Archives for windows server

Molntjänsten rCloud Office förenklar kopplingar mot lokala enheter med rCloud Office Toolbox

“Vi har skapat ett verktyg för att skapa lokala ikoner för enheter , göra så att man högerklicka på filer/kataloger i rCloud och få ner dem direkt till den lokala enheten. De lokala enheterna heter alltid R: i Molnet och kan vara Windows, Android eller MAC.

Filer hamna på lite olika ställen beroende på vilket du är uppkopplad med (Molnet känner  av dynamiskt vilken enhet du är inloggad med dvs du kan vara inloggad med en Windows dator på jobbet och hemma med en Android och skicka filer till dem)
I Android hamnar de under Android/Download
i Mac hamnar de under /Home/Documents

I Windows hamnar filer under katalogen Mina dokument\rCloud Office (den katalogen skapas med rCloud Toolboxfor Windows)

För att få ikoner och funktionalitet så smidigt som möjligt i Windows krävs dock att du kör rCloud Office Toolbox först .

 

 

rCloud Office Toolbox for Windows

Kritisk sårbarhet i Windows öppnar hela din dator för hackare

 Enligt den här artikeln har #Microsoft släppt en säkerhetsuppdatering för den underliggande motorn för b.la Windows Defender som är en del av säkerhetsfunktionerna i Windows.

Säkerhetsuppdateringen har döpts till CVE-2017-11937.

En hackare kan skapa t.ex en webbsida eller skicka ett meddelande över Messenger och infektera datorn genom att sidan scannas av t.ex Windows Defender som i sin tur ger hackaren fullständig tillgång till datorn eftersom den körs med lokala systemrättigheter.

Det är alltså väldigt viktigt att uppdatera samtliga Windows system och göra det så fort som möjligt!

Säkerhet på Windows Server – uppdaterad

Grundläggande säkerhet på Windows server – med lite nya länkar osv

backup disaster recovey kontinuitetsplaner IT säkerhet molntjänster syspeace

Det här inlägget är tänkt som en slags grundläggande “checklista” när man sätter upp säkerhet på Windows Server vid nyinstallation och driftssätting.

Kortfattat behövs alla saker i den här listan som ett minimum för att uppnå i vart fall en grundläggande säkerhet på Windows server.
Tyvärr kommer servern ändå inte vara fullständigt skyddad även om du följer alla steg. 

Absolut IT säkerhet finns helt enkelt inte men det här är i vart fall en lista för att göra ett antal grundläggande inställningar och steg.

 

Installerade programvaror

1. Se till att alla progranvaraor är uppdaterade med senaste säkerhetsuppdateringarna. Det här gäller operativsystemet, Exchange, SQL men även Adobe, Java och allt annat som finns installerat. Det här minskar risken för att råka ut för s.k. exploits som utnyttjar sårbarheter i programvaror. Kika på t.ex. PDQeploy som jag tycker funkat bra i större miljöer för distribution. 

Även F Secure har en Software updater som fungerat bra.
Det skyddar dock inte mot en riktig Zero Day attack dvs när en sårbarhet blivit publikt känd men leverantören av programmet ännu inte släppt en uppdatering som avhjälper felet.

För dem finns egentligen inget annat att göra än följa olika typer av säkerhetskanaler, läsa rekommendationer och hålla sig uppdaterad.

Antivirus

2. Se til att ha ett väl fungerande men inte allt för resurskrävande antivirus på samtliga system. Själv tycker jag om F Secures PSB lösning trots en del brister i software updater men den fungerar ändå väldigt väl för systemadministratörer. Kom ihåg att sätta upp larm på virusangrepp!

Fil och katalogrättigheter på servern

3. Se till att gå igenom alla katalog och filrättigheter ordentligt och vilka användare och grupper som har tillgång till vad. Tänk på att se till att användare , både interna och externa , endast ska kunna se det som de uttryckligen ska ha tillång till. Inget annat.
Ett exempel är t.ex. att begränsa åtkomst till diskar och dölja diskar på Terminal Server (kolla t.ex. TS Hide Drives). Att sätta upp rättigheter på fil och katalognivå är oerhört kraftfullt sätt att begränsa tillgången till data. Testa innan du tillåter användare att nå servern. Det är alltid svårare att och jobbigare att fixa till saker i eftehand när servern är i drift.
Tänk även på att inte tillåta programexekvering från “fel”  ställen t.ex %APPDATA% , %TEMP% o.s.v

Best practices, manualer .. var inte lat ..

4. Se till att följa “best practices” för alla applikationer och tjänster du sätter upp. Googla. Snacka med folk.

Ingen manual är komplett och programvarutillverkare tänker inte alltid på kringliggande saker som kan påverka säkerhet och kompabilitet. När du instalerat ett program, klicka runt i menyerna och se vad du kan göra (vilka kataloger kan du “browsa till”vid “öppna” , “spara” i o.s.v. ) . Testa både som administratör och en vanlig användare. Vilka rättigheter behövs och vilka kan “tajtas åt” ?

Slå på loggning på servern

5. Se till att ha loggning påslaget där det går. Många program och funktioner har inte det påslaget som standard men du kan inte felsöka det du inte ser och att försöka hitat ett intrång eller annat fel i efterhand kan vara hopplöst om inte omöjligt.

Övervakning och drift av servern

6. Se till att ha en väl fungerande övervakning och inventering på hela ditt nät. Själv är jag en förespråkare för Spiceworks som är gratis som man kan göra väldigt mycket med.
Om din server har olika typer av övervakningsagenter (ofta över SNMP)  som kommer från tillverkaren (vilket de flesta har) se till att installera dem.

