Presentasjon lastes. Vennligst vent

Presentasjon lastes. Vennligst vent

WINDOWS SIKKERHET UIO-cert Asbjørn PrøisElisabeth Høidal Strøm usit/sas/os - usit/sintusit/sas/os.

Liknende presentasjoner


Presentasjon om: "WINDOWS SIKKERHET UIO-cert Asbjørn PrøisElisabeth Høidal Strøm usit/sas/os - usit/sintusit/sas/os."— Utskrift av presentasjonen:

1 WINDOWS SIKKERHET UIO-cert Asbjørn PrøisElisabeth Høidal Strøm usit/sas/os - usit/sintusit/sas/os

2 Agenda Innledning Generelle tips UIO-spesifikke tilpassninger (usitifisering) Patching - WSUS Våre systemer –daily1&2 –Scanorama Nyttige verktøy

3 Antall sårbarheter rapportert

4 Generelle sikkerhetstips Everyone bør ikke kunne lese og skrive til C:\ Skru på logging Sette bra lokalt adminpassord (gjerne med norske tegn eller en passphrase) Disable Netbios over TCP/IP, File and Print sharing Slette eller gjemme de skjulte adminshares admin$ og c$ Slå av mulighet for tilkobling vha nullsessions Skru av automatisk fremvisning i mailklient Ikke la brukere være administrator på maskinen Begrens adgang til windowstjenester i grenserutere: (netbios), 389 (ldp) and 445 (microsoft-ds)

5 Uio-spesifikke regler (1) Maskinen skal kjøre minst XP SP2 Alle maskiner skal være med i domenet Alle maskiner skal kjøre usit-daily Maskinen skal ha tivoli-endpoint. Netbiosnavn og dnsnavn skal være det samme Maskinen skal ha en primær ip-adresse, enten i form av statisk DHCP, eller en fast adresse

6 Uio-spesifikke regeler (2) Det skal ikke være lokale kontoer på maskinen. (unntak lokal administratorbruker ved behov) Maskinen skal ikke kjøre servertjenester: webservere, fildelingstjenester (ftp, peer to peer), e- post, databasetjenester, etc Ha oppdatert antivirusprogramvare (F-secure) Maskinene skal patches med WSUS

7 Hva med servere da? Serverdrift er mer krevende enn klientdrift Krav til sikkerhet større Høyere fallhøyde, folk blir fort avhengig av en tjeneste. Vanskelig å fase ut noe som ”alltid” har vært der. Er du eneste IT-person på en avdeling må du finne noen andre IT-folk å samarbeide med.

8 Servertyper i lokalmiljøene IIS (standalone), anbefales ikke, dette er en av klodens mest hackede, mye arbeid å sikre. IIS + MSSQL, vi drifter noen av disse, for å gjøre det trygt er det mye arbeid. Terminalservere er greit, men vi anbefaler at USIT drifter dem for dere.

9 Patching En patch er en fiks for en eller flere feil i et program/operativ system. Ofte sikkerhetsrelatert. I Microsoft-sammenheng har hver patch et nummer og en tilhørende sikkerhetsbulletin. Eks. MS Microsoftpatcher blir normalt sluppet andre tirsdag hver måned

10 Hva er WSUS? Microsoftprodukt som gir kontroll over oppdatering av klienter og servere, både når det gjelder operativsystem og enkelte Microsoft programmer. Microsoft Windows ServerUpdate Services (WSUS) er arvtageren til Software Update Services (SUS) Usit drifter WSUS på uio

11

12 Windowsmaskiner i AD Maskiner i WSUS

13 Hvorfor WSUS? Bra oversikt. Historikk. Gjør det enklere å få ut oppdateringar. Styres enkelt vha Group Policy i AD Maskinene henter patcher selv. Vi kan styre utrullingstakten og teste patchene før utrulling Oppdateringer blir hentet fra oss og kommer ut fortere.

14 Konklusjon Maskiner skal ikke slås av etter arbeidstid. Begrens admin-rettigheter, logg av. Enkeltmaskiner fremdeles Lokal IT sitt ansvar. Følg med på rapporter! Problemmaskiner reinstalleres. Patching er et krevende område og det vil alltid finnes usikre maskiner. Mer info:

15 Sikkerhetssystemer TEMAER : Daily 1 & 2 Scanorama

16 Daily ”maskinene rapporterer fra innsiden” Daily1 – skal fases ut Daily2 – under utvikling (trenger bedre rapporter)

17 Hensikten med daily : Oversikt Sikkerhet Programvarestatus Patchestatus Mulighet for å finne maskiner utenfor domenet

18 Hva er Usit-daily? Usit daily1: Perl script kjører som at jobb Usit daily2: Kjører som service på maskin Skal kjøre på alle maskiner i domenet (Krav). Installeres på boot fra domene (GPO) Logge og rapportere diverse nyttig informasjon fra maskinene som leveres til server. Rapport sendes på e-post til lokale it-ansvarlige

19 Scanorama Er et system for portscanning og bannergrabbing Rapporterer maskinene slik de ser ut fra ”utsiden”. Kan se etter kombinasjoner av parametre. (feks kombinasjoner av OS og åpne porter) Hovedtanke: Skann etter evne, søk etter behov

20 Scanorama – Bruksområder : Finne maskiner som svarer på mistenkelige porter Finne maskiner som ikke er i domenet Finne maskiner som kjører uautoriserte servertjenester (eks: IIS, mssql, ustandard samba, osv.) Finne maskiner som kjører for gamle versjoner (eks: apache, ssh) Finne alle maskiner med spesifikt OS. Og mye mer..

21 Nyttige Verktøy Windows sysinternals: File and Disk Utilities Process Utilities Networking Utilities etc

22 SPØRSMÅL???


Laste ned ppt "WINDOWS SIKKERHET UIO-cert Asbjørn PrøisElisabeth Høidal Strøm usit/sas/os - usit/sintusit/sas/os."

Liknende presentasjoner


Annonser fra Google