Microsoft Dynamics GP. Beveiliging voorbereiden

Transcriptie

1 Microsoft Dynamics GP Beveiliging voorbereiden

2 Copyright Copyright 2005 Microsoft Corporation. Alle rechten voorbehouden. Het is de verantwoordelijkheid van de gebruiker aan alle van toepassing zijnde auteursrechtwetten te voldoen. Zonder de rechten met betrekking tot auteursrechten te beperken mag geen enkel deel van dit document worden gereproduceerd, opgeslagen of ingevoerd in een systeem voor het ophalen van informatie, of overgebracht in enige vorm of op enige wijze (elektronisch, mechanisch, door middel van fotokopieën, opname of anderszins) of voor enig doel, zonder de uitdrukkelijke geschreven toestemming van Microsoft Corporation. Niettegenstaande het voorgaande mag degene die een licentie heeft voor de software die bij dit document is geleverd, een redelijk aantal kopieën van dit document maken om enkel intern te worden gebruikt. Merken Microsoft, Dexterity, Microsoft Dynamics, Visual Basic, Windows en Windows Server zijn gedeponeerde merken of merken van Microsoft Corporation of dochterbedrijven in de Verenigde Staten en/of andere landen. FairCom en c-tree Plus zijn merken van FairCom Corporation en zijn gedeponeerd in de Verenigde Staten en andere landen. De namen van bedrijven en producten die hier worden genoemd zijn wellicht merken of gedeponeerde merken (in de Verenigde Staten en/of andere landen) van hun respectievelijke eigenaren. Tenzij anders is aangegeven, zijn de gebruikte adressen, logo's en gebeurtenissen en de namen van bedrijven, organisaties, producten, domeinen, mensen en plaatsen fictief. Ze zijn geenszins bedoeld om werkelijke bedrijven, organisaties, producten, domeinnamen, e- mailadressen, logo's, mensen, plaatsen of gebeurtenissen voor te stellen, noch om een dergelijke associatie te impliceren. Intellectueel eigendom Microsoft bezit mogelijk patenten, gepatenteerde toepassingen, merken, auteursrechten of andere rechten met betrekking tot intellectueel eigendom voor bepaalde zaken die in dit document worden genoemd. Tenzij uitdrukkelijk anders vermeld in een schriftelijke licentieovereenkomst van Microsoft verschaft de inhoud van dit document u geen licentie voor deze patenten, merken, auteursrechten of ander intellectueel eigendom. Afstand van garantie Microsoft Corporation wijst alle garantie van de hand met betrekking tot de voorbeeldcode in deze documentatie, waaronder de garanties voor verkoopbaarheid en geschiktheid voor een bepaald doel. Beperking van aansprakelijkheid De inhoud van dit document is alleen bedoeld ter informatie, kan zonder voorafgaande kennisgeving worden gewijzigd en moet niet worden opgevat als een toezegging door Microsoft Corporation. Microsoft Corporation is niet verantwoordelijk of aansprakelijk voor mogelijke fouten of onnauwkeurigheden in dit document. Microsoft Corporation of personen die betrokken zijn geweest bij de totstandkoming, productie of aflevering van deze documentatie zijn niet aansprakelijk voor enige indirecte, incidentele, speciale, morele of gevolgschade, inclusief maar niet beperkt tot enig verlies van verwachte winst of voordelen, die het resultaat is van deze documentatie of voorbeeldcode. Gebruiksrechtovereenkomst Gebruik van dit product valt onder een gebruiksrechtovereenkomst die wordt geleverd bij het product. Neem contact op met Microsoft Dynamics GP Customer Assistance Department via (in de Verenigde Staten of Canada) of , wanneer u vragen hebt. Publicatiedatum Oktober 2005

3 Inhoud Introductie... 1 Wat vindt u in dit document...1 Symbolen en conventies...2 Stuur ons uw commentaar op deze documentatie...2 Hoofdstuk 1: Aanbevolen basisbeveiliging... 3 Maatregelen die moeten worden getroffen om deze installatie van Microsoft Dynamics GP te beveiligen...3 Fysieke beveiliging...4 Werknemers...5 Systeembeheerders...6 Beheer van beveiligingspatches...6 Microsoft Dynamics GP-servicepacks...8 Beveiligingspatches voor clients...8 Hoofdstuk 2: Het besturingssysteem van de server beveiligen... 9 Beveiliging van besturingssystemen van servers...9 Verificatie...10 Wachtwoordbeveiliging...10 Sterke wachtwoorden Wachtwoordbeleid vaststellen...13 Accountvergrendelingsbeleid definiëren...13 Toegangsbeheer...14 Eenmalige aanmelding...16 Firewall voor externe beveiliging...16 ISA Server Aanvullende beveiligingsinstellingen van SQL Server Hoofdstuk 3: Beveiliging van het netwerk Strategieën voor netwerkbeveiliging...19 Draadloze netwerken...20 Scenario's voor de beveiliging van netwerken...21 Hoofdstuk 4: Bescherming tegen virussen Overzicht van virussen...25 Soorten virussen...25 BEVEILIGING VOORBEREIDEN i

4 INHOUD Hoofdstuk 5: Microsoft Dynamics GP-beveiliging Gebieden waarop beveiligingsinstellingen van invloed zijn...29 Toegang tot gegevens verlenen...30 De manier waarop wachtwoorden worden gebruikt in Microsoft Dynamics GP...31 Items waarvoor u beveiliging kunt instellen...32 Geavanceerde beveiliging...33 Veldbeveiliging...33 Beveiliging van de toepassing...33 Microsoft Dynamics GP beveiliging van hulpprogramma's...34 Infolabels van Office...35 Beveiligingsproblemen oplossen...36 Hoofdstuk 6: Het Microsoft Dynamics GP-beveiligingsmodel voor databases Wachtwoordbeveiliging...37 De databaserol DYNGRP...37 Een gebruikersaccount toevoegen aan de vaste serverrol SysAdmin...38 Hoofdstuk 7: De belangrijkste taken voor toepassingsbeveiliging Gebruikersrecords maken...39 Gebruikersrecords verwijderen...40 Toegang verlenen aan gebruikers...40 Back-ups maken van databases...41 Databases herstellen...41 Business Alerts...42 SQL-onderhoud...42 Bedrijven verwijderen...42 Gestrande gebruikersaccounts verwijderen...43 Hoofdstuk 8: Veelgestelde vragen Gebruikeraccounts...45 Vensters van Microsoft Dynamics GP...45 Beveiliging in Microsoft Dynamics GP...47 ii BEVEILIGING VOORBEREIDEN