De ger dig information om hur hårdvaran mår och larmar om olika typer av incidentter. Se till att också sätta upp larm från dem via mail till en funktionsbaserad maillåda dvs inte till en person. Se också till att ha en plan för incidenthantering på plats och utpekade ansvariga för olika typer av fel / incidenter.

Group policies och standardisering

7. Group policies dvs grupp principer. Oerhört kraftfullt verktyg om du sätter dig in i det.  Kommer att underlätta administration, säkerhetshantering och användarhantering väldigt mycket.

SSL och Internet

8. Om servern är nåbar från Internet (fast även gärna om den bara finns internt) , se till att ha giltiga SSL certifkat för alla tjänster som det ska kommuniceras med. Det är inte så dyrt man kan tro (nuförtiden finns även gratis SSL via Letsencrypt, även om det är lite komplicerat få det att fungera ) och det kommer underlätta också att få en del funktioner att fungera smärtfritt. Tänk dock på att bara installera ett SSL certifikat inte räcker, du måste också slå av en del svaga krypton o.s.v.

9.  Se över vilka HTTP headers du använder och säkra upp även dem med t.ex Strict Transport Security,  X-Content-Type-Options, X-Frame-Options, X-Xss-Protection, X-Permitted-Cross-Domain-Policies.

Slå av onödiga funktioner och tjänster , även i en testmiljö

10. Stoppa tjänster, funktioner och nätverksprotokoll som inte används. Minimiera attackytan för hackers, både interna och externa, men spara även prestanda i serven. Du slipper också onödigt tjattrig nätverkstrafik på nätet . Samma princip gäller för skrivare och arbetsstattioner.

Lösenordshantering och policies

11 Tvinga komplexa lösenord för alla användare. För lite tips om hur man kan komma ihåg dem har jag skrivit det här inlägget tidigare

Ett av de vanligaste sätten för hackers att ta sig in i system beror just på svaga lösenord som enkelt går att gissa sig till. Byt namn på administratören då kontot inte går att låsa i Windows. Här är det också viktigt att ha et fungerande intrångsskydd mot lösenordsattacker med Syspeace.

12. Använd en bra namnstandard för inloggningar. Använd inte bara t.ex. förnamnn@ertföretag.se eller något annat som är för uppenbart och enkelt. Ju svårare det är för en hacker att gissa sig till ett användarnamn desto fler försök kommer behövas för att ta sig in i systemet. Det finns olika typer av skydd för att hantera ordboksattacker / lösenordsattacker / bruteforce  o.s.v

Serverns backuper

13. Backuper, backuper och BACKUPER! Se till att ha fungerande backuper och rutiner för dem. Testa dem regelbundet , minst en gång om året. Att återläsa enskilda filer ur en backup är inte en återstartstest! Se även till att ha flera generationer av backuper och en IT policy som styr detta.

Att bara ha en eller två generationer att kunna falla tillbaka på vid ett haveri kan vara katastrof t.ex. om backupen av någion anledning är korrupt och inte går att använda eller om ni blivit hackade och ni måste få tillbaka systemet till ett tillfälle ni vet med säkerhet är OK dvs innan intrånget skedde.

Se till att ha MINST en fungerande generation av backuperna någon annastans än i samma lokaler där servern är utifall det brinner eller blir inbrott.
Att ha disksystem som RAID och andra failolver-lösningar kommer aldrig att ersätta backuper. Det finns även många olika typer av online backup lösningar och det handlar mer om pris och funktionalitet.

All hårdvara kan falera, både fysiskt och logiskt som t.ex korrupta filsystem.
Ett tips här är också att slå på regelbundna VSS snapshots på alla diskar .

Enkelt, stabilt och billigt sätt att ha flera generationer av data att tillgå men det är INTE en ersättning för backuper!

Scanna din server efter sårbarheter!

14. Scanna din server med olika verktyg efter sårbarheter och tips för att öka säkerheten.

Här några bra länkar jag själv använder ofta

https://www.gravityscan.com      – Scannar sårbarheter, felaktiga länkar och headers osv  Främst för WordPress och Joomla osv

https://www.ssllabs.com/ssltest/   – Kontrollera att du slagit av svaga krypton och använder ditt SSL certifikat korrekt 

https://tools.pingdom.com/ –  Hastighet på hemsidan med mera, bra tips om laddningshastigheter och vad som tynger ner osv

http://www.kitterman.com/spf/validate.html   – Kontrollera att du satt upp ditt SPF record korrekt

https://mxtoolbox.com/diagnostic.aspx  – Diverse tester av mailservrar som Open Relay o.s.v. 

https://www.microsoft.com/en-us/download/details.aspx?id=7558    – Microsoft Baseline Security Analyzer

Testa ladda ner KALI Linux och testkör de olika verktygen från den.

Brandväggar och kommunikationer

15. Tänk igenom hur serven kommunicerar med omvärlden vad gäller brandväggar och routing i nätet. Ha även den lokala brandväggen påslagen i Windows, trots att den står bakom en extern brandvägg.

Brute force prevention . Skydd mot ordboksattacker, lösenordsattacker på Windows Server

16. Automatisk intrångshantering med t.ex Syspeace. I Windows går det INTE att automatiskt hantera lösenordsattacker på ett vettigt sätt. De inbyggda mekanismerna kan t.o.m. göra mer skada än nytta. Att installera ett system som Syspeace löser mycket av problematiken direkt och är oerhört enkelt att installera och konfigurera. Det finns flera liknande produkter dock som t.ex Cyberarms. Ur ett administrativt perspektiv så saknar tyvärr Cyberarms en del viktig funktionalitet som t.ex information om varifrån (land, DNS namn osv) attacken kom.

