Windows 10 snakker hjem – hele tiden. Det giver alle med et sikkerhed- /privatlivsperspektiv myrekryp, at din Windows 10 står og siver data til Microsoft mere eller mindre konstant. Heldigvis er der folk i markedet der bruger meget tid på at undersøge og forhindre den slags. Flere er enda så flinke at de lægger løsningerne online.

Download links
Erhverv/AD: Auto IT telemetry group policy pack
Private: ShutUp10

Information:
Microsoft holder det ikke hemmeligt, og det er da heller ikke ulovligt (GDPR liderlige vil nok debattere det til verdens ende) men her er to af deres artikler der beskriver Windows 10 telemetry i detaljer.
Windows diagnostic data i din virksomhed
Administrer connections fra Windows

Der går nok ikke en uge i øjeblikket, hvor der ikke er en der forsøger at sælge dit et produkt ved at benytte GDPR som løftestang. Men hvad ville du sige hvis du gratis (eller for under 20.000,- hvis du er doven) kan blive GDPR compliant i forhold til at logge filadgang/tilgang/forsøg? og hvis du samtidigt får den suverænt bedste logning(IKKE SIEM) af event fra både filer, applikationer og eventlogs – hvad siger du så? Der er selvfølgeligt tale om The Elastic Stack som jeg har nævnt før – og det er stadig i Nagios versionen, for der koster support kun $3,995.- pr. år.

Nagios Log File Access

Nagios + Elastic Stack = Nagios Logserver. Glem alt om Solarwinds licensmodeller, tælle RAM eller EPS – der er INGEN skjulte udgifter!

Faktum: Hvad skal du logge for at overholde persondataforordning? Intet.
Problem: Til gengæld skal du kunne vise hvem har haft adgang til dokumenterne, eller om andre end de tiltænkte brugere har tilgået dokumenterne, og det er svært at fremvise hurtigt, hvis man ikke logger data. Så selv om der ikke er direkte krav til logning, så er det tæt på umuligt at overholde hvis du ikke har en aktiv logning kørende på serverne.

Løsningen er ganske enkelt at aktivere de indbyggede audit logging GPO settings i Windows (eller andre OS’er) og logge data til eventloggen. Derfra vil den lille applikation forwarde alle events til den lokale Logserver, der sortere og arkivere alle logs efter behov. En lille virtuel server med 4 kerner og 8 GB ram kunne uden problemer håndtere 2500 EPS som kom fra vores firewalls og ca. 130 servere.

Uden de store problemer kan du installere Centos 7 og Logserveren på 2-3 timer, og derefter rulle agenterne ud på alle maskiner enten via en GPO eller SCCM på et par timer… Mere kræver det ikke.

P.S.
Hvis der er nogen fra Logpoint der ringer til jer, så sig pænt nej tak – det er uden sidestykke det værste forsøg på et SIEM produkt jeg nogensinde har arbejdet med.

P.P.S
Hvis du er rigtig doven eller kræver noget intelligens, så kig på IBM QRadar og lad en af deres kvalificerede partnere stå for det (SecureDevice kan anbefales)

Hvis du er mødt af fejlen “you cannot access this shared folder because your organization security policies” når du forsøger at mappe et netværksdrev til din NAS eller en gammel server der hjemme, så er det fordi det efter MS update er markeret som “usikkert” hvis du benytter de gamle SMB v1 settings.
Workaround:
For at kunne tilgå dette igen, skal du rette din GPO til “enable insecure guest logons”. Du gør det via nedenstående GPO.
Windows 10 version 1709

Vælg den rigtige Linux distro. Er det arbejde eller fritid? spil eller programmering? – man kan gøre det nemmere for sig selv, ved at afdække behovet inden man begyder at installere en af de mange forskellige versioner af Linux. Personligt startede jeg i sin tid med Ubuntu pga. det store community, hvor man kunne få kvalificeret hjælp til alle problemer. På et tidspunkt løb jeg ind i nogle driftsstabilitetsproblemer og var ikke glad for de reklamer der blev vist, så jeg skiftede til Fedora.

Lifecycle:
Windows 8.1 -> Ubuntu 12 -> Windows 10 -> Fedora 26 64bit -> Ubuntu 16.04LTS
Hardware: HP z440 Xeon E5-1620v3 3.5 GHz – 16GB RAM – Intel SSD Raid 1+0

Fedora kan ses som en form for frontrunner for RedHat Linux, der bla. er et at de mest anvendte OS’er til det armerikanske forsvar og offentlige instanser. Det gør der også er fokus på at få drivers til at virke ordenligt. En anden årsag var det var nemt for mig at installe Nagios Log server, da deres installationsscript er udviklet bla til RedHat og Fedora.

