IT-Säkerhetsguiden

Automatisera VPN i Windows 8.1

Publicerat den 5 december, 2013 av Anders

Senaste versionen av Windows kom med en hel del intressanta nyheter/funktioner runt Remote Access. Windows 8.1 går nu att få mer automatiserad både när det gäller hur Windows kan autoansluta till en VPN samt hur man kan automatisera konfigurationen av VPN.

Windows 8.1 och Windows Server 2012 R2 har fått nya PowerShell kommandon för att skapa VPN anslutningar av olika slag, vilket gör att vi enkelt kan automatisera den här processen.

En väldigt viktig del för att få en bra IT-miljö handlar om att förenkla så mycket som möjligt för våra användare. DirectAccess är ett bra exempel på hur klienter alltid är uppkopplade mot företaget så länge de har en internetanslutning, utan att kräva någon ytterligare åtgärd av användaren. DirectAccess passar ju dock inte i alla scenarier som exempelvis för icke domänanslutna klienter eller för att nå vissa system som inte fungerar över DirectAccess.

Med Windows 8.1 kan vi nu automatisera så Windows själv förstår när den behöver ansluta med VPN, vilket då kan ske helt i bakgrunden utan att ”störa” användaren. Nyheterna fungerar i både Windows Pro/Ent och Windows RT. Dessvärre fungerar enbart automatiseringen på icke domänanslutna maskiner som det ser ut idag.

Windows kan trigga VPN-anslutningen baserat på

· Att en specifik applikation startas

· Att man går mot resurser i en viss domän baserat på FQDN/DNS.

När det gäller att trigga igång VPN anslutningen när användaren startar ett program, gäller detta inte bara nya Windows Appar utan även klassiska applikationer. Genom att ange söksträngen till applikationen i PowerShellscript identifierar Windows när applikationen startas och ansluter med VPN i bakgrunden.

Andra alternativet är att vi kan trigga en VPN anslutning när man försöker nå en intern adress från internet. Ett exempel är att Windows ansluter med VPN i bakgrunden om man kör RDP mot en intern server. Här anger man en trigger i PowerShell för den interna domänen, exempelvis mycompany.com och när du då kör RDP mot server.mycompany.com triggas din VPN igång i bakgrunden.

VPN anslutningen kommer vara igång så länge det går trafik och sedan kan du definiera en timeout-tid när den skall koppla ner igen, standardvärde om inget definieras är 5 minuter. Naturligtvis kan du koppla ner manuellt precis som vanligt. Dock kommer din autotrigger inaktiveras när du manuellt kopplar ner och därefter behöver du kryssa i ”Let apps automatically use this VPN connection” som kommer visas under din VPN anslutning för att autotrigger funktionen skall fungera igen.

Bästa sättet för att förstå hur fantastiskt det här faktiskt är, görs genom att testa det.
Jag har skapat två olika PowerShell där det första skapar din VPN anslutning och det andra skapar en autotrigger baserat på DNS namn.
Kör du idag en L2TP, SSTP eller RRAS VPN kommer nedanstående skript att fungera om du byter ut <variablerna> mot dina uppgifter:

Add-VpnConnection -Name ”DemoAccess” -ServerAddress ”<IP/Namn till din VPN Gateway>” -EncryptionLevel Required -AuthenticationMethod MSChapv2 -SplitTunneling -RememberCredential –PassThru

Add-VpnConnectionTriggerDnsConfiguration -ConnectionName ”DemoAccess” -DnsSuffix ”<ditt interna domännamn ex mycompany.com” -DnsIPAddress ”IP adressen till DNS servern för din VPN” –PassThru

Första gången din VPN triggas kommer Windows fråga dig om inloggningsuppgifter och därefter kommer det ske helt i bakgrunden med automatik. Riktigt snyggt och användarvänligt 🙂

Fullständig lista över alla nya VPN PS kommandon finner du här: http://technet.microsoft.com/en-us/library/jj554820.aspx

Publicerat i Windows 8 | Lämna en kommentar

Forefront UAG SP4 finns nu för nedladdning!