17. Det här hör på sätt och vis ihop med punkt 13 om backuper men se till att ha en vettig återstartsplan om något händer.

WordPress på IIS Server

18. Den här hör såklart ihop med om servern är nåbar från Internet lite längre upp och det är ett helt jätteområde i sig men några grundläggande tips är att se till att alltid uppdatera själva WordPress, alla plugins och teman, din PHP  och att installera plugins som t.ex. Wordfence . Även olika typer av cachning och URL rewrite kommer bhöva installeras och sättas upp.

 

Kontakta mig för möte, frågor eller konsulthjälp kring de här frågorna ? 

 

Securing Windows Server with a baseline security

JufCorp AB hjälper företag och föreningar med frågor inom backup / restore , Disaster Recovery, IT säkerhet, molntjänster och Syspeace

Securing Windows Server with a baseline security

In short, to have an acceptable baseline security for any Windows server you need to think all of the things below in this list.
Sadly enough, even if you follow all of these steps, you’re still not secured forever and ever. There’s no such thing as absolute security.  That’s just the way it is but you might use this as some kind of checklist and also the links provided in this post.

 

Securing Windows Server with an acceptable baseline security

  • 1. Make sure all of your software is updated with all security patches. This includes the Windows operating system but also Adobe, Java,Office and any software really. This reduces the risk for so called 0day attacks or your server being compromised by software bugs.
  • 2. Make sure you have a good and not too resource intensive antivirus running on everything. Personally I’m a fan of F Secure PSB for Servers and Workstations for lots of reasons. It’s not just a pretty logo. If you need licenses or assistance, please feel free to contact me here
  • 3. Verify you have thought your file and directory access structure and that users and groups are only allowed to use and see what they’re supposed to. Setting file permissions is a very powerful tool to secure your server and crucial.
  • 4. Always make sure to read best practices for securing applications and servers and Google for other ideas also. No manual is the entire gospel.
  • 5. Enable logging. If you don’t know what’s happeing, you can’t really react to it can you ? It also makes any troubleshooting hopeless in restrospect.
  • 7. Have a good monitoring and inventory system in place such as the free SpiceWorks and I also recently discovered Sitemonitoring at Sourceforge that I liked. Unfortunately Sitemonitoring only works for HTTP responses , I’d love to also have it work for pure port monitoring.
  • 8. If your server has any monitoring agents from the manufacturer such as HP Server Agents, then install them and set them up with notifications for any hardware events to be prepared incas of hardware failures. If possible, also have spare parts readu for the common failures such as hard drives and PSu (Power Supply Units)
  • 9. Use Group Policies. It’s an extermely powerful tool once you start using it and it will make you day to day operations much easier.
  • 10. If your server is reachable from the Internet, use valid SSL certificates. They’re not that expensive and any communications should be encrypted and secured as fa as we’re able.
    Yes, think Mr. Snowden.Think NSA. There’s a few more things to consider when installing SSL on servers such as disabling weak cryptos and testing you´v done so correctly. I like using SSL Labs free test.
  • 11. Disable any unused services and network protocols. They can be a point of entry and for the unused network protocols, you bascially fill your local network with useless chatter that comsume bandwidth. This also goes for workstations and printers and so on.
  • 12. Enforce complex password policies! You won’t be well-liked but that’s not what you get paid for.
    If people are having trouble remembering passwords the have all over the world, maybe you could have them read this blog post I wrote about rememebering complex passwords
    and on the topic of online passwords and identities, they migh also want to read this post about protecting your online identity  also.
  • 13. Use a good naming standard for user logins. Not just their first name as login or something too obvious. Here’s an old blog post (still on the Syspeace Blog site though )  on why
  • 14. Backups! Backups! and again. BACKUPS!!
    Make sure you have good backups (and test them at least once a year for a complete disaster revovery scenario) and make sure you have multiple generations of them in case any of them is corrupted, preferrably stored offsite in some manner in case of a fire, theft or anything really.For day to day operations and generation management I highly recommend using the builtin VSS snapshot method but never ever have it instead of backups.
    You can also use the built in Windows Server backup for DR as described here
  • 15. You need to have an automatic intrusion protection against brute force and dictionary attacks with Syspeace since the “classic” methods do not get the job done. Here’s an older blog post on why . I you don’t have the time to read the article then simply download the free Syspeace trial or contact me for licenses and consulting regarding Brute force prevention

If you’re up for it, I’ve written a few other related posts here:

Securing your datacenter part 1 – Physical aspects
and
Securing your datacenter part II – Networking

There’s also a third one but to be honest , I can’t remember where I published it. This is one of the reasons I’m moving basically everyting I’ve written to my own website instead . Easier to maintain .
Keep it simple and easy is alway a good approach. 🙂

By Juha Jurvanen @ JufCorp

Grundläggande säkerhet på Windows Server – uppdaterad

Grundläggande säkerhet på Windows server

backup disaster recovey kontinuitetsplaner IT säkerhet molntjänster syspeace

Jag skrev den här saken för ett tag sen men har lagt till lite nya länkar till programvaror o.s.v.

Kortfattat behlövs minst samtliga saker i den här listan för att uppnå i vart fall en grundläggande säkerhet på Windows server.
Tyvärr kommer servern ändå inte vara fullständigt skyddad även om du följer alla steg. Absolut säkerhet finns helt enkelt inte men det här är i vart fall en lista för att göra ett antal grundläggande inställningar och steg.