5 Introductie Gebruik de informatie in dit document als hulp bij het voorbereiden van de beveiliging in Microsoft Dynamics GP. Deze introductie bestaat uit de volgende onderdelen: Wat vindt u in dit document Symbolen en conventies Stuur ons uw commentaar op deze documentatie Wat vindt u in dit document Dit document is bedoeld om u te wijzen op acties die u kunt ondernemen om uw gegevens van Microsoft Dynamics GP zo veilig mogelijk te houden. Microsoft Windows, de basis van Microsoft Dynamics GP, bevat geavanceerde, op standaarden gebaseerde netwerkbeveiligingsvoorzieningen. Grofweg komen bij beveiliging twee factoren bij elkaar: een goede voorbereiding en overweging van compromissen. Een computer kan bijvoorbeeld achter slot en grendel worden bewaard en alleen toegankelijk zijn voor een systeembeheerder. Deze computer is dan wel veilig, maar niet erg bruikbaar omdat er geen verbinding is met andere computers. Het is van belang een goed evenwicht te vinden tussen veiligheid en bruikbaarheid van het netwerk. De meeste organisaties treffen maatregelen tegen aanvallen van buiten en installeren firewalls, maar veel bedrijven vergeten dat ook maatregelen nodig zijn om de schade te beperken als een kwaadwillende gebruiker toch binnendringt door de firewall. Beveiligingsmaatregelen in de bedrijfsomgeving functioneren goed als gebruikers niet al te veel procedures en stappen hoeven uit te voeren om hun bezigheden op een veilige manier uit te voeren. De implementatie van beveiligingsbeleid moet zo eenvoudig mogelijk zijn voor gebruikers. Als het te ingewikkeld is, zoeken ze een minder veilige manier om hun werk te doen. Aangezien de omvang van implementaties van Microsoft Dynamics GP enorm kan verschillen, is het belangrijk om de behoeften van kleinere bedrijven goed te inventariseren en de effectiviteit van beveiliging af te wegen tegen de kosten. Gebruik uw gezonde verstand om een beleid aan te bevelen dat helpt om te voldoen aan beveiligingsvereisten. Dit document is onderverdeeld in de volgende onderwerpen: Hoofdstuk 1, Aanbevolen basisbeveiliging, geeft enkele algemene aanbevelingen voor de beveiliging die u kunt opvolgen om de Microsoft Dynamics GP-gegevens zo veilig mogelijk te houden. Hoofdstuk 2, Het besturingssysteem van de server beveiligen, biedt informatie over de beveiliging van serverbesturingssystemen. Hoofdstuk 3, Beveiliging van het netwerk, biedt informatie over beveiliging van het netwerk. Hoofdstuk 4, Bescherming tegen virussen, bevat informatie over de verschillende soorten virussen die er zijn en wat u kunt doen om te voorkomen dat uw computers hiermee worden geïnfecteerd. BEVEILIGING VOORBEREIDEN 1

6 INTRODUCTIE Hoofdstuk 5, Microsoft Dynamics GP-beveiliging, geeft een overzicht van de beveiligingsvoorzieningen van Microsoft Dynamics GP. Hoofdstuk 6, Het Microsoft Dynamics GP-beveiligingsmodel voor databases, geeft informatie over het beveiligingsmodel voor databases van Microsoft Dynamics GP. In Hoofdstuk 7, De belangrijkste taken voor toepassingsbeveiliging, worden de veiligste opties beschreven om veelvoorkomende beveiligingstaken in Microsoft Dynamics GP uit te voeren. Hoofdstuk 8, Veelgestelde vragen, geeft antwoorden op veelgestelde vragen over beveiliging in Microsoft Dynamics GP. Symbolen en conventies In dit document worden de volgende symbolen gebruikt om uw aandacht te vestigen op informatie. Symbool Beschrijving Met de gloeilamp worden handige tips, snelle methoden en suggesties aangegeven. Met het waarschuwingssymbool worden situaties aangeduid waaraan u extra aandacht moet schenken wanneer u taken uitvoert. In dit document worden de volgende conventies gebruikt om te verwijzen naar secties, navigatie en andere informatie. Conventie Een batch maken Bestand >> Afdrukken of Bestand > Afdrukken TAB of ENTER Beschrijving Een cursief lettertype duidt de naam van een sectie of procedure aan. Met het symbool (>>) of (>) wordt een opeenvolging van acties aangeduid, zoals het selecteren van items in een menu of op de werkbalk, of het klikken op knoppen in een venster. In dit voorbeeld gaat u eerst naar het menu Bestand en kiest u vervolgens Afdrukken. Woorden in hoofdletters geven de naam van een toets of toetscombinatie aan. Stuur ons uw commentaar op deze documentatie Wij zijn zeer geïnteresseerd in uw opmerkingen met betrekking tot de bruikbaarheid van de Microsoft Dynamics GP-documentatie. Als u bepaalde suggesties of opmerkingen hebt naar aanleiding van dit document, vragen wij u uw commentaar via te versturen naar het volgende adres: bizdoc@microsoft.com. Als u opmerkingen over specifieke onderwerpen wilt verzenden vanuit de Helpinformatie, klikt u op de koppeling voor feedback over de documentatie onder aan elk Help-onderwerp. Opmerking: wanneer u suggesties naar Microsoft verzendt, geeft u Microsoft volledige toestemming deze suggesties op elke gewenste manier te gebruiken. 2 BEVEILIGING VOORBEREIDEN

7 Hoofdstuk 1: Aanbevolen basisbeveiliging De volgende informatie bevat aanbevelingen voor de beveiliging. U doet er verstandig aan hiervan kennis te nemen voordat u Microsoft Dynamics GP installeert en configureert. De informatie is onderverdeeld in de volgende onderwerpen: Maatregelen die moeten worden getroffen om deze installatie van Microsoft Dynamics GP te beveiligen Fysieke beveiliging Werknemers Systeembeheerders Beheer van beveiligingspatches Microsoft Dynamics GP-servicepacks Beveiligingspatches voor clients Maatregelen die moeten worden getroffen om deze installatie van Microsoft Dynamics GP te beveiligen Als u een veilige Microsoft Dynamics GP-omgeving wilt, treft u de volgende maatregelen om de communicatie tussen de Microsoft Dynamics GP-client en SQL Server te beveiligen. Als u deze richtlijnen niet volgt, staat de installatie van Microsoft Dynamics GP bloot aan een aantal ernstige veiligheidsrisico's. Als u Microsoft SQL Server 2000 gebruikt, is het noodzakelijk dat u protocolcertificaten van Secure Sockets Layer (SSL) gebruikt om de communicatiekoppeling tussen de Microsoft Dynamics GP-client en Microsoft SQL Server 2000 te beveiligen. Wanneer u SQL Server configureert voor SSL, worden alle gegevens die worden uitgewisseld tussen de client en server gecodeerd om er zeker van te zijn dat de gegevens vertrouwelijk blijven tijdens de uitwisseling tussen de client en SQL Server. Als u nog geen gebruikmaakt van SSL-certificaten, gaat u naar Microsoft Certificate Services om deze aan te vragen. U wordt ook aangeraden de instructies in de handleiding Microsoft SQL Server 2000 Books Online op te volgen om de communicatiekoppeling tussen SQL Server en een client te beveiligen. Microsoft SQL Server 2005 codeert standaard de uitwisseling van referenties voordat wordt aangemeld, maar als u de hele communicatiesessie tussen SQL Server 2005 en Microsoft Dynamics GP wilt coderen, volgt u de instructies in de handleiding Microsoft SQL Server 2005 Books Online. Raadpleeg de volgende websites voor meer informatie over beveiliging van uw netwerk: Toegang tot gegevens beveiligen html/secnetch12.asp SSL-certificaten gebruiken om alle communicatie tussen client en server te coderen /dnnetsec/html/secnetht19.asp BEVEILIGING VOORBEREIDEN 3