Publicerat den 28 november, 2013 av Anders

Forefront Unified Access Gateway (UAG) Service Pack 4 släpptes natten till idag.
En av de stora nyheterna är utökat stöd för nya klientplattformar och webbläsare.
Bland annat supporteras nu webbläsaren Internet Explorer 11 (oavsett plattform).
Windows 8.1 supporteras nu också i form av både den inbyggda mail appen och Remote Desktop 8.1 clienten.

Ett nytt verktyg vid namn Export2tspub.exe ligger med i UAG SP4, vilket är till för att publicera RemoteApp program från en Windows Server 2012 och 2012 R2.

Det ingår även en hel del fixar för tidigare problem med publiceringar av bland annat:

Exchange 2013 OWA
SharePoint 2013 / SkyDrive Pro
ADFS med SSO

Förkrav för att installera Service Pack 4 är:
Forefront UAG Service Pack 3 Rollup 1
Forefront TMG Service Pack 2

Mer information om vilka fixar som ingår i UAG SP4 finns i kb-2861386
http://support.microsoft.com/kb/2861386/

Forefront UAG Service Pack 4 hämtas här
http://www.microsoft.com/en-us/download/details.aspx?id=41181

Publicerat i Forefront UAG | Lämna en kommentar

Forefront UAG och Windows 8.1 “does not meet access policy requirements”

Publicerat den 14 oktober, 2013 av Anders

Service Pack 3 till Forefront Unified Access Gateway (UAG) löste våra problem med Windows 8 klienter, så vi kunde nå UAG portalen även från våra nya Windows 8 enheter.
Nu är Windows 8.1 på gång och beräknas släppas till allmänheten redan på torsdag och flera sitter redan idag med en Preview eller en version från MSDN/TechNet och vi har nu märkt nya problem.

Det kommer att komma en uppdatering även till Forefront UAG som ger stöd för både Windows 8.1, Internet Explorer 11 och flera andra nya plattformar men till dess kan vi lösa problemen på annat sätt.

Om du möts av följande fel när du går mot din UAG portal: ”Your device does not meet access policy requirements for this site” finns det en lösning.

Det här löser du genom att gå in under Inställningar i Internet Explorer (alt + X) och ”Compatibility View Settings” där du lägger till din domän. Om du har exempelvis URL portal.domän.com lägger du till domän.com.

Du kan behöva stänga och starta Internet Explorer men bör sedan mötas av ditt vanliga inloggningsformulär

Om du fortfarande får problem att nå dina applikationer och kanske rent av möts av texten: ”No applications defined” Så beror detta på Endpoint Policy Settings för UAGns publicerade applikationer.

Tryck F12 och bläddra ner till Emulation där du ställer in att använda IE 10

Även här kan du behöva stänga och starta Internet Explorer men efter detta bör du ha access till de applikationer du vanligtvis når med ditt användarkonto.

Publicerat i Forefront UAG | Märkt Your device does not meet access policy requirements for this site; UAG; Windows 8.1; IE11 | Lämna en kommentar

BYOD och IT-Säkerhet

Publicerat den 4 oktober, 2013 av Anders

Bring Your Own Device (BYOD) är ett område som är väldigt hett just nu. I stort sett varje företag eller myndighet står nu inför utmaningen att hantera alla dessa enheter som våra användare har med sig till sin arbetsplats.
Jag har tidigare skrivit om lösningar för att kunna ge tillgång till interna system från dessa enheter och använda exempelvis Workplace Join i Windows Server 2012 R2 för att registrera och använda våra enheter i autentiseringen till olika tjänster. Största utmaningen för de flesta företag och myndigheter som jag kommer i kontakt med handlar om hur de ens skall våga släppa in dessa enheter i sin miljö. Utmaningarna är oftast följande

Kritiska system och servrar som inte får exponeras för dessa enheter.
Känslig information som inte får komma i fel händer p.g.a. privat e-post eller Dropbox-liknande molntjänster

Kritiska system

Tänk om Microsoft hade en lösning som gjorde att de kritiska systemen var helt osynliga för alla okända enheter som kopplas in i vår infrastruktur och att all tillåten kommunikation till dessa system är krypterad för att motverka sniffning och Man-in-the-middle attacker.
Tänk om vi också kunde se till att klienter som skall kunna kommunicera med dessa system följer verksamhetens IT-Säkerhetspolicy med allt ifrån ett uppdaterat antivirus till en lösenordskyddad skärmsläckare. Först när klienten uppnår säkerhetskraven blir de kritiska systemen synliga och användaren kan börja använda systemet oavsett vilket protokoll som används.