Installerade program

1. Se till att alla progranvaraor är uppdaterade med senaste säkerhetsuppdateringarna. Det här gäller operativsystemet, Exchange, SQL men även Adobe, Java och allt annat som finns installerat. Det här minskar risken för att råka ut för s.k. exploits som utnyttjkar sårbarheter i programvaror. Kika på t.ex. PDQeploy som jag tycker funkat bra i större miljöer för distribution.
Det skyddar dock inte mot en riktig Zero Day attack dvs när en sårbarhet blivit publikt känd men leverantören av programmet ännu inte släppt en uppdatering som avhjälper felet.

Antivirus

2. Se til att ha ett väl fungerande men inte för resusrkrävande antiviruws på samtliga system. Själv tycker jag om F Secures PSB lösning trots en del brister i software updater ämen den fungerar ändå väldigt väl för systemadministratör. Sätt upp larm på virusangrepp!

Katalog och filrättigheter

3. Se till att gå igenom alla katalog och filrättighter ordentligt och vilka användare och grupepr som har tillgång till vad. Tänk på att se till att användare , både interna och externa , endast ska kunna se det som de uttryckligen ska ha tillång till. Inget annat. Ett exempel är t.ex. att begränsa åtkomst till diskar och dölja diskar på Terminal Server (kolla t.ex. TS Hide Drives). Att sättw upp rättigheter på fil och katalognivå är oerhört kraftfullt sätt att begränsa tillgången till data. Testa innan du tillåter användare att nå servern. Det är alltid svårare att och jobbigare att fixa till saker i eftehand när servern är i drift. “Better to be denied than sorry”

Best practices

4. Se till att följa “best practices” för alla applikationer och tjänster du sätter upp. Googla. Ingen manual är komplett och programvarutillverkare tänker inte alltid på kringliggande saker som kan påverka säkerhet och kompabilitet.

Loggning

5. Se till att ha loggning påslaget där det går. Många program och funktioner har inte det påslaget som standard men du kan inte felsöka det du inte ser och att försöka hitat ett intrång eller annat fel i efterhand kan vara hopplöst om inte omöjligt.

Övervakning

6. Se till att ha en väl fungerande övervakning och inventering på hela ditt nät. Själv är jag en förespråkare för Spiceworks som är gratis som man kan göra väldigt mycket med.

SNMP och serveragenter

7. Om din server har olika typer av övervakningsagenter som kommer från tillverkaren (vilket de flesta har) se till att installera dem. De ger dig information om hur hårdvaran mår och larmar om olika typer av incidentter. Se till att också sätta upp larm från dem via mail till en funktionsbaserad maillåda dvs inte till en person. Se också till att ha en plan för incidenthantering på plats och utpekade ansvarig för olika typer av fel.

Group Policies

8. Group policies dvs grupp principer. Oerhört kraftfullt verktyg om du sätter dig in i det och kommer att underlätta administration, säkerhetshantering och användarhantering väldigt mycket.

SSL TLS och Internet

9. Om servern är nåbar från Intern, se till att ha giltiga SSL certifkat för alla tjänster so ska kommuniceras med. Det är inte så dyrt man kan tro och kommer underlätta också att få en del funktioner att fungera smärtfritt. Tänk dock på att bara installera ett SSL certifikat inte räcker, du måste också slå av en del svaga krypton o.s.v.

Onödiga tjänster och nätverksprotokoll

10. Stoppa tjänster, funktioner och nätverksprotokoll som inte används. Minimiera attackytan för hackers, både interna och externa, men spara även prestanda i serven. Du slipper också onödigt tjattrig nätverkstrafik på nätet . Behöver t.ex. DHCP Client vara igång på en server ? Samma princip gäller för skrivare och arbetsstattioner.

Lösenordspolicy

11 Tvinga komplexa lösenord för alla användare. Ett av de vanligaste sätten för hackers att ta sig in i system beror just på svaga lösenord som enkelt går att gissa sig till. Byt namn på administratören då kontot inte går att låsa i Windows. Här är det också viktigt att ha et fungerande intrångsskydd mot lösenordsattacker med Syspeace.

Namnstandard för inloggningar

12. Använd en bra namnstandard för inloggningar. Använd inte bara t.ex. förnamnn@ertföretag.se eller något annat som är för uppenbart och enkelt. Ju svårare det är för en hacker att gissa sig till ett användarnamn desto fler försök komemr behövas för att ta sig in i systemet. Även här är Syspeace en viktigt nyckel för hanteringen.

Backuper

13. Backuper, backuper och BACKUPER! Se till att ha fungerande backuper och rutiner för dem. Testa dem regelbundet , minst en gång om året. Att återläsa enskilda filer ur en backup är inte en återstartstest! Se även till att ha flera generationer av backuper och en IT policy som styr detta. Att bara ha en eller två generationer att kunna falla tillbaka på vid ett haveri kan vara katastrof t.ex. om backupen av någion anledning är korrupt och inte går att använda eller om ni blivit hackade och nmåste få tillbaka systemet till ett tillfälle ni vet med säkerhet är OK innan intrånget skedde.
Se till att ha MINST en fungerande enreation av backupern anågon annastans än i samma lokaler där servern är utifall det brinner eller blir inbrott.

Att ha disksystem som RAID och andra failolver-lösningar kmemr aldrig att ersätta backuper. All hårdvara kan falera, både fysiskt och logiskt som korrupta filsystem.
Ett tips här är också att slå på regelbundna VSS snapshots på alla diskar . Enkelt, stabilt och billigt sätt att ha flera generationer av data att tillgå –

Scanna , hacka , sök aktivt efter brister

14. Scanna din server med olika verktyg efter sårbarheter och tips för att öka säkerheten.

Brandväggar och kommunikationer

15. Tänk igenom hur serven kommunicerar med omvärlden vad gäller brandväggar och routing i nätet. Ha även den lokala brandväggen påslagen i Windows, trots att den står bakom en extern brandvägg.