8 HOOFDSTUK 1 AANBEVOLEN BASISBEVEILIGING Werken met Microsoft SQL Server Voor een veilige Microsoft Dynamics GP-omgeving moet u zich houden aan enkele algemene regels voor beheer: Aangenomen dat de eigenaar of manager beheerdersrechten heeft, hebben gebruikers, zoals medewerkers van de afdeling Debiteuren, kassiers of verkopers, geen beheerdersrechten nodig voor het domein. De gebruikersaccounts hebben genoeg aan de rechten van domeingebruikers. Gebruik wachtwoord niet meerdere malen. Het gebeurt vaak dat dezelfde wachtwoorden worden gebruikt voor meerdere systemen en domeinen. Een beheerder die verantwoordelijk is voor twee domeinen, kan domeinbeheerdersaccounts maken met hetzelfde wachtwoord voor elk domein en zelfs in het hele domein dezelfde lokale beheerderswachtwoorden op domeincomputers instellen. In dergelijke gevallen kan een inbraak op een enkele account of computer leiden tot inbraak op het hele domein. Gebruik domeinbeheerdersaccounts niet als serviceaccounts. Het komt ook veel voor dat domeinbeheerdersaccounts worden gebruikt als serviceaccounts voor algemene services zoals het maken van backups van systemen. Dit levert echter een risico op omdat het wachtwoord lokaal op elke computer waarop de service zich bevindt, moet worden opgeslagen of gecachet. Het wachtwoord kan eenvoudig worden achterhaald door iedereen met beheerdersrechten voor de computer. In dergelijke gevallen kan een inbraak op een computer leiden tot inbraak op het hele domein. Serviceaccounts moeten nooit domeinbeheerdersaccounts zijn en de rechten moeten zo veel mogelijk worden beperkt. Hoewel Microsoft Dynamics GP kan worden gebruikt op diverse besturingssystemen, is het verstandig de nieuwste besturingssystemen met de meest geavanceerde beveiligingsvoorzieningen te gebruiken. Vaak hebben versies van besturingssystemen voor zakelijke doeleinden meer beveiligingsvoorzieningen. Gebruik het hulpmiddel Windows Update, dat wordt meegeleverd bij Windows 2000, Windows XP en Windows Server 2003, om over de laatste beveiligingspatches te beschikken. Als u van plan bent gebruik te maken van Microsoft Dynamics GP Bedrijfsportaal, wordt u aangeraden de aanbevelingen op het gebied van beveiliging te volgen in de installatiehandleiding bij Bedrijfsportaal. U vindt deze handleiding op de website CustomerSource. De rest van dit document bevat aanbevelingen met betrekking tot diverse methoden om de beveiliging van de installatie van Microsoft Dynamics GP te verbeteren. Hoewel deze aanbevelingen ten zeerste worden aangeraden, zijn ze niet verplicht. Fysieke beveiliging Het beste uitgangspunt bij het voorkomen van kwaadwillende aanvallen is fysieke beveiliging. Als er bijvoorbeeld een vaste schijf wordt gestolen, worden ook de gegevens op de schijf gestolen. Breng de volgende punten van fysieke beveiliging aan de orde wanneer u een beleid ontwikkelt met gebruikers: 4 BEVEILIGING VOORBEREIDEN

9 HOOFDSTUK 1 AANBEVOLEN BASISBEVEILIGING Bij grote configuraties met specialistische IT-afdelingen zorgt u ervoor dat serverruimten en locaties waar software en handleidingen worden bewaard afgesloten worden. Houd onbevoegde gebruikers uit de buurt van de aan-/uitknop en resetknop van de server. Bedenk of het verstandig is om verwijderbare opslagapparatuur, zoals cdbranders, te verwijderen uit clientwerkstations. Zorg voor inbraakalarminstallaties ongeacht de gevoeligheid van de gegevens. Zorg ervoor dat back-ups van kritieke gegevens buiten het bedrijf worden bewaard en dat software wordt bewaard in een verpakking of kast die bestand is tegen water en vuur als de software niet wordt gebruikt. Werknemers Het is verstandig om beheerdersrechten voor alle producten en voorzieningen te beperken. Geef werknemers standaard alleen-lezen toegang tot systeemfuncties, tenzij ze meer rechten nodig hebben om hun werk te kunnen doen. Het volgende principe van zo min mogelijk rechten wordt aanbevolen: geef gebruikers de minimumrechten die nodig zijn om toegang te hebben tot gegevens en functionaliteit. Voorkom bijvoorbeeld dat beheerdersrechten nodig zijn om voorzieningen te gebruiken. Voormalig werknemers en ontevreden werknemers vormen een risico voor de veiligheid van het netwerk. Voer het volgende beleid met betrekking tot werknemers: Onderzoek hun achtergrond voordat personeel in dienst wordt genomen. Houd rekening met 'wraakacties' van ontevreden werknemers en voormalig werknemers. Controleer of alle Windows-accounts en wachtwoorden ongeldig zijn gemaakt na het vertrek van een werknemer. Verwijder gebruikers niet, zodat ze nog beschikbaar zijn voor rapportagedoeleinden. Train gebruikers om alert te zijn en verdachte activiteiten te melden. Geef rechten niet automatisch. Als gebruikers geen toegang nodig hebben tot bepaalde computers, computerruimten of bestanden, zorgt u ervoor dat ze die toegang ook niet hebben. Train leidinggevenden om mogelijke problemen met werknemers op te merken en erop te reageren. Controleer het systeem op ongewone activiteiten. Zorg ervoor dat medewerkers weten wat er van ze wordt verwacht met betrekking tot de beveiliging van het netwerk. Geef een exemplaar van het bedrijfsbeleid aan alle werknemers. Laat gebruikers hun eigen software niet zelf installeren. BEVEILIGING VOORBEREIDEN 5