Lösningen till det här finns och kallas för Server & Domain Isolation (SDI) och beskrivs under ITSäkerhetsguiden.se/SDI

Känslig information

Tänk om Microsoft hade en lösning som gjorde att vi kunde skydda och sätta behörighet på all känslig information oavsett vart informationen finns.
Tänk om vi också kunde styra vad en användare får göra med ett dokument, om den får läsa, kopiera, skriva ut eller sprida informationen via e-post
Lösningen till det här finns och kallas för Active Directory Rights Management System (AD RMS) och beskrivs under ITSäkerhetsguiden.se/AD-RMS

Det här är ett klassiskt exempel på att det finns väldigt mycket teknik från Microsoft som ger ett bra skydd för både system och information men som relativt få faktiskt använder. Att skydda information är något extremt viktigt som de flesta nu börjar inse. Med BYOD kommer också utmaningen att kunna använda inte bara Microsofts plattor och telefoner utan även iPhones, iPads och Androids för att komma åt känslig information. RMS har utvecklats rejält de senaste månaderna och inom kort kommer vi inte bara kunna kryptera vilka filer som helst utan även kunna dekryptera och läsa information från i stort sett vilken enhet som helst. AD RMS fliken på IT-Säkerhetsguiden kommer uppdateras inom kort så fort vi har något färdigt på marknaden…

Publicerat i Generell Säkerhet, Informationssäkerhet | Märkt BYOD | 2 kommentarer

Styr behörighet baserat på enhet!

Publicerat den 5 juli, 2013 av Anders

Windows Server 2012 R2 och Windows 8.1 Preview har nu funnits ute i flera dagar och självklart har jag labbat varje ledig minut med de nya lösningarna.
Säkerhetsmässigt imponerar Workplace Join allra mest. Det här ger oss möjlighet att registrera i stort sett vilken enhet som helst i vårat Active Directory.
Vad skall då detta vara bra för?

Om vi kombinerar det här tillsammans med ADFS och den nya funktionen Web Application Proxy (WAP) kan vi styra vem och med vilken enhet man får tillgång till en viss tjänst.
I dagsläget är det här enbart en Preview vilket gör att vi är något begränsade, och det finns en del fixar som vi väntar på inför lansering. Jag har gjort tester med Windows 8.1 och det fungerar också att köra med iPhone i dagsläget.
I min miljö har jag en publicerad applikation som enbart är tillgänglig från registrerad enhet om man försöker nå den externt.
Jag har även gett möjlighet för en domänmedlem att registrera en enhet från Internet och enheten registreras då med användaren. Loggar en annan användare in på samma dator med Windows 8.1 är enheten inte registrerad.

För att göra en Workplace join i Windows 8.1 (Preview) går man in under Change PC Settings och klickar på Network

Här finns Workplace där man anger sitt domänkonto (UPN) i nedanstående format.

En autentiseringsbegäran frågar efter inloggning och vi anger då domänlösenord för att få registrera enheten.

Om jag nu surfar mot min applikation från Internet med min registrerade dator har jag
SSO inloggning och möts av det översta fönstret. Försöker jag surfa från en annan enhet så möts jag av det nedre fönstret.

Vad är det som händer i bakgrunden

Om vi börjar med Workplace så kommer klienten att söka efter DNS namnet enterpriseregistration.domän.com. Det här namnet pekar på vår Web Application proxy (antingen direkt med ett externt nätverkskort eller till en extern brandvägg som skickar vidare in till WAP).
Web application Proxy är precis som det låter, den proxar ADFS trafiken och autentiserar registreringen via ADFS servern.

All trafik går över krypterad SSL och viktigt att tänka på här är att du har ett och samma SSL certifikat på ADFS servern och din WAP server.
Certifikatet skall innehålla:

CN=FQDN
SAN: DNS=FQDN
SAN: DNS=enterpriseregistration.domän.com

Certifikatets CRL måste är även vara nåbar från Internet!

Internt pekar enterpriseregistration.domän.com på ADFS servern.

