Creative Security En interaktiv session om att tänka kreativt med säkerhet Speaker: Marcus Murray, MVP Truesec
Scoupe Väcka tankar om vad man kan göra för att förbättra säkerheten och i mesta mån ”out of the box” men av tidskäl inte riktigt hur (nåt coolt demo skall jag nog kunna klämma in )...
Vad är hotet idag?
För att sätta igång tankarna så...
Jag vill kunna verka på internet utan att det leder till att jag få ner massa elak kod (bots/trojaner) i datorn...
Surfa som icke admin Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Mi crosoft\Windows\Safer\CodeIdentifiers] "Levels"=dword:
Internet John The Admin DNSMail FE Web DC Mail BE WebFileSQL AP Firewall Företaget X Firewall Surf Terminal Server Surfa på en Terminalserver
Jag vill att datorer som olovligen pluggar in på mitt nätverk inte skall få åtkomst till våra domänresurser
IPSEC –Domain Isolation Konceptet innebär att endast kommunicera med datorer som autheticerat sig!
IPSEC Policy i Windows Filter ListAction Rules IPsec Policy Filters Key Exchange Methods (IKE) Authentication Methods (Kerberos, Certificates, Static Keys) Security Methods (Encryption, Hashing, Key Lifetimes) IPsec policies are applied to a GPO, contain a set of rules, and specify how to perform IKE. Each rule associates a Filter List with an Action, and specifies authentication methods. A Filter List specifies a set of individual filters, and is used to group filters together in a rule. A Filter describes a pattern of traffic to match, by IP address, subnet, port, and protocol for both ends of a connection. An Action designates what to do with traffic that matches a filter: Permit, Block, or Negotiate Security.
Setting Up IPsec Domain and Server Isolation in a Test Lab
Server and Domain Isolation Using IPSec and Group Policy
Domain Isolation Policy Domain Controller Me – Domain Controller = Permit Secure Subnet Me – Secure Subnet = Isolate domain All ICMP Traffic All ICMP Traffic=Permit
Jag vill ha en så säker mekanism för inloggning som möjligt
Windows domain logon Lösenord Olika lösenordskrav för olika typer av användare SmartcardsEngångslösenord
Kan man ha olika krav på lösenord i samma domän? TSPassfilt.dll No_Sec_pwdfilt6 tecken [Ej komplext] Low_Sec_pwdfilt8 tecken [Komplext (3)] Med_Sec_pwdfilt10 tecken [Komplext (3)] High_Sec_pwdfilt16 tecken [Komplext (4)]
Jag vill veta att min borttappade laptop inte komprommetterar hela företaget
Vad lagras lokalt i min dator? Massor med credentials Network Credentials Internet login credentials Domain Logon Credentials Service passwords Ras Credentials Känsligt data m.m m.m
Skydda data och credentials HårddiskkrypteringPointSEC SafeBOOT Dyrt? Finns gratis: Truecrypt ( Ej bootpartition Partition/USB/Floppy Compusec ( BootpartitionenFilkrypteringEFS (Med Enterprise CA och utan dåliga lösenord)
Jag vill kunna se vad som händer på nätverket Internet John The Admin DNSMail FE Web DC Mail BE WebFileSQL AP Firewall Företaget X Firewall Surf Terminal Server
Och glöm inte bort... Du är inte nödvändigtvis så säker som du kanske tror... Fortsätt att arbeta proaktivt med säkerhet! [DEMO]--HXDEF--
Projektlista 1.Strukturera/segmentera näten 2.Implementera en rollbaserad OU-struktur 3.Härda OS/APPS 4.Logisk Nätverkssegmentering 5.Härda Credentials (Passwords) 6.Delegera/Begränsa Privilegier (Domän och lokala) 7.Begränsa/skydda surfandet 8.Kryptera hårddiskarna 9.Logga/övervaka
Hur går jag vidare?
Microsoft TechNet Workshops 2005 Hur går jag vidare?
Slut frågor?