10 HOOFDSTUK 1 AANBEVOLEN BASISBEVEILIGING Systeembeheerders Het wordt ten sterkste aangeraden dat systeembeheerders zorgen voor de laatste beveiligingscorrecties die Microsoft uitbrengt. Hackers zijn zeer bekwaam in het combineren van kleine fouten om zo op grote schaal in te breken in een netwerk. Beheerders moeten er ten eerste voor zorgen dat alle afzonderlijke computers zo veilig mogelijk zijn en hierna updates en patches voor de beveiliging toevoegen. U vindt veel koppelingen en resources in deze gids als hulp bij het zoeken naar informatie en aanbevolen procedures met betrekking tot beveiliging. Complexiteit levert ook een aantal nadelen op bij de beveiliging van uw netwerk. Hoe complexer het netwerk, des te moeilijker is het te beveiligen en te verbeteren zodra een insluiper zich toegang heeft verschaft. De beheerder moet de netwerktopografie goed documenteren en deze zo eenvoudig mogelijk houden. Beveiliging is vooral een kwestie van risicobeheer. Het gebruik van technologie op zich garandeert geen veiligheid. Effectieve beveiliging vergt een combinatie van technologie en beleid. Veiligheid staat of valt met de manier waarop technologie wordt gebruikt. Microsoft levert technologie en voorzieningen die helpen bij de beveiliging, maar alleen de beheerder en het management kunnen het juiste beleid voor elke organisatie bepalen. Tref voorbereidingen voor beveiliging in een vroeg stadium van de implementatie en ingebruikname. Ga na wat uw bedrijf nodig heeft om zichzelf te beschermen en wat het bereid is daarvoor te doen. Zorg ook voor plannen voor onvoorziene gebeurtenissen voordat deze zich voordoen en combineer een degelijke planning met degelijke technologie. Raadpleeg The Ten Immutable Laws of Security Administration, te vinden op essays/10salaws.mspx voor meer informatie over algemene beveiliging. Beheer van beveiligingspatches Besturingssystemen en toepassingen zijn vaak enorm complex. Ze bestaan vaak uit miljoenen regels code die worden geschreven door vele programmeurs. Het is van essentieel belang dat de software betrouwbaar is en geen risico vormt voor de beveiliging of stabiliteit van de IT-omgeving. Programma's worden uitgebreid getest voordat ze worden uitgebracht om de kans op problemen zo klein mogelijk te houden. Kwaadwillenden zijn echter dag en nacht bezig met het zoeken naar zwakke plekken in software. Het is daarom niet mogelijk alle toekomstige aanvallen voor te zijn. Voor veel organisaties is het beheer van patches onderdeel van de strategie voor beheer van wijzigingen en configuraties. Hoe groot of klein de organisatie ook is en op welk terrein ze ook werkzaam is, een goede strategie voor beheer van patches is van essentieel belang. Zelfs als de organisatie nog niet beschikt over effectief beleid ten aanzien van het beheer van wijzigingen en configuraties. Het overgrote merendeel van geslaagde aanvallen op computersystemen betreffen systemen waarop beveiligingspatches (nog) niet zijn geïnstalleerd. Beveiligingspatches vormen een probleem voor de meeste organisaties. Zodra een zwakke plek in software is gevonden, stellen kwaadwillenden direct de hele hackergemeenschap hiervan op de hoogte. Wanneer een zwakke plek wordt gevonden in zijn software, streeft Microsoft ernaar zo snel mogelijk een beveiligingspatch beschikbaar te stellen. Totdat de patch in gebruik wordt genomen, is de beveiliging waar de gebruiker van uitgaat en op rekent in hoge mate verminderd. 6 BEVEILIGING VOORBEREIDEN

11 HOOFDSTUK 1 AANBEVOLEN BASISBEVEILIGING In de Windows-omgeving zorgt u ervoor dat u de nieuwste beveiligingspatches hebt geïnstalleerd in het hele systeem. Het gebruik van de technologieën die Microsoft hiervoor ter beschikking stelt, maakt deze taak een stuk eenvoudiger. Deze technologieën zijn: Microsoft Security Notification Service De Security Notification Service is een lijst die zorgt voor de verspreiding van waarschuwingen zodra een update beschikbaar is. Deze waarschuwingen vormen een belangrijk onderdeel van een proactieve beveiligingsstrategie. De waarschuwingen zijn ook beschikbaar op de website TechNet Product Security Notification: technet/security/bulletin/notify.mspx. Microsoft Security Bulletin Search Tool Het zoekhulpmiddel voor beveiligingsbulletins is beschikbaar op de website HotFix & Security Bulletin Service. U kunt vaststellen welke updates u nodig hebt op basis van het besturingssysteem, de toepassingen en service packs die u momenteel gebruikt. Raadpleeg voor meer informatie over het Microsoft Security Bulletin Search Tool Microsoft Baseline Security Analyzer (MBSA) Dit grafische hulpprogramma is beschikbaar op de website van Microsoft Baseline Security Analyzer. Dit hulpprogramma vergelijkt de huidige status van een computer met de lijst met updates die wordt bijgehouden door Microsoft. MBSA voert ook enkele algemene controles van de beveiliging uit, zoals de sterkte van wachtwoorden en de vervaldatums hiervan, beleid ten aanzien van gastaccounts en een aantal andere gebieden. MBSA zoekt ook naar zwakke plekken in Microsoft Internet Information Services (IIS), Microsoft SQL Server 2000, Microsoft Exchange 5.5, Microsoft Exchange 2000 en Microsoft Exchange Server Raadpleeg voor meer informatie over de Microsoft Baseline Security Analyzer. Microsoft Software Update Services (SUS) Dit hulpmiddel, dat vroeger Windows Update Corporate Edition heette, biedt ondernemingen de mogelijkheid alle kritieke updates en beveiligingspakketten (SRP's) te hosten die beschikbaar zijn op de openbare website Windows Update. Dit hulpmiddel werkt met een nieuwe versie van automatische updateclients (AU) en vormt zo de basis van een krachtige strategie voor het automatisch downloaden en installeren van updates. De nieuwe AU-clientset omvat een client voor de besturingssystemen Windows 2000 en Windows Server 2003 en biedt de mogelijkheid om updates automatisch te downloaden en te installeren. Raadpleeg windows2000/windowsupdate/sus/default.asp voor meer informatie over Microsoft SUS. Microsoft Systems Management Server (SMS) Software Update Services Feature Pack. Het SMS Software Update Services Feature Pack bevat een aantal hulpmiddelen die zijn bedoeld om het proces van de uitgifte van software-updates in de onderneming te vergemakkelijken. De hulpmiddelen omvatten een Security Update Inventory Tool, een Microsoft Office Inventory Tool for Updates, de wizard Distribute Software Updates en een SMSwebrappportageprogramma met de invoegtoepassing Web Reports voor softwareupdates. Raadpleeg featurepacks/suspack/ voor meer informatie over de verschillende hulpmiddelen. U wordt aangeraden kennis te nemen van elk van deze beveiligingshulpmiddelen en we bevelen het gebruik ervan van harte aan. Het is erg belangrijk dat BEVEILIGING VOORBEREIDEN 7

12 HOOFDSTUK 1 AANBEVOLEN BASISBEVEILIGING beveiligingsproblemen zo snel mogelijk worden aangepakt en dat hierbij de stabiliteit van de omgeving behouden blijft. Microsoft Dynamics GP-servicepacks Microsoft Dynamics GP beveiligingspatches worden uitgebracht als onderdeel van servicepacks. Servicepacks vindt u in het gedeelte Downloads and Updates van de website CustomerSource. Bezoek deze website regelmatig om er zeker van te zijn dat u volledig op de hoogte bent van eventuele beveiligingsproblemen die van invloed zijn op Microsoft Dynamics GP. Bijgewerkte instructies voor het uitvoeren van upgrades naar de nieuwste versie van Microsoft Dynamics GP vindt u op Beveiligingspatches voor clients Gebruikers van Microsoft Dynamics GP kunnen ervoor zorgen dat hun clientcomputers beschikken over de laatste beveiligingspatches voor Microsoft Windows 2000, Windows XP en Windows Server 2003 door gebruik te maken van het hulpmiddel Windows Update dat onderdeel is van deze systemen. Als Microsoft Security Update Services wordt geïnstalleerd op de server, kan een groot deel van het updateproces worden geautomatiseerd door de IT-afdeling van de organisatie. De Microsoft Security Notification Service zorgt voor verzending van details van alle beveiligingspatches voor SQL Server BEVEILIGING VOORBEREIDEN