ADFS servern skall även köras med ett servicekonto med ett Service Principal Name (SPN) med samma FQDN.
Vårat Active Directory förbereds via powershell:
Aktivera Device Registration Service:
Enable-AdfsDeviceRegistration –PrepareActiveDirectory
Ange servicekontot i nästa steg:
Enable-AdfsDeviceRegistration

Efter registreringen hamnar enheten under RegisteredDevices i ActiveDirectory och knyts till en GUID som bygger på din enhet och användaren enheten är registrerad med.

”ADFS aware” Applikation

Applikationen måste stödja ADFS och ett exempel på färdig applikation är SharePoint.
ADFS definierar vilka krav vi har på autentisering och i mitt exempel kräver jag även en ”Multi-factor authentication” (MFA) med smarta kort eller certifikat för enheter som inte är registrerade samt för medlemmar i gruppen IT.

Jag kommer inte gå så mycket djupare på ADFS-delen utan ger mig in på vår nya roll Web Application Proxy.

I det här exemplet styrs alla request för både web och ADFS mot vår proxy server och baserat på dess regler så ser den till att autentisera trafiken mot vår ADFS server och kommunicera med Webservern.

I mitt exempel pekar alltså följande externa URLer på min Web Application Proxy

enterpriseregistration.domän.com
Adfsserver.domän.com
Webserver.domän.com

Web Application Proxy i sig har ingen egen intelligens utan autentiserar via ADFS eller skickar vidare utan autentisering. Den kan där emot lyssna på en extern URL och skicka vidare till en annan intern URL.

Viktig information vid utvärdering

Det finns en del problem och det är som sagt en Preview-version så en del kommer ändras till skarp version.
Din ADFS Server och WAP server måste vara inställda på tidszon UTC eller UTC -nn för att det här skall fungera. Jag kör i nuläget på UTC -06:00 Central America i min miljö

Publicerat i Windows Server 2012 | 2 kommentarer

Rätt brandvägg berättar om pågående attacker

Publicerat den 20 juni, 2013 av Anders

Alla brandväggar som står mot Internet är mer eller mindre alltid utsatta för attacker.
I det flesta fall handlar det om scriptade attacker mot alla publika IP som lyssnar på en viss port. I vissa fall kan man se mönster om det är mer riktat och man försöker med olika attacker mot en och samma IP eller URL.

En kommun hörde av sig i veckan då deras Forefront TMG var korrekt uppsatt med larmhantering och de hade fått ett flertal larm under kort tid.

En konfigurerad TMG larmar via mail i realtid vid en attack eller annat hot för verksamheten.

Vid närmare kontroll visade det sig att man gjort ett flertal försök med olika typer av attacker mot samma mål. Vi kunde också konstatera att alla attacker kom från samma IP adress och det var uppenbart att man riktat in sig mot en publicerad Exchange OWA.

Idag finns det inga krav på att man behöver ha någon större kunskap, det finns färdiga ”hackverktyg” att ladda hem eller köpa. Det har även gått så långt att du kan få support på dessa produkter med allt ifrån handhavande till nya attacker mot de senaste sårbarheterna.

Tack vare det signaturbaserade skyddet Network Inspection System (NIS) i TMG kunde TMG identifiera attacker mot ett flertal kända sårbarheter allt ifrån IIS till ”SQL injection” och även fast inte dessa sårbarheter fanns på bakomliggande system identifierar TMGn att försök har gjorts och börjar larma.

Vi kan enkelt se vilka attacker som man har försökt med och vilken åtgärd som signaturen var inställd på.

Trots att det ser ut som viss trafik tillåts eftersom signaturen bara detekterar en viss attack (åtgärden avgörs i detta fall av signaturen) så nyttjas fler säkerhetsfunktioner för att stoppa attacken: Det viktigaste skyddet i det här fallet är också att enbart autentiserad trafik kommer fram till Exchange.

Det har inte kommit några nya NIS definitioner på väldigt länge och delvis beror detta på att man bygger om den här funktionen, sedan har också antalet sårbarheter som varit möjliga att nyttja över nätverket minskat enormt sista tiden. Där emot betyder inte det att man kan skall sluta använda NIS funktionaliteten om man har fullt uppdaterade system, vilket det här var ett bra exempel på. Genom att identifiera en pågående attack kan man också ta åtgärder som att begränsa tillgång och stoppa specifika adresser och subnät.

