Archives for itsäkerhet windows

Grundläggande säkerhet på Windows Server – uppdaterad

Grundläggande säkerhet på Windows server

backup disaster recovey kontinuitetsplaner IT säkerhet molntjänster syspeace

Jag skrev den här saken för ett tag sen men har lagt till lite nya länkar till programvaror o.s.v.

Kortfattat behlövs minst samtliga saker i den här listan för att uppnå i vart fall en grundläggande säkerhet på Windows server.
Tyvärr kommer servern ändå inte vara fullständigt skyddad även om du följer alla steg. Absolut säkerhet finns helt enkelt inte men det här är i vart fall en lista för att göra ett antal grundläggande inställningar och steg.

Installerade program

1. Se till att alla progranvaraor är uppdaterade med senaste säkerhetsuppdateringarna. Det här gäller operativsystemet, Exchange, SQL men även Adobe, Java och allt annat som finns installerat. Det här minskar risken för att råka ut för s.k. exploits som utnyttjkar sårbarheter i programvaror. Kika på t.ex. PDQeploy som jag tycker funkat bra i större miljöer för distribution.
Det skyddar dock inte mot en riktig Zero Day attack dvs när en sårbarhet blivit publikt känd men leverantören av programmet ännu inte släppt en uppdatering som avhjälper felet.

Antivirus

2. Se til att ha ett väl fungerande men inte för resusrkrävande antiviruws på samtliga system. Själv tycker jag om F Secures PSB lösning trots en del brister i software updater ämen den fungerar ändå väldigt väl för systemadministratör. Sätt upp larm på virusangrepp!

Katalog och filrättigheter

3. Se till att gå igenom alla katalog och filrättighter ordentligt och vilka användare och grupepr som har tillgång till vad. Tänk på att se till att användare , både interna och externa , endast ska kunna se det som de uttryckligen ska ha tillång till. Inget annat. Ett exempel är t.ex. att begränsa åtkomst till diskar och dölja diskar på Terminal Server (kolla t.ex. TS Hide Drives). Att sättw upp rättigheter på fil och katalognivå är oerhört kraftfullt sätt att begränsa tillgången till data. Testa innan du tillåter användare att nå servern. Det är alltid svårare att och jobbigare att fixa till saker i eftehand när servern är i drift. “Better to be denied than sorry”

Best practices

4. Se till att följa “best practices” för alla applikationer och tjänster du sätter upp. Googla. Ingen manual är komplett och programvarutillverkare tänker inte alltid på kringliggande saker som kan påverka säkerhet och kompabilitet.

Loggning

5. Se till att ha loggning påslaget där det går. Många program och funktioner har inte det påslaget som standard men du kan inte felsöka det du inte ser och att försöka hitat ett intrång eller annat fel i efterhand kan vara hopplöst om inte omöjligt.

Övervakning

6. Se till att ha en väl fungerande övervakning och inventering på hela ditt nät. Själv är jag en förespråkare för Spiceworks som är gratis som man kan göra väldigt mycket med.

SNMP och serveragenter

7. Om din server har olika typer av övervakningsagenter som kommer från tillverkaren (vilket de flesta har) se till att installera dem. De ger dig information om hur hårdvaran mår och larmar om olika typer av incidentter. Se till att också sätta upp larm från dem via mail till en funktionsbaserad maillåda dvs inte till en person. Se också till att ha en plan för incidenthantering på plats och utpekade ansvarig för olika typer av fel.

Group Policies

8. Group policies dvs grupp principer. Oerhört kraftfullt verktyg om du sätter dig in i det och kommer att underlätta administration, säkerhetshantering och användarhantering väldigt mycket.

SSL TLS och Internet

9. Om servern är nåbar från Intern, se till att ha giltiga SSL certifkat för alla tjänster so ska kommuniceras med. Det är inte så dyrt man kan tro och kommer underlätta också att få en del funktioner att fungera smärtfritt. Tänk dock på att bara installera ett SSL certifikat inte räcker, du måste också slå av en del svaga krypton o.s.v.

Onödiga tjänster och nätverksprotokoll

10. Stoppa tjänster, funktioner och nätverksprotokoll som inte används. Minimiera attackytan för hackers, både interna och externa, men spara även prestanda i serven. Du slipper också onödigt tjattrig nätverkstrafik på nätet . Behöver t.ex. DHCP Client vara igång på en server ? Samma princip gäller för skrivare och arbetsstattioner.