13 Hoofdstuk 2: Het besturingssysteem van de server beveiligen De volgende informatie bevat enkele aanbevolen procedures voor het beveiligen van besturingssystemen van servers. Lees deze informatie aandachtig door voordat u Microsoft Dynamics GP in gebruik neemt. De informatie is onderverdeeld in de volgende onderwerpen: Beveiliging van besturingssystemen van servers Verificatie Wachtwoordbeveiliging Sterke wachtwoorden Wachtwoordbeleid vaststellen Accountvergrendelingsbeleid definiëren Toegangsbeheer Eenmalige aanmelding Firewall voor externe beveiliging ISA Server 2000 Beveiliging van besturingssystemen van servers Sommige kleine bedrijven hebben mogelijk geen serverbesturingssysteem. Toch is het belangrijk voor managers in het midden- en kleinbedrijf om kennis te nemen van de aanbevolen procedures die gelden voor grote bedrijven met complexere netwerkomgevingen. Veel van de beleidsmaatregelen en aanbevolen procedures in dit document kunnen eenvoudig worden toegepast in bedrijven die alleen beschikken over clientbesturingssystemen. De concepten in dit gedeelte gelden voor zowel Microsoft Windows 2000 Server als Microsoft Windows Server 2003, hoewel de meeste informatie afkomstig is uit de online Help-functie bij Windows Server Windows Server 2003 biedt een krachtig pakket beveiligingsvoorzieningen. De online Help bij Windows Server 2003 bevat volledige informatie over alle beveiligingsvoorzieningen en procedures. Ga naar het Windows 2000 Server Security Center, dat u vindt op voor meer informatie over Windows 2000 Server. Microsoft heeft de Windows Server 2003 Security Guide gepubliceerd op voor meer informatie over Windows 2003 Server. De belangrijkste voorzieningen van het beveiligingsmodel voor Windows-servers zijn verificatie, toegangsbeheer en eenmalige aanmelding, zoals hierna wordt beschreven. Verificatie is het proces waarbij het systeem de identiteit van een gebruiker controleert aan de hand van zijn of haar aanmeldreferenties. De naam en het wachtwoord van een gebruiker worden vergeleken met een lijst met bevoegden. Als er een overeenkomst wordt gevonden, wordt toegang verleend op het niveau dat is bepaald in de lijst met machtigingen voor die gebruiker. Met behulp van toegangsbeheer wordt de toegang van gebruikers beperkt tot informatie of bronnen op basis van de identiteit van de gebruiker en zijn/haar BEVEILIGING VOORBEREIDEN 9

14 HOOFDSTUK 2 HET BESTURINGSSYSTEEM VAN DE SERVER BEVEILIGEN lidmaatschap van diverse vooraf gedefinieerde groepen. Toegangsbeheer wordt meestal gebruikt door systeembeheerders om de toegang van gebruikers tot netwerkbronnen, zoals servers, mappen en bestanden, te beperken en wordt vaak aangewend om gebruikers en groepen machtigingen te verlenen voor toegang tot bepaalde objecten. Dankzij eenmalige aanmelding kan een gebruiker zich aanmelden bij het Windows-domein met één wachtwoord waarna hij/zij kan werken op elke willekeurige computer in het Windows-domein. Eenmalige aanmelding stelt beheerders ook in staat om beveiligde wachtwoordverificatie te implementeren op het hele Windows-netwerk, waarbij eindgebruikers heel gemakkelijk toegang krijgen tot wat ze nodig hebben. De volgende onderwerpen geven een gedetailleerdere beschrijving van deze drie sleutelvoorzieningen voor de beveiliging van uw computeromgeving. Verificatie Verificatie is een fundamenteel aspect van systeembeveiliging. Hiermee wordt de identiteit gecontroleerd van alle gebruikers die zich proberen aan te melden bij een domein of toegang proberen te krijgen tot netwerkbronnen. Wachtwoorden van gebruikers vormen de zwakke schakel in alle verificatiesystemen. Wachtwoorden vormen de eerste verdedigingslinie tegen onbevoegde toegang tot het domein en lokale computers. U wordt aangeraden de aanbevolen procedures voor wachtwoorden te implementeren in uw organisatie. Raadpleeg Wachtwoordbeveiliging op pagina 10, Sterke wachtwoorden op pagina 11 en Wachtwoordbeleid vaststellen op pagina 13 voor meer informatie. Wachtwoordbeveiliging Het is altijd belangrijk dat gebruikers gebruikmaken van wachtwoorden en de volgende richtlijnen voor wachtwoorden opvolgen. Stel altijd sterke wachtwoorden verplicht. Raadpleeg Sterke wachtwoorden op pagina 11 voor meer informatie. Als wachtwoorden moeten worden opgeschreven op een stuk papier, bewaart u dat papier op een veilige plaats en vernietigt u het zodra het niet meer nodig is. Laat niemand uw wachtwoorden weten. Gebruik verschillende wachtwoorden voor alle gebruikersaccounts. Wijzig wachtwoorden onmiddellijk als ze bekend zijn geworden. Wees voorzichtig met het opslaan van wachtwoorden op computers. In sommige dialoogvenster wordt een optie gegeven om wachtwoorden op te slaan of te onthouden. Dit komt vaak voor bij externe toegang en andere telefoonverbindingen. Als u deze optie inschakelt, is dit een potentieel risico voor de beveiliging aangezien het wachtwoord wordt opgeslagen in het systeemregister. 10 BEVEILIGING VOORBEREIDEN

