konsult infrastruktur

GDPR: Fem viktiga nyheter i EU:s dataskyddsförordning

En länk till en bra artikel med begriplig samnanställning om ett av de kanske mest uppmärksammade nya direktiven som träder i kraft snart.

Att inte följa GDPR kan bli enormt dyrt, upp till 20 miljoner € eller 4% av omsättningen i böter.

Hur har ert företag förberett sig? Kommer det vara stora förändringar som behöver göras? Vad kan göras rent tekniskt för att förbereda sig?

https://computersweden.idg.se/2.2683/1.660488/eu-dataskydd-it-upphandlingar

NTLM settings and other fun labs searching for missing IP adresses in eventid 4625 or trying to get RemoteAPP to work well with RD Client on iPad, Android and even Windows!

konsult inom backup It säkerhet molntjänster återsartsplaner för IT

Using SSL causes mssing IP adresses in eventid 4625 and to get them back .. disable NTLM ? Nope. Not really an option

Today I took me a lab day to actually sit down and spend time with the NTLM settings and the RDWEB and try it out on various platforms and do some more or less scientific testing.
In short, I’äm not impressed by how Micropsoft has actually implemented parts of ther stuff..

I used Windows 10, RD Client for IOS and RD Client for Android. The server infrastructure was a Windows Server 2008 R2 with valid SSL certficates for all services.

The underlying problem is basiaclly that if you use an SSL certificate for your RDP connections , failed logins aren’t correctly dispalyd , i.e. your missing IP adresses in eventid 4625. (When not using an SSL certficate , it is recorded but then your users and customers get a lot of warnings when connecting to your servers and some things just donät work very well sucha as the Webfeed for RD Web)

Syspeace is a Host Intrusion Prevention Software that uses this inormation about the source IP address to block brute force attacks against Windows Servers.

One way around this is to disable incoming NTLM traffic and sure enought , all IP addresses are recorded.

The downside is .. only “full” RDP connections will work meaning that for instance connections to a server desktop works fine but if you’re really into RemoteAPP (and that’s the way I want to go and a lot of tekkies with me) you’ll be running into problems.
And, by th way.. frankly, full desktop session don’t work either from IOS (at least remote Desktop Client 8.1.13 and my iPad, they do from Android though, same server, same username and so on)

Not even Windows really working correctly when disabling NTLM ?

I also did some testing for fun by creating a .wcx file and oddly enough. In order to get that to actually work with Windows 10 (and I’m guessing it’s the same for Windows 7 and so on ) , It just refuses to connect to the RemoteApp service if incoming NTLM is disabled.
I can howerver start a normal Desktop Session against the server so, what I would claim is that the fault is actually within RD Web and the way it handles authentication, requiring some parts to be using NTLM.
The usual RD Web login interface works so far that I can login and see the resources but I can’t start any applications from it. No errors, nothing.
If enabling NTLM, I can start the applications just fine. Once again. NTLM has to be enabled in order for full functionality 🙁

So, basically, if I change the policy settings for the RD Server not to allow incoming NTLM traffic in order to be able to actually handle a bruteforce attack and also keep track of failed logins with informaion that’s actually useful for me as a sysadmin and CSO

These are by the way the settings I’m referring to

Computer Configuration\Windows Settings\Security Settings\Security Options

– Network security: LAN Manager authentication level — Send NTLMv2 response only. Refuse LM & NTLM
– Network security: Restrict NTLM: Audit Incoming NTLM Traffic — Enable auditing for all accounts
– Network security: Restrict NTLM: Incoming NTLM traffic — Deny all accounts

Regardless of how I try, I can’t get it to work to actually add remoteapp resources (or Remote Resource Feed) neither Windows 10, nor IOS, nor Android.

So, what are the implications of this ? Does it matter ? Do we need the source IP address in 4625?

First of all, the way this is handled within Windows Server is an absolut nightmare and frankly, just usesless and I can’t see any reason for Microsoft developers to leave the IP address out when using SSL certificates or at least have another entry in the eventlog for it containg useful information.
It’s not possible to handle brute force attacks natievly within Windows Server as I’ve written about many times earlier.

The biggest problem is of course that if someone tries to bruteforce your server, then how will you stop the attack ? How do you gather evidence ?
If your’e running a larger server environment and hosting customers and so on , you’ll have no way of knowing what attempts are legitimate customers and user and which ones aren’t really.
You can hardly shut down your services can you ?

At the moment , I don’t have a good solution to this problem. Syspeace catches lots and lots of bruteforce attacks for me but these ones it can’t since it doesn’t have any IP address to block.
I’m just hoping for Microsft to actually solve this on the server side since that would be the easiest fix for them I’d say.
Of course they also neeed to get the RDP clients working for all platforms but basically it should be working with NTLM2 at least and also to log the failed logon request correctly if using an SSL certficate. Anthing else is just pure madness and stupidity to be honest and someone should get fired for not thinking ahead.

By Juha Jurvanen @ JufCorp

End of life för Windows Server 2003 – Dags att migrera till nytt OS eller flytta till Molnet ?

End of life för Windows Server 2003 imorgon

konsult inom backup It säkerhet molntjänster återsartsplaner för IT

Imorgon är det sk Patch Tuesday dvs den dagen varje månad då Microsoft släpper olika uppdateringar för sina operativsystem.

Morgondagen är dock lite speciell då det är sista gången Microsoft släpper uppdateringar för just Windows Server 2003 familjen. Efter det kommer alltså inga nya säkerhetsuppdateringar att släppas och det är väldigt viktigt att vara medveten om.

För företag och föreningar som fortfarande använder någon variant av Windows Server 2003 familjen finns alltså en del saker att tänka på efter det.

