home *** CD-ROM | disk | FTP | other *** search
/ ftp.pasteur.org/FAQ/ / ftp-pasteur-org-FAQ.zip / FAQ / computer-security / ntsecurity < prev    next >
Internet Message Format  |  1997-02-14  |  12KB
  1. Path: senator-bedfellow.mit.edu!bloom-beacon.mit.edu!news.starnet.net!news.starnet.net!csus.edu!decwrl!spool.mu.edu!howland.erols.net!rill.news.pipex.net!pipex!uknet!usenet1.news.uk.psi.net!uknet!psinntp!psinntp!pubxfer.news.psi.net!iss.net!cklaus
  2. From: cklaus@iss.net (Christopher Klaus)
  3. Newsgroups: comp.security,alt.security,comp.security.misc,comp.answers,alt.answers,news.answers,comp.admin.policy,misc.answers,misc.security,comp.security.firewalls,comp.os.ms-windows.nt.admin.misc,comp.os.ms-windows.nt.admin.networking
  4. Subject: computer-security/Windows NT Security FAQ
  5. Supersedes: <secfaq.p8_851710250@iss.net>
  6. Followup-To: poster
  7. Date: 31 Jan 1997 04:46:35 GMT
  8. Organization: ISS, Inc.
  9. Lines: 237
  10. Approved: news-answers-request@MIT.Edu
  11. Distribution: world
  12. Expires: 1 Mar 1997 04:42:50 GMT
  13. Message-ID: <secfaq.p8_854685770@iss.net>
  14. Reply-To: cklaus@iss.net
  15. NNTP-Posting-Host: 204.241.60.147
  16. Keywords: nt security contact vendor mailing list
  17. Originator: cklaus@iss.net
  18. Xref: senator-bedfellow.mit.edu alt.security:42130 comp.security.misc:37832 comp.answers:24101 alt.answers:23734 news.answers:93731 comp.admin.policy:10558 misc.answers:5378 comp.security.firewalls:6909 comp.os.ms-windows.nt.admin.misc:29577 comp.os.ms-windows.nt.admin.networking:31465
  19.  
  20. Archive-name: computer-security/ntsecurity
  21. Posting-frequency: monthly
  22. Last-modified: 1999/9/11
  23. Version: 3.00
  24.  
  25. Windows NT Security FAQ
  26.  
  27. Version: 3.00
  28. ----------------------------------------------------------------------------
  29. This Security FAQ is a resource provided by:
  30.  
  31.      Internet Security Systems, Inc.
  32.      Suite 660, 41 Perimeter Center East          Tel: (770) 395-0150
  33.      Atlanta, Georgia 30346                       Fax: (770) 395-1972
  34.  
  35. ----------------------------------------------------------------------------
  36. To get the newest updates of Security files check the following services:
  37.  
  38.      http://www.iss.net/
  39.      ftp ftp.iss.net /pub/
  40.  
  41. To subscibe to the update mailing list, Alert, send an e-mail to
  42. request-alert@iss.net and, in the text of your message (not the subject
  43. line), write:
  44.  
  45.      subscribe alert
  46.  
  47. ----------------------------------------------------------------------------
  48.  
  49. The NT environment allows the security to be very flexible. For an
  50. administrator, they should be aware of the issues for having a secure NT
  51. machine. Here are some of the major security issues. This is a rough draft,
  52. so it is missing information. If you see areas of information that was
  53. missed, feel free to send to cklaus@iss.net and I will update the document.
  54.  
  55.    * NT Security Mailing List
  56.    * Access control lists (ACLs)
  57.    * Network Access
  58.    * Registry
  59.    * PPTP (Point to Point Tunneling Protocal)
  60.    * File Shares
  61.    * MS IIS Web Server
  62.    * FTP Server
  63.    * NFS Server
  64.    * Rlogin Server
  65.  
  66. ----------------------------------------------------------------------------
  67. NT Security Mailing List
  68.  
  69. To join, send e-mail to request-ntsecurity@iss.net and, in the text of your
  70. message (not the subject line), write:
  71.  
  72.         subscribe ntsecurity
  73.  
  74. ----------------------------------------------------------------------------
  75. Access control lists
  76.  