15 HOOFDSTUK 2 HET BESTURINGSSYSTEEM VAN DE SERVER BEVEILIGEN Sterke wachtwoorden De rol van wachtwoorden in de beveiliging van het netwerk van een organisatie wordt vaak onderschat en over het hoofd gezien. Zoals gezegd zijn wachtwoorden de eerste verdedigingslinie tegen onbevoegde toegang tot uw organisatie. De Windows Server 2003-familie beschikt over een nieuwe voorziening die de complexiteit van het wachtwoord van de beheerdersaccount controleert tijdens de configuratie van het besturingssysteem. Als het wachtwoord leeg is of niet voldoet aan de vereiste complexiteit, wordt een dialoogvenster weergegeven met een waarschuwing voor het gevaar van het ontbreken van een sterk wachtwoord voor de beheerdersaccount. In een werkgroepomgeving kan een gebruiker geen toegang krijgen tot een computer via het netwerk als hij/zij een account gebruikt met een leeg wachtwoord. Zwakke wachtwoorden geven aanvallers een gemakkelijke opening tot computers en het netwerk, terwijl sterke wachtwoorden aanzienlijk moeilijker te kraken zijn, zelfs met behulp van de speciale software voor het kraken van wachtwoorden die vandaag de dag beschikbaar is. Programma's voor het kraken van wachtwoorden worden steeds beter en de computers die worden gebruikt om wachtwoorden te kraken worden steeds krachtiger. Bij het kraken van wachtwoorden wordt een van drie volgende methoden gebruikt: intelligent gokken, woordenboeken en geautomatiseerde brute kracht waarbij elke mogelijke combinatie van tekens wordt geprobeerd. Als er voldoende tijd is, kan met een geautomatiseerde methode elk wachtwoord worden gekraakt. Sterke wachtwoorden zijn echter veel moeilijker te kraken dan zwakke wachtwoorden. Een veilige computer heeft sterke wachtwoorden voor alle gebruikeraccounts. Een zwak wachtwoord Is helemaal geen wachtwoord. Bevat de gebruikersnaam, echte naam of bedrijfsnaam van de gebruiker. Bevat een volledig bestaand woord. Het woord Wachtwoord is bijvoorbeeld een zwak wachtwoord. Een sterk wachtwoord Bestaat uit ten minste zeven tekens. Bevat niet de gebruikersnaam, echte naam of bedrijfsnaam van de gebruiker. Bevat geen volledig bestaand woord. Verschilt genoeg van vorige wachtwoorden. Wachtwoorden die stapsgewijs toenemen, zoals wachtwoord1, wachtwoord2, wachtwoord3, zijn niet sterk. BEVEILIGING VOORBEREIDEN 11

16 HOOFDSTUK 2 HET BESTURINGSSYSTEEM VAN DE SERVER BEVEILIGEN Bevat tekens uit elk van de vier groepen in de volgende tabel. Groep Voorbeeld Hoofdletters A B C D Kleine letters a b c d Cijfers Symbolen # $ % ^ & * ( ) _ + - = { } [ ] \ : ; < >?,. / Voorbeelden van sterke wachtwoorden zijn W@chtwo0rd en J*p2le04>F. Een wachtwoord kan voldoen aan de meeste criteria voor een sterk wachtwoord en toch redelijk zwak zijn. Zo is Hello2U! een relatief zwak wachtwoord, hoewel het toch voldoet aan de meeste criteria voor sterke wachtwoorden en aan de vereiste complexiteit van wachtwoordbeleid. H!alZl2o is een sterk wachtwoord omdat in het bestaande woord symbolen, cijfers en andere letters staan. Het is belangrijk om alle gebruikers voor te lichten over de voordelen van sterke wachtwoorden en ze te leren hoe ze wachtwoorden kunnen kiezen die ook daadwerkelijk sterk zijn. Wachtwoorden kunnen tekens bevatten uit de uitgebreide ASCII-tekenset. Als gebruik wordt gemaakt van uitgebreide ASCII-tekens, kunnen gebruikers kiezen uit meer tekens bij het samenstellen van wachtwoorden. Daardoor kan het langer duren voordat kraaksoftware wachtwoorden met deze uitgebreide ASCII-tekens kan kraken. Test wachtwoorden met uitgebreide ASCII-tekens grondig voordat u ze gaat gebruiken. Het is belangrijk dat wachtwoorden met uitgebreide ASCII-tekens bruikbaar zijn in combinatie met andere toepassingen die in de organisatie worden gebruikt. Wees vooral voorzichtig met het gebruik van uitgebreide ASCII-tekens in wachtwoorden als in de organisatie verschillende besturingssystemen worden gebruikt. U vindt de uitgebreide ASCII-tekens in Speciale tekens. Sommige uitgebreide ASCII-tekens kunnen beter niet worden gebruikt in wachtwoorden. Gebruik een teken niet als er geen toetsaanslag voor is gedefinieerd in de rechterbenedenhoek van het dialoogvenster Speciale tekens. Raadpleeg de online Help bij Windows Server voor informatie over het gebruik van speciale tekens. Voorbeelden van wachtwoorden met tekens uit de uitgebreide ASCII-tekenset zijn kuµ!0o en Wf $0k#"g 5ªrd. U kunt een wachtwoordbeleid instellen waarbij speciale eisen worden gesteld aan de complexiteit van wachtwoorden. Raadpleeg Wachtwoorden moeten voldoen aan complexiteitsvereisten in de on line Help bij Windows Server voor meer informatie over dit beleid. Windows-wachtwoorden kunnen uit maximaal 127 tekens bestaan. Als u werkt in een netwerk waarin ook computers met Windows 98 worden gebruikt, kunt u beter geen wachtwoorden gebruiken van meer dan 14 tekens. Microsoft Windows 98 biedt ondersteuning voor wachtwoorden van maximaal 14 tekens. Als een wachtwoord langer is, is het mogelijk dat gebruikers zich niet vanaf die computers kunnen aanmelden bij het netwerk. 12 BEVEILIGING VOORBEREIDEN

17 HOOFDSTUK 2 HET BESTURINGSSYSTEEM VAN DE SERVER BEVEILIGEN Wachtwoordbeleid vaststellen Wanneer u beleid voor wachtwoorden vaststelt, is het belangrijk dat alle gebruikersaccounts verplicht sterke wachtwoorden moeten hebben. Voor de volgende instellingen van Windows Server zijn sterke wachtwoorden verplicht. Stel de optie Uniekheid van wachtwoorden forceren zo in dat een aantal vorige wachtwoorden wordt onthouden. Met deze instelling kunnen gebruikers niet hetzelfde wachtwoord kiezen wanneer hun wachtwoord verloopt. Stel de optie Maximale wachtwoordduur zo in dat wachtwoorden verlopen zo vaak als nodig is voor de omgeving van de client. Dit is meestal tussen de 30 en 90 dagen. Stel de optie Minimale wachtwoordduur zo in dat wachtwoorden niet kunnen worden gewijzigd tot ze een bepaald aantal dagen oud zijn. Deze instelling werkt in combinatie met de instelling Uniekheid van wachtwoorden forceren. Als er een minimaal aantal dagen voor wachtwoorden wordt ingesteld, kunnen gebruikers niet hun wachtwoord zo vaak wijzigen dat ze de instelling voor de uniekheid van wachtwoorden kunnen omzeilen en het oorspronkelijke wachtwoord weer kunnen instellen. Gebruikers moeten het opgegeven aantal dagen wachten voordat ze hun wachtwoorden kunnen wijzigen. Stel de optie Minimale wachtwoordlengte zo in dat wachtwoorden ten minste het opgegeven aantal tekens moeten bevatten. Lange wachtwoorden van zeven of meer tekens zijn meestal sterker dan korte. Met deze instelling kunnen gebruikers geen lege wachtwoorden gebruiken en moeten ze wachtwoorden samenstellen van ten minste een bepaald aantal tekens. Schakel de optie Wachtwoorden moeten voldoen aan complexiteitsvereisten in. Met deze instelling worden alle nieuwe wachtwoorden gecontroleerd om er zeker van te zijn dat ze voldoen aan de basisvereisten voor sterke wachtwoorden. Raadpleeg Wachtwoorden moeten voldoen aan complexiteitsvereisten in de on line Help bij Windows Server voor een volledig overzicht van deze vereisten. Accountvergrendelingsbeleid definiëren Ga zorgvuldig te werk bij het definiëren van accountvergrendelingsbeleid. Dit beleid moet niet ondoordacht worden ingesteld. Hoewel de waarschijnlijkheid van het verhinderen van ongeoorloofde toegang tot uw organisatie wordt verhoogd met accountvergrendeling, is het ook mogelijk dat u onbedoeld bevoegde gebruikers buitensluit, wat een kostbare aangelegenheid kan zijn voor uw organisatie. Als u besluit accountvergrendelingsbeleid in te stellen, stelt u de optie Drempel voor accountvergrendelingen in op een hoog genoeg getal zodat de gebruikersaccounts van bevoegde gebruikers niet onbruikbaar worden omdat het wachtwoord verkeerd wordt getypt. Bevoegde gebruikers kunnen worden buitengesloten als ze hun wachtwoord op de ene computer wijzigen, maar niet op een andere. De computer waarop het oude wachtwoord nog wordt gebruikt, probeert steeds de gebruiker te verifiëren met het oude wachtwoord en uiteindelijk wordt de gebruikersaccount vergrendeld. Dit kan een kostbaar gevolg zijn van accountvergrendelingsbeleid, aangezien bevoegde gebruikers geen toegang hebben tot netwerkbronnen totdat de vergrendeling van hun account wordt opgeheven. Dit probleem is niet relevant binnen organisaties die BEVEILIGING VOORBEREIDEN 13