Lösenordspolicy

11 Tvinga komplexa lösenord för alla användare. Ett av de vanligaste sätten för hackers att ta sig in i system beror just på svaga lösenord som enkelt går att gissa sig till. Byt namn på administratören då kontot inte går att låsa i Windows. Här är det också viktigt att ha et fungerande intrångsskydd mot lösenordsattacker med Syspeace.

Namnstandard för inloggningar

12. Använd en bra namnstandard för inloggningar. Använd inte bara t.ex. förnamnn@ertföretag.se eller något annat som är för uppenbart och enkelt. Ju svårare det är för en hacker att gissa sig till ett användarnamn desto fler försök komemr behövas för att ta sig in i systemet. Även här är Syspeace en viktigt nyckel för hanteringen.

Backuper

13. Backuper, backuper och BACKUPER! Se till att ha fungerande backuper och rutiner för dem. Testa dem regelbundet , minst en gång om året. Att återläsa enskilda filer ur en backup är inte en återstartstest! Se även till att ha flera generationer av backuper och en IT policy som styr detta. Att bara ha en eller två generationer att kunna falla tillbaka på vid ett haveri kan vara katastrof t.ex. om backupen av någion anledning är korrupt och inte går att använda eller om ni blivit hackade och nmåste få tillbaka systemet till ett tillfälle ni vet med säkerhet är OK innan intrånget skedde.
Se till att ha MINST en fungerande enreation av backupern anågon annastans än i samma lokaler där servern är utifall det brinner eller blir inbrott.

Att ha disksystem som RAID och andra failolver-lösningar kmemr aldrig att ersätta backuper. All hårdvara kan falera, både fysiskt och logiskt som korrupta filsystem.
Ett tips här är också att slå på regelbundna VSS snapshots på alla diskar . Enkelt, stabilt och billigt sätt att ha flera generationer av data att tillgå –

Scanna , hacka , sök aktivt efter brister

14. Scanna din server med olika verktyg efter sårbarheter och tips för att öka säkerheten.

Brandväggar och kommunikationer

15. Tänk igenom hur serven kommunicerar med omvärlden vad gäller brandväggar och routing i nätet. Ha även den lokala brandväggen påslagen i Windows, trots att den står bakom en extern brandvägg.

Lösenordsattacker

16. Automatisk intrångshantering med Syspeace. I Windows går det inte att automatiskt hantera lösenordsattacker på ett vettigt sätt. De inbyggda mekanismerna kan t.o.m. göra mer skada än nytta. Att installera Syspeace löser mycket av problematiken direkt och är oerhört enkelt att installera och konfigurera.

Återstartsplaner för IT

17. Det här hör på sätt och vis ihop med punk 13 om backuper men se till att ha en vettig återstartsplan om något händer.

Microsoft Baseline Security Analyzer

18. Kolla med Microsoft Baseline Security Analyzer så du också följer deras rekommenadtioner. Den är inte heltäckande men användar för att ge en fingervisning

Kontakta mig för möte eller frågor

SSL och IIS server – slå av svag kryptering automatiskt

Vad är ett SSL certifikat och varför finns de?

JufCorp backup disaster recovey kontituitetsplaner IT säkerhet molntjänster syspeace

Ett SSL certifikat används för att kryptera trafiken mellan en klientenhet (PC, MAC, Android , iPhone o.s.v. ) och en server. Det här är en väldigt viktig funktion både ur säkerhetsaspekter men även ur funktionalitet då många system idag kräver krypterad kommunikation för att fungera fullt ut som t.ex. Microsoft Exchange och Microsoft RDS Servers (Remote Desktop servers)

Det används också för att validera att servern är den som den utger sig för att vara genom att din enhet kontrollerar med en tredje part att det här certifikatet är giltigt och att det är den serven som faktiskt har det installerat.
Enklast ser du att allt står rätt till om det står https i adressfältet i din webbläsare och att du inte har felmeddelanden kring certifikatet.

Räcker det att ha SSL installerat på servern ?

Många företag tror tyvärr att det räcker men det gör det inte. I den här korta artikeln ska jag fokusera på Microsoft IIS Server d.v.s deras webbserver som finns inbyggd i Microsoft Windows Server.I en del fall nöjer man sig även med att ha bara egenutfärdade certifikat dvs dessa valideras inte av en tredje part.