  77. To really lock NT down hard, set the root directory to full access for
  78. administrators and system, list access to users (not Everyone). Let that
  79. work all the way down the tree. Loosen things up as need be, but what has
  80. been done is ensure that any new directory that gets created will have those
  81. permissions.
  82.  
  83. Make sure the print spool directory has full access to creator\owner (see
  84. the NT Resource Kit, 3.51 Update 1 (also known as vol 5)).
  85.  
  86. Go through (using cacls, or use the search facility of either file manager
  87. or explorer) and set the permissions on all of the executables and DLLs to
  88. full access to admins (or if people normally work on that machine under
  89. admin status, remove write permission for admins), and list only
  90. (read-execute) permissions to users.
  91.  
  92. Note that it is now difficult for users to install any software. This could
  93. be good or bad, depending on what you want to do. Make a list of common DLLs
  94. that are updated often and give users delete permission.
  95.  
  96. Now apply the "smoke test" - log in as a user, and see what is broken. Some
  97. programs insist on being able to write to an .ini file in the system tree -
  98. if users can't write to (or create) these files, these programs will fail.
  99. Change the permissions as need be.
  100.  
  101. Be careful, it is possible where non-admins either can't successfully log
  102. in, or get a desktop that is completely blank.
  103.  
  104. If users are allowed to store files locally, make sure that they have full
  105. rights to their own directories. Note that under NT 4.0, a user's desktop
  106. profile, and numerous other things are stored under the system tree - look
  107. in %systemroot%\profiles, and make sure each user has full rights to their
  108. subdirectory - it should be admin, system, and user have full access.
  109.  
  110. It is a good idea to loosen up the temp directory - a good thing is to give
  111. users list access, but creator\owner full access. There may be other
  112. directories that need work, depending on what apps are installed, and
  113. whether they have any notion of multiple users - one example would be the
  114. cache directory for a web browser.
  115.  
  116. Since people have a lot of different needs, there is no single answer - it
  117. depends on the environment.
  118.  
  119. As to user rights, go through and make sure Guest is not only disabled, but
  120. that it has no rights to anything.
  121.  
  122. ----------------------------------------------------------------------------
  123. Network Access
  124.  
  125. Give careful attention to who is allowed to log on from the network and
  126. locally.
  127.  
  128. One thing to consider is that the administrator account is on every machine,
  129. and can't be locked out from too many bad passwords. A good way around this
  130. is to remove the administrator's group from the permissions to log on from
  131. the network, and add back in the individual users who are the admins.
  132.  
  133. Now go set it up to audit failed login attempts, lock out users for a few
  134. minutes if there are too many login failures, and require a password of
  135. decent length - 6 characters is acceptable. This makes brute force attacks
  136. very difficult. If you want to prevent other users from accessing the
  137. machine remotely, you can also remove the users from the right to log on
  138. from the network - that confines the users to having to use the shares on
  139. the server. This also prevents anyone not given that right from accessing
  140. the event log, the registry, and the shares on the machine. Pay attention to
  141. who can and cannot shut the machine down, and make it require you to log in
  142. to shut it down.
  143.  
  144. ----------------------------------------------------------------------------
  145. PPTP
  146.  
  147. Point to Point Tunneling Protocal
  148.  
  149. This is a feature in NT 4.0 that allows encryption between an NT 4.0 server
  150. and possible dialins. There is source code available on
  151. http://www.microsoft.com. There are several companies that provide dialin
  152. access such as US Robotics that is adding in support for PPTP.
  153.  
  154. ----------------------------------------------------------------------------
  155. Registry
  156.  
  157. In the registry, Remove write permission to Everyone from HKEY_CLASSES_ROOT,
  158. and give full access to creator\owner, which is what Microsoft did with NT
  159. 4.0 - much more secure.
  160.  
  161. ----------------------------------------------------------------------------
  162. File Shares
  163.  
  164. Go through all the shares that are available and make sure that the
  165. permissions are set correctly - don't accept the default of full access to
  166. everyone.
  167.  