18 HOOFDSTUK 2 HET BESTURINGSSYSTEEM VAN DE SERVER BEVEILIGEN alleen gebruikmaken van domeincontrollers die deel uitmaken van de Windows Server-familie. Raadpleeg Overzicht van accountvergrendelingsbeleid in de on line Help bij Windows Server voor meer informatie over dit beleid. Raadpleeg Accountvergrendelingsbeleid toepassen of wijzigen in de on line Help bij Windows Server voor meer informatie over het toepassen of wijzigen van accountvergrendelingsbeleid. Toegangsbeheer Een Windows-netwerk en de bijbehorende bronnen kunnen worden beveiligd door goed af te wegen welke rechten gebruikers, gebruikersgroepen en andere computers nodig hebben op het netwerk. U kunt een computer of meerdere computers beveiligen door gebruikers of groepen bepaalde rechten te verlenen. U kunt een object, bijvoorbeeld een bestand of map, beveiligen door machtigingen toe te wijzen zodat gebruikers of groepen bepaalde acties op dat object kunnen uitvoeren. Toegangsbeheer bestaat uit de volgende hoofdbestanddelen: Machtigingen Eigendom van objecten Overname van machtigingen Gebruikersrechten Objectcontrole Machtigingen Machtigingen bepalen het type toegang dat een gebruiker of groep heeft tot een object of eigenschap van een object, zoals bestanden mappen en registerobjecten. Machtigingen gelden voor beveiligde objecten zoals bestanden of registerobjecten. Machtigingen kunnen worden verleend aan een gebruiker, groep of computer. Het is verstandig om machtigingen aan groepen toe te wijzen. Eigendom van objecten De eigenaar van een object wordt bepaald op het moment dat het object wordt gemaakt. De maker van een object is standaard de eigenaar in Windows 2000 Server. Dit is gewijzigd in Windows Server 2003 voor objecten die zijn gemaakt door leden van de groep Administrators. Wanneer een lid van de groep Administrators een object maakt in Windows Server 2003, wordt de groep Administrators de eigenaar, niet de afzonderlijke account die het object heeft gemaakt. Dit gedrag kan worden gewijzigd via de module voor lokale beveiligingsinstellingen van Microsoft Management Console (MMC) met de optie Systeemobjecten: standaardeigenaar van objecten die door leden van de groep Administrators zijn gemaakt. Ongeacht de machtigingen die zijn ingesteld op een object, kan de eigenaar van het object de machtigingen op het object altijd wijzigen. Raadpleeg Eigendom" in de on line Help bij Windows Server voor meer informatie. Overname van machtigingen Dankzij overname kunnen beheerders machtigingen eenvoudig toewijzen en beheren. Deze voorziening zorgt ervoor dat alle objecten in een container alle machtigingen van die container die hiervoor geschikt zijn overnemen. Zo nemen de bestanden in een map bij het maken de machtigingen van de map over. Alleen machtigingen die zijn gemarkeerd voor overname worden overgenomen. 14 BEVEILIGING VOORBEREIDEN

19 HOOFDSTUK 2 HET BESTURINGSSYSTEEM VAN DE SERVER BEVEILIGEN Gebruikersrechten Gebruikersrechten verlenen gebruikers en computers in de computeromgeving bepaalde bevoegdheden en aanmeldingsrechten. Raadpleeg Gebruikersrechten in de on line Help bij Windows Server voor meer informatie. Objectcontrole U kunt de toegang van gebruikers tot objecten controleren. Vervolgens kunt u deze beveiligingsgebeurtenissen bekijken in het beveiligingslogboek met behulp van Logboeken. Raadpleeg Controle in de online Help bij Windows Server voor meer informatie. Aanbevolen procedures voor toegangsbeheer Gebruik de volgende informatie wanneer u toegang tot het serverbesturingssysteem verleent of weigert. Wijs machtigingen toe aan groepen in plaats van gebruikers. Het is niet efficiënt om gebruikersaccounts rechtstreeks te beheren. Wijs machtigingen daarom zo min mogelijk toe aan afzonderlijke gebruikersaccounts. Gebruik de vermelding Weigeren alleen voor speciale gevallen. U kunt de vermelding Weigeren gebruiken om een subset van een groep met toegang uit te sluiten. Gebruik de vermelding Weigeren om één speciale machtiging uit te sluiten wanneer u al volledige controle aan een gebruiker of groep hebt verleend. Weiger de groep Iedereen nooit de toegang tot een object. Als u iedereen de toegang tot een object weigert, geldt dat ook voor beheerders. U kunt beter de groep Iedereen verwijderen als u tenminste andere gebruikers, groepen of computers machtigingen op dat object verleent. Wijs machtigingen op een object zo hoog mogelijk in de structuur toe en pas vervolgens overname toe om de beveiligingsinstellingen in de structuur te laten 'uitwaaieren'. U kunt toegangsbeheerinstellingen snel en effectief toepassen op alle onderliggende elementen of een substructuur van een bovenliggend object. Op die manier hebt u een zo groot mogelijk effect met zo min mogelijk inspanning. De machtigingsinstellingen die u hanteert, zouden afdoende moeten zijn voor het merendeel van gebruikers, groepen en computers. Expliciete machtigingen hebben soms voorrang boven overgenomen machtigingen. Overgenomen vermeldingen Weigeren voorkomen geen toegang tot een object als het object een expliciete vermelding Toestaan heeft. Expliciete machtigingen hebben voorrang op overgenomen machtigingen, zelfs overgenomen vermeldingen Weigeren. Voor machtigingen op Active Directory -objecten is het belangrijk dat u op de hoogte bent van aanbevolen procedures voor Active Directory-objecten. Raadpleeg Aanbevolen procedures voor het toewijzen van machtigingen op Active Directory-objecten in de on line Help bij Windows Server BEVEILIGING VOORBEREIDEN 15