Lösenordsattacker

16. Automatisk intrångshantering med Syspeace. I Windows går det inte att automatiskt hantera lösenordsattacker på ett vettigt sätt. De inbyggda mekanismerna kan t.o.m. göra mer skada än nytta. Att installera Syspeace löser mycket av problematiken direkt och är oerhört enkelt att installera och konfigurera.

Återstartsplaner för IT

17. Det här hör på sätt och vis ihop med punk 13 om backuper men se till att ha en vettig återstartsplan om något händer.

Microsoft Baseline Security Analyzer

18. Kolla med Microsoft Baseline Security Analyzer så du också följer deras rekommenadtioner. Den är inte heltäckande men användar för att ge en fingervisning

Kontakta mig för möte eller frågor

TLS 1.1, TLS 1.2 och SSL certifikat på Microsoft IIS Server och Exchange Server

Vad är ett SSL certifikat ?

konsult inom backup It säkerhet molntjänster SSL

Ett SSL certifikat används för att kryptera trafiken mellan en klientenhet (PC, MAC, Android , iPhone o.s.v. ) och en server. Det här är en väldigt viktig funktion både ur säkerhetsaspekter men även ur funktionalitet då många system idag kräver krypterad kommunikation för att fungera fullt ut som t.ex. Microsoft Exchange och Microsoft RDS Servers (Remote Desktop servers) .
TLS är egentligen en vidareutveckling av just SSL även om man i dagligt tal pratar om just SSL certifikat.

SSL / TLS används också för att validera att servern är den som den utger sig för att vara genom att din enhet kontrollerar med en tredje part att det här certifikatet är giltigt och att det är den serven som faktiskt har det installerat.
Enklast ser du att allt står rätt till om det står https i adressfältet i din webbläsare och att du inte har felmeddelanden kring certifikatet.

SSL är dock inget skydd mot t.ex. lösenordsattacker mot Windows Server. För den typen av skydd behövs Syspeace

Räcker det att ha SSL installerat på servern ?

Många företag tror tyvärr att det räcker men det gör det inte. I den här korta artikeln ska jag fokusera på Microsoft IIS Server d.v.s deras webbserver som finns inbyggd i Microsoft Windows Server.I en del fall nöjer man sig även med att ha bara egenutfärdade certifikat dvs dessa valideras inte av en tredje part.
Det här är absiolut inte att rekommendera i en driftsmiljö. Knappt ens i testmiljö eftersom det är en del manuell hantering och det är ofta svårt att helt efterlikna driftsmiljön.

Kontrollera er SSL installation gratis

Det finns gratis verktyg på nätet för att kontrollera status och hur ni satt upp SSL på just er IIS server.
Sök på t.ex. SSL Check på Google och ni kommer hitta många bra verktyg för detta. Personligen gillade jag https://sslcheck.globalsign.com/en_US eftersom den hade ett enkelt gränssnitt och bra förklaringar till de olika delarna och även https://www.ssllabs.com/ssltest/analyze.html?d=jufcorp.com&latest som även undersöker för sårbarheter mot t.ex. POODLE.

SSL och IIS server i standardinstallation

En standardinstallerad Windows server ger vanligen betyg F dvs underkänt, även om man installerat ett godkänt SSL certifikat.

Många av standardvärdena i Microsoft IIS tillåter svaga krypteringar och SSLv2 och SSLv3, och dessa borde inte tillåtas p..g.a. risken att de kan utnyttjas till olika saker (t.ex. datastöld, s.k. Man in the Middle attacker dvs någon annan utger sig för att vara den servern som du tror att du kommunicerar med men man avlyssnar egentligen all trafik) .
Det saknas även en del viktiga inställningar i registret för Forward Secrecy o.s.v

Det behövs alltså fler ingrepp i servern och här gäller det att göra rätt och tänka på t.ex. kompabilitet mot Activesync om det t.ex. är en Microsoft Exchange server men även för Remote Desktop Server.
Det krävs helt enkelt en del ingrepp i serverns registry vilket i värsta fall kan leda till att servern slutar fungera.

Kontakta mig för hjälp och frågor

Grundläggande säkerhet på Windows server

Grundläggande säkerhet på Windows server

backup disaster recovey kontinuitetsplaner IT säkerhet molntjänster syspeace

Det här inlägget är tänkt som en slags grundläggande “checklista” när man sätter upp säkerhet på Windows server vid nyinstallation och driftssätting.

Kortfattat behlövs minst samtliga saker i den här listan för att uppnå i vart fall en grundläggande säkerhet på Windows server.
Tyvärr kommer servern ändå inte vara fullständigt skyddad även om du följer alla steg. Absolut IT säkerhet finns helt enkelt inte men det här är i vart fall en lista för att göra ett antal grundläggande inställningar och steg.

 

Installerade programvaror

1. Se till att alla progranvaraor är uppdaterade med senaste säkerhetsuppdateringarna. Det här gäller operativsystemet, Exchange, SQL men även Adobe, Java och allt annat som finns installerat. Det här minskar risken för att råka ut för s.k. exploits som utnyttjar sårbarheter i programvaror. Kika på t.ex. PDQeploy som jag tycker funkat bra i större miljöer för distribution. Även F Secure har en Software updater som funegrat bra.
Det skyddar dock inte mot en riktig Zero Day attack dvs när en sårbarhet blivit publikt känd men leverantören av programmet ännu inte släppt en uppdatering som avhjälper felet.

För dem finns egentligen inget annat att göra än följa olika typer av säkerhetskanaler och hålla sig uppdaterad.