I det här fallet gjordes en polisanmälan där man går vidare med utredning av den source adress attacken kom ifrån. I många fall rör det sig om en smittad maskin som attacken kommer ifrån och personen/verktyget bakom attacken kan sitta flera steg ifrån.

Syftet med den här artikeln var för att lyfta kunskapen om de attacker som kontinuerligt pågår mot våra publicerade tjänster. Se till att skydda allt ifrån din webbmail till andra distanslösningar så gått det går och rör det sig om publik verksamhet så som skolor och öppna nät behandla dessa nät på samma sätt som Internet. Inom kommuner så kan nyfikna skolelever vara det störta hotet och de flesta förstår inte heller konsekvenserna av att testa lite ”häftiga hackverktyg”.

Läs mer om NIS http://itsäkerhetsguiden.se/2009/10/07/tmg-networking-inspection-service-nis/

Eller se en kort demo på hur skyddet både i TMG och Endpoint Protection stoppar en attack http://www.microsoft.com/sverige/technet/technettv/#Network Inspection System (NIS) i Forefront TMG och Forefront End Protection

Publicerat i Forefront TMG | Lämna en kommentar

Nyheter i Windows Server 2012 R2 för distansarbete

Publicerat den 8 juni, 2013 av Anders

Det är mycket som händer hos Microsoft just nu och det är riktigt spännande! Än så länge finns inget på marknaden och det är inte förrän 26e juni som det publikt kommer finnas en preview (beta) att ladda hem.
Nyfikenheten är dock stor och mycket har presenterats denna vecka under TechEd i New Orleans, men det man måste ha i åtanke är att än så länge är ingenting helt färdigt men självklart måste jag skvallra lite här på ITSäkerhetsGuiden.

Windows Server 2012 kom med revolutionerande nyheter som förenklade och förbättrade DirectAccess, så naturligtvis är vi intresserade av att se vad som händer mer runt Remote Access för distansarbete. Trenden håller i sig, en användare skall kunna nå allt den behöver vart den än befinner sig och alltid kunna manageras. Det är också tydligt att Microsoft har tagit åt sig hur många användare är vana att arbeta idag och förbättrat dessa funktioner för att passa en verksamhet

RemoteAccess

Det har inte kommit några nyheter runt DirectAccess i Windows Server 2012 R2, mestadels för att det fungerar grymt bra i Server 2012, så vi saknar väl ingenting här heller.
Där emot kommer Windows 8.1 få en del nya features runt VPN för automatisering. Exempelvis om en applikation startas som behöver nå interna resurser startar applikationen själv en VPN tunnel för att förenkla både för användaren och IT förvaltningen

Web Application Proxy

Web Application Proxy Role är där emot en ny service-roll som låter oss publicera resurser (webbapplikatoner), antingen med pass through med URL-översättning där vi exempelvis lyssnar externt på en viss URL och översätter bak mot en intern URL. Tillsammans med ADFS kan vi få pre-authentication för att autentisera all trafik som skall få prata med interna resurser.
Vi ser ett helt nytt ADFS i R2 med nya autentiseringsformer, allt ifrån formulär, certifikat till flerfaktorautentisering.
Claims aware applikationer kan även publiceras med ADFS och styra på claims för att exempelvis enbart tillåta att en registrerad enhet får tillgång till en applikation eller styra på network location vart ifrån klienten kopplar upp sig.

RDS Gateway har fått en rejält ökad performance med imponerande svarstider i nuvarande beta men säkert ännu bättre inför release.

Forefront UAG?
Jag förmodar att många ställer sig frågan, så det är lika bra jag tar den direkt.
Web Application Proxy Role är INTE till för att ersätta UAG. Den är avsedd för scenarier som inte fungerar med nuvarande UAG och enbart webbaserade applikationer.
Forefront UAG SP4 är på gång för att utöka support av nya plattformar, det är fortfarande den som gäller för att exempelvis publicera icke webbaserade applikationer och ge stöd för äldre klientoperativ.

