Re: Bloccare l'accesso ad un server W2000 (livello anche di FileSystem)

Per come la vedo io:

1) server in locale inaccessibile (sembra una bagginatata, ma ti assicuro
che non sarebbe a prima volta che vedo un server critico in un posto non
protetto)

2) fatti un bel windows update (anche questa sembra una baggianata, ma gli
amici di Redmond, quando ricevono gli avvisi di buchi scoperti nei loro
sistemi poi li tappano abbastanza bene)

3) prima di mettere il server in rete dai una bella sistematina alle
permission NTFS sulle cartelle coinvolte e sui file. A proposito... Blocca
l'ereditarieta' delle permission dalla cartella padre, cosi' sei sicuro di
quello che fai e di dove lo fai.

4) rinomina l'utente administrator e chiamalo nel modo piu' strano possibile
(evita "superpippo" ad esempio) e controlla che la password per quell'utente
sia di 20 caratteri, alfanumerica, con caratteri speciali, e soprattutto
controlla che tu sia L'UNICO A SAPERLA.

5) il file di access una volta che hai finito di realizzare
l'infrastruttura, proteggilo in tutti i modi che il programma offre
(strumenti -> protezione -> ...). Lo so che sembra una cazzata ma almeno se
uno ti riesce a portare via la base di dati ci su puo' pulire il... Naso.
Non ci metto la mano sul fuoco ma mi ppare che puoi fare accesso alla base
di dati via ASP anche se il file non e' un mdb ma un mde. Considera questa
ipotesi!

6) nella configurazione di IIS assegna l'accesso minimo che ti possa
servire. Blocca l'accesso alle cartelle e all'origine degli script

7) c'e' in giro un buon numero di prodotti software che testano la sicurezza
della configurazione del webserver. Provali tutti, che nn si sa mai. Fanno
mining, port probing e altre cose che finiscono sempre in ing ma che in
sostanza controllano i metodi di accesso piu' comuni. Non so se posso fare
nomi di prodotti commerciali... Trovi tool buoni su www.eeye.com ma anche in
giro.

8) una buona spulciata dei vecchi posting di questa ML aiuta sempre.

9) una buona spulciata ai posting di altre ML aiuta ancora di piu' (ma solo
dopo aver spulciato quuesta! #cosi' il buon Koba nn mi sega il msg!# )

10) un bel firewall impostato come si deve. Non serve chissa' che cosa... Il
Blackice va benissimo, lo metti paranoico e lui fa passare solo il minimo
indispensabile

11) stai attento... C'e' sempre qualcuno piu' bravo.

12) buona fortuna
************************************************************

        Un Anello per trovarli, un Anello per domarli un
        Anello per ghermirli e nel buio incatenarli.
------------------------------------------------------------
Carlo Gallazzi - Tel: +39.348.4751251
E-Mail: cgallazzi@mac.com
E-Mail: CyberCharlie@hotmail.com
Home Page: http://welcome.to/CyberCharlie
************************************************************


________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List