Antivirus

2. Se til att ha ett väl fungerande men inte för resusrkrävande antiviruws på samtliga system. Själv tycker jag om F Secures PSB lösning trots en del brister i software updater ämen den fungerar ändå väldigt väl för systemadministratör. Sätt upp larm på virusangrepp!

Fil och katalogrättigheter på servern

3. Se till att gå igenom alla katalog och filrättighter ordentligt och vilka användare och grupepr som har tillgång till vad. Tänk på att se till att användare , både interna och externa , endast ska kunna se det som de uttryckligen ska ha tillång till. Inget annat.
Ett exempel är t.ex. att begränsa åtkomst till diskar och dölja diskar på Terminal Server (kolla t.ex. TS Hide Drives). Att sätta upp rättigheter på fil och katalognivå är oerhört kraftfullt sätt att begränsa tillgången till data. Testa innan du tillåter användare att nå servern. Det är alltid svårare att och jobbigare att fixa till saker i eftehand när servern är i drift.
Tänk även på att inte tillåta programexekvering från “fel”  ställen t.exx %APPDATA% , %TEMP% o.s.v

Bets practices, manualer .. var inte lat ..

4. Se till att följa “best practices” för alla applikationer och tjänster du sätter upp. Googla. Snacka med folk.

Ingen manual är komplett och programvarutillverkare tänker inte alltid på kringliggande saker som kan påverka säkerhet och kompabilitet. När du instalerat ett program, klicka runt i menyerna och se vad du kan göra (vilka kataloger kan du “browsa till”vid “öppna” , “spara” i o.s.v. ) . Testa både som administratör och en vanlig användare. Vilka rättigheter behövs och vilka kan “tajtas åt” ?

Slå på loggning på servern

5. Se till att ha loggning påslaget där det går. Många program och funktioner har inte det påslaget som standard men du kan inte felsöka det du inte ser och att försöka hitat ett intrång eller annat fel i efterhand kan vara hopplöst om inte omöjligt.

Övervakning och drift av servern

6. Se till att ha en väl fungerande övervakning och inventering på hela ditt nät. Själv är jag en förespråkare för Spiceworks som är gratis som man kan göra väldigt mycket med.
Om din server har olika typer av övervakningsagenter (ofta över SNMP)  som kommer från tillverkaren (vilket de flesta har) se till att installera dem.

De ger dig information om hur hårdvaran mår och larmar om olika typer av incidentter. Se till att också sätta upp larm från dem via mail till en funktionsbaserad maillåda dvs inte till en person. Se också till att ha en plan för incidenthantering på plats och utpekade ansvarig för olika typer av fel.

Group policies och standardisering

7. Group policies dvs grupp principer. Oerhört kraftfullt verktyg om du sätter dig in i det och kommer att underlätta administration, säkerhetshantering och användarhantering väldigt mycket.

SSL och Internet

8. Om servern är nåbar från Internet (fast även gärna om den bara finns internt) , se till att ha giltiga SSL certifkat för alla tjänster som det ska kommuniceras med. Det är inte så dyrt man kan tro (nuförtiden finns även gratis SSL via Letsencrypt, även om det är lite komplicerat få det att fungera ) och kommer underlätta också att få en del funktioner att fungera smärtfritt. Tänk dock på att bara installera ett SSL certifikat inte räcker, du måste också slå av en del svaga krypton o.s.v.

9.  Se över vilka HTTP headers du använder och säkra upp även dem med t.ex Strict Transport Security,  X-Content-Type-Options, X-Frame-Options, X-Xss-Protection, X-Permitted-Cross-Domain-Policies.

Slå av onödiga funktioner och tjänster , även i en testmiljö

10. Stoppa tjänster, funktioner och nätverksprotokoll som inte används. Minimiera attackytan för hackers, både interna och externa, men spara även prestanda i serven. Du slipper också onödigt tjattrig nätverkstrafik på nätet . Samma princip gäller för skrivare och arbetsstattioner.

Lösenordshantering och policies

11 Tvinga komplexa lösenord för alla användare. För lite tips om hur man kan komma ihåg dem har jag skrivit det här inlägget tidigare

Ett av de vanligaste sätten för hackers att ta sig in i system beror just på svaga lösenord som enkelt går att gissa sig till. Byt namn på administratören då kontot inte går att låsa i Windows. Här är det också viktigt att ha et fungerande intrångsskydd mot lösneordsattacker med Syspeace.

12. Använd en bra namnstandard för inloggningar. Använd inte bara t.ex. förnamnn@ertföretag.se eller något annat som är för uppenbart och enkelt. Ju svårare det är för en hacker att gissa sig till ett användarnamn desto fler försök kommer behövs för att ta sig in i systemet. Det finns olika typer av skydd för att hantera ordboksattacker / lösenordsattacker / bruteforce  o.s.v

Serverns backuper

13. Backuper, backuper och BACKUPER! Se till att ha fungerande backuper och rutiner för dem. Testa dem regelbundet , minst en gång om året. Att återläsa enskilda filer ur en backup är inte en återstartstest! Se även till att ha flera generationer av backuper och en IT policy som styr detta.

Att bara ha en eller två generationer att kunna falla tillbaka på vid ett haveri kan vara katastrof t.ex. om backupen av någion anledning är korrupt och inte går att använda eller om ni blivit hackade och nmåste få tillbaka systemet till ett tillfälle ni vet med säkerhet är OK innan intrånget skedde.

Se till att ha MINST en fungerande generation av backupern någon annastans än i samma lokaler där servern är utifall det brinner eller blir inbrott.
Att ha disksystem som RAID och andra failolver-lösningar kommer aldrig att ersätta backuper. Det finns även många olika typer av online backup lösningar och det handlar mer om pris och funktionalitet.