Dropboxliknande lagring med Work Folders

En av de häftigaste funktionerna som vi sett exempel på i Windows Server 2012 R2 är en funktion som heter Work Folders, den kommer ge motsvarande funktion som Dropbox eller Skydrive. Skillnaden är att vi har all central data sparat lokalt on-premise istället för i molnet. Dina filer synkroniseras med en Windows Server 2012 R2 filserver. Du konfigurerar klienterna antingen centralt via GPO eller ger dom en unik URL till sin lagringsyta.
Naturligtvis kommer det fungera på en ny Windows klient, men det pågår även arbete att få ut möjligheten till iPhone och Android.
Naturligtvis så rynkar en säkerhetsmedveten person på näsan över att synka information på det här sättet, men det låter som det kan bli riktigt bra. Kryptering av data som sköts centralt baserat på tokens där vi också kan styra så en enhet som tappas bort eller en anställd som slutar inte får tillgång till informationen längre. Med andra ord, klart mycket bättre än hur det ser ut på många ställen idag med allt ifrån Dropbox till privata Skydrive med företagsinformation.

Det här blir också en av funktionerna som man tänkt publicera mot Internet med hjälp av Web Application Proxy.
Alla filserverfunktioner som finns i dagens Windows Server 2012 kommer vara tillgängliga, där vi ser möjligheten att både få redundans och hög säkerhet.

Workplace join i Active Directory

Vi kommer få se ett nytt sätt att lägga med en enhet i domänen som kallas Workplace Joined. Till skillnad från Domain Join där IT har full kontroll på en maskin så är Workplace join ett mellanting där vi registrerar vilken device som helst i domänen, antingen en Android, iPhone, eller privat windowsdator/telefon. Likvärdigt till Exchange ActiveSync kommer vi kunna ställa vissa krav på klienten för att den skall få nå information, så som Pinkod, kryptering osv. Det ger oss också mer kontroll och spårbarhet på vilka enheter som används och kommer kunna erbjuda sömnlös 2-faktors autentisering för webbapplikationer.

Enheten är registrerad tillsammans med en användare, om en användare försöker logga in med en enhet den inte är registrerad med blir den stoppad.
Detta kommer kräva en schemauppdateringar för Active Directory med nya objektklasser för dessa enheter och det kommer även kräva både Web Application Proxy och ADFS.

Det här var bara några av de nyheter som presenterades på TechEd och åter igen så finns ingenting klart, och det kan även bli ändringar innan första betan släpps.
Ett tips på vägen för att bli redo för allt nytt är t.ex. se över att du har en säker och pålitlig PKI (Certifikats) infrastruktur och har du inte börjat använda DirectAccess är det hög tid för att få kontroll på dina klienter vart dom än befinner sig. Gränsen mellan internt och externt blir bara mindre och mindre vilket ställer höga krav på säkerheten!

Publicerat i Generell Säkerhet, Microsoft Event, Windows 8, Windows Server 2012 | Lämna en kommentar

Exchange 2013 OWA loggar ut på 5 minuter

Publicerat den 30 maj, 2013 av Anders

Många har nu uppgraderat sin Exchangelösning från 2010 till 2013 och skyddar webbaccessen till denna med hjälp av Forefront Threat Management Gateway (TMG). I det flesta fallen fungerar det här bra, dock har vissa få problem att sessionen dör efter bara fem minuter. Det här har visat sig vara ett känt problem mellan Exchange 2013 och TMG men enbart i enstaka fall, dock har vi inte sett någon gemensam nämnare i dessa fall och det finns heller ingen officiell fix för det här problemet.

Det finns dock en funktion i TMG som kan lösa det här.

Normalt sett så baseras sessiontiden på dels inloggningen i formuläret, där standard för en allmän dator är 10 minuter och 360 minuter för en privat dator enligt nedanstående bild.

Det här kan man styra via “Advanced form options” under Forms på lyssnaren i TMG

I de fallen det har varit problem med kort sessionstid har det inte hjälpt att ändra dessa inställningar.

Lösningen är att använda en funktion i TMG som heter Credential Caching. Under Advanced (Authentication Options) på lyssnaren finns “Client Credentials Caching” som precis som de låter cachar inloggningsuppgifterna en bestämd tid och här är defaultvärdet 300 sekunder vilket då motsvarar de 5 minuter i detta problem.
Genom att