Många av standardvärdena i IIS tillåter svaga krypteringar och SSLv2 och dessa borde inte tillåtas p..g.a. risken att de kan utnyttjas till olika saker (t.ex. datastöld, s.k. Man in the Middle attacker dvs någon annan utger sig för att vara den servern som du tror att du kommunicerar med men man avlyssnar egentligen all trafik)

Detr finns även gratis verktyg på nätet för att kontrollera status och hur ni satt upp SSL på just er IIS server. Sök på t.ex. SSL Check på Google och ni kommer hitta många bra verktyg för detta. Personligen gillade jag https://sslcheck.globalsign.com/en_US eftersom den hade ett enkelt gränssnitt och bra förklaringar till de olika delarna och även https://www.ssllabs.com/ssltest/analyze.html?d=jufcorp.com&latest som även undersöker för sårbarheter mot t.ex. POODLE.

SSL och IIS server

En standardinstallerad Windows server ger vanligen betyg F dvs underkänt, även om man installerat ett godkänt SSL certifikat.
Det behövs alltså fler ingrepp i servern och här gäller det att göra rätt och tänka på t.ex. kompabilitet mot Activesync om det t.ex. är en Microsoft Exchange server men även för Remote Desktop Server.
Det krävs helt enkelt en del ingrepp i serverns registry vilket i värsta fall kan leda till att servern slutar fungera.

Kontakta mig för hjälp med att sätta upp SSL för era Windows system

Skydda Windows och t.ex. Exchange webmail OWA mot lösenordsattacker

Juha Jurvanen

Skydda sin Exchange OWA Webmail mot lösenordsattacker

Microsoft Exchange Server är en väldigt vanlig mailserver för både små, medelstora och stora företag.
För mindre företag ingår den t.ex. i sviterna Small Business Server och för större företag installeras den ofta som en separat server för att ge användare en enkel tillgång till epost, kontakter och kalender och naturligtvis en bra integration med Microsoft Outlook.

Att ge användarna tillgång till en webmail inloggning är vanligt och sätts upp av de flesta företag/leverantörer. Tanken är naturligtvis att man ska kunna läsa sina mail från vilken webläsare som helst.

Inloggningen till webmail är oftast tillgänglig via en länk som t.ex. https://mail.företaget.se/owa och den är tillgänglig för hela världen, vilket ju är tanken. Användarna kan ju vara på resande fot varsomhelst i världen och då ska även werbmail vara lätt att komma åt.

Nackdelen med att webmail är tillgängligt från alla i hela världen betyder just at det är synligt och nåbart för alla. De företag / leverantöer använder också standardlänkar för detta så det är allmänt kända s.k. sökvägar äevn för hackers.

Att stoppa lösenordsattacker

1 Windows Server finns ingen inbyggd mekanism för att hantera lösenordsattacker (s.k. brute force attacks eller dictionary attacks).
En lösenordsattack bygger på en ganska enkel princip, skriv in användarnamnet som du tror att det ska vara (ofta t.ex. användarens mailadress alternativt företagetsdomän\användarnamn) och sedan gissa sig fram med en väldigt lång lista ord och variationer på ord och på det sättet helt enkelt hoppas på att lyckas logga in.
En hacker gör inte det här för hand utan det är helt automatiserat.

Account Lockout Policy som skydd

Det närmaste inbyggda skyddet som finns i Windows Server är Account Lockout Policy som i praktiken säger att “Om det här anvädnarnamnet ar misslyckats att logga in t.ex. 5 gånger inom en halvtimme ska kontot låsas och inte kunna logga in under t.ex 30 minuter”. Account Lockpt Policy är nite påslaget som standard vilket kanske är lika bra.

Tänk scenariot när en hacker vet en användares namn (vilket vädigt ofta är ganska enkelt att få fram genom att söka på t.ex. hemsidan efter namnstandraden på mail och söka efter sk metadata på Internet) och vill försöka ta sig in för att komma åt epost.

Om Account Lockout Policy är påslaget så kommer användarens hela konto att låsas ner.
Hackern kan inte använda just det kontot men i den andra vågskålen ligger ju att det kan inte användaren själv
heller. Användarnamnet (dvs kontot) är ju låst.

I ett sådant scenario har Account Lockout Policy tyvärr gjot mer skada än nytta eftersom användaren inte kommer
åt sina mail längre ( eller något annat heller i företagsnätet).