Valen man står inför är att migrera till ett nyare operativsystem med allt vad det kan innebära som t.ex. inkompabiliktet med programvaror man kör. Oftast går det att lösa men kräver en del testande och tid att lägga ner på projektet för att vara säker på att verksamheten kan fortsätta utan överraskningar. Saker som länkar hos användare och olika pekar i filsystemen kan också ställa till en del trassel om man bara installerar upp en ny server i miljön.

Flytta till en plattformsoberoende molntjänst som Red Cloud ITs rCloud Office?

Ett annat alternativ är att t.ex. börja undersöka molntjänster dit man kan flytta sina applikationer som t.ex. Red Cloud ITs rCloud Office. Fördelar här är t.ex. att flytta sin Visma eller Pyramid och i ett slag göra den även åtkomlig från iPad, Android o.s.v men ändå ha säkerheten, backuper och generationshanteringar inbyggd till en fast kostnad per användare och månad.
Många CRM och affärssystem finns helt enkelt inte för MAC, Android , iPad osv men utvecklingen går alltmer åt BYOD dvs låt användarna själva bestämma vilket operativ eller plattform de vill använda. Då behövs lösningar som stöder att de kan komma åt affärssystemet o.s.v.

Oavsett bör man som företag se över sin IT miljö eftersom det helt enkelt över tid kommer bli alltmer osäkert att köra ett operativ som inte längre stöds. Hackers kommer att utnyttja vetskapen att ett tidigare oupptäckt säkerhetshål helt enkelt inte kommer att åtgärdas.

Det finns en del saker att göra under en övergångsperiod dock eftersom det ju kommer nya patchar imorgon.

Nedan är några punkter att tänka på

1. Se till at ha fungerande certifikat på all kommunkation till och från servern för att skydda er mot eventuell avlyssning och sk Man in the Middle attacker. Kom ihåg dock att bara installera ett SSL certifikat inte räcker, det behövs fler ingrepp i servern för att säkra upo den. Certifikatet i sig skyddar inte heller mot t.ex. skadlig kod eller intrångsförsök.

2. Se till att ha ett väl fungerande antivirus, t.ex. F Secures PSB lösning där man kan ta hjälp av tredje part att övervaka eventuella larm och använda dess Software Updater.

3. Ett automatiserat intrångsskydd för lösenorsdattacker med Syspeace. Det pågår väldigt mycket intrångsförsök i bakgruinden som man ofta är helt omedveten om.

4. Gå igenom vilka portar i brandväggar som är öppna och tänk igenom dem noggrannt. Vad behöver egentligen vara öppet ? Stän allt som inte uttryckligen måste vara öppet. Styr trafik korrekt.

5. En stark, tvingande lösenordspolicy för alla användare. MINST 8 tecken o.s.v.

6. Se till att alla program är uppdaterade, även Java och Flash o.s.v. om de körs på servern och den används som Terminal Server. Generellt sett så ska programvaror alltid vara uppdatrade till senaste versioner. Har ni en lite större miljö finns lösningar för att distribuera ut programvaror från centralt håll , även till era arbetsstationer, t.ex med PDQ Deploy eller via Group Policies.

7. Gå igenom alla fil och katalogrättigheter på servern och följ de rekommendationer som finns. Googla på uttryck som 2003 Server Hardening och läs igenom och testa att ni satt upp sakerna efter bästa rekommendationer.

8. Om ni kör t.ex. Windows Server 2003 SBS behövs en del eftertanke med hur er mail ska hanteras framöver. Det kan handla om stora mängder datat i en Exchange Server och kräva en del eftertanke med hur det ska migreras på bästa sett , antingen till en extern leverantör elelr till en ny mailserver,

9. Tänk igenom om servern behöver vara nåbar från Internet egentligen ? Finns det möjlighet att flytta Internet acessen till ett nyare operativ och låta åtkomst hanteras av den istället ? Är en VPN lösning smidigare eller finns det andra sätt att sköta extern åtkomst ? Det får ju inte vara för krångligt för användarna.

10. I sak har inte den här punkten med migrering av Windows Server 2003 att göra men kolla igenom backuperna kontinuerligt och tänk igenom hur ni kanske vill ha en arkivkopia av den gamla servern efter en migrering ? Hur ska den återläsas om det behövs ?

11. Fundera på vilken väg ni vill gå vad gäller er IT miljö. Till en extern molntjänst eller kanske dags bygga ett eget privat moln eller en hybrid ? Att flytta sina saker till en molntjänst kräver en del eftertanke och är kanske inte alls rätt väg för er.

Återanvända serverparken ?

Att uppgradera den befintliga serverparken kan vara den bästa lösningen för just er verksamhet. Troligen är det äldre servrar som körs om ni fortfarande använder Windows Server 2003 men de maskinerna kanske går att återanvända till andra saker (dvs först installera om / uppgradera dem till nyare operativ och sedan återanvända för t.ex. fillagring för arkivering , backup server, Terminal Server Access o.s.v.). I sammahanget ska naturligvis även virualisering av serverparken nämnas och även här finns flera vägar att gå t.ex. VMWare eller Hyper-V eller Xenserver.

Det finns inget självändamål i att kasta hårdvara bara för den är lite till åren och avskriven men ändå fungerar. Ofta kan den hårdvaran räcka till att byga en egen, intern molntjänst om man är orolig för att flytta sitt data till en molnleverantör.

Det finns många olika vägar att gå och det gäller tänka igenom att det blir rätt för just er verksamhet.

