EDP + RMS = SANT

Publicerat den 4 maj, 2016 av Anders

Kommande informationsskyddet Enterprise Data Protection (EDP) i Windows 10 har resulterat i frågor om hur det här matchar RMS, då detta också har till uppgift att skydda just företagsinformation.

Det glapp som flera verksamheter har idag är just när själva informationen skapas eller anländer till användarens enhet, tills det faktiskt skyddas med till exempel RMS. Med EDP kan vi se till att företagsinformation så fort den skapas blir skyddad. Skyddet följer där efter med informationen, kopieras information från ett dokument till ett annat kommer även detta bli krypterat med automatik på din Windows 10 enhet.

Låt oss ta följande scenario:
En anställd skapar en kvartalsrapport inför en årsredovisning

1. Användaren skapar rapporten

Om ett nytt dokument skapas med någon av de applikationer som organisationens definierat för EDP så finns möjligheten att tvinga eller låta användaren avgöra om det är företagsinformation eller privat information.

image

Iconen som liknar en portfölj samt den nya kollumen ”File ownership” i utforskaren visar om filen tillhör verksamheten eller är en privat (Personal) fil.

Om användaren sedan råkar kopiera information till en applikation eller annan plats som inte organisationen har definierat, kan detta helt förhindras alternativt redovisas för användaren och loggas.

Som exempel att användaren kopierar data för att sedan råka klistra in det i ett socialt media så som Twitter

Användaren kan blockeras eller få möjlighet att göra informationen “Personal” vilket då tillåter användaren att klistra in information och som framöver kommer loggas. image

På det här sättet minimerar vi risken för den vanligaste orsaken till informationsläckage. Nämligen en anställd som oavsiktligt eller avsiktligt hanterar information felaktigt.

EDP gäller dock enbart på den aktuella enheten vilket betyder att om den här filen kan t.ex. delas med någon annan genom att bifoga filen i ett mail kommer denna fil bli oskyddad och vi har därmed tappat kontrollen.

2. Användaren delar Rapporten

Med RSM kan användaren välja att dela filen antingen via RMS Sharing Application i utforskaren eller dess add-in i Office, alternativt ”Protect Document” i Excel och addera ett RMS skydd.

image

Det här resulterar i att informationen kan delas på ett säkert sätt då RMS skydded följer med filen oavsett var filen sparas.

Användaren får då möjlighet att spåra nyttjandet för att uppmärksamma eventuella försök till missbruk och kan även när som helst återkalla behörigheten via RMS Tracking Portal

image

image

 

Mottagaren får då de begräsningar som är definierade och kan inte i det här fallet inte kopiera någon data utan enbart se innehållet i denna rapport.

Summering

EDP fyller alltså det glapp som finns idag innan information skyddas med RMS. Den som applicerar ett RMS skydd har även full behörighet och kan på så sätt även råka hantera informationen felaktigt. EDP skyddar även mot felaktig hantering i detta fall.
RMS skydded kan och bör även automatiseras så filer som exempelvis delas via mail eller lagras på lokala filservrar eller SharePoint/OneDrive med automatik skyddas med RMS.

I ett optimalt införande av kommande EDP och RMS skall våra slutanvändare jobba precis som vanligt och bli förhindrade först när de gör något otillåtet.

Publicerat i Informationssäkerhet, RMS, Windows 10 | Märkt | Lämna en kommentar

TechX Inspelningar

Publicerat den 16 mars, 2016 av Anders

För er som missade TechX 2016 under februari finns nu sessionerna att se i efterhand på Youtube.
De sessioner som rör IT-Säkerhet och produkter från Enterprise Mobility Suite presenteras även här:

Windows 10 + EMS = Sant

Windows 10 har nu landat! Förutom att Enterprise Mobility Suite (EMS) möjliggör hantering av andra typer av enheter och höjer säkerheten oavsett enhet, ger den dig max av din Windows 10-plattform. Central hantering av din konfiguration, alla inloggningar och framför allt din företagsinformation oavsett vart den sedan flyttas från din Windows 10-enhet. De främsta experterna inom sina respektive områden Client Management och IT-Säkerhet, Jörgen Nilsson och Anders Olsson demonstrerar den ultimata upplevelsen med hjälp av EMS

