none
Segurança Windows 2003 RRS feed

  • Pergunta

  • Thiago, bom dia. Em um ambiente com 10 maquinas por exemplo, tem-se um servidor com windows 2003 enterprise que tem função de ser servidor de banco de dados de um programa interno da rede. O serviço de terminal esta ativado. A unica conexao externa feita no servidor é atraves da conta de administrador. Qual ou quais portas eu devo ter uma atençao especial ? Qual delas não posso deixar abertas?

    Obrigado

    quinta-feira, 6 de outubro de 2011 13:56

Respostas

  • João Paulo
    Boa tarde.

    Aqui temos alguns conceitos bacanas para analisarmos que podem ajudar na tomada de decisão sobre o que e como proteger.

    O primeiro tema é, quais portas estão abertas e eu preciso me preocupar? Uma forma rapida de descobrir é abrir o prompt de comando e digitar o comando "netstat -nao | findstr LISTENING". A saida deste comando será algo semelhante a este:

     

      TCP    0.0.0.0:135            0.0.0.0:0              LISTENING       1052
      TCP    0.0.0.0:445            0.0.0.0:0              LISTENING       4
      TCP    0.0.0.0:1098           0.0.0.0:0              LISTENING       1880
      TCP    0.0.0.0:3164           0.0.0.0:0              LISTENING       2244
      TCP    0.0.0.0:3165           0.0.0.0:0              LISTENING       2244
      TCP    0.0.0.0:3389           0.0.0.0:0              LISTENING       968
      TCP    0.0.0.0:8081           0.0.0.0:0              LISTENING       284
      TCP    0.0.0.0:32111          0.0.0.0:0              LISTENING       1832
      TCP    10.212.92.18:139       0.0.0.0:0              LISTENING       4
      TCP    127.0.0.1:1057         0.0.0.0:0              LISTENING       2296
      TCP    127.0.0.1:5152         0.0.0.0:0              LISTENING       2024
      TCP    127.0.0.1:9421         0.0.0.0:0              LISTENING       1880
      TCP    127.0.0.1:9422         0.0.0.0:0              LISTENING       1880
      TCP    127.0.0.1:9423         0.0.0.0:0              LISTENING       1880

    As columas que precisamos nos preocupar são a segunda e a ultima. A primeira coluna indica que algum serviço esta rodando na maquina e escutando na porta após o :

    A primeira analise que faço aqui é: Eu não preciso me preocupar em fechar portas, pois elas somente estão abertas se eu tiver um serviço rodando e esperando por conexões.

    A ultima columa é a indicação do PID ou Process ID, que pode ajudar a identificar qual é o processo escutando naquela porta (muito util para portas acima de 1024 que não são conhecidas). No task manager você pode abrir a visualização do PID e verificar qual processo esta rodando com o PID listado.

    Agora que sabemos todos os serviços que estão rodando na maquina e no seu caso você deve encontrar portas como 1433/1434 (MSSQL / SQL Browser) e a 3389 (terminal server) o que devo fazer para protegelas ? Algumas dicas:

    1) Aplique todos os services packs, patchs, fix que o produto instalado precisa. Uma ótima ferramenta para descobrir o que esta aberto ou não, é o MBSA http://bit.ly/lvYFlV

    2) Por exemplo, o MSSQL será utilizado apenas por uma equipe ou sistema? Podemos utilizar o firewall interno do Windows e limitar as conexões a porta1433/1434 apenas para os IPs/Redes de quem realmente precisa acessar. O mesmo exemplo pode ser dado ao Terminal Server e qualquer outro componente.

    3) Habilite auditoria. Para serviços mais criticos, quando houver a possibilidade, habilite a auditoria de acordo com o tipo e a quantidade de informações que precisa. No SQL, podemos criar traces sobre logins, consultas, acessos etc e ativamos apenas o que é conveniente a nossa politica interna.

    Bom, com estes passos você ja torna o seu ambiente mais seguro e mitica alguns problemas.

    Espero ter ajudo .... se possivel, classifique :)

    abraços
    Eroi

     

    • Sugerido como Resposta Danilo S.S quinta-feira, 6 de outubro de 2011 19:49
    • Não Sugerido como Resposta Danilo S.S quinta-feira, 6 de outubro de 2011 19:49
    • Marcado como Resposta Richard Juhasz segunda-feira, 10 de outubro de 2011 17:00
    quinta-feira, 6 de outubro de 2011 16:19
  • Bom se vc quer segurança opte por não usar a contar de Administrador, e sim utilizar o "Run As" quando necessário :-)

    Pelo que entendi o serviço de TS está aberto para o mundo o que possibilita muitos ataques de "Brute force", creio que seja interessante ter um aceso seguro, utilize uma VPN (RRAS).