Oavsett väg ni väljer kan jag hjälpa er planera och implementera. För mer information, kontakta mig här

TLS 1.1, TLS 1.2 och SSL certifikat på Microsoft IIS Server och Exchange Server

Vad är ett SSL certifikat ?

konsult inom backup It säkerhet molntjänster SSL

Ett SSL certifikat används för att kryptera trafiken mellan en klientenhet (PC, MAC, Android , iPhone o.s.v. ) och en server. Det här är en väldigt viktig funktion både ur säkerhetsaspekter men även ur funktionalitet då många system idag kräver krypterad kommunikation för att fungera fullt ut som t.ex. Microsoft Exchange och Microsoft RDS Servers (Remote Desktop servers) .
TLS är egentligen en vidareutveckling av just SSL även om man i dagligt tal pratar om just SSL certifikat.

SSL / TLS används också för att validera att servern är den som den utger sig för att vara genom att din enhet kontrollerar med en tredje part att det här certifikatet är giltigt och att det är den serven som faktiskt har det installerat.
Enklast ser du att allt står rätt till om det står https i adressfältet i din webbläsare och att du inte har felmeddelanden kring certifikatet.

SSL är dock inget skydd mot t.ex. lösenordsattacker mot Windows Server. För den typen av skydd behövs Syspeace

Räcker det att ha SSL installerat på servern ?

Många företag tror tyvärr att det räcker men det gör det inte. I den här korta artikeln ska jag fokusera på Microsoft IIS Server d.v.s deras webbserver som finns inbyggd i Microsoft Windows Server.I en del fall nöjer man sig även med att ha bara egenutfärdade certifikat dvs dessa valideras inte av en tredje part.
Det här är absiolut inte att rekommendera i en driftsmiljö. Knappt ens i testmiljö eftersom det är en del manuell hantering och det är ofta svårt att helt efterlikna driftsmiljön.

Kontrollera er SSL installation gratis

Det finns gratis verktyg på nätet för att kontrollera status och hur ni satt upp SSL på just er IIS server.
Sök på t.ex. SSL Check på Google och ni kommer hitta många bra verktyg för detta. Personligen gillade jag https://sslcheck.globalsign.com/en_US eftersom den hade ett enkelt gränssnitt och bra förklaringar till de olika delarna och även https://www.ssllabs.com/ssltest/analyze.html?d=jufcorp.com&latest som även undersöker för sårbarheter mot t.ex. POODLE.

SSL och IIS server i standardinstallation

En standardinstallerad Windows server ger vanligen betyg F dvs underkänt, även om man installerat ett godkänt SSL certifikat.

Många av standardvärdena i Microsoft IIS tillåter svaga krypteringar och SSLv2 och SSLv3, och dessa borde inte tillåtas p..g.a. risken att de kan utnyttjas till olika saker (t.ex. datastöld, s.k. Man in the Middle attacker dvs någon annan utger sig för att vara den servern som du tror att du kommunicerar med men man avlyssnar egentligen all trafik) .
Det saknas även en del viktiga inställningar i registret för Forward Secrecy o.s.v

Det behövs alltså fler ingrepp i servern och här gäller det att göra rätt och tänka på t.ex. kompabilitet mot Activesync om det t.ex. är en Microsoft Exchange server men även för Remote Desktop Server.
Det krävs helt enkelt en del ingrepp i serverns registry vilket i värsta fall kan leda till att servern slutar fungera.

Kontakta mig för hjälp och frågor

“Det finns inget Molnet – det är bara någon annans dator” – Om molntjänster och var finns egentligen datat ?

konsult inom backup It säkerhet molntjänster och infratruktur Molnet
För ett tag sen såg jag just den texten på en dekal som någon lagt upp på Facebook i en grupp jag är med i och jag log glatt.
Det påminde mig om en sak jag skrev för några år sen just om det.

kontentan i den är just att oavsett hur vi ser på Molnet och molntjänster så är det helt enkelt så att inget data bara flyter runt magiskt i luften. Nånstans lagras det alltid fysiskt på en hårddisk i någon datahall. Det finns många olika sätt att lagra data men till syvende och sist hamnar det alltid på en hårddisk av något slag som SAS, SCSI, FLASH o.s.v

Det som kan vara viktigt att tänka på när man köper molntjänster är just att veta var den datahallen (eller datahallarna för den delen ) faktiskt finns.
Finns ert data i Sverige eller på Irland eller kan leverantören ens garantera var data befinner sig ?

Hur hanterar leverantören t.ex. antivirus och SPAM filtrering ? Går det över någon amerikanskt tjänst och i så fall, vem har till gång till era mail ?

Om man t.ex. hanterar känsligt material som man inte vill ska färdas över nationsgränserna till något amerikanskt bolag med allt det innebär kanske inte Office365 eller Googles molntjänster är dem man ska titta på. Det kanske t.o.m är mera intressant att se över hur man kan bygga ett privat moln ?

Man kanske även har andra behov som att flytta sitt befintliga CRM eller ekonomisystem till en molntjänst men att göra det till de stora leverantörerna kan vara avsevärt mera komplext än vad man förutsåg. Att köra Microsoft Office och andra standardprogram är sällan svårt att få till men gäller det att flytta mera udda och komplexa system så kan det bli ganska komplicerat , om det ens går att göra ?

I samma andetag är det naturligtvis också väldigt högaktuellt att tänka på de här sakerna då många ser över att migrera sina Windows Server 2003 till antingen nyare serverplattformar eller att flytta sina funktioner till Molnet.

Inlägget jag skrev om publika moln, hybrida moln, VPS o.s.v. finns att läsa här

Kontakta mig

Grundläggande säkerhet på Windows server

Grundläggande säkerhet på Windows server

backup disaster recovey kontinuitetsplaner IT säkerhet molntjänster syspeace

Det här inlägget är tänkt som en slags grundläggande “checklista” när man sätter upp säkerhet på Windows server vid nyinstallation och driftssätting.

