Dokumentation och övervakning av IT miljön

Svenskt sjukhus förlorade data om 5000 patienter pga bristande backuper och övervakning 

backup återstartsplanering IT IT konsult IT säkerhet

De flesta företag och föreningar vet redan att backuper är viktiga att ha. I många avtal med externa leverantörer står det också att backuper ingår i deras tjänster.

Det som ofta inte står och inte heller görs är faktiska återstartstester och kvalitetskontroller på de backuper som tas.Särskilt inte av en oberoende tredje part. Det handlar såklart om att hålla kostnaderna nere.

Konsekvenserna dock av det kan ibland bli katastrofala pga detta. Vid ett haveri finns det flera aspekter att tänka på som t.ex hur man ska meddela sina kunder, vart ska backupen återläsas, hur och vilken ordning och hur lång tid får det egentligen ta? Hur stor dataförlust, om någon alls,  är acceptabel?

Dessa frågor och andra frågor kring  IT drift  är sånt jag hjälper företag och organisationer med.

Ett olyckligt exempel på hur man misslyckats med sin återstartsplaner och backupövervakning finns här i Computer Sweden nyligen. (exemplen är tyvärr väldigt många men majoriteten kommer aldrig fram i dagsljuset)

Ett sätt att i vart fall minimera risken är att anlita en tredje part som hjälper till att hålla ett öga på backuperna och även hjälper till att planera och genomföra återstartstester för övning och kvalitetskontroll.

Återstartsplaner för IT – Disaster Recovery på svenska

konsult inom backup It säkerhet molntjänster återsartsplaner för IT

Efter 20 år som IT konsult inom många olika områden är min erfarenhet att backuper oc återstartsplaner för IT fortfarande är en eftersatt fråga. I sak har det inte förändrats mycket , trots molntjänster och förenklade metoder och hur många gånger det än diskuteras på möten blir det ändå eftersatt och uppskjutet.

Ända till den dagen något verkligen händer och de där backuperna behövs.

Backuper är för de flesta ett tråkigt ämne och sällan något som prioriteras, varken av IT avdelningen eller av ledningen men, tyvärr är ändå den krassa verkligheten att backuperna är något av det viktigaste ett företag eller organisation har.

En av de mest grundläggande frågorna varje IT chef och VD måste sälla sig är “Hur länge kan vi klara oss utan vår IT? Timmar ? Dagar ? Månader ?
Utan den tankegången kommer teknikerna och IT avdelning aldrig att ha ett mål att jobba mot för att skapa en användbar återstartsplan som följer den riktlinjen. Backuper och riktlinjer för återstartsplaner är alltid ledningens ansvar.

Förarbetet under den normala driften är väldigt viktig att tänka på .
Att inte kontinuerligt övervaka backuperna, testa att de innehåller vad de ska och ha ett öga på eventuella fel kan få väldiga konsekvenser.

Att inte ha planerat igenom hur en stor återställning av hela IT systemet ska gå till i förväg kan leda till en onödigt lång återstartsprocess i sökande efter dokumentation, backuper, hårdvara och kompetenta tekniker.

Att återställa enskilda filer på en server är inte en test av backuperna , det är i bästa fall bara ett test av läsbarheten på backuperna. Ett riktigt återstartstest (Disaster Recovery Test )  ska utgå från scenariot att hela servern eller hela servermiljön helt enkelt inte längre finns att tillgå.

Tekniker som skall återställa ska ha tillgång till backuperna, dokumentationen och hårdvara att återställa till. Det är allt. Ingen att ringa. Ingen att fråga. Syftet skall vara att ha en tillräckligt bra teknisk återstartsplan och kunna följa den så att företaget eller organisationen har tillgång till sina IT system inom den tid som krävs enligt IT policyn och företagets BCP (Business Continuity Plan ) och DRP (Disaster Recovery Plan) .