Account Lockout Policy i en DDOS atatck

Om en sån attack sker från hundratals eller tusentals datorer (sk botnät) samtidigt så har en hacker alltså ganska effektivt helt lamslagit ett företag därför att det är inte bara webmail-inloggningen som drabbas utan det är användarens hela konto som låses dvs , man kan inte ens logga in när man sitter på kontoret.
Kontot är låst och tiden måste väntas ut eller en systemadmininstratör måste manuellt låsa upp kontot.Ofta attackeras flera användarnamn samtidigt och som ren kruiosa kan man nämna att kontoto “administartor” inte går att låsa i Micorosft WIndows Serevr dvs en hacker kan föröska gissa sig till lösenordet hur många gånger som helst (ett tips här är att börja med att döpa om kontot till något annat när ni sätter upp era system )

Testa din egen säkerhet och respons på incidenter

Jag har också själv uppmanat många att testa sin egen säkerhet gentemot sin leverantör av t.ex. molntjänster eller sitt eget företags IT policy.
Testa helt enkelt att logga in mot t.ex er webmail med ditt anävndarnamn men medvetet fel lösenord .
Testa det t.ex. 10 eller 15 gånger i rad och se vad som händer?
Kommer någon att reagera, låses ditt konot, kommer någon at rappportera till dig att någon försökt använda ditt konto ?
Om du kontaktar IT avdelningen eller leverantören och ber om en rapport på när och varifåfrn någon försökt använda ditt konto , kan de få fram dessa uppgifter åt dig ? Hur hanterar t.ex. er leverantör av molntjänster såna här saker ?

Att skydda Exchange utan Account Lockout Policy

Om Account Lockout Policies däremot inte är aktiverat kan en hacker försöka med hur många inloggningar och lösenord och variationer som helst utan att det egentligen märks eller ens uppmärksammas ofta av IT avdelningen eller driften av molntjänsten.
Förr eller senare kan en hacker gissa rätt lösneord . Med tilfäckligt många datorer och löeneordslistor är sannolikheten allt högre. Det är egentligen ren matematik.

Det finns några sätt att lösa det här på.

En gammal metod är att implementera en VPN lösning med certifikat (ett certifikat krypterar och veriferar trafiken mellan två punkter, t.ex. mellan din dator och ert företagsnät så det inte ska kunna avlyssnas)eller dosor med tvåvägvalidering/SMS som validerar användaren med en kod och inte tillåter direkt åtkomst till webmail utan ett svar från dosan/SMS.
Den typen av lösningar brukar också kallas tvåvägsautentisering.

En VPN lösning kräver en del administration, SSL certifkat (föratt skydda siog mot s.k. “man in the middle”
attacker elelr förkortat till MITM ) och ibland även licenser och prgramvara som måste installeras på de enheter där man vill logga ifårn.
Funktionalitet blir alltså lidande efetrsom man kan vara på resande fot elller lånat en PC / MAC o.s.v. och inte
kan elelr får installera VPN klieneten.

Med en VPN lösning öppnar man också upp ofta upp trafik i sin helhet till fler enheter på insidan av brandväggen
och om maskinen man sitter vid t.ex. drabbats av ett virus kan det leda till obehagliga scenarion elelr om
datorn som kopplar upp sig blivit hackad så har även hackaren full tillågn till hela ert företagsnät.

Att dölja inloggningen till sin OWA webmail från hackers

Ett annat sätt är att inte tillåta webmail mot OWA alls. Nackdelen är naturligtvis att användare inte enkelt kan komma åt sin mail och även synkronisering med mobila enheter blir lidande.

Ett fjärde alternativ är att byta t.ex. port på sin OWA (från standard https / 443 till något annat.).
Det här skyddar dock inte inloggningen för webmailen utan gör den bara lite svårare att hitta men den är oftast väldigt enkel att hitta för den som vill. En anna nackdel är att det kan krångla med andra tjänster i ert nät eller ibland t.o.m ändras tillbaka till standrad efter en Windows Update körning vilket är en huvudvärk för serverteknikerna och som kan betyda det tar ett ta att hiotta vad som hände och att lösa det. Under tiden komemr era tjänster inte att fungera.

Automatisk blockering av lösenordsattacker med Syspeace

Det fjärde och och i särklass enklaste alternativet är att använda Syspeace.

Syspeace övervakar misslyckade (och lyckade) inloggningar på b.la. Exchange Server och bedömer om det är en
lösenordsattack eller inte baserat på regler man själv kan ändra och styra.

Standarddreglerna säger att “om en IP adress misslyckats med att logga in fler än 5 gånger under 30 minuter ska den IP adressen helt låsas ut från att kommunicera med Exchange Server på alla portar under 2 timmar”.