Kortfattat behlövs minst samtliga saker i den här listan för att uppnå i vart fall en grundläggande säkerhet på Windows server.
Tyvärr kommer servern ändå inte vara fullständigt skyddad även om du följer alla steg. Absolut IT säkerhet finns helt enkelt inte men det här är i vart fall en lista för att göra ett antal grundläggande inställningar och steg.

 

Installerade programvaror

1. Se till att alla progranvaraor är uppdaterade med senaste säkerhetsuppdateringarna. Det här gäller operativsystemet, Exchange, SQL men även Adobe, Java och allt annat som finns installerat. Det här minskar risken för att råka ut för s.k. exploits som utnyttjar sårbarheter i programvaror. Kika på t.ex. PDQeploy som jag tycker funkat bra i större miljöer för distribution. Även F Secure har en Software updater som funegrat bra.
Det skyddar dock inte mot en riktig Zero Day attack dvs när en sårbarhet blivit publikt känd men leverantören av programmet ännu inte släppt en uppdatering som avhjälper felet.

För dem finns egentligen inget annat att göra än följa olika typer av säkerhetskanaler och hålla sig uppdaterad.

Antivirus

2. Se til att ha ett väl fungerande men inte för resusrkrävande antiviruws på samtliga system. Själv tycker jag om F Secures PSB lösning trots en del brister i software updater ämen den fungerar ändå väldigt väl för systemadministratör. Sätt upp larm på virusangrepp!

Fil och katalogrättigheter på servern

3. Se till att gå igenom alla katalog och filrättighter ordentligt och vilka användare och grupepr som har tillgång till vad. Tänk på att se till att användare , både interna och externa , endast ska kunna se det som de uttryckligen ska ha tillång till. Inget annat.
Ett exempel är t.ex. att begränsa åtkomst till diskar och dölja diskar på Terminal Server (kolla t.ex. TS Hide Drives). Att sätta upp rättigheter på fil och katalognivå är oerhört kraftfullt sätt att begränsa tillgången till data. Testa innan du tillåter användare att nå servern. Det är alltid svårare att och jobbigare att fixa till saker i eftehand när servern är i drift.
Tänk även på att inte tillåta programexekvering från “fel”  ställen t.exx %APPDATA% , %TEMP% o.s.v

Bets practices, manualer .. var inte lat ..

4. Se till att följa “best practices” för alla applikationer och tjänster du sätter upp. Googla. Snacka med folk.

Ingen manual är komplett och programvarutillverkare tänker inte alltid på kringliggande saker som kan påverka säkerhet och kompabilitet. När du instalerat ett program, klicka runt i menyerna och se vad du kan göra (vilka kataloger kan du “browsa till”vid “öppna” , “spara” i o.s.v. ) . Testa både som administratör och en vanlig användare. Vilka rättigheter behövs och vilka kan “tajtas åt” ?

Slå på loggning på servern

5. Se till att ha loggning påslaget där det går. Många program och funktioner har inte det påslaget som standard men du kan inte felsöka det du inte ser och att försöka hitat ett intrång eller annat fel i efterhand kan vara hopplöst om inte omöjligt.

Övervakning och drift av servern

6. Se till att ha en väl fungerande övervakning och inventering på hela ditt nät. Själv är jag en förespråkare för Spiceworks som är gratis som man kan göra väldigt mycket med.
Om din server har olika typer av övervakningsagenter (ofta över SNMP)  som kommer från tillverkaren (vilket de flesta har) se till att installera dem.

De ger dig information om hur hårdvaran mår och larmar om olika typer av incidentter. Se till att också sätta upp larm från dem via mail till en funktionsbaserad maillåda dvs inte till en person. Se också till att ha en plan för incidenthantering på plats och utpekade ansvarig för olika typer av fel.

Group policies och standardisering

7. Group policies dvs grupp principer. Oerhört kraftfullt verktyg om du sätter dig in i det och kommer att underlätta administration, säkerhetshantering och användarhantering väldigt mycket.

SSL och Internet

8. Om servern är nåbar från Internet (fast även gärna om den bara finns internt) , se till att ha giltiga SSL certifkat för alla tjänster som det ska kommuniceras med. Det är inte så dyrt man kan tro (nuförtiden finns även gratis SSL via Letsencrypt, även om det är lite komplicerat få det att fungera ) och kommer underlätta också att få en del funktioner att fungera smärtfritt. Tänk dock på att bara installera ett SSL certifikat inte räcker, du måste också slå av en del svaga krypton o.s.v.

9.  Se över vilka HTTP headers du använder och säkra upp även dem med t.ex Strict Transport Security,  X-Content-Type-Options, X-Frame-Options, X-Xss-Protection, X-Permitted-Cross-Domain-Policies.

Slå av onödiga funktioner och tjänster , även i en testmiljö

10. Stoppa tjänster, funktioner och nätverksprotokoll som inte används. Minimiera attackytan för hackers, både interna och externa, men spara även prestanda i serven. Du slipper också onödigt tjattrig nätverkstrafik på nätet . Samma princip gäller för skrivare och arbetsstattioner.

Lösenordshantering och policies

11 Tvinga komplexa lösenord för alla användare. För lite tips om hur man kan komma ihåg dem har jag skrivit det här inlägget tidigare

Ett av de vanligaste sätten för hackers att ta sig in i system beror just på svaga lösenord som enkelt går att gissa sig till. Byt namn på administratören då kontot inte går att låsa i Windows. Här är det också viktigt att ha et fungerande intrångsskydd mot lösneordsattacker med Syspeace.