Här kommer många frågor in per automatik att tänka på.
Alla de här frågorna förutsätter att det redan är konstaterat att det är just backuperna som måste tas till .
För att komma fram till det beslutet krävs också en del planering innan och beslut att fatta baserat på vad som hänt (virusattack, brand, stöld, översvämning, terrorhot o.s.v. ) 

  1. Var finns backuperna? Är de på tape? -Var finns banden? Är de krypterade och vem har lösnorden?
    På disk?  I princip är frågeställningarna de samma som på tape.
    Är det onlinebackuper? – Är de krypterade ? Hur mycket data är det totalt och hur mycket bandbredd har vi att tillgå ? Kommer själva återläsningen av data att ta för lång tid för allt data över den här bandbredden t.ex. 10 Mbits eller 100 Mbits ?
  2. Hur har backuperna tagits ?  Vilken backup programvara ha använts och hur får vi tag på den ? Hur återställer man backupservern i t.ex. Legato Networker eller Tivoli TSM för att ens kunna börja återläsa något från backuperna? Hur lång tid tar den initiala återställningen och har vi räknat in den tiden i vår DRP ? För t.ex. Legato kan en sån återställning handla om många, många timmar för man kanske måste scanna igenom varje tape och få in dem i databasen och i TSM är databasen kritisk för att kunna få tillbaka något alls från backuperna.
  3. Hur ser systemdokumentationen ut ?
    Hur var servrarna uppsatta med volymstorlekar, programvaror, operativsystem med service packs o.s.v. ? Många företag missar den här delen i sin återstartplan och det kan leda till ett alldeles onödigt tidsspill under återställningen . Dokumentationen är gammal eller direkt felaktig . Här behövs enkla och automatiserade system som uppdaterar systeminformationen dagligen. Administrativa lösenord behöver också finnas tillgängliga, i Wndows server världen även de lokala administrativa lösenorden och en uppdaterad IP plan kommer behövas.
  4. Till vad ska vi återläsa backuperna?De flesta företag organisationer har inte en dubblerad serverpark som bara står och väntar en katastrof och att veta till vilken hårdvara det faktiskt ska återläsas till är en viktigt fråga att tänka på alltså, hur får vi tag på reserv hårdvara eller ska vi återläsa allt till en virtuell miljö? Hur får vi tag  på en server som kan husera t.ex. 25 servrar med 4 GB RAM vardera minst och 50 GB disk utrymme?
  5. Vart ska vi göra den faktiska återläsningen? Om företaget eller organisationen drabbats av en större olycka kommer det troligen inte att gå att återställa miljön på samma ställe. Det måste finnas en plan för vart både personal och IT personal ska ta vägen för att ens kunna påbörja en återläsning och återuppbyggnad av IT miljön. Oavsett hur så måste förmodligen verksamheten återuppstå förr eller senare.
  6. Vem ska göra vad? Och i vilken ordning?Det här är också hemskt viktiga frågor. Vem eller vilka ska göra det rent praktiska med återläsningen ? Vem ska t.ex. meddela på hemsidan / twitter / press att ni råkat ut för ett haveri och meddela när ni beräknas vara i full drift igen ? På vilka siffror baseras den informationen dvs från tidigare krascher eller tidigare återstartstester eller bara en “allmän känsla” dvs mer eller mindre baserat på gissningar ?

    Finns det redan utsett i vilken ordning olika system och funktioner ska upp och vilka som är mest kritiska och viktigast att få upp först ? Vad IT avdelningen tycker är viktigt kanske inte alls är det viktigaste för företaget sett ur affärssynpunkt. Att förstå samspelet mellan olika system är kritiskt.

    Om ingen med kunskap om hur miljön var uppbyggd finns tillgänglig, kommer dokumentationen att vara en hjälp eller ett hinder för den externe konsulten som skall hjälpa till ? Att återläsa t.ex. en kraschad Microsoft Exchange Server med tillhörande Active Directory eller en komplicerad Oracle installation är inte alldeles självförklarande för den som aldrig gjort det innan. Allt går såklart att göra om backupen är korrekt taen men det kan ta många gånger längre tid än nödvändigt att vara igång igen. Jag har sett exempel där det handlat om veckoer innan systemn är uppe igen.