     

    Abs,

     


    Erick Albuquerque | Microsoft MVP
    MVP Profile | Twitter | Linkedin | http://iisbrasil.wordpress.com
    • Marcado como Resposta Richard Juhasz segunda-feira, 10 de outubro de 2011 17:00
    sexta-feira, 7 de outubro de 2011 17:30
    Moderador

Todas as Respostas

  • João Paulo
    Boa tarde.

    Aqui temos alguns conceitos bacanas para analisarmos que podem ajudar na tomada de decisão sobre o que e como proteger.

    O primeiro tema é, quais portas estão abertas e eu preciso me preocupar? Uma forma rapida de descobrir é abrir o prompt de comando e digitar o comando "netstat -nao | findstr LISTENING". A saida deste comando será algo semelhante a este:

     

      TCP    0.0.0.0:135            0.0.0.0:0              LISTENING       1052
      TCP    0.0.0.0:445            0.0.0.0:0              LISTENING       4
      TCP    0.0.0.0:1098           0.0.0.0:0              LISTENING       1880
      TCP    0.0.0.0:3164           0.0.0.0:0              LISTENING       2244
      TCP    0.0.0.0:3165           0.0.0.0:0              LISTENING       2244
      TCP    0.0.0.0:3389           0.0.0.0:0              LISTENING       968
      TCP    0.0.0.0:8081           0.0.0.0:0              LISTENING       284
      TCP    0.0.0.0:32111          0.0.0.0:0              LISTENING       1832
      TCP    10.212.92.18:139       0.0.0.0:0              LISTENING       4
      TCP    127.0.0.1:1057         0.0.0.0:0              LISTENING       2296
      TCP    127.0.0.1:5152         0.0.0.0:0              LISTENING       2024
      TCP    127.0.0.1:9421         0.0.0.0:0              LISTENING       1880
      TCP    127.0.0.1:9422         0.0.0.0:0              LISTENING       1880
      TCP    127.0.0.1:9423         0.0.0.0:0              LISTENING       1880

    As columas que precisamos nos preocupar são a segunda e a ultima. A primeira coluna indica que algum serviço esta rodando na maquina e escutando na porta após o :

    A primeira analise que faço aqui é: Eu não preciso me preocupar em fechar portas, pois elas somente estão abertas se eu tiver um serviço rodando e esperando por conexões.

    A ultima columa é a indicação do PID ou Process ID, que pode ajudar a identificar qual é o processo escutando naquela porta (muito util para portas acima de 1024 que não são conhecidas). No task manager você pode abrir a visualização do PID e verificar qual processo esta rodando com o PID listado.

    Agora que sabemos todos os serviços que estão rodando na maquina e no seu caso você deve encontrar portas como 1433/1434 (MSSQL / SQL Browser) e a 3389 (terminal server) o que devo fazer para protegelas ? Algumas dicas:

    1) Aplique todos os services packs, patchs, fix que o produto instalado precisa. Uma ótima ferramenta para descobrir o que esta aberto ou não, é o MBSA http://bit.ly/lvYFlV

    2) Por exemplo, o MSSQL será utilizado apenas por uma equipe ou sistema? Podemos utilizar o firewall interno do Windows e limitar as conexões a porta1433/1434 apenas para os IPs/Redes de quem realmente precisa acessar. O mesmo exemplo pode ser dado ao Terminal Server e qualquer outro componente.

    3) Habilite auditoria. Para serviços mais criticos, quando houver a possibilidade, habilite a auditoria de acordo com o tipo e a quantidade de informações que precisa. No SQL, podemos criar traces sobre logins, consultas, acessos etc e ativamos apenas o que é conveniente a nossa politica interna.

    Bom, com estes passos você ja torna o seu ambiente mais seguro e mitica alguns problemas.

    Espero ter ajudo .... se possivel, classifique :)

    abraços
    Eroi

     

    • Sugerido como Resposta Danilo S.S quinta-feira, 6 de outubro de 2011 19:49
    • Não Sugerido como Resposta Danilo S.S quinta-feira, 6 de outubro de 2011 19:49
    • Marcado como Resposta Richard Juhasz segunda-feira, 10 de outubro de 2011 17:00
    quinta-feira, 6 de outubro de 2011 16:19
  • Bom se vc quer segurança opte por não usar a contar de Administrador, e sim utilizar o "Run As" quando necessário :-)

    Pelo que entendi o serviço de TS está aberto para o mundo o que possibilita muitos ataques de "Brute force", creio que seja interessante ter um aceso seguro, utilize uma VPN (RRAS).

     

    Abs,

     


    Erick Albuquerque | Microsoft MVP
    MVP Profile | Twitter | Linkedin | http://iisbrasil.wordpress.com
    • Marcado como Resposta Richard Juhasz segunda-feira, 10 de outubro de 2011 17:00
    sexta-feira, 7 de outubro de 2011 17:30
    Moderador