Skydda dig mot identitetsstöld och informationsförlust med Azure AD och RMS Premium

Tusentals identiteter och information kommer i fel händer dagligen. I den här session visar Anders Olsson (Enterprise Security MVP) hur Azure AD Premium och Azure RMS kan skydda din verksamhet och stötta din användare att alltid ha kontroll över sin information oavsett var den lagras

Framtidens klienthantering med Intune/Configuration Manager

Intune ritar om framtidens hantering av mobila enheter av alla slag. Under denna session visar vi och pratar om allt det senaste! Allt nytt som är möjligt; hantering av OS X, nyheter med iOS och On-Premise-hantering med Configuration Manager 1511 av Windows Mobile 10, som gör den till det säkraste alternativet om man inte tillåter internetuppkoppling.

Microsoft Advanced Threat Analytics

Mer än 200 dagar. Det är den genomsnittliga tid som hackare har tillgång till ditt nätverk innan de upptäcks, då de samlar in känslig data och hemlig information, och väntar på rätt ögonblick att slå till. Med Microsoft Advanced Threat Analytics (ATA) kan du identifiera säkerhetsluckor och hot med hjälp av beteendeanalys och få en tydlig och användbar rapport på en enkel attacktidslinje.

 

Övriga sessioner från TechX 2016 hittar du här: http://www.techx.se/

Publicerat i Advanced Threat Analytics, Azure, Microsoft Event, Okategoriserade, RMS | Lämna en kommentar

Enterprise Data Protection

Publicerat den 1 mars, 2016 av Anders

”Jävlar, jag skickade till fel person!?!”
Inte helt ovanligt att man av misstag skickar ett e-postmeddelande till fel person, råkar få med känslig information vid en skärmdump eller helt enkelt råkar spara en fil på fel ställe.

Den största hotbilden idag med det växande problem som råder med informationsläckage är inte externa hot, utan kommer internt initierat. Av just den enkla anledningen att våra användare medvetet eller oftast omedvetet hanterar känslig information felaktigt.

RMS är ett bra alternativ för att bland annat förhindra otillåten hantering av information.
Windows 10 kommer även med funktioner som hjälper oss att skydda företagsinformation och framför allt möjliggöra att jobba vidare precis som vanligt men skydda varje fil som innehåller just företagsinformation.
RMS kan begränsa funktioner så som kopiering, utskrift, vidarebefordring av e-post med mera, vilket är ett rekommenderat läge i vissa situationer.

Tänk om vi istället kunde definiera vad som är företagsinformation och möjliggöra att våra användare kan jobba som vanligt men om känslig information exempelvis kopieras till en ny fil skyddas även denna. På det sättet skulle vi inte påverka vårat arbetssätt men fortfarande få kontroll så ingen obehörig kommer åt verksamhetsinformation.

Enterprise Data Protection (EDP) är en funktion som kommer till Windows 10, där vi kommer få just funktionen att kryptera vår företagsinformation som laddas ner till vår Windows 10 enhet.

Vi definierar var vi har vår företagsinformation där vi både kan peka ut interna (IPv4/IPv6) nät, interna domäner men även externa tjänster så som OneDrive for Business och SharePoint Online.

När information från utpekade källor kopieras till vår Windows 10 enhet kommer filerna (oavsett filtyp) att bli krypterade. Tekniken som används är beprövade EFS (Encrypting File System) som ser till att enbart användaren som kopierade information kan dekryptera dessa filer på just den Windows 10 enheten.

EDP
EDP-krypterade filer definieras dels med en utökning av ikonen samt ”encrypted to” fältet i Explorer som redovisar inom vilken organisation filen är krypterad.

Vi kan även definiera vilka applikationer vår organisation stödjer för den här typen av information, allt ifrån Office desktopapplikationer till tredjepartsapplikationer och nya standarden Windows-applikationer.