  7. Återställningen i sig – är den permanent eller tillfällig? Om återställningen gått bra så måste man ändå ha klart för sig om det är en tillfällig lösning man återställt sin miljö till och så fort man är i normal drift igen måste man börja planera för återgång till den riktiga miljön igen .

Det här är egentligen bara några av saker som jag vet man måste tänka på för sin verksamhet och framförallt, man måste ta sig tiden att göra det här jobbet , antingen internt eller att anlita en extern konsult som hjälper till med att strukturera upp arbetet och planeringen med nya ögon.

Kommentera gärna eller kom med synpunkter eller kontakta mig för vidare funderingar kring de här frågorna.

Ett möte kostar bara lite tid men kan ge så mycket mer

Juha Jurvanen – Senior IT konsult inom backup, IT säkerhet, servedrift och molntjänster .

Grundläggande säkerhet på Windows server

Grundläggande säkerhet för Windows server

backup disaster recovey kontinuitetsplaner IT säkerhet molntjänster syspeace

Kortfattat behlövs minst samtliga saker i den här listan för att uppnå i vart fall en grundläggande säkerhet på Windows server.
Tyvärr kommer servern ändå inte vara fullständigt skyddad även om du följer alla steg. Absolut säkrjhet finns helt enkelt inte men det här är i vart fall en lista för att göra ett antal grundläggande inställningar och steg.

1. Se till att alla progranvaraor är uppdaterade med senaste säkerhetsuppdateringarna. Det här gäller operativsystemet, Exchange, SQL men även Adobe, Java och allt annat som finns installerat. Det här minskar risken för att råka ut för s.k. exploits som utnyttjkar sårbarheter i programvaror. Kika på t.ex. PDQeploy som jag tycker funkat bra i större miljöer för distribution.
Det skyddar dock inte mot en riktig Zero Day attack dvs när en sårbarhet blivit publikt känd men leverantören av programmet ännu inte släppt en uppdatering som avhjälper felet.

2. Se til att ha ett väl fungerande men inte för resusrkrävande antiviruws på samtliga system. Själv tycker jag om F Secures PSB lösning trots en del brister i software updater ämen den fungerar ändå väldigt väl för systemadministratör. Sätt upp larm på virusangrepp!

3. Se till att gå igenom alla katalog och filrättighter ordentligt och vilka användare och grupepr som har tillgång till vad. Tänk på att se till att användare , både interna och externa , endast ska kunna se det som de uttryckligen ska ha tillång till. Inget annat. Ett exempel är t.ex. att begränsa åtkomst till diskar och dölja diskar på Terminal Server (kolla t.ex. TS Hide Drives). Att sättw upp rättigheter på fil och katalognivå är oerhört kraftfullt sätt att begränsa tillgången till data. Testa innan du tillåter användare att nå servern. Det är alltid svårare att och jobbigare att fixa till saker i eftehand när servern är i drift.

4. Se till att följa “best practices” för alla applikationer och tjänster du sätter upp. Googla. Ingen manual är komplett och programvarutillverkare tänker inte alltid på kringliggande saker som kan påverka säkerhet och kompabilitet.

5. Se till att ha loggning påslaget där det går. Många program och funktioner har inte det påslaget som standard men du kan inte felsöka det du inte ser och att försöka hitat ett intrång eller annat fel i efterhand kan vara hopplöst om inte omöjligt.

6. Se till att ha en väl fungerande övervakning och inventering på hela ditt nät. Själv är jag en förespråkare för Spiceworks som är gratis som man kan göra väldigt mycket med.