  168. The file sharing service if available and accessible by anyone can crash the
  169. NT 3.51 machine by using the dot..dot bug and require it to be rebooted.
  170. This technique on a Windows 95 machine potentially allows anyone to gain
  171. access to the whole hard drive. This vulnerability is documented in
  172. Microsoft Knowledge Base article number Q140818 last revision dated March
  173. 15, 1996. Resolution is to install the latest service pack for Windows NT
  174. version 3.51. The latest service pack to have the patch is in service pack
  175. 4.
  176.  
  177. ----------------------------------------------------------------------------
  178. MicroSoft IIS Web Server
  179.  
  180. Versions prior to 1.0c were vulnerable to allowing users to execute commands
  181. remotely and allow access to all the files on the same hard drive partition
  182. as the IIS Server. Make sure that the web server is version 1.0c or higher.
  183. NT 4.0 comes with IIS Version 2.0 that fixes these known problems.
  184.  
  185. Additonal Information on the IIS Web Server bugs is available at
  186. http://www.omna.com/msiis .
  187.  
  188. ----------------------------------------------------------------------------
  189. FTP Server
  190.  
  191. Many times FTP is configured to allow anyone to log in and have access to
  192. the whole hard drive. Attempt to log in and check to see what files are
  193. accessible. By doing a "cd ..", it may allow people to go higher in the file
  194. system that what is intended.
  195.  
  196. ----------------------------------------------------------------------------
  197. NFS Server
  198.  
  199. Network File System can easily be configured to allow anyone to have access
  200. to files being exported. Check to see if they are correctly configured for
  201. the proper exports.
  202.  
  203. ----------------------------------------------------------------------------
  204. RLogin Server
  205.  
  206. There is an rlogin server that comes with NT. Rlogin is a service that
  207. allows people to configure their login to not require a password if coming
  208. from certain machines. Intruders have figured out ways to by-pass this
  209. security and it is recommended to not allow this server to run.
  210. ----------------------------------------------------------------------------
  211.  
  212. Copyright
  213.  
  214. This paper is Copyright (c) 1994, 1995, 1996
  215.    by Christopher Klaus of Internet Security Systems, Inc.
  216.  
  217. Permission is hereby granted to give away free copies electronically. You
  218. may distribute, transfer, or spread this paper electronically. You may not
  219. pretend that you wrote it. This copyright notice must be maintained in any
  220. copy made. If you wish to reprint the whole or any part of this paper in any
  221. other medium excluding electronic medium, please ask the author for
  222. permission.
  223.  
  224. Disclaimer
  225.  
  226. The information within this paper may change without notice. Use of this
  227. information constitutes acceptance for use in an AS IS condition. There are
  228. NO warranties with regard to this information. In no event shall the author
  229. be liable for any damages whatsoever arising out of or in connection with
  230. the use or spread of this information. Any use of this information is at the
  231. user's own risk.
  232.  
  233. Address of Author
  234.  
  235. Please send suggestions, updates, and comments to:
  236. Christopher Klaus <cklaus@iss.net> of Internet Security Systems, Inc.
  237. <iss@iss.net>
  238.  
  239. Internet Security Systems, Inc.
  240.  
  241. ISS is the leader in network security tools and technology through
  242. innovative audit, correction, and monitoring software. The Atlanta-based
  243. company's flagship product, Internet Scanner, is the leading commercial
  244. attack simulation and security audit tool. The Internet Scanner SAFEsuite is
  245. based upon ISS' award-winning Internet Scanner and was specifically designed
  246. with expanded capabilities to assess a variety of network security issues
  247. confronting web sites, firewalls, servers and workstations. The Internet
  248. Scanner SAFEsuite is the most comprehensive security assessment tool
  249. available. For more information about ISS or its products, contact the
  250. company at (770) 395-0150 or e-mail at iss@iss.net. ISS maintains a Home
  251. Page on the World Wide Web at http://www.iss.net
  252. -- 
  253. Christopher William Klaus            Voice: (770)395-0150. Fax: (770)395-1972
  254. Internet Security Systems, Inc.              "Internet Scanner SAFEsuite finds
  255. Ste. 660,41 Perimeter Center East,Atlanta,GA 30346 your network security holes
  256. Web: http://www.iss.net/  Email: cklaus@iss.net        before the hackers do."
  257.