12. Använd en bra namnstandard för inloggningar. Använd inte bara t.ex. förnamnn@ertföretag.se eller något annat som är för uppenbart och enkelt. Ju svårare det är för en hacker att gissa sig till ett användarnamn desto fler försök kommer behövs för att ta sig in i systemet. Det finns olika typer av skydd för att hantera ordboksattacker / lösenordsattacker / bruteforce  o.s.v

Serverns backuper

13. Backuper, backuper och BACKUPER! Se till att ha fungerande backuper och rutiner för dem. Testa dem regelbundet , minst en gång om året. Att återläsa enskilda filer ur en backup är inte en återstartstest! Se även till att ha flera generationer av backuper och en IT policy som styr detta.

Att bara ha en eller två generationer att kunna falla tillbaka på vid ett haveri kan vara katastrof t.ex. om backupen av någion anledning är korrupt och inte går att använda eller om ni blivit hackade och nmåste få tillbaka systemet till ett tillfälle ni vet med säkerhet är OK innan intrånget skedde.

Se till att ha MINST en fungerande generation av backupern någon annastans än i samma lokaler där servern är utifall det brinner eller blir inbrott.
Att ha disksystem som RAID och andra failolver-lösningar kommer aldrig att ersätta backuper. Det finns även många olika typer av online backup lösningar och det handlar mer om pris och funktionalitet.

All hårdvara kan falera, både fysiskt och logiskt som korrupta filsystem.
Ett tips här är också att slå på regelbundna VSS snapshots på alla diskar .

Enkelt, stabilt och billigt sätt att ha flera generationer av data att tillgå men det är INTE en ersättning för backuper!

Scanna din server efter sårbarheter!

14. Scanna din server med olika verktyg efter sårbarheter och tips för att öka säkerheten.

Här några bra länkar jag själv använder ofta

https://www.gravityscan.com      – Scannar sårbarheter, felaktiga länkar och headers osv  Främst för WordPress och Joomla osv
https://www.ssllabs.com/ssltest/   – Kontrollera att du slagit av svaga krypton och använder ditt SSL certifikat korrekt 
https://tools.pingdom.com/ –  Hastighet på sidan med mera, bra tips om laddningshastigheter osv
http://www.kitterman.com/spf/validate.html   – Kontrollera att du satt upp ditt SPF record korrekt
https://mxtoolbox.com/diagnostic.aspx  – Diverse tester av mailservrar som Open Relay o.s.v. 
https://www.microsoft.com/en-us/download/details.aspx?id=7558    – Microsoft Baseline Security Analyzer

Testa ladda ner KALI Linux och testkör de olika verktygen från den.

Brandväggar och kommunikationer

15. Tänk igenom hur serven kommunicerar med omvärlden vad gäller brandväggar och routing i nätet. Ha även den lokala brandväggen påslagen i Windows, trots att den står bakom en extern brandvägg.

Brute force prevention . Skydd mot ordboksattacker, lösenordsattacker på Windows Server

16. Automatisk intrångshantering med t.ex Syspeace. I Windows går det INTE att automatiskt hantera lösenordsattacker på ett vettigt sätt. De inbyggda mekanismerna kan t.o.m. göra mer skada än nytta. Att installera ett system som Syspeace löser mycket av problematiken direkt och är oerhört enkelt att installera och konfigurera.

17. Det här hör på sätt och vis ihop med punkt 13 om backuper men se till att ha en vettig återstartsplan om något händer.

WordPress på IIS Server

18. Den här såklart ihop med om servern är nåbar från Internet lite längre upp och det är ett helt jätteområde i sig men några grunläggande tips är att se till att alltid själva wordpress, alla plugins och teman, din PHP  och att installera plugins som t.ex. Wordfence . Även olika typer av cachning och URL rewrite kommer bhöva installeras och sättas upp.

 

Kontakta mig för möte, frågor eller konsulthjälp kring de här frågorna ? 

 

NDR (Non Delivery Reports) på Microsoft Exchange 2010 för mail jag inte skickat

Många NDR (Non Delivery Reports) på Microsoft Exchange 2010 för mail jag inte skickat

backup disaster recovey  kontinuitetsplaner exchange server 2010 IT säkerhet molntjänster syspeace

Nyligen råkade jag ut för att det helt plötsligt började dyka upp väldigt många mail i min brevlåda som sade att min mail jag skickat inte gick fram trots att jag inte skickat dem. Jag testade de vanliga kontrollerna men min server var inte öppen för relay som är standard i Exchnage 2010.
Nackdelen med de här testerna är att de anger en användare som t.ex. anonymous@någondomän.se som avsändare och den typen av relay är mycket riktigt inte är tillåtet som standard.

Min första tanke var att det är någon som spoofat min domän dvs man använder min mailadress som avsaändare men t.ex. från adressen är någon annans namn som “Walter Banker” vilket i praktiken leder till att när ett mail inte kan levereras så skickas svaret tillbaka till min mailadress som är standard och då får man “Olevererbart” från “Mail delivery systems” o.s.v.

Det hrä är väldigt lätt att göra och svårt att skydda sig mot tyvärr. Allt so behövs är en telnet klient.

Ett par tre mail sådär är inte hela världen men jag märkte att det började bli hundratals inom loppet av några dagar så något stod inte rätt till och den här tyepn av probem kan i förlängningen orska att mailserven blir svartlistad ute i världen så den helt enkelt knappt går att använda. Problemet måste alltså lösas.

