Presentation laddar. Vänta.

Presentation laddar. Vänta.

Security Checks Mikael Nyström – DGC MVP Windows Server – Setup/Deployment.

Liknande presentationer


En presentation över ämnet: "Security Checks Mikael Nyström – DGC MVP Windows Server – Setup/Deployment."— Presentationens avskrift:

1 Security Checks Mikael Nyström – DGC MVP Windows Server – Setup/Deployment

2 Agenda Vem är jag? Vad är ”Security Checks”? Våra sju punkter –(1) Skydda företagets samtliga datorer –(2) Säkerhetskopiera och skydda information –(3) Surfa säkert och informera om riskerna –(4) Skydda företagets nätverk –(5) En säker server = en säker verksamhet –(6) Säkra affärskritiska program –(7) Administrera alla datorer från servern Säkerhetspolicy Sammanfattning

3 Vem är jag Senior konsult – DGC Trainer –För MS Partner och kunder genom Informator Speaker –TechNet Live, Exchange Forum Fråga Experten MVP –Windows Server - Setup/Deployment ATE (Ask The Experts) –TechEd 2005 Amsterdam ITProffs.se –www.itproffs.se

4 Vad är Security Checks? ”Vi vill tillsammans med våra partner bidra till ökad kunskap och medvetenhet om hur man bäst kan skydda sina Informations tillgångar. Vi erbjuder företagare en kostnadsfri säkerhetsgenomgång, Erbjudandet ingår som en del av Microsofts satsningar på den riksomfattande kampanjen Surfa Lugnt. ”

5 Vad är Security Checks Security Checks för småföretagare –Anpassat för företag med datorer Kriterier för att delta i Security Checks-kampanjen –Registrerad partner. Partner ska delta i ett av följande event Sommarkollo seminarierna om Security Checks (i första hand) Utbildningsfilm på Marknadsbyrån (i andra hand) Material och stöd till kunden –Security Guidance Center –Security Toolkit CD (engelska). –Mall på en säkerhetsplan –Checklista för datorsäkerhet –Online film som bygger på säkerhetsbroschyrens 7 steg –Viktiga tips för en säker och stabil IT-miljö på ditt företag! (broschyr) ce43904de58b/IT_sakerhet_foretag.pdfhttp://download.microsoft.com/download/7/4/4/744b13b3-3dd b043- ce43904de58b/IT_sakerhet_foretag.pdf

6 Vad är Security Checks Marknadsföring –Microsoft kommer att driva intensiv marknadsföring av säkerhetsgenomgångar via många kanaler. Security Checks är en del av Microsofts satsning –Alla deltagande partner kommer att publiceras på en webbsida med kontaktinformation. Marknadsbyrån –På Marknadsbyrån kommer all information att finnas tillgänglig. Listan kommer att finnas på –Ute hos kund, går partner in via webben och fyller i ett formulär om kunden, som överförs direkt till Marknadsbyrån. Marknadsbyrån registrerar partnerns samtliga kundbesök och betalar ut ett marknadsstöd om SEK 500/styck till partner Nätverket för Surfa Lugnt –Vi är ett femtontal myndigheter, organisationer och företag som står bakom satsningen om ett säkrare Internet.

7 Basinformation om nätverket Hur många datorer finns det av respektive kategori i nätverket? –Vi vill ha enhetligt och så hög nivå som möjligt, blandade miljöer resulterar ofta i låg säkerhet. Dessutom blir varje typsystem unikt konfigurerat. Hur många servrar finns det av respektive kategori i nätverket? –Vi vill ha enhetligt och så hög nivå som möjligt, blandade miljöer resulterar ofta i låg säkerhet. Dessutom blir varje typsystem unikt konfigurerat. Finns det någon Windowsdomän för att hantera datorerna i nätverket? –Utan domän blir det manuell konfiguration på respektive dator, jobbigt att administrera

8 (1) Skydda företagets samtliga datorer Håll mjukvaran uppdaterad –Finns det rutiner för patchhantering? –Används funktionen ”Automatiska uppdateringar”? Uppenbart, utan en planerad patchhantering blir allt en gissning, automatisk inställning räcker inte, en kontrollfunktion behövs regelbundet

9 (1) Skydda företagets samtliga datorer Skydda datorerna mot skadlig kod –Finns det Antivirusprogram på alla datorer i nätverket? –Om antivirusprogram finns, hur ofta uppdateras det? –Finns det rutiner för att kontrollera att datorerna har blivit uppdaterade? –Om antivirusprogram finns, används funktioner i detta för att kontrollera om så kallat spionprogram eller trojaner finns på datorn, eller används något annat program för detta? –Om antivirusprogram finns, är det möjligt att hantera systemet centralt? Virus och Spyware kan idag förändra informationen i kundens miljö. Antivirus bör också finnas längs hela kedjan, dvs. i brandvägg, e-post system, filsystem och på klienten. Installera och aktivera en brandvägg –Är den personliga brandväggen aktiverad på de datorer som använder Windows XP SP2? –Används det någon annan programvara som personlig brandvägg? En brandvägg bör finnas på varje enskild dator och den bör vara centralt administrerbar, detta för att skydda datorer som inte hunnit bli patchade ännu, eller för datorer som flyttas mellan olika nät