20 HOOFDSTUK 2 HET BESTURINGSSYSTEEM VAN DE SERVER BEVEILIGEN Eenmalige aanmelding Een van de belangrijkste voorzieningen voor verificatie van de Windows Serverfamilie is de ondersteuning van eenmalige aanmelding. Dankzij eenmalige aanmelding kan een gebruiker zich aanmelden bij het Windows-domein met één wachtwoord waarna hij/zij kan werken op elke willekeurige computer in het Windows-domein zonder het wachtwoord opnieuw in te voeren. Eenmalige aanmelding heeft twee belangrijke voordelen voor de beveiliging. Het gebruik van één wachtwoord of smartcard vermindert de kans op verwarring en verbetert de efficiëntie voor de gebruiker. Het voordeel voor beheerders is de afname van de hoeveelheid ondersteuning die moet worden geboden aan domeingebruikers, aangezien de beheerder slechts één account per gebruiker hoeft te beheren. Verificatie, inclusief eenmalige aanmelding, wordt geïmplementeerd als proces met twee delen: interactieve aanmelding en netwerkverificatie. Geslaagde verificatie van gebruikers steunt op beide processen. Raadpleeg de on line Help bij Windows Server voor informatie over het configureren van de voorziening voor eenmalige aanmelding van Windows. Firewall voor externe beveiliging Een firewall is hardware of software die voorkomt dat gegevenspakketten een bepaald netwerk binnengaan of verlaten. De verkeersstromen worden geregeld door genummerde poorten in de firewall te openen of te sluiten voor informatiepakketten. De firewall controleert verschillende gegevens voor elk binnenkomend en uitgaand pakket: Het protocol waarmee het pakket wordt afgeleverd De bestemming of afzender van het pakket Het type inhoud van het pakket Het poortnummer waarnaar het wordt verzonden Als de firewall zo is geconfigureerd dat het opgegeven protocol wordt geaccepteerd via de opgegeven poort, wordt het pakket doorgelaten. Microsoft Windows Small Business Server 2003 Premium Edition wordt geleverd met Microsoft ISA Server 2000 (Internet Security and Acceleration) als firewall. ISA Server 2000 ISA Server 2000 (Internet Security and Acceleration) zorgt voor een veilige routering van aanvragen en antwoorden tussen internet en clientcomputers binnen het interne netwerk. ISA Server fungeert als veilige gateway naar internet voor clients in het lokale netwerk. De ISA Server-computer is transparant voor de andere deelnemers in het communicatiepad. De internetgebruiker zou niet mogen merken dat er een firewallserver is, tenzij de gebruiker probeert toegang te krijgen tot een service of site waartoe de ISA Server-computer de toegang weigert. De internetserver waartoe toegang wordt gezocht, interpreteert de aanvragen van de ISA Server-computer alsof de aanvragen afkomstig zijn van de clienttoepassing. Wanneer u kiest voor IP-fragmentfilters (Internet Protocol), schakelt u de services Webproxy en Firewall in om fragmenten van pakketten uit te filteren. Door 16 BEVEILIGING VOORBEREIDEN

21 HOOFDSTUK 2 HET BESTURINGSSYSTEEM VAN DE SERVER BEVEILIGEN fragmenten van pakketten te filteren worden alle gefragmenteerde IP-pakketten genegeerd. Een bekende manier van aanvallen vindt plaats door het verzenden van gefragmenteerde pakketten die vervolgens weer bij elkaar worden gezocht en schade aan het systeem kunnen veroorzaken. ISA Server bevat een mechanisme voor het opsporen van indringers dat het tijdstip registreert waarop een aanval wordt gedaan op het netwerk en dat een set geconfigureerde acties (of waarschuwingen) uitvoert in geval van een aanval. Als IIS (Internet Information Services) is geïnstalleerd op de ISA Server-computer, configureert u dit zo dat geen gebruik wordt gemaakt van poorten die ISA Server gebruikt voor uitgaande webaanvragen (dit is standaard poort 8080) en voor inkomende webaanvragen (dit is standaard poort 80). U kunt IIS zo instellen dat poort 81 wordt gecontroleerd en vervolgens de ISA Server-computer zo configureren dat binnenkomende webaanvragen worden omgeleid naar poort 81 op de lokale computer waarop IIS wordt uitgevoerd. Als er een conflict bestaat tussen poorten die worden gebruikt door ISA Server en IIS, wordt de IIS-publicatieservice gestopt. U kunt dan de instellingen van IIS wijzigen zodat een andere poort wordt gecontroleerd en hierna de IISpublicatieservice weer starten. Beleid voor ISA Server U kunt een beleid voor ISA Server definiëren dat binnenkomende en uitgaande toegang bepaalt. Regels voor sites en inhoud bepalen tot welke sites en inhoud toegang kan worden verkregen. Protocolregels geven aan of een bepaald protocol toegankelijk is voor inkomende en uitgaande communicatie. U kunt regels maken voor sites en inhoud, protocollen, webpublicatie en IPpakketfilters. Dit beleid bepaalt hoe de ISA Server-clients communiceren met internet en welke communicatie wordt toegestaan. Aanvullende beveiligingsinstellingen van SQL Server 2000 Aangezien Microsoft Dynamics GP afhankelijk is van SQL Server 2000, is het belangrijk dat u maatregelen treft om de beveiliging van de SQL Server installatie te optimaliseren. De volgende stappen helpen u de beveiliging van SQL Server te verbeteren: Controleer of u de laatste versie van de service packs voor het besturingssysteem en SQL Server 2000 en updates hebt geïnstalleerd. Ga naar de website Microsoft Security & Privacy ( security/default.asp) voor de laatste informatie. Voor beveiliging op het niveau van het bestandssysteem controleert u of alle gegevens- en systeembestanden van SQL Server 2000 zijn geïnstalleerd op NTFS-partities. Deze bestanden moeten alleen toegankelijk zijn voor gebruikers op beheerders- of systeemniveau via NTFS-machtigingen. Dit voorkomt dat gebruikers toegang krijgen tot die bestanden wanneer de service SQL Server 2000 (MSSQLSERVER) niet wordt uitgevoerd. Gebruik een domeinaccount met weinig rechten of de account Lokaal systeem voor de service SQL Server 2000 (MSSQLSERVER). Deze account moet beschikken over minimale rechten in het domein en moet helpen bij het BEVEILIGING VOORBEREIDEN 17