     

   
   

 

 

Aggiornamento
Sicurezza

Per completare l'aggiornamento della sicurezza è necessara una connessione internet e alcuni tools disponibili sul sito della Microsoft o nel pacchetto pre-assemblato dal sottoscritto (aggiornato alla data di questo documento).

     
  Software Necessari  
     
 

Scaricate e installate i seguenti tools dal sito della Microsoft:

sono disponibili anche nel pacchetto contenente questa guida, comprende inoltre gli screenshots e i file linkati.


Altri Tools Microsoft per Windows 2000:
http://www.microsoft.com/windows2000/downloads/tools/default.asp

 
     
  Controllo Vulnerabilità  
     
 

Il primo programma da eseguire è Network Security Hotfix Checker 3.3, verrà automaticamente scaricato il file che comprende gli ultimi controlli di sicurezza. (Accettare il certificato)

(Ri)Eseguire il programma in una finestra di prompt (Start->Programmi->Acessori->Prompt dei comandi)
[consiglio: si puo trascinare il file eseguibile nella finestra, automaticamente si traduce nel percorso]

HFNETCHK.EXE -V

Il tools di connette al sito della Microsoft e scarica il file XML contenente i controlli di sicurezza aggiornati. [vedi foto]

E' disponibile una versione molto più complessa e dettagliata del softwar HotFix: http://www.shavlik.com/
Il software aggiorna automaticamente i dati sulle vulnerabilità più recenti ed esegue lo scan della rete.
Esiste una versione free leggermente limitata ma apprezzabile.

 
     
  Download Patch necessarie  
     
 

Scaricate dal sito della Microsoft tutte le patch che HotFix ha notificato:

http://www.microsoft.com/technet/security/current.asp
Inserire il codice della patch e scaricare la versione compatibile con la lingua del sistema operativo.

   

Codice Patch  (es. 824141):

  
   

NON eseguite ancora le patch.

 
     
  Aggiornamento Sistema: QChain  
     
 

QChain è un tool che permette di installare molte patch senza riavviare il computer ripetutamente.
In pratica l'installazione dei file è virtuale e l'aggiornamento del sistema è effettuato da QChain al riavvio confrontando le date delle patch in modo da non sovrascrivere dati piu recenti.

Ora aprite una finestra di Prompt (Start->Programmi->Accessori->Prompt dei comandi)
Accedete alla cartella dove avete salvato le patch ed eseguitele con il parametro -z -q (-z prepara il lavoro a QChain e -q nasconde le finestre di dialogo sempre inutili).

Esempio: Q123456_w2k_sp2_x86.exe -z -q

Dopo aver eseguito tutte le patch con l'opzione -z eseguite

QCHAIN.EXE "Update_log.txt"

Riavviate il computer.
Il file "Update_log.txt" conterrà le informazioni sui file aggiornati ed eventuali errori.
Nel caso di patch non aggiornate correttamente, installatele manualmente e riavviate il pc ad ogni installazione.

Per maggiori informazioni o problemi consultate Microsoft Knowledge Base Article - Q296861

 
     
  Controllo Vulnerabilità con BaseLine Security Analyser  
     
 

Ora che la maggior parte delle vulnerabilità sono state eliminate è molto utile fare un altro controllo con MSBA, questo tool con interfaccia grafica usa in realtà la stessa tecnologia di HotFix Checker ma aggiunge una serie di controlli di carettere generico molti utili per i novizi di sicurezza, inoltre fornisce dettagli sui singoli problemi e anche il sistema per risolverli.

 

 
     
  Controllo Vulnerabilità Online  
     
 

Alcuni siti offrono gratuitamente un controllo preliminare di sicurezza:

 
     
     

 

   
   

 

 

Configurazioni
Avanzate

Questa sezione non è dedicata a utenti inesperti.

Vengono affrontate alcune configurazioni avanzate per Server o Firewall, assolutamente da non provare se non si sa cosa si sta facendo.

     
  Attivare TCP/IP Forwarding  
     
 


Fare riferimento all'articolo Q230082.
Il forwarding è disattivato per default, per attivarlo aprire il Registro di configurazione:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

Name: IPEnableRouter
Type: REG_DWORD
Value: 1

Il valore 1 attiva il forwarding per tutte le connessioni sul pc.