All hårdvara kan falera, både fysiskt och logiskt som korrupta filsystem.
Ett tips här är också att slå på regelbundna VSS snapshots på alla diskar .

Enkelt, stabilt och billigt sätt att ha flera generationer av data att tillgå men det är INTE en ersättning för backuper!

Scanna din server efter sårbarheter!

14. Scanna din server med olika verktyg efter sårbarheter och tips för att öka säkerheten.

Här några bra länkar jag själv använder ofta

https://www.gravityscan.com      – Scannar sårbarheter, felaktiga länkar och headers osv  Främst för WordPress och Joomla osv
https://www.ssllabs.com/ssltest/   – Kontrollera att du slagit av svaga krypton och använder ditt SSL certifikat korrekt 
https://tools.pingdom.com/ –  Hastighet på sidan med mera, bra tips om laddningshastigheter osv
http://www.kitterman.com/spf/validate.html   – Kontrollera att du satt upp ditt SPF record korrekt
https://mxtoolbox.com/diagnostic.aspx  – Diverse tester av mailservrar som Open Relay o.s.v. 
https://www.microsoft.com/en-us/download/details.aspx?id=7558    – Microsoft Baseline Security Analyzer

Testa ladda ner KALI Linux och testkör de olika verktygen från den.

Brandväggar och kommunikationer

15. Tänk igenom hur serven kommunicerar med omvärlden vad gäller brandväggar och routing i nätet. Ha även den lokala brandväggen påslagen i Windows, trots att den står bakom en extern brandvägg.

Brute force prevention . Skydd mot ordboksattacker, lösenordsattacker på Windows Server

16. Automatisk intrångshantering med t.ex Syspeace. I Windows går det INTE att automatiskt hantera lösenordsattacker på ett vettigt sätt. De inbyggda mekanismerna kan t.o.m. göra mer skada än nytta. Att installera ett system som Syspeace löser mycket av problematiken direkt och är oerhört enkelt att installera och konfigurera.

17. Det här hör på sätt och vis ihop med punkt 13 om backuper men se till att ha en vettig återstartsplan om något händer.

WordPress på IIS Server

18. Den här såklart ihop med om servern är nåbar från Internet lite längre upp och det är ett helt jätteområde i sig men några grunläggande tips är att se till att alltid själva wordpress, alla plugins och teman, din PHP  och att installera plugins som t.ex. Wordfence . Även olika typer av cachning och URL rewrite kommer bhöva installeras och sättas upp.

 

Kontakta mig för möte, frågor eller konsulthjälp kring de här frågorna ? 

 

Tjänster jag kan hjälpa er med t.ex. IT säkerhet, backup restore, IT drift, projektledning, molntjänster och Syspeace

backup disaster recovey koninuitetsplaner IT säkerhet molntjänster syspeace

Jag tar även uppdrag som underkonsult till företag som vill inleda ett samarbete.

Den här sidan innehåller ett antal rubriker kring några av de saker jag kan hjälpa ert företag eller förening med.
Det är ett många saker och det är reultatet av 20 års erfarenhet som IT konsult.
Jag törs påstå att en stor del av min kompetens är just min breda erfarenhet och förståeälse för helheter i IT system och driftskritiska applikationer men även för affärprocesser och leda personal.

Backup restore, Disaster Recovery, kontinuitetsplaner och återstartstester

Backup restore är ett oerhört viktigt område som alla företag och föreningar måste tänka på . Hur länge kan ni vara utan ert datat och hur gammalt datat kan ni gåt tillbaka till ?

Efter att ha jobbat dagligen i 8 år som Disaster Recovery-tekniker och backup expert på SunGard Availabiliy Services kan jag vara mycket behjälplig med de flesta backuplösningar som finns på Windows, NetWare, Solaris samt Linux . Jag har unik kompetens på hur man återställer servrar, funktioner och nät.

Bland backuplösningar jag jobbat med både för återstarsttester och i dalig drift kan nämnas BackupExec, Symantec Netackup, VytalVault, Tivoli TSM BrighStor. Jag har troligen sett de flesta lösningar som finns på marknanden, både på små och stora företag.

Rutiner, dokumentation och incidenthantering

Utan en lättbegriplig men ändå detaljerad dokumentation och inventering kan det blir svårt att hantera IT miljön.
Jag kan hjälpa till med att skapa rutiner och dokumentation för att säkerställa en fungerande drift och ett fungerande tillvägagångsätt vid ett haveri. Här inåg även att ha en god inventering av hur miljön såg, övervakning och närliggande frågor.

Ingen kan planera för alla tänkbara avbrott men en god grundplan är en förutsättning för att snabbast möjligt kunna återkomma i produktion efter ett eventuellt haveri.
Frågan är enkel – Hur länge kan ni vara utan er IT och hur gammalt får data vara när det återläses?

Molntjänster

De senaste åren har jag varit mycket aktiv med molntjänster på Red Cloud IT där jag som molnarkitekt byggt, driftat och designat rCloud Office-lösning samt varit teknik-och konsultchef.
Jag är också delägare i Red Cloud IT men jag hjälper er att utvärdera även andra molntjänster och hjälper er att välja det som passar just er verksamhet.
Det finns många molntjänster och det gäller att välja precis rätt för just er verksamhet.
Jag kan även hjälpa er bygga en egen molnlösning, utvärdera andras eller hjälpa er migrera era applikationer från äldre servrar som t.ex. Windows Server 2003.