En uforudset udfordring for mig (fordi jeg ikke havde undersøgt det ordenligt) var de hyppigere updates og versions upgrades. Det kræver meget tid at vedligeholde – især hvis man har mange workstations.

Derfor er det de sidste måneder blevet mere åbenbart for mig, at jeg må tilbage til Ubuntu, da deres LTS version er blevet mere stabil og sikker. De udfordringer der var med 3.part. drivers tidligere, siges (jf. største forums)at være væk.

Læs mere om de forskellige Linux versioner her: https://distrowatch.com

Tips:
Wine giver brugere af Linux mulighed for at installere og afvikle windows applikationer – bla. spil og office. Det er ikke en emulator, men et kompatibilitetslag, der gør det muligt at afvikle Windows programkoder på en Linux, Mac eller BSD kerne.
Læs mere her: https://www.winehq.org/

Flere dage med hjælp til oprydning efter diverse Cryptoware angreb, blev summeret perfekt af et citat fra filmen Doctor Strange, der passer på både IT-sikkerhed og alle vores andre dæmoner.
dr strange

We never lose our demons, we only learn to live above them

Der altid vil være hackere, virus, utilfredse medarbejdere, spionage og nedbrud – Så hvis man ikke vil slås med det, må man hæve sig over problemet.

Identificer -> Begræns -> Fjern -> Lær

Både Linkedin og IT-relaterede nyheds sites, flyder over med indlæg omkring vigtigheden af en moden IT-sikkerhedspolitik og hvordan trusselsbilledet har ændret sig de sidste år. Men sjældent er de efterfulgt af konkrete forslag til værktøj der kan benyttes til at hæve sikkerheden i sin infrastruktur. Derfor kommer her mine forslag til hvilken IT-sikkerhedsprodukter man med fordel kan benytte.

Hardening er en betegnelse man ofte bruger, når man gør noget hårdere – også IT-sikkerhed.

  • Sørg for at brugere ikke har adgang til foldere de ikke har behov for. Det kan gøres ved at køre en rollebaseret adgang til foldere. Det betyder alle hovedmapper er tilknyttet en sikkerhedsgruppe og medarbejdere skal være medlem af denne gruppe for at få adgang til mappen. En gratis sidegevinst ved dette, er det bliver nemmere at vedligeholde adgang og udføre en Audit til IT-revisionen.
  • Sørg for brugere ikke kan se mapper de ikke har adgang til. Det kaldes “Access-based enumeration” og er en funktion man aktivere på et netværks-share.
  • Patch er vigtige for sikkerheden og det gælder ikke kun for styresystemet. Alle applikationer i dag en sikkerheds-risiko. Derfor skal man sørge for de altid er opdateret og der ikke er installeret software der ikke er behov for. Programmer som Heimdal sikre en række programmer bliver automatisk opdateret.
  • Sørg for du har et overblik over alt udstyr og software. Lansweeper er gratis for de først 100 maskiner, og giver dig komplet inventory over alle maskiner og versioner af software installeret.
  • Applocker er en indbygget funktion fra Microsoft (via. en GPO). Det sikre der ikke afvikles andre programmer end det der er godkendt i forvejen. Man bestemmer selv hvor restriktiv politik der benyttes, men selv den laveste setting, giver et fantastisk filter mod utilsigtet afvikling af software.

Antivirus og malware har de fleste langt om længe forstået vigtigheden af, men det er ikke unormalt at valget af antivirus software er baseret på pris, og ikke funktion.

  • Cloud og Antivirus XaaS løsninger bliver bedre og bedre. I dag ville jeg anbefale Bitdefender (cloud) eller Symantec (on-prem.) da de begge er robuste løsninger, med gode muligheder for at blokere Cryptolocker og Zero-day exploits. Især Bitdefender GravityZone til erhverv, er en utrolig sikker og alsidig løsninger, der både sikre Windows, Mac og Linux maskiner – Alt sammen fra samme interface.
  • Min kollega nævnte han altid anbefaler man bruge forskelligt antivirus på hhv. server og endpoints. På den måde skulle malware potentielt forbi to forskellige systemer inden det kunne udrette skader. Det er ikke en tosset ide hvis der er økonomi til det.

DNS

  • Secure DNS og OpenDNS DNSCrypt er to produkter at en type der kommer til at være lige så normalt som antivirus i den fremtidige IT-infrastruktur. Sikker DNS forhindre maskiner i at kunne afvikle/loade de sites der er identificeret som usikre. Din klient kan simpelthen ikke få lov til at downloade indholdet, for den pågældende URL kan ikke loades.

Audit af filadgang på alle servere og konfigurations-ændringer på serverne må ikke undervurderes.

  • AdAudit sikre du ved nøjagtigt hvem ændrede/slettede/oprettede/flyttede en fil eller folder på en server. Programmet er bygget til at overvåge AD og server konfiguration, men har plugins til filservere, så den også kan benyttes. Det er især vigtigt, hvis man vil identificere “ground-zero” ved et crypto-locker angreb, for der fortæller programmet dig nøjagtigt hvem der krypterede den første fil og fra hvilken PC det skete.

Backup og Restore

  • Overvej hvilken Backup- og restore politik i har. Hvor længe vil i være om at restore alle servere? At man kan restore en server på 2 timer, er ikke det samme som man kan restore alle servere på samme tid.
  • Hvilken rækkefølge skal jeres IT genskabe applikationer? og hvordan er sammenhængen? En korrekt dokumentation giver svaret på dette, men hvis det ikke bliver trænet regelmæssigt er proceduren værdiløs.

Overvågning er mit hvertebarn, men hvad er en tidssvarende type af overvågning?

  • SIEM eller generel Syslog overvågning, giver et billede af alle events på serverne. Bliver der pludseligt flyttet/slettet/krypteret mange filer på en server, så dukker det op i overvågningen med det samme. Den slags overvågning sikre der hurtigere kan sættes ind for at forhindre et problem vokser. Samtidigt er det et audit trail når der efterfølgende skal dokumenteres hvad der er sket. Der findes mange løsninger i dag og behovet afgøre hvad det bedste produkt til situationen er. Generelt kan jeg dog anbefale SyslogNG, Correlog. Alienvault og Splunk. Microsoft OMS er ved at være et godt produkt, men mangler stadig lidt modning.
  • Ønsker man det hele(meste) i et, så kig på Newrelic.

Awareness

  • Træn jeres medarbejdere
  • Dyrk en ærlig omgangstone
  • Træn jeres medarbejdere
  • Træn jeres medarbejdere
  • Træn jeres medarbejdere

Central kontrol og administration af UEFI på Surface Pro 4 og Surface Book maskiner gennem SCCM. Det er nu blevet en mulighed, efter Microsoft har frigivet Surface Enterprise Management Mode (SEMM) til de nævnte maskiner der kører Windows 10.

SEMM er en af årsagerne til bla. NSA har godkendt PC’erne til brug, da de centralt kan administrere:
– Netværk/Wireless
– Docking
– SD-kort
– Webcam
– Mikrofon
– Bluetooth
– IR
– Skærmlås

For at konfigurere dette, skal du downloade Microsoft Surface UEFI Configurator, der er en del af pakken “Surface Tools for IT”

Den paranoide del af mig er ikke begejstret

Hvis disse settings kan administreres via. netværk i et kontrolleret setup, så kan det teoretisk også udføres remote af personer du ikke ønsker har de rettigheder over dit udstyr, data og privatliv.

SEMM - Surface Enterprise Management Mode

ComArchive kan være et godt supplement til en Microsoft Exchange eller Office365 løsning, samtidigt med det løser de nuværende juridiske krav til sporbarhed i e-mail, der er gældende for bla. den finansielle sektor.

“Dansk Standard har udarbejdet en standard for Informationssikkerhed (DS 484:2005), som indeholder en række bestemmelser, der sigter mod at gøre informationssikkerhed til en specificerbar kvalitet. Regeringen har besluttet at alle offentlige institutioner ved udgang af 2006 skal imødekomme standarden. Vi opfylder kravene om procedurer for e-mails med ComArchive.” siger Ferran Hollederer Gascón, IT Manager på Fødevareøkonomisk Institut.

Sporbarhed:
ComArchive sikre at der altid ligger en kopi af alle e-mail og forsendelser i arkivet. Dette gør det muligt at spore og dokumentere enhver e-mail korrespondance. Dette gælder også dokumenter der er scannet og sendt via. mail fra andre enheder.

E-mail Arkivering:
Spar tid på arkivering og sikre at der ikke bliver slettet vigtige mails.

Kapacitet:
Arkiveret e-mail bliver flyttet fra Office365/Exchange, til arkivet på en Fil/SQL server løsning i kunden egen infrastruktur. Typisk fylder de samme e-mails 15-25% af hvad de gjorde på Exchange. Samtidigt lettes presset på mail-serverne i et omfang, der ofte gør det muligt for kunder at reducere ram og CPU med 50%.

Fordel for slutkunde:
– Sikre at e-mail altid kan spores selv om det er slettet fra mail-serveren
– Reducer allokeret diskplads på serverne til 15-25% af tidligere behov
– Reducer CPU og RAM kapacitet på mailserver
– Søg i tidligere medarbejderes e-mail uden aktiv Exchange konto
– Hurtig restore af slettet e-mail.

Fordel for hosting partner med Office365 kunder:
– Sikre du kan sælge yderligere disk/sql kapacitet til nuværende kunde
– Øger hastigheden og brugbarheden af deres Office365 løsning
– Hurtig restore af slettet e-mail.

Pris:
– Installation og dokumentation: Typisk under 8 timer
– Vedligehold: 0,-
– Licens: 15,- pr. md. + moms

Link
www.ComArchive.com

Har gennemført Advanced Windows Exploitation (AWE) hos Offensive Security og må sige det er lidt af en øjenåbner for hvor mange værktøjer der rent faktisk er tilgængeligt for meget små penge, der kan gøre uhyggelig stor skade selv om det bliver udført af brugere der har lidt eller ingen teknisk viden.
danske hackere

Det er generelt ikke et emne jeg arbejder meget med, men for at forstå hvordan man sikre SSL kommunikation på overvågning og generel Windows sikkerhed, kræver det man en gang imellem for sat sig ind i nye emner. Sidste gang jeg havde brug for det, var da jeg brugte WIRESHARK til at fejlsøge på en Sharp Printerløsning, der ikke spyttede det print ud der blev sendt. Det viste sig at den ikke medbragte credentials, selv om de var sat i applikationen. Ikke noget der har gjort mig til er Sharp fan!

Der er mange teorier omkring et sikkert password, men denne video viser hvordan man cracker passwords, så i selv kan vurdere om jeres passwords er så sikkert som i mener, samt hvorfor man ALDRIG bruger en online password generator. Samtidigt viser videoen den enorme regnekraft der er tilgængeligt i NVIDIA’s CUDA arkitektur.

I dagens udgave af Jyllands-Posten er der en artikel der beskriver Udenrigsministeriet blev hacket og det varede 4 måneder inden det blev opdaget. Selve artiklen vil jeg ikke kommentere og detaljerne omking hvordan Udenrigsministeriet blev hacket er klacificeret og det bør overlades til Center for Cybersikkerhed at udtale sig i sagen.

Til gengæld vil jeg forholde mig til den IT-Sikkerheds situation jeg ofte oplever hos kunder. Det gælder både kunder med on premise og cloud løsninger, da der efter min mening er en enkel årsag til situationen; Mangelfuldt beslutningsgrundlag da kompleksitet og trusselsbillede ofte er ugennemskueligt for beslutningstagere.

Eksempel #1 – Ingen Antivirus
Flere gange oplever jeg man bevist udlader at installere antivirus/malware software på serverne, fordi man fejlagtigt er af den overbevisning, en høj sikkerhedspolitik beskytter serverne mod angreb. Kunder virker oprigtigt overrasket når det går op for dem at et sikkeheds-exploit ikke begrænses at et komplekst password, eller at et Zero-day exploit ikke forhindres af en korrekt opdateret server. Er der derfor ikke installeret centralt administreret antivirus software på serverne, ved man ganske enkelt ikke at serveren er inficeret, som i eksemplet med Udenrigsministeriet, hvor det siges at være Center for Cybersikkerhed der slog alarm.

Tidligere var de fleste malwares formål at vælte en kørende server. I dag er fokus ændret til at give adgang til information, da vidensdeling på det sorte marked er en milliard-industri.

Eksempel #2 – Microsoft Antivirus
Et kig på AV-test.org hjemmesiden dokumentere det de fleste IT-konsulenter ofte oplever, at Microsoft Antivirus i er falsk sikkerhed i en flot indpakning. Dårlig antivirus er efter min mening værre end ingen antivirus, da en driftspersonalet fejlagtigt vil tro alt er i den skønneste orden, på trods af at alle servere er inficeret med trojans.
Antivirus test fra AV-test.org
Kilde AV-test.org

Eksempel #3 – Ingen central administration
Antivirus der kun notificere brugeren ved endpoints er kun marginalt bedre end fraværet af central administreret antivirus, da det overlades til enduser at vurdere og advisere IT-ansvarlige.

Anbefaling:
Følgende punkter bør efter min mening være et krav til enhver antivirus-løsning til erhverv:
– Central administration
– Outbreak-control
– Network Threat Protection
– Behavioral analysis

Personligt er Symantec Endpoint Protection mit første valg, ud fra både funktion, drift og pris. Men det er vigtigt at forstå at der ikke findes et perfekt antivirus software. Det drejer sig blot om at finde det der bedst passer til situationen.