Om information flyttas från en EDP-krypterad fil kan vi begränsa så den enbart kan flyttas till utpekade applikationer och antingen blockera användaren från att flytta information till övriga applikationer alternativt enbart informera användaren om att den inte bör flytta information till en okontrollerad applikation, då skyddet kommer upphöra. Det kommer då även informeras om att åtgärden övervakas, vilket då inte förhindrar något eventuellt verksamhetskritiskt men även får användaren att tänka över sitt beslut.

Applikationerna definieras med hjälp av Windows funktionen AppLocker där EDP redovisar för användaren vad som gäller.

clip_image003 
Ovanstående redovisas för användaren när den kopierar EDP-skyddad information och försöker flytta det till en icke EDP-kontrollerad applikation

Applikationer som är definierade för EDP redovisar även motsvarande EDP ikon så fort skyddat innehåll kopieras till, eller skapas i denna applikation

clip_image005

Jag har tidigare berättat om EDP på sessioner både under TechDays förra året och på TechX i år men i båda fallen handlade det om demoscenarier i Insider Preview av Windows 10 och EDP är ännu inte släppts i officiella Windows 10.

EDP ställer även en del krav på lokal infrastruktur och framför allt ett väl genomfört designarbete innan ett införande. Finns det ett stort intresse av den här typen av lösning är ni välkomna att kontakta oss på Onevinn för att redan idag börja designa hur framtida EDP kan stötta er organisation.

Publicerat i Informationssäkerhet, Windows 10 | Märkt , | 2 kommentarer

Nyheter från RMS produktgrupp

Publicerat den 26 januari, 2016 av Anders

Produktgruppen för Rights Management har offentliggjort en hel del spännande nyheter.

Uppköp av Secure Islands

Bland annat gjordes ett spännande uppköp under förra året där Microsoft köpte det Israeliska företaget Secure Islands. Secure Islands är fokuserat på informationsklassning och har bland annat skapat verktyg för att förenkla för en användare redan innan man skapar ett dokument om dess klassificering. Exempelvis om dokumentet du precis skapade är extern, intern eller privat information för att sedan med automatik applicera eventuellt skydd med rättigheter utefter dess klassificering, så kallad classification, labelling, and protection (CLP).
Det här ger oss en hint om vad som kommer hända framöver inom RMS och övrig krypteringstekniker från Microsoft.

Gratis loggning

En annan stor nyhet är att den centrala loggning av Azure RMS som vi tidigare behövt aktivera och betala för mängd data vi loggar, nu kommer vara aktiverad och kostnadsfri! Mer information kommer angående loggning.

Tracking portalen begränsas till RMS Premium

Tracking portalen som gör det möjligt för en slutanvändare att spåra och återkalla sin delade information är nu begränsad enbart till RMS Premium licensierade användare (RMS Premium ingår bland annat i sviten Enterprise Mobility Suite, EMS)

Publicerat i RMS | Lämna en kommentar

MISSA INTE TechX i februari!

Publicerat den 14 januari, 2016 av Anders

Du har väl inte missat att ännu ett TechX snart går av stapeln hos Microsoft?
Nya funktioner och möjligheter kommer hela tiden i takt med alla nya tjänster och det här är ett perfekt tillfälle att få information om det senaste från Azure och Office 365.

image

Jag och mina två kollegor Jörgen Nilsson och Tom Aafloen kommer presentera både Windows 10 och hela EMS sviten.
För dig som missade min och Jörgens session Windows 10 + EMS = Sant på TechDays får nu en ny chans och vi kommer även presentera nyheter som släppts efter TechDays.

Tom kommer gå igenom Advanced Threat Analytics (ATA), de senaste nyheterna och hur ATA skyddar mot aktuella hot.

Jörgen presenterar allt det senaste inom Configuration Manager och Intune och visar hur du höjer säkerheten oavsett om det handlar om en iOS enhet eller Windows 10

Jag kommer beskriva hur det senaste från Azure AD Premium och RMS hjälper organisationen att skydda både identiteter och information. Kommer även gå in på djupet hur den här tekniken verkligen fungerar och reda ut vanliga missförstånd av säkerheten och vilken information som faktiskt sparas i Azure.
Mycket animeringar blir det för att få det pedagogiskt, missa inte detta! Smileimage

Läs mer och anmäl er på http://www.techx.se/

Publicerat i Advanced Threat Analytics, Azure, Informationssäkerhet, Microsoft Event, RMS, Windows 10 | Märkt | Lämna en kommentar

Förekommer ditt konto i en stulen kontodatabas?