Felsökning i SMTP logg

EFter jag tittade närmare i loggarna på serven så märkte jag att det var mailservrar som anslöt sig till mig, autentiserade sig som min användare satt till avsändare så servern i sig tyckte det var ok .
Här nedan är ett exempel på hur det såg ut i loggen för SMTP ( C:\Program Files\Microsoft\Exchange Server\V14\TransportRoles\Logs\ProtocolLog\SmtpReceive)

2015-03-02T00:02:08.633Z,EUROPA\Default EUROPA,08D21EB6E51D0300,0,192.168.0.6:25,122.100.78.143:55545,+,,
2015-03-02T00:02:08.648Z,EUROPA\Default EUROPA,08D21EB6E51D0300,1,192.168.0.6:25,122.100.78.143:55545,*,SMTPSubmit SMTPAcceptAnySender SMTPAcceptAuthoritativeDomainSender AcceptRoutingHeaders,Set Session Permissions
2015-03-02T00:02:08.648Z,EUROPA\Default EUROPA,08D21EB6E51D0300,2,192.168.0.6:25,122.100.78.143:55545,>,”220 EUROPA.jufcorp.com Microsoft ESMTP MAIL Service ready at Mon, 2 Mar 2015 01:02:08 +0100″,
2015-03-02T00:02:09.288Z,EUROPA\Default EUROPA,08D21EB6E51D0300,3,192.168.0.6:25,122.100.78.143:55545,< ,EHLO kadegy, 2015-03-02T00:02:09.288Z,EUROPA\Default EUROPA,08D21EB6E51D0300,4,192.168.0.6:25,122.100.78.143:55545,>,250-EUROPA.jufcorp.com Hello [122.100.78.143],
2015-03-02T00:02:09.288Z,EUROPA\Default EUROPA,08D21EB6E51D0300,5,192.168.0.6:25,122.100.78.143:55545,>,250-SIZE,
2015-03-02T00:02:09.288Z,EUROPA\Default EUROPA,08D21EB6E51D0300,6,192.168.0.6:25,122.100.78.143:55545,>,250-PIPELINING,
2015-03-02T00:02:09.288Z,EUROPA\Default EUROPA,08D21EB6E51D0300,7,192.168.0.6:25,122.100.78.143:55545,>,250-DSN,
2015-03-02T00:02:09.288Z,EUROPA\Default EUROPA,08D21EB6E51D0300,8,192.168.0.6:25,122.100.78.143:55545,>,250-ENHANCEDSTATUSCODES,
2015-03-02T00:02:09.288Z,EUROPA\Default EUROPA,08D21EB6E51D0300,9,192.168.0.6:25,122.100.78.143:55545,>,250-STARTTLS,
2015-03-02T00:02:09.288Z,EUROPA\Default EUROPA,08D21EB6E51D0300,10,192.168.0.6:25,122.100.78.143:55545,>,250-X-ANONYMOUSTLS,
2015-03-02T00:02:09.288Z,EUROPA\Default EUROPA,08D21EB6E51D0300,11,192.168.0.6:25,122.100.78.143:55545,>,250-AUTH NTLM LOGIN,
2015-03-02T00:02:09.288Z,EUROPA\Default EUROPA,08D21EB6E51D0300,12,192.168.0.6:25,122.100.78.143:55545,>,250-X-EXPS GSSAPI NTLM,
2015-03-02T00:02:09.288Z,EUROPA\Default EUROPA,08D21EB6E51D0300,13,192.168.0.6:25,122.100.78.143:55545,>,250-8BITMIME,
2015-03-02T00:02:09.288Z,EUROPA\Default EUROPA,08D21EB6E51D0300,14,192.168.0.6:25,122.100.78.143:55545,>,250-BINARYMIME,
2015-03-02T00:02:09.288Z,EUROPA\Default EUROPA,08D21EB6E51D0300,15,192.168.0.6:25,122.100.78.143:55545,>,250-CHUNKING,
2015-03-02T00:02:09.288Z,EUROPA\Default EUROPA,08D21EB6E51D0300,16,192.168.0.6:25,122.100.78.143:55545,>,250-XEXCH50,
2015-03-02T00:02:09.288Z,EUROPA\Default EUROPA,08D21EB6E51D0300,17,192.168.0.6:25,122.100.78.143:55545,>,250-XRDST,
2015-03-02T00:02:09.288Z,EUROPA\Default EUROPA,08D21EB6E51D0300,18,192.168.0.6:25,122.100.78.143:55545,>,250 XSHADOW,
2015-03-02T00:02:09.912Z,EUROPA\Default EUROPA,08D21EB6E51D0300,19,192.168.0.6:25,122.100.78.143:55545,< ,STARTTLS, 2015-03-02T00:02:09.912Z,EUROPA\Default EUROPA,08D21EB6E51D0300,20,192.168.0.6:25,122.100.78.143:55545,>,220 2.0.0 SMTP server ready,
2015-03-02T00:02:09.912Z,EUROPA\Default EUROPA,08D21EB6E51D0300,21,192.168.0.6:25,122.100.78.143:55545,*,,Sending certificate
2015-03-02T00:02:09.912Z,EUROPA\Default EUROPA,08D21EB6E51D0300,22,192.168.0.6:25,122.100.78.143:55545,*,”CN=*.jufcorp.com, OU=HQ, O=JufCorp AB, L=Tumba, S=Tumba, C=SE”,Certificate subject
2015-03-02T00:02:09.912Z,EUROPA\Default EUROPA,08D21EB6E51D0300,23,192.168.0.6:25,122.100.78.143:55545,*,”CN=GeoTrust SSL CA – G3, O=GeoTrust Inc., C=US”,Certificate issuer name
2015-03-02T00:02:09.912Z,EUROPA\Default EUROPA,08D21EB6E51D0300,24,192.168.0.6:25,122.100.78.143:55545,*,036A6FA9E022316DD7080442BC6838F5,Certificate serial number