 
     
  Modificare il tipo di Nodo (NetBIOS Node type)  
     
 

Le modifiche a questo parametro non sono valide per network basate su DHCP (cioè modificandole non funziona l'assegnamento automatico). Fare riferimento a Q160177.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters

Name: IPEnableRouter
type: REG_DWORD

  • Usare 0x00000008 per hybrid node or h-node
  • Usare 0x00000004 per mixed node or m-node
  • Usare 0x00000002 per point-to-point WINS or p-node
  • Usrae 0x00000001 per broadcast node or b-node

Fare riferimento all'articolo Automatically Changing the Node Type of a Windows NT Workstation (Q167640)
e TCP/IP and NBT Configuration Parameters for Windows 2000 or Windows NT (Q120642)

 
     
  Disabilitare la notifica della presenza di una Stampante  
     
 

La condivisione di una stampante su una macchina Windows 2000/NT notifica alla rete in modo broadcast la sua presenza ogni 10 minuti, è possibile disattivare la trasmissione modificando:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print

Name: DisableServerThread
Type: REG_DWORD
Value: 1

Opzione predefinita: 0

Nota: Disattivando l'opzione la stampante non è più visibile navigando la rete interna, ma è ancora accessibile manualmente tramite il nome che identifica la stampante.

 
     
  Disabilitare il Media Sensing  
     
  Windows 2000 Media sensing è il sistema che determina lo stato dell'adattatore di rete, è quindi alla base della gestione della sincronizzazione di cartelle condivise e dello stato Online/Offline di una risorsa di rete. Per disattivarlo:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

Name: DisableDHCPMediaSense
Type: REG_DWORD
Value: 1

Opzione predefinita: 0

 
     
  Disabilitare le connessioni persistenti  
     
  Le connessioni persistenti sono quelle che vengono ripristinate all'avvio della macchina, ad esempio, il "mapping" di un unità di rete. Per disattivarle:

HKEY_USERS\.Default\Software\Microsoft\Windows NT\Current Version\Network\Persistent Connections

Name: SaveConnections
Type: REG_SZ
Value: no

Opzione predefinita: yes
Nota: E' necessario riavviare il sistema.

 
     
  Disabilitare la protezione dei File di Sistema  
     
 

La protezione impedisce che alcuni (parecchi in realtà) file di sistema non possano essere sovrascritti, per disattivare la funzionalità:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon

Name: SFCDisable
Type: REG_DWORD
Value: FFFFFF9D

Opzione predefinita: 0

 

 
     
  Nascondere un sistema nella lista delle Risorse di rete  
     
 

Questa modifica impedisce che un server di condivisione risponda alle query della rete per la visualizzazione delle risorse, il server è sempre accessibile ma solo manualmente.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
Name: Hidden
Type: REG_DWORD
Value: 00000001

 
     
  Disabilitare il Desktop  
     
 

Per disabilitare e nascondere tutte le icone sul desktop modificare:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

Name: NoDesktop
Type: REG_DWORD
Value: 00000001

 
     
  Mantere le connessioni RAS attive dopo il logout  
     
  Per non disconnettere le connessioni RAS quando si effettua il logout modificare:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon

Name: KeepRasConnections
Type: REG_SZ
Value: 1

Opzione predefinita: 0 [chiude connessioni]

 
     
  Abilitare l'auto-logon  
     
 

Per abilitare l'opzione che esegue il login automaticamente:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft \Windows NT\CurrentVersion\Winlogon

Name: AutoAdminLogon
Type: REG_SZ
Value: 1

Name: DefaultDomainName
Type: REG_SZ
Value: <Nome dominio>

Name: DefaultUserName
Type: REG_SZ
Value: <Nome utente>

Name: DefaultPassword
Type: REG_SZ
Value: <Password per l'utente>

Nota: Username e Password vengono salvate come testo in chiaro!!!

 
 

 

 
     

 

   
   

 

 

Informazioni
Aggiuntive
sulla Sicurezza

Questa sezione vuole fissare alcuni argomenti importanti per la sicurezza a prescindere dalle configurazioni singole.