Publicerat den 22 december, 2015 av Anders

Miljontals kontouppgifter stjäls varje månad! De flesta kontouppgifter kommer från alla webbtjänster runt om på Internet som har någon form av inloggning. En vanlig användare som behöver skapa ett konto på en web shop eller annan typ av webbplats har ingen aning om hur dessa uppgifter hanteras och det är vanligare än man tror att företagets e-postadresser och till och med lösenord återanvänds på dessa webbplatser. Det finns en stor marknad där ute som helt enkelt säljer kontouppgifter och e-postadresser och ju fler användare en webbtjänst har desto mer utsatt är den för attacker.

Det krävs inte heller någon större kompetens för att leta runt på Internt efter ett stulet konto från någon hackad webbplats.

Har man väl kommit över inloggningsuppgifter är nästa steg att helt enkelt testa en inloggning mot någon publicerad tjänst från motsvarande domän (UPN)

Hur skyddar verksamheten sig mot detta växande hot?
ITSäkerhetsGuiden har tidigare skrivit om hur Azure Application Proxy kan publicera tjänster för att öka säkerheten med förstärkt och ökad inloggning av Azure Active Directory

Här nämndes bland annat de rapporter som finns i Azure Active Directory och som hela tiden kompletteras.

Picture1

Tack vare Microsofts arbete och kapacitet runt Big Data har de möjlighet att identifiera stulna kontodatabaser ute på Internet. Det finns stor chans att de identifierar om det förekommer ett stulet konto som överensstämmer mot ett konto i Azure Active Directory. Vilket då skickar ett larm och skapar en rapport om detta för alla kunder med ett Azure Active Directory Premium Konton.

Om Users with leaked credentials visar på ett användarkonto rekommenderas att resetta användarens lösenord och aktivera flerfaktorautentisering i den mån det går för denna användare.

Om Users with threatened credentials visar på någon användare rekommenderar jag ovanstående samt att även informera Microsoft om detta alternativt ta kontakt med mig eller någon av mina kollegor på Onevinn för att utreda anledningen till detta.

Publicerat i Azure | Märkt | 1 kommentar

Få kontroll på administrativa konton av din Azuremiljö

Publicerat den 6 november, 2015 av Anders

I takt med att vi placerar fler och fler funktioner i Azure är det extremt viktigt att skydda och ha koll på administrativa konton. Skulle exempelvis ett global adminkonto komma i fel händer kan det bli förödande för en verksamhet.

Med hjälp av en roll vid namn Azure AD Privileged Identity Management (PIM) som vi tidigare haft i Microsoft Identity Manager (MIM) 2016, får verksamheten möjligheten att:

  • Tilldela flera administratörsroller till en användare
  • Central övervakning och hantering av alla administratörer
  • Övervaka när en användare preliminärt tilldelas en administratörsroll
  • Definiera hur länge användaren har en viss behörighet
  • Begära förstärkt autentisering i form av multifaktorautentisering

Tack vare Privileged Identity Management får verksamheten inte bara kontroll utan minskar även attackytan med minskade antal aktiva administratörer och på det sättet ökar säkerheten.

PIM är en roll i Azure som vid start börjar med att inventera alla administratörsroller inom verksamhetens Azure miljö.
PIM skapar även en ny behörighetsroll vid namn Security Administrator som med automatik tilldelar den Global Administrator som initialt konfigurerar PIM.

image

I nästa steg ges möjlighet att konvertera permanenta administratörer till att bli temporära. Det här resulterar då att användaren enbart är administratör under en begränsad tid (vilket konfigureras i nästa steg).

image

I sista steget definieras hur länge en viss administratörsroll är aktiv innan den behöver aktiveras igen. Här aktiveras även notifiering och krav på multifaktorautentisering (MFA). En stor fördel är att den här funktionen påtvingar multifaktorautentisering oavsett övriga undantag för MFA som till exempel definierade undantag på IP adresser.

image

Efter den initiala konfigurationen ges tillgång till konsolen med både övervaknings och konfigurationsmöjligheter.