10 (2) Säkerhetskopiera och skydda information Finns det rutiner för hur användarna skall säkerhetskopiera/skydda sin information på klientdatorerna? –Best practices är att INTE ha data på enskilda datorer utan istället lagra på servern, men det är inte alltid möjligt, alltså måste det finnas rutiner för backup Sparar användarna sina dokument på gemensam server? –Förhoppningsvis, men absolut inte självklart. Bärbara datorer, media producerande datorer har av naturliga skäl problem Tas det daglig backup av gemensam data till tex. bandmedia, optisktmedia, eller annan diskbackup lösning? –Fungerande backup är grundläggande för att återställa system och information, både i händelse av systemkrasch men också om system har drabbats av virus som har manipulerat informationen Förvaras media med backup i annan lokal?

11 (2) Säkerhetskopiera och skydda information Förvaras media med backup brandsäkert? –Brand, stöld och intrång. Det är tex. olämpligt att band sitter kvar i en bandrobot under en hel vecka Hur ofta görs det en fullständig backup av viktig data? Hur ofta görs det en inkrementell backup av viktig data –Är det lång tid mellan backuper betyder det att vi kan förlora lika mycket tid vid återläsning av data Om dokument sparas på gemensam server, finns det anpassade rättigheter för olika användare och grupper? –Ingen ska ha mer behörighet än nödvändigt, det man riskerar är att personal ändrar och/eller raderar information av misstag eller avsiktligen Krypteras känslig information? –Bör i första hand användas på datorer med fötter, USB minnen och liknande, men kan även användas internt. OBS, dekrypterings nycklar?, hur hanteras dom? Risken finns att krypterade dokument inte kan dekrypteras därför att nycklar saknas

12 (3) Surfa säkert och informera om riskerna Finns det någon policy för hur användarna får surfa på Internet? –Viktigt, annars går det inte att utbilda personal i vad man får och inte får göra För detsom använder Windows XP SP2 och Internet Explorer, finns det definierat att vissa sidor tillhör olika säkerhets zoner? (tex. Intranet) –Om man använder dessa funktioner, och helst styr dessa centralt kan man bestämma hur IE ska uppföra sig, zonerna påverkar även filsystemet och Outlook/Outlook Express. Finns det någon som använder servern (om det finns någon) att surfa på? –Man surfar ALDRIG på en server om man är administratör, det räcker med att man råkar skriva fel i URL:n med en bokstav för att hamna på en direkt olämplig site, som sparkar igång ett flertal program. Inte bra när man samtidigt är Domän Admin. Undantaget är en terminal server.URL:n Finns det någon central Web-Proxy i nätverket? Om ja, stoppar den olämpliga sidor enligt någon spärrlista? –Man bör alltid kontrollera och styra trafik ut ur nätet, genom att ha en Proxy kan man inspektera och kontrollera http Får användarna någon information/tips vad de skall tänka på när det är ute och surfar? –Kunskap är makt var det någon som sa, sant. Vet man vad man håller på med så minskar riskerna klart. Utbildning fortbildning är viktigt, det visar också om företaget har en ”plan” eller om allt bara ”händer”

13 (4) Skydda företagets nätverk Finns det någon central brandvägg i nätverket, som skyddar mot tex. Internet? Förklara gärna –En bra början är att dom har en, men det räcker sällan, man måste faktiskt veta vad man ska släppa igenom också, en alltför vanlig konfiguration är att allt från det interna nätet mot Internet är ok, men inte tvärtom. Det gäller inte längre. Principen bör bara inget tillåts om det inte står i vår säkerhets policy att det är en del av vår verksamhet. Finns det regler för hur långa lösenorden i nätverket skall vara? Om ja, finns det krav på att lösenorden skall vara minst 8 tecken långt? –För många har blanka lösenord, tänk på att det inte bara gäller användare, det kan finnas konton som används för olika tjänster också Finns det regler för hur ofta användaren måste byta lösenorden? –Det är först när man visar vad man kan göra folk förstår, tex. kan jag skicka e-post i någon annans namn, skulle kunna vara så att ”jag” spyr galla över alla mina arbetskamrater, eller kanske säger upp ”mej” Om det finns något trådlöst nätverk, används någon av de inbyggda säkerhetsfunktionerna? –WEP och MAC adress skydd är för privat personer, WPA med PSK är inte heller någon höjdare. Och varför måste folk visa sitt SSID? Idag är WPA att klassa som OK

