Presentasjon lastes. Vennligst vent

Presentasjon lastes. Vennligst vent

© UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI UNIVERSITETET I OSLO USIT Side 1 Best Practice Noe av det som er lurt.

Liknende presentasjoner


Presentasjon om: "© UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI UNIVERSITETET I OSLO USIT Side 1 Best Practice Noe av det som er lurt."— Utskrift av presentasjonen:

1 © UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI UNIVERSITETET I OSLO USIT Side 1 Best Practice Noe av det som er lurt

2 © UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI UNIVERSITETET I OSLO USIT Side 2 Fysisk sikring er viktig Har noen fysisk kontroll over din maskin er den ikke din lenger. LÅS BIOS, fjern diskett og cd fra maskinen deres, slå på chassis detection, sett oppsettpassord. Det tar 5 min å boote maskinen fra cd, skrive over administratorkontoen og legge inn en bakdør. Husk å låse maskinene når man går fra dem, har sett tilfeller av misbruk av konsoll..

3 © UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI UNIVERSITETET I OSLO USIT Side 3 Best Practice Bruk NTFS –FAT er gammelt, trist og usikkert. Begrens brukerrettigheter –Unngå å legge deg selv eller andre inn i administratorgruppen på egen maskin. Bruk heller lokal administratorkonto. –Begrens skriverettigheter til systemfiler. %SystemDir% er skrivbar for alle som default i Windows 2000  Unngå unødvendig programvare –P2P, spill, FTP-servere og annen unødvendig programvare inneholder ofte sikkerhetshull (og blir ofte ikke patchet). Ikke bruk radmin o.l. –Hvis du trenger remote-tilgang til maskiner, bruk Tivoli eller Remote Desktop. En del tredje-parts verktøy inneholder bakdører (i bakdøren) eller er lett å feilkonfigurere.

4 © UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI UNIVERSITETET I OSLO USIT Side 4 Best practice 2 Skru på logging –I local policy-audit policy sett Failure på alle, pluss Success på Logon events og Account logon events Minihubber er skummelt. Bruk tilstrekkelig vanskelige lokale passord –Unngå korte ord og enkle permutasjoner av ord. Bruk gjerne setninger med norske tegn. Bruk standard XP-image –Rettighetene er allerede begrenset og er oppdatert med patcher.

5 © UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI UNIVERSITETET I OSLO USIT Side 5 Best practice 3 Begrens windowstjenester i grenserutere Begrense aksess til tcp og udp portene 23 telnet, (netbios), 389 (ldp) and 445 (microsoft-ds) Ingen grunn til at interne servere skal være tilgjenglig fra verden.

6 © UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI UNIVERSITETET I OSLO USIT Side 6 Uio-spesifikt (1) Maskinen skal kjøre minimum W2K – helst XP Alle maskiner skal være med i domenet Alle maskiner skal kjøre usit-daily Maskinen skal ha tivoli-endpoint. Netbiosnavn og dnsnavn skal være det samme Maskinen skal ha en primær ip-adresse, enten i form av statisk DHCP, eller en fast adresse Det skal ikke være lokale kontoer på maskinen. Maskinen skal ikke kjøre servertjenester (webservere, fildelingstjenester (ftp, peer to peer etc), e-post eller databasetjenester (unntak: FileMaker).

7 © UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI UNIVERSITETET I OSLO USIT Side 7 Uio-spesifikt (2) Oppdatert antivirusprogramvare –F-sec AV (anbefalt) –Norton for steder hvor det er problemer med F-secure Maskinene skal patches: –microsoft update eller shavlik Brannvegg funker dårligere i våre åpne miljøer og kan bli falsk trygghet. (Og: den nye brannveggen som kommer med XP har ikke “application control”, mao ubrukelig hvis du blir infisert av trojansk software..)

8 © UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI UNIVERSITETET I OSLO USIT Side 8 Windows Firewall På som default i Windows XP SP2 Blokkerer (nesten) all innkommende trafikk per default Kan konfigureres via Group Policies Fortsatt under uttesting

9 © UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI UNIVERSITETET I OSLO USIT Side 9 Spesialtilfeller I noen tilfeller kan man ikke unngå NT-maskiner eller upatchede maskiner. Typisk gjelder dette eldre, svært kostbare systemer, instrument- maskiner og lignende. Disse maskinene må enten være av nett, settes bak en dlink eller man må finne en annen spesialløsning. Ta kontakt med USIT hvis et slikt tilfelle dukker opp.


Laste ned ppt "© UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI UNIVERSITETET I OSLO USIT Side 1 Best Practice Noe av det som er lurt."

Liknende presentasjoner


Annonser fra Google