Verifiering, analyser och förbättringar av befinltiga lösningar och system

Jag kan hjälpa till med att verifiera befintliga lösningar , antingen genom gå igenom de lösningar ni har och föreslå förändringar eller göra fullständiga återläsningar av Era system för att säkerställa funktionalitet.
Jag är inte knuten till något företag eller produkt vilket gör mina analyser helt oberoende av andra leverantörer.
Jag hjälper er att planera era återstartstester och skriva återstartsplaner (s.k. DRP Disaster Recovery Planning) så de finns på plats när de behövs och ni kan minimera ert stillestånd. Jag kan också hjälpa er med praktiska återstartstester och backupövervakning.

Jag kan hjälpa till med planering och projektledning för installation och konfiguration av mailsystem, SQL, nätverk, brandväggar, VPN lösningar, övervakningar, DNSBlacklisting, antivirusskydd, affärssystem som Epicor Scala, Visma, Pyramid, CRM system .
All installation innehåller givetvis en god dokumentation och skulle behovet finnas kan jag hjälpa er att drifta systemen som second line.

IT drift, second och third line servertekniker

Då jag tidigare arbetat som konsult inom outsourcing är jag även kunnig inom drift, installation och support av företag och föreningar.
Jag har också varit del i driften av t,ex, SunGards online-backuptjänster där jag varit med om design, installation och drift.
Jag kan hjälpa till med er support och helpdesk på serversidan eller fungera som IT ansvarig /IT Chef / IT driftschef eller projektledare.

Hyr en IT chef , projektledare

Ibland behöver företag och organisationer någon som agerar IT Chef , projektledare eller IT ansvarig men behovet av att anställa någon är kanske inte så stort. Den ordinarie kan vara på semester, barnledig eller företaget är helt enkelt för litet för att anställa någon.
Lösningen är att hyra någon för ett antal timmar i veckan istället. Många saker kan göras på distans med moderna lösningar så var ni sitter geografiskt är kanske inte det viktigaste.

Skydda företagets identitet på Internet och SEO?

Jag hjälper er gärna med att se över hur ni syns på Internet och kommer med tips och råd om hur ni kan skydda ert varumärke och hur ni t.ex. kan använda Google Analytics för relevanta rapporter om besökare på er hemsida och får bättre leadsgenerering.
Jag hjälper er att sätta upp enkla verkyg för att få larm på om något förändras oväntat på er hemsida som kanske till följd av en hackerattack.
Jag hjälper er gärna också att övervaka detta och kommer med tips och förslag på hur ni kan synas bättre på t.ex. Google och t.ex. migrera er hemsida i HTML / PHP till en modernare, responsiv hemsida för mobila enheter.

IT säkerhet , analyser och intrångshantering

Grundläggande kontroller av nätverkssäkerheten, patchhantering, lösenordspolicies, intrångsförsök, backuprutiner o.s.v.

Hålla kurser och workshops

Jag har hållit kurser och workshops för externa företag om Disaster Recovery och backuper och kan även hålla kurser i t.ex. SEO (sökmotorpoptimering) och webövervakning.

Juha Jurvanen – Konsultprofil

En långt ifrån komplett CV / konsultprofil då en sån skulle bli orimligt lång efter 20 år som IT konsult men den ger ett hum om vad jag jobbat med innan.

Kontakta mig för ett möte

Mailservrar och mailhantering, DNS

backup disaster recovey konituitetspalner IT säkerhet molntjänster syspeace

Mailservrar som t.ex. Microsoft exchange och Lotus domino

Vem hanterar domänregistreringen och DNS pekningen av MX pekare?
Vilken mailserver skall användas?
Microsoft Exchange 2007/2010/2013? Hur skyddar vi Exchange OWA från hacking?
Lotus Notes ?
Sendmail ?
Hur ska den skyddas mot t.ex. SPAM och virus?
Vad är DNS Blacklisting och DNS Greylisting?
Hur stoppas den mot s.k. relaying ?
Vad är SMTP AUTH?
Hur använder man “smart host” ?
Ska mailen gå krypterat ?
Ska det gå att läsa mail via webb ?
Behövs en sekundär MX pekare och vad är det ?

Mailservern och operativsystemet?

Vilka tjänster / processer måste vara igång?
Vilka kan/ bör man stänga för prestanda och säkerhet?
Hur hänger de ihop?

Åtkomst för användarna ? Vilka Funktioner i mailserverna ska användas som t.ex mobil synkronisering och delade kalendrar?

Ska det finnas delade kalendrar? Ska mobila enheter (mobiltelefon, PDA, iPad o.s.v. ) synkroniseras mot systemet för att läsa mail eller kalendrar och isåfall hur ? Hur ska vi hantera BYOD (Bring Your Own Device) trenden?

Säkerheten på mailservern?

Vad är minimum för backuper för att kunna återställa ett komplett systemhaveri eller bara delar av det?
Finns det dokumenterat HUR det ska göras?
Har ni system som är beroende av varandra och i vilken ordning måste en restore göras för att det ska gå så snabbt som möjligt att återgå till normal drift igen. Ska webmail finnas? Hur skyddar vi den mot intrångsförsök som dictionary attacker och brute force attacker?

Vilka riktlinjer gäller och hur följs de ? Hur ser er IT policy ut?

Finns det policies uppsatta för hur stora mailboxar användarna får ha ?
Bör vissa filtyper stoppas i servern ?
Vilka och varför ?
Arkiveras data ?
Hur länge sparas mail på servern och när måste backupen användas?
Skall enskilda mail gå att återskapa?
Vad säger lagen i Ert fall ?
Vilka riktlinjer är uppsatta från ledningen ?
Hur ska vi hantera mobila enheter nr någon slutar?