2015-03-02T00:02:09.912Z,EUROPA\Default EUROPA,08D21EB6E51D0300,25,192.168.0.6:25,122.100.78.143:55545,*,17E89A5FD1E5596B40D260CF3319A7C0D28B7C33,Certificate thumbprint
2015-03-02T00:02:09.912Z,EUROPA\Default EUROPA,08D21EB6E51D0300,26,192.168.0.6:25,122.100.78.143:55545,*,*.jufcorp.com;jufcorp.com,Certificate alternate names
2015-03-02T00:02:12.392Z,EUROPA\Default EUROPA,08D21EB6E51D0300,27,192.168.0.6:25,122.100.78.143:55545,< ,HELO kadegy, 2015-03-02T00:02:12.392Z,EUROPA\Default EUROPA,08D21EB6E51D0300,28,192.168.0.6:25,122.100.78.143:55545,*,,TlsDomainCapabilities='None'; Status='NoRemoteCertificate' 2015-03-02T00:02:12.392Z,EUROPA\Default EUROPA,08D21EB6E51D0300,29,192.168.0.6:25,122.100.78.143:55545,>,250 EUROPA.jufcorp.com Hello [122.100.78.143],
2015-03-02T00:02:13.640Z,EUROPA\Default EUROPA,08D21EB6E51D0300,30,192.168.0.6:25,122.100.78.143:55545,< ,AUTH LOGIN, 2015-03-02T00:02:13.640Z,EUROPA\Default EUROPA,08D21EB6E51D0300,31,192.168.0.6:25,122.100.78.143:55545,>,334 ,
2015-03-02T00:02:14.842Z,EUROPA\Default EUROPA,08D21EB6E51D0300,32,192.168.0.6:25,122.100.78.143:55545,>,334
,
2015-03-02T00:02:16.090Z,EUROPA\Default EUROPA,08D21EB6E51D0300,33,192.168.0.6:25,122.100.78.143:55545,*,SMTPSubmit SMTPSubmitForMLS SMTPAcceptAnyRecipient SMTPAcceptAuthenticationFlag SMTPAcceptAnySender SMTPAcceptAuthoritativeDomainSender BypassAntiSpam BypassMessageSizeLimit SMTPSendEXCH50 SMTPAcceptEXCH50 AcceptRoutingHeaders AcceptForestHeaders AcceptOrganizationHeaders SendRoutingHeaders SendForestHeaders SendOrganizationHeaders SMTPSendXShadow SMTPAcceptXShadow,Set Session Permissions
2015-03-02T00:02:16.090Z,EUROPA\Default EUROPA,08D21EB6E51D0300,34,192.168.0.6:25,122.100.78.143:55545,*,JUFCORP\juha.jurvanen,authenticated
2015-03-02T00:02:16.105Z,EUROPA\Default EUROPA,08D21EB6E51D0300,35,192.168.0.6:25,122.100.78.143:55545,>,235 2.7.0 Authentication successful,
2015-03-02T00:02:17.338Z,EUROPA\Default EUROPA,08D21EB6E51D0300,36,192.168.0.6:25,122.100.78.143:55545,< ,MAIL FROM: ,
2015-03-02T00:02:17.338Z,EUROPA\Default EUROPA,08D21EB6E51D0300,37,192.168.0.6:25,122.100.78.143:55545,*,08D21EB6E51D0300;2015-03-02T00:02:08.633Z;1,receiving message
2015-03-02T00:02:17.338Z,EUROPA\Default EUROPA,08D21EB6E51D0300,38,192.168.0.6:25,122.100.78.143:55545,>,250 2.1.0 Sender OK,
2015-03-02T00:02:18.258Z,EUROPA\Default EUROPA,08D21EB6E51D0300,39,192.168.0.6:25,122.100.78.143:55545,< ,RCPT TO: ,
2015-03-02T00:02:18.258Z,EUROPA\Default EUROPA,08D21EB6E51D0300,40,192.168.0.6:25,122.100.78.143:55545,>,250 2.1.5 Recipient OK,
2015-03-02T00:02:19.584Z,EUROPA\Default EUROPA,08D21EB6E51D0300,41,192.168.0.6:25,122.100.78.143:55545,< ,RCPT TO: ,
2015-03-02T00:02:19.584Z,EUROPA\Default EUROPA,08D21EB6E51D0300,42,192.168.0.6:25,122.100.78.143:55545,>,250 2.1.5 Recipient OK,
2015-03-02T00:02:20.364Z,EUROPA\Default EUROPA,08D21EB6E51D0300,43,192.168.0.6:25,122.100.78.143:55545,< ,RCPT TO: ,
2015-03-02T00:02:20.364Z,EUROPA\Default EUROPA,08D21EB6E51D0300,44,192.168.0.6:25,122.100.78.143:55545,>,250 2.1.5 Recipient OK,
2015-03-02T00:02:21.238Z,EUROPA\Default EUROPA,08D21EB6E51D0300,45,192.168.0.6:25,122.100.78.143:55545,< ,RCPT TO: ,
2015-03-02T00:02:21.238Z,EUROPA\Default EUROPA,08D21EB6E51D0300,46,192.168.0.6:25,122.100.78.143:55545,>,250 2.1.5 Recipient OK,
2015-03-02T00:02:21.534Z,EUROPA\Default EUROPA,08D21EB6E51D0301,0,192.168.0.6:25,81.246.126.146:29327,+,,

Att slå av relay för autentiserade användare i Microsoft Exchange 2010

Eftersom servern tyckte att min användare är en giltig användare så tycker den också att jag som användare har rättigheter att skicka mail men utan att ange ett lösenord dvs i praktiken är servern öppen för relay bara man angivit ett användarnamn som finns i domänen. Självklart är det inte svårt för en hacker elelr spammer att lista ut en sån sak och min mailadress finns på många forum o.s.v. så det är inte svåert att hitta mig.