Attacken registreras, spåras och rapporteras via epost till systemadministartören med information om varifrfrån attacken kom med IP adress och DNS namn, när attacken inträffade,hur länge IP adressen kommer att vara låst samt vilket användarnamn som hackaren försökte använda och vad den attackerade servern heter.

Användarens konto blir alltså inte låst, hackarens attack (eller attacker om det sker från tusentals datorer) blockeras per automatik och kan inte fortsätta (och det gäller alla funktioner och tjänster som finns på serverns som t.ex. Remote Desktop, WordPress eller FTP o.s.v.)
All historik lagras i Syspeace för framtida rapporter och granskning.

Larm till systemadministratör från attacken

Från systeadministratörens sida blir det snabbt och enkelt att se om en attack pågår och om den är riktad mot företaget dvs att hackers försöker ta sig in eftersom de flesta systemadministratörer jkänner igen användarnamnen inom det egna företaget och ser direkt om attacken komemr från t.ex. Kina fast man vet att användaren ju sitter i Stockholm mitt emot honom.

Nedan är ett exempel på en attack som bleckarts och hur mailet ser ut till systemadministarörte.

Ämne: Syspeace Alert from ******\TS001, IP 64.27.25.31 (unassigned.calpop.com) [United States] blocked until 2015-02-08 12:40:00

Meddelande:
Blocked address 64.27.25.31 (unassigned.calpop.com) [United States] 2015-02-08 12:40:00 Rule used:
Type of block: Windows login
Rule name: Catch All Login
Trigger window: 5.00:30:00
Occurrences: 8
Lockout time: 02:00:00
Previous observations of this IP address:
2015-02-08 10:39:28 ts001\administrator
2015-02-06 20:20:24 ts001\administrator
2015-02-06 17:01:34 ts001\administrator
2015-02-06 13:42:08 ts001\administrator
2015-02-06 10:19:56 ts001\administrator
2015-02-06 06:51:45 ts001\administrator
2015-02-06 03:25:37 ts001\administrator
2015-02-05 23:55:54 ts001\administrator

Testa Syspeace eller låt mig hjälpa er att installera och licensiera Syspeace

Jag kan hjälpa er att installera Syspeace, skaffa licenser och göra konsultjpobbet för bara 850 SEK (ex moms ) per server.

I kampanjen ingår att jag installerar intrångskyddet, sätter upp det åt er samt ni får en 1 årslicens.
En licens för Syspeace kostar ungefär mostvarande ett antivirus per server dvs 73$ US Dollar per år men licensmodellen är helt flexibel och tillåter att t.ex. teckna en licens för bara 3 månader eller bara en månad eller 2 år.

Merparten av kostnaden är alltså egentligen licensen för Syspeace. Om ni även vill jag hjälper att övervaka och ta emot larm från er Syspeace kan jag givetivs hjälpa till med det och även hjälpa er med andra IT relaterade säkerhetsfrågor.

Kontakta mig

Ladda ner och testa Syspeace själv

För att testa Syspeace själv istället, ladda ner en gratis, fullt fungerande testversion i 30 dagar här.
Installtonen är oerhört enkelt att göra och tar vanligen inte mer än 2 minuter att göra utan att behöva ändra i
er infrastruktur och närverkshanteringen eller inverstera i specialiserade IDS / IPS system. Syspeace börjar
lyssna efter lösenordsattacker direkt efter ni klickat på Start knappen i Syspeace GUI. EFter ni satt upp
reglerna kan ni helt enkelt stänga Syspeace GJI.
Syspeace installeras som en Windows tjänst och sköter all övervakning av lösneordsattacker i bakgrunden och
startas upp automatisk efter omstart av servern.

Samma licensnyckel som användes vid test används även som skarp licens vid beställnig och det är också samma licensyckel för alla era servrar (t.ex Remote Desktop, SQL Server, Citrix, Sharepoint o.s.v. ).
Inget krångel med flera licenser att hålla reda på och olika löptider för licenser.

Licenserna är inte knutna till en specifik server utan kan fritt installeras och flyttas mellan servrar utifall
ni byter ut servrar,

Syspeace fungerar på Windows Server från 2013 och uppåt och Windows 7 och uppåt och stöder förutom alla windows
inloggningar även SQL Server, Exchange SMTP Authetication, WordPress samt ett flertal andra inloggningsfunktioner och det finns även möjligheten att integrera Syspeace motorn i sin egenutvecklade websida för PHP eller .NET. för t.ex. en webshop.

Att stoppa lösneordsattacker mot Windows Servrar ska inte behöva vara varken svårt eller dyrt.