     
  Lista Porte insicure  
     
 

Queste porte sono da considerare relativamente pericolose a priori:

Servizio Porta Protocollo Pericolosità Spiegazione
         
(reserved) 0 TCP/UDP Alta Porte sorgenti
(sscan signature) 0-5 TCP Alta Porte sorgenti
OS type probe 0 TCP/UDP Alta broadcasts a 0.0.0.0/0
ttymux 1 TCP Alta ->probabile port scan
echo 7 TCP/UDP Alta ->probabile attacco UDP
systat 11 TCP Alta informazioni sistema/utente
unassigned 15 TCP Alta era netstat
chargen 19 TCP/UDP Alta ->probabile attacco UDP
ftp 21, 20 TCP Bassa File Transfer Service
ssh 22 TCP Media Secure Shell Service (OpenSSh Bug)
ssh 22 UDP Bassa vecchia porta di PC Anywhere
telnet 23 TCP Media Remote Login
smtp 25 TCP Alta Send Mail Transfer Protocol
DNS 53 TCP Alta Domain Name Server
dhcpc 67 UDP Bassa -> probabilmente un errore
tftpd 69 UDP Media FTP alternativo: raro quanto insicuro
finger 79 TCP Bassa -> Informazioni sugli utenti
link 87 TCP Alta Terminal Link
pop 110, 109 TCP Alta Mail & News
sunrpc 111 TCP/UDP Alta NFS, NIS, servizi basati su RPC
nntp 119 TCP Media News (free/public)
ntp 123 UDP Bassa Sincronizzazione orologio di sistema
netbios 137 TCP/UDP Alta* Windows Name Service
netbios 138 TCP/UDP Alta* Windows Datagram Service
netbios 139 TCP Alta* Windows Session Service
imap 143 TCP Alta -> Bug molto famoso
snmp 161, 162 UDP Alta Amministrazione remotaremote network administration
xdmcp 177 UDP Alta xdm: XDMCP, X Display Manager
rexec 512 TCP Alta dedicato per intranet
biff 512 UDP Alta dedicato per intranet
rlogin 513 TCP Media dedicato per intranet
who 513 UDP Alta dedicato per intranet
rsh 514 TCP Media dedicato per intranet
syslog 514 UDP Alta dedicato per intranet
printer 515 TCP Alta dedicato per intranet
talk 517 UDP Media dedicato per intranet
ntalk 518 UDP Media dedicato per intranet
route 520 UDP Alta Routing
mount 635 UDP Alta Servizio NFS Mount
socks 1080 TCP Alta ->potenziale attacco spam
SQL 1114 TCP Alta ->probabile port scan
openwin 2000 TCP Alta OpenWindows windowing system
NFS 2049 TCP/UDP Alta Remote Filesystem Access
pcanywherestat 5632 UDP Bassa PC Anywhere
X11 6000+n TCP Alta X Windows
NetBus 12345,
12346,
20034
TCP Alta* ->Troiano (sistema assolutamente insicuro)
Back Orifice 31337 UDP Alta* ->Troiano (sistema assolutamente insicuro)
Hack'a'Tack 31790,
31789
UDP Alta* ->Troiano (sistema assolutamente insicuro)
traceroute 33434-33523 UDP Bassa Traceroute in entrata
         
ping 8 ICMP Bassa Ping service
redirect 5 ICMP Alta redirezione di routing in entrata
traceroute 11 ICMP Bassa Traceroute in uscita

 

Un occhio di riguardo per le reti Microsoft alle porte del NetBIOS over IP, è necessario che il firewall tra la rete e Internet le blocchi:

135 TCP DCE/RPC Portmapper
137 TCP/UDP NetBIOS Name Service
138 TCP/UDP NetBIOS Datagram Service
139 TCP NetBIOS Session Service
445 TCP Microsoft-DS (Windows 2000 CIFS/SMB)


E' anche disponibile una lista completa di tutte le porte in formato testo.

 
     
  Lista delle 20 vulnerabilità più diffuse e importanti  
     
 

Fonte : SANS-FBI

Version 4.0 October 8, 2003

Top Vulnerabilities to Windows Systems

 

Top Vulnerabilities to UNIX Systems

 

 
     

 

   
   
   
   

 

 

 

 

Bibliografia &
Links


   
   
   
 

All trademarks are property of their respective owners.
Any tools listed and available in zip package is free and was downloaded from the Internet.
You are authorized to copy, redistribute and print this paper, keeping Author's credits visible and without changing the document's content.
Author is not responsible for any consequences or damages while upgrading your System.

Last update: 4/11/2003

     
     
     
     
ReSearch Home open source 2003 | by Alessandro Polo eWorld Network