För att lösa problemet slog jag av rättigheten att vilken användare som helst ska tillåtas att skicka ut mail om den finns och det gjorde jag med följande kommande:

Get-ReceiveConnector “Default Europa” | Remove-ADPermission -user “NT AUTHORITY\Authenticated users” -ExtendedRights “ms-Exch-SMTP-Accept-Any-Recipient”

EFter ändringen måste Microsoft Transport tjänsten startas om.

Kontakta mig för frågor

Dokumentation , övervakning och rutinbeskrivningar vid incidenter

Övervakning, incidenthantering och dokumentation av IT miljön

konsult inom backup It säkerhet molntjänster och infratruktur

NäÄTVERKET OCH KOMMUNKATIONDRNA ?

 

Hur ser nätet ut med IP adresser och IP planer? Topologi ?
Switchar och Routrar med VLAN och routing? Modem för failover ?
Vilka förbindelser finns in och ut ? Vad är kritiskt och behövs en redundant förbndelse?
Hur sätter man upp automatisk övervakning,  inventering och larmhantering ? Går dokumentation att automatisera ?
Behöver man se över manuella rutiner i händelse av ett IT stopp ?

SERVRARNA, NÄTET OCH MILJÖN ?

Vilka operativsystem används och vilka service packs och support packs? Vilka applikationer körs och hur hanterar vi licenserna?
Vilka tjänster / processer måste vara igång och vilka kan / bör man stänga av ?
Går det att enkelt få fram allting som behövs för inventering? Hur övervakas servrarna ?
Vad kan konsolideras till viruella miljöer t.ex. VMWare ESX/GSX server eller tilll molntjänster?
Leverantörer av hårdvara ? Ska data och servra de klassificeras för en restore och i vilken ordning måste de återställas ?
Hur hänger de olika systemen ihop och finns det relevanta systembeskrivningar?

ARBETSSTATIONERNA ?

Vilka operativsystem används, Windows, MAC, Linux , iPad ? Vilka applikationer körs och hur håller vi reda på icenserna?
Vem har kontroll över arbetstationerna och verktyg när BYOD trenden blir allt starkare ?

RIKTLINJER OCH IT POLICIES

Vilka finns de och hur följs de ? Vad har ledningen beslutat ? Hur hanteras ITIL och Change Management och Patch management som WSUS eller SCMM ? Hur hanterar ni sociala medier? Hur ska BYOD (Bring Your Own Device) trenden hanteras?

VILKA TJÄNSTER OCH APPLIKATIONER KÖRS EGENTLIGEN

Kan det vara vettigt att sätta upp automatiserade system för övervakning av servrar och nät?
Centraliserad applikationsinstallation eller är det dags att se om vissa system går att flytta till molnet?

HUR HANTERAS EN INCIDENT?

Finns det beskrivningar av hur t.ex. ett IT haveri ska hanteras eller vad man gör vid en  hacker attack ? Vilka är kosekvenserna för företaget ?

Kontakta mig här för möte

Säkerhetsanalyser av nätverk och servrar

Säkerheten kring brandväggar och nätverkstrafik ?

konsult inom backup IT säkerhet molntjänster och infratruktur

Vilka portar är öppna utifrån Internet och till vilka serverfunktioner ? Hur ser reglerna ut? Stoppas rätt trafik?
Finns regler även för utgående trafik? Filtreras trafik eller kontrolleras efter skadliga trafik?
Är det uppsatt med ett DMZ eller skickas trafiken bara vidare ? Vem/vilka har tillgång till brandväggen och kan ändra i den ?
Hur snabbt kan de göra det om det behövs? Hur hanteras intrångsförösk?

IT säkerheten kring servrar och centrala system?

Vilka tjänster/processer är igång ? Vilka kan / bör man slå av ? Delas rätt kataloger ut? Vilka har rättigheter i dem och varför?
Var finns t.ex webservern och mailservern och hur ser driften och säkerheten ut på dem och SLA ? Är det hos en extern leverantör ?
Vilket ansvar har de ? Hur hanteras uppdateringar av operativsystem som t.ex. ITIL och Change Management och Incident Management?
Hur hanteras t.ex. brute force attacker ? Vilken incidenthantering finns på plats ?

Övervakning av nätverket?

Hur övervakas nätet och hur larmas om t.ex. nya enheter? Får vi larm vid nya användare, installerade program eller tjänster som stannar? Vad kan automatiseras ?

IT säkerhetn för användarna och tillgång till systemen?

Ska nätet och data på insidan gå att nå från Internet för användarna? Hur, VPN eller med molntjänster, med smarta kort och tvåvägs autentisering?
Vilka servrar ska användarna ha tillgång till och vilka system? Är det styrt från central håll och hur övervakar vi det ?
Hur ser lösenordshanteringen ut?

Riktlinjer och IT policies?

Finns det policies uppsatta för vad användarna kan / får göra ? Finns det begränsing på utrymmet på servrarna ?
Hur hanteras laptops? Hur ser licenshanteringen ut och hur kan vi automatisera inventeringen av licenser?

Dupa applikationsanalyser eller prestandartester?

Om ni har behovet av mycket djupa applikationsanalyser så finns några av Sveriges absolut bästa konsulter i mitt nätverk att tillgå. Prestandratester och övervakning av servrar är också tjänster jag lan hjälpa till med