7. Om din server har olika typer av övervakningsagenter som kommer från tillverkaren (vilket de flesta har) se till att installera dem. De ger dig information om hur hårdvaran mår och larmar om olika typer av incidentter. Se till att också sätta upp larm från dem via mail till en funktionsbaserad maillåda dvs inte till en person. Se också till att ha en plan för incidenthantering på plats och utpekade ansvarig för olika typer av fel.

8. Group policies dvs grupp principer. Oerhört kraftfullt verktyg om du sätter dig in i det och kommer att underlätta administration, säkerhetshantering och användarhantering väldigt mycket.

9. Om servern är nåbar från Intern, se till att ha giltiga SSL certifkat för alla tjänster so ska kommuniceras med. Det är inte så dyrt man kan tro och kommer underlätta också att få en del funktioner att fungera smärtfritt. Tänk dock på att bara installera ett SSL certifikat inte räcker, du måste också slå av en del svaga krypton o.s.v.

10. Stoppa tjänster, funktioner och nätverksprotokoll som inte används. Minimiera atatckytan för hackers, både interna och externa, men spara även prestanda i serven. Du slipper också onödigt tjattrig nätverkstrafik på nätet . Samma princip gäller för skrivare och arbetsstattioner.

11 Tvinga komplexa lösenord för alla användare. Ett av de vanligaste sätten för hackers att ta sig in i system beror just på svaga lösenord som enkelt går att gissa sig till. Byt namn på administratören då kontot inte går att låsa i Windows. Här är det också viktigt att ha et fungerande intrångsskydd mot lösneordsattacker med Syspeace.

12. Använd en bra namnstandard för inloggningar. Använd inte bara t.ex. förnamnn@ertföretag.se eller något annat som är för uppenbart och enkelt. Ju svårare det är för en hacker att gissa sig till ett användarnamn desto fler försök komemr behövas för att ta sig in i systemet. Även här är Syspeace en viktigt nyckel för hanteringen.

13. Backuper, backuper och BACKUPER! Se till att ha fungerande backuper och rutiner för dem. Testa dem regelbundet , minst en gång om året. Att återläsa enskilda filer ur en backup är inte en återstartstest! Se även till att ha flera generationer av backuper och en IT policy som styr detta. Att bara ha en eller två generationer att kunna falla tillbaka på vid ett haveri kan vara katastrof t.ex. om backupen av någion anledning är korrupt och inte går att använda eller om ni blivit hackade och nmåste få tillbaka systemet till ett tillfälle ni vet med säkerhet är OK innan intrånget skedde.
Se till att ha MINST en fungerande enreation av backupern anågon annastans än i samma lokaler där servern är utifall det brinner eller blir inbrott.
Att ha disksystem som RAID och andra failolver-lösningar kmemr aldrig att ersätta backuper. All hårdvara kan falera, både fysiskt och logiskt som korrupta filsystem.
Ett tips här är också att slå på regelbundna VSS snapshots på alla diskar . Enkelt, stabilt och billigt sätt att ha flera generationer av data att tillgå –

14. Scanna din server med olika verktyg efter sårbarheter och tips för att öka säkerheten.

15. Tänk igenom hur serven kommunicerar med omvärlden vad gäller brandväggar och routing i nätet. Ha även den lokala brandväggen påslagen i Windows, trots att den står bakom en extern brandvägg.

16. Automatisk intrångshantering med Syspeace. I Windows går det inte att automatiskt hantera lösenordsattacker på ett vettigt sätt. De inbyggda mekanismerna kan t.o.m. göra mer skada än nytta. Att installera Syspeace löser mycket av problematiken direkt och är oerhört enkelt att installera och konfigurera.

17. Det här hör på sätt och vis ihop med punk 13 om backuper men se till att ha en vettig återstartsplan om något händer.