Det ges en tydlig överblick över hur många administrativa roller som för tillfället är aktiva och möjlighet att få fram en historik.

Via PIM konsolen kan vi även tilldela flera administrativa roller till en och samma användare.

image

Fördelen med att tilldela fler roller till en och samma användare är att när användaren väl behöver ha en administrativ roll behöver den bara begära den roll som behövs för den uppgift användaren skall utföra.

Efter tilldelad roll kan användaren se hur lång tid den innehar den här rollen vilket baserat på tidgränsen som definierades i steg tre under den initiala konfigurationen.

Det går att definiera om varje request med automatik skall godkännas (med spårbarhet) eller om det skall krävas ett godkännande baserat på angiven anledning enligt bilden nedan: 

image

Tack vare Privileged Identity Management får verksamheten kontroll på sin Azure miljö och används inte motsvarande lösning i den lokala miljön via exempelvis MIM 2016 är det hög tid att se över rutiner och processer för att minimera risk för intrång och skadlig kod på motsvarande sätt.

Publicerat i Azure | Märkt , , | 3 kommentarer

TechDays 2015

Publicerat den 28 september, 2015 av Anders

Nu är det inte långt kvar till Sveriges största IT-event Microsoft TechDays. Jag står som talare för 6 året och i år är det så klart fokus på Windows 10 och Enterprise Mobility Suite Jag tillsammans med min kollega Jörgen Nilsson kommer berätta om alla coola nyheter i Windows 10 och EMS, som tillsammans höjer säkerheten.

Hoppas vi ses på TechDays, på vår session och titta gärna förbi Onevinns monter

Publicerat i Microsoft Event | Märkt | Lämna en kommentar

Azure RMS Document Tracking Portal

Publicerat den 18 september, 2015 av Anders

Äntligen!!!
En funktion för Azure Rights Management (RMS) som vi länge väntat på lanserades i natt för den europeiska marknaden.

En funktion som gör att RMS inte bara blir en säkerhetsfunktion som skyddar känslig data utan nu också ger våra användare ett ytterligare mervärde!

Azure RMS Document Tracking Portal är nu lanserat även för den europeiska marknaden. Portalen har funnits en tid men varit begränsad till bl.a. nord Amerika.

Vad är nu då detta?
RMS oavsett tidigare AD RMS -version eller Azure RMS har alltid gett möjligheten att ha en central loggning på organisationens krypterade information. Allt ifrån vilka som använder RMS till vem som konsumerarar eller försöker konsumera RMS skyddad data och från vilken enhet. Den centrala loggningen har dock enbart varit tillgänglig för administratörerna av tjänsten och inte varit tillgänglig för slutanvändarna.

Med Azure RMS Document Tracking Portal kan även slutanvändare (den som krypterar informationen) få total kontroll på sin information.
Användaren kan nu se

  • vem/vilka som har dekrypterat information
  • vem/vilka som har försökt att dekryptera den men som saknat rättigheter eller misslyckats
  • när i tiden och hur många gånger någon öppnat ett skyddat dokument eller en krypterad fil.
  • Var ifrån i världen någon tagit del av eller försökt ta del av RMS skyddad information

Användaren kan även när som helst välja att återkalla tillgången till den RMS skyddade filen.

Den här möjligheten höjer säkerheten där verksamheten nu kan få kontroll på sin känsliga information och även återkalla tillgången till den utan att blanda in IT.

Funktionen ger även ett mervärde för slutanvändaren med dess spårbarhet.

Genom att kunna spåra vilka som öppnat en RMS skyddad fil får vi kontroll över vilka som har tagit del av viss information och när de gjorde detta.
Möjligheten att se vilka som försökt få tillgång till information men saknat rättigheter ger även möjlighet för att korrigera rättigheter om det är en person som faktiskt skall ha tillgång till informationen.

Portalen nås via adressen: portal.azurerms.com

Alternativt bara genom att högerklicka på en RMS skyddad fil och välja ”Track Usage” vilket tar dig direkt till information om den aktuella filen

clip_image002

Namnet Document Tracking Portal är lite missvisande då den även redovisar övriga filtyper som är RMS skyddade.

image

Exempel för ett Exceldokument

clip_image003

clip_image004

clip_image005

Väl inne i portalen får användaren en bra översikt över den aktuella filen och kan enkelt se all aktivitet i olika vyer baserat på tid eller var i världen det varit aktivitet. Om det verkar suspekt eller om användaren av andra anledningar har behov kan den själv dra tillbaka all tillgång till den RMS skyddade filen. Det här gäller oavsett var filen befinner sig, allt ifrån om den ligger på en Dropbox någonstans eller har blivit utbränd på en DVD skiva!

I nuläget kan användaren enbart dra tillbaka all tillgång till filen från den här portalen och kan inte plocka bort rättigheterna för en enstaka användare. Den här möjligheten går där emot att designa via Azure AD premium och en del andra lösningar. Återkom till mig eller någon av mina kollegor på Onevinn för att skräddarsy en lösning för just er verksamhet.

Publicerat i RMS | Märkt , , | 2 kommentarer

Windows 10 Device Guard

Publicerat den 7 september, 2015 av Anders

Spridningen av skadlig kod till Windows Phone är så gott som noll, och vad beror då detta på? Det enda som kan installeras på telefonen är program från Store. Dessa program är både kontrollerade och signerade och tänk nu tanken om din feta Windows 10 klient hade samma skydd!

Windows 10 innehåller något som heter Device Guard där det går att konfigurera så att enbart godkända  och signerade applikationer kan exekveras. Min första tanke när jag hörde om den här funktionen var skillnaden på detta och Software Restriction Policies (SRP) samt AppLocker som också har funktionen att kunna begränsa så enbart signerade applikationer kan köras.

Till skillnad från SRP och AppLocker så lägger sig Device Guard djupare än själva operativsystemet så även om själva operativsystemet skulle bli infekterat ser Device Guard till vad som får exekveras och på så sätt skyddar mot skadliga program.

Med hjälp av hårdvara och en virtualiseringstjänst som är oberoende av själva Windows operativsystemet spelar det ingen roll om en ”bad guy” eller en vanlig användare lyckas bli administratör och tar över systemet, den kommer fortfarande inte kunna stänga av Device Guard eller ändra vad som får köras.

Windows 10 klienten kanske inte blir särskilt användbar i nuläget om man enbart tillåter att köra appar från Store. Men vad gäller då applikationer som inte kommer från Microsoft? Device Guard kan även konfigureras att enbart köra signerade (desktop)applikationer och även osignerade egenutvecklade applikationer som konfigureras via en referensmaskin.

Referensmaskinen bygger upp en policy med regler över allt som får köras. För att öka säkerheten signeras den här listan och på samma sätt som att appar från Store får exekveras på en Device Guard -skyddad klient kan vi även signera egna applikationer så även de kan köras utan att skapa en ny policy.

För att Device Guard skall erbjuda maximalt skydd måste Windows 10 klienterna även ha:

  • UEFI och dess Trusted Boot för att på sätt kunna förhindra att något osignerat kan startas upp vid uppstart och skyddar själva bootprocessen.
  • Virtualization-Based security. En Hyper-V skyddad container som isolerar känsliga Windows 10 processer och på samma sätt ser till att enbart signerade processer får köras för att skydda Windows 10 kärnan
  • TPM 2.0 chip i våra enheter för att skydda signeringen av vår Device Guard policy med hjälp av denna isolerade hårdvara.

Från att du startar upp din dator till att du börjar att använda den, skyddar följande komponenter:DeviceGuard

AppLocker är fortfarande aktuellt och används nu mer än någonsin i Windows 10 och det är dels det som används i Enterprise Data Protection (EDP), DLP funktionen som jag kommer skriva mer om så fort det lanseras. Via AppLocker kan vi exempelvis styra vilken information som får öppnas med vilken programvara för att på det sättet skydda mot informationsläckage av både avsiktlig men även oavsiktlig karaktär.
AppLocker har även blivit enklare att hantera via MDM lösningar som både Configuration Manager och Intune.

Publicerat i Windows 10 | Märkt | Lämna en kommentar