14 (4) Skydda företagets nätverk Är servern konfigurerad att bara svara på de nätverksportar som ni har behov av? –Alltså, desto mindre attackyta desto mindre risk Finns loggning av händelser på server, även säkerhetsloggar och auditing? –Tråkigt, men kan vara nödvändigt vid senare tillfälle Finns det rutiner för att följa upp det som står i loggarna? Beskriv gärna –Det här kräver att kunden har någon form av övervakning, vilket inte är så vanligt för små kunder. Men någon måste ju också kunna tolka det som står i loggen, att bara titta räcker inte Finns loggarna på någon annan server så att de finns kvar även om någon har manipulerat dem? –Uppenbart, eller hur, om loggarna ligger kvar på servern så kan man ju manipulera dom också, alltså ”har det aldrig hänt”

15 (5) En säker server = en säker verksamhet Är servern placerad i ett låst utrymme? –Har man fysisk åtkomst kan man göra vad som helst Finns det god ventilation där servern finns? –På sommaren blir det lätt varmt, glöm inte att kylanläggningar som sitter i taket på serverrummet tenderar att läcka friskt på sommaren och det är vatten som läcker Temperatur bör också övervakas, en del UPS:er har larm på temperatur, detsamma gäller en del servrar Är det bara administratören som har fysisk tillgång till servern? –Desto fler kockar desto sämre soppa. Skrivare, papper, pennor måste inte vara på samma ställe som på servern

16 (6) Säkra affärskritiska program Vet ni vilket program/system som är viktig för er verksamhet? –Lita INTE på kunden, fråga runtomkring, ta reda på vad dom gör, vilka verktyg som används. Ett vanligt misstag är att e-post inte är viktigt, tills man stänger av det… Vet företagsledningen vilka program/system som är viktiga för verksamheten? –Det är viktigt, för det handlar om vilka resurser man kan tilldela IT-avdelningen Finns det olika roller av användare som kommer åt olika information i nätverket? –Det indikerar att man har en bra syn på hur säkerhet bör hanteras

17 (7) Administrera alla datorer från servern Finns det rutiner för hur nya datorer skall installeras i nätverket? –Man bör alltid skapa alla konton innan dom tas i bruk, så att man kan lägga dom på rätt plats, med rätt programvara och rätt inställningar och rätt behörigheter/rättigheter. Detta gäller både datorer och användare. En detalj många missar är rutiner för det motsatta, dvs. när datorer tas bort och användare slutar Installeras programvarorna på klientdatorerna med sk paketerad installation? (tex. MSI eller liknande) –Manuella installationer är olämpliga, risken att man gör fel är stor och man måste vara inloggad som lokal admin, värsta tänkbara är ifall användarna installerar sina egna program, då kan dom också installera sina egna virus och spyware, inte lämpligt Om Active Directory finns, används det för att hantera inställningar och installationer på datorerna? –Group Policy, nyckeln till att centralt administrera system. Är mer eller mindre ett av dom bästa verktyg som finns tillgängliga, bland annat så använder man Security Guides för Windows XP SP2 för alla inställningar

18 Säkerhetspolicy Hur är vi organiserade och vad gör vi? –Enkelhet är viktigt Människor och processer –Vem gör vad och varför Infrastruktur –Hur ser nätverket ut, vilka vägar in och ut finns i nätet Applikationer och information –Vad har vi, vad är kritiskt osv. Mer info –http://www.microsoft.com/sverige/smb/sgc/articles/itse cpolicy.mspxhttp://www.microsoft.com/sverige/smb/sgc/articles/itse cpolicy.mspx

19 Exempel på en Policy Företaget AB vill skydda sina tillgångar mot otillbörlig användning av utomstående. Följande information är kritisk för företagets fortlevnad: (lista på det ni kommit fram till ) Den informationen vill vi skydda genom; regelbunden säkerhetskopiering och halvårsvis återställning av information, förvaring av datamedia på avsedd plats, åtkomstkontroll, uppföljning av loggar med mera. Medarbetaransvaret är kritiskt för framgången. Företaget förstår att ansvar kommer från självförtroende och tillit. Företaget kommer därför att ha kontinuerliga utbildningar och uppföljningar för att säkerställa att varje medarbetare är trygg med den policy som är fastställd. Samverkan med extern tredje part kommer att ske för att regelbundet göra en revision kring mål bild och efterlevnad.

20 Sammanfattning Öva på ditt eget företag innan du åker ut till kund, det är viktigt att du vet vad du håller på med. Säkerhet handlar om förtroende Var noggrann, stressa inte Förklara i enkla termer för kunden, skippa tekniken Använd färg för att förklara riskerna –Punkt 1 är röd Dvs. det finns allvarliga brister som bör åtgärdas omedelbart –Punkt 2 är gul Det finns brister som bör åtgärdas –Punkt 3 är grön För tillfället finns inga större brister att åtgärda Detaljerad lista finns för nedladdning där övriga dokument finns


Ladda ner ppt "Security Checks Mikael Nyström – DGC MVP Windows Server – Setup/Deployment."

Liknande presentationer


Google-annonser