Kontakta mig för möte eller frågor

Hitta, exportera och spåra inloggningar i Windows

Inloggningar i Windows för företag, molnleverantörer och driftsbyråer

backup disaster recovey koninuitetsplaner IT säkerhet molntjänster syspeace
För alla företag, driftsbyårer och molnleverantörer är det viktigt att kunna ta fram olika typer av rapporter för hur användare och kunder varit inloggade. Om du har satt upp åtkomst till din Windows PC med Remote Desktop är det här också relevant.
Tyvärr är det komplicerat att hitta och spåra inloggningar i Windows. Det går att göra men är ganska tidskrävande,

För ett företag kan det handla om t.ex. att se om en viss person verkligen har jobbat under den perioden som den påstår och varifrån.
Om det är någon som reser mycket eller varit borta mycket men på lite oklara grunder måste det finnas en möjlighet för arbetsgivaren att kontrollera när och varifrån någon varit inloggad utifall en varning behöver ges och man vill ha underlag för det.

Ur säkerhetssynpunkt vill man också veta om t.ex. någon före detta anställd försökt använda sitt konto efter de blivit uppsagda och kontot har stängts då det kan handla om framtida rättsliga åtgärder p.g.a. försök till dataintrång.
Vilket företag vill ha sin kunddatabas på vift till en före detta säljare som kanske gått till en konkurrent?

Ge kunderna rapporter och statistik för driftsbyrårer och molnleverantörer

Som driftsbyrå eller molnleverantör kan behovet av att kunna ge kunderna den informationen vara viktig som en tredje, obeorende part men även att själva kunna filtrera ut alla inloggningar från en viss IP adress eller filtrera ut alla inloggningar som inte innehåller ett visst användarnamn t.ex. “juha.jurvanen”. I vissa fall vill man även kunna påvisa för en kund att de verkligen har nyttjat ens tjänster utfiall man hamnat i en dispyt kring användadet och fakturor.

De inbyggda funktionerna i Windows

De inbyggda mekanismerna i Windows är väldigt begränsade för den här typen av hantering.
För att se om t.ex. “juha.jurvanen” varit inloggad så öppnar man Windows Event viewer och loggen Security , högerklicka och väljer “Find”.

Här kan man söka t.ex. alla händelser som innehåller “juha.jurvanen” eller en viss IP adress.

Listan man får upp är varje händelse för sig i en lång lista och innehåller egentligen bara rådata på varje rad.
För varje träff i loggen kan man sedan trycka nästa och se nästa träff i loggen.
Sökningen tar lång tid och loggen skrivs per automatik över om den blir för stor.
Man har alltså inte kvar så länge och den kan rensas av någon med administrativa rättigheter som kanske inte vill att informationen ska kunna tas fram.

Det finns inget sätt att exportera t.ex. bara de logghändelser som innehåller just “juha.jurvanen” utan valet som finns är att exportera alla händelser eller några manuellt utvalda, händelse för händelse.

Formaten att exportera till är en egen loggfil med filändelsen .evtx (eller .evt i Windows Serevr 2003), .csv, textfil eller xml.
De filerna kan i sin tur importeras till t.ex. Excel och filtreras, sökas och formateras.

Informationen i sig är som sagt bara rådata och ger ingen överblick om t.ex. varifrån inloggningen kom. Det får man undersöka i efterhand med t.ex. WHOIS o.s.v

Möjligheten att göra en sökning direkt i loggen på t.ex. alla misslyckade inlogningar som INTE är “juha.jurvanen” och som är inom ett visst intervall t.ex under den senaste veckan finns helt enkelt inte.

Som systemadministratör vill jag kanske se alla inloggningar som inte kommer från den här specfika IP adressen men innehåller användarnamnet “juha.jurvanen”. Det här kan ju t.ex. handla om min VD vill veta om jag ens varit i landet under just den perioden.

Det går alltså att få fram grundinformationen men det kan vara ett ganska komplicerat och manuellt arbete men ändå något som era kunder förväntar sig ni ska kunna få fram och utan stora extra kostnader för er tid.

Hantera inloggningsrapporter med Syspeace

Här har jag gjort en video på hur man kan få fram all relevant information väldigt enkelt med Syspeace där man snabbt och enkelt söka på alla inloggningar, både lyckade och misslyckade, t.ex. “juha.jurvanen” eller alla inloggningar från en viss IP adress under en viss period.

Jag kanske vill se alla inloggningar som inte är juha.jurvanen eller alla inloggningar som misslyckats men som inte är från en viss IP adress?

Jag vill kanske också filtrera informationen på den senaste veckan eller under en viss period under förra året och kunna klicka på informationen för att se varifrån inloggningen skedde, hur mångar gånger o.s.v

Resultaten kan enkelt exporteras till en .csv fil och sedan t.ex. skapas som en ,pdf för att ge kunden som frågat efter informationen. Jag har många gånger även använt dessa rapporfte för att påtala intrångsförösk som skett mot mina kunder och snabbt fått fram information jag kunnat ge till det företaget eller leverantören som försökt med lösenorsatatcker mot mina kunder. Jag har bara helt enkelt skapat en mall i vilken jag klistrar in informationen från Syspeace och mailar iväg.

Syspeace är alltså en billig och enkel lösning för att snabbt kunna ge kunden eller VD den informationen som de vill ha och ett enkelt verktyg för systemadministratören att se vad som pågår i nätverket kring inloggningar.

Kontakta mig för möte

Dokumentation , övervakning och rutinbeskrivningar vid incidenter

Övervakning, incidenthantering och dokumentation av IT miljön

konsult inom backup It säkerhet molntjänster och infratruktur

NäÄTVERKET OCH KOMMUNKATIONDRNA ?

 

Hur ser nätet ut med IP adresser och IP planer? Topologi ?
Switchar och Routrar med VLAN och routing? Modem för failover ?
Vilka förbindelser finns in och ut ? Vad är kritiskt och behövs en redundant förbndelse?
Hur sätter man upp automatisk övervakning,  inventering och larmhantering ? Går dokumentation att automatisera ?
Behöver man se över manuella rutiner i händelse av ett IT stopp ?

SERVRARNA, NÄTET OCH MILJÖN ?

Vilka operativsystem används och vilka service packs och support packs? Vilka applikationer körs och hur hanterar vi licenserna?
Vilka tjänster / processer måste vara igång och vilka kan / bör man stänga av ?
Går det att enkelt få fram allting som behövs för inventering? Hur övervakas servrarna ?
Vad kan konsolideras till viruella miljöer t.ex. VMWare ESX/GSX server eller tilll molntjänster?
Leverantörer av hårdvara ? Ska data och servra de klassificeras för en restore och i vilken ordning måste de återställas ?
Hur hänger de olika systemen ihop och finns det relevanta systembeskrivningar?

ARBETSSTATIONERNA ?

Vilka operativsystem används, Windows, MAC, Linux , iPad ? Vilka applikationer körs och hur håller vi reda på icenserna?
Vem har kontroll över arbetstationerna och verktyg när BYOD trenden blir allt starkare ?

RIKTLINJER OCH IT POLICIES

Vilka finns de och hur följs de ? Vad har ledningen beslutat ? Hur hanteras ITIL och Change Management och Patch management som WSUS eller SCMM ? Hur hanterar ni sociala medier? Hur ska BYOD (Bring Your Own Device) trenden hanteras?

VILKA TJÄNSTER OCH APPLIKATIONER KÖRS EGENTLIGEN

Kan det vara vettigt att sätta upp automatiserade system för övervakning av servrar och nät?
Centraliserad applikationsinstallation eller är det dags att se om vissa system går att flytta till molnet?

HUR HANTERAS EN INCIDENT?

Finns det beskrivningar av hur t.ex. ett IT haveri ska hanteras eller vad man gör vid en  hacker attack ? Vilka är kosekvenserna för företaget ?

Kontakta mig här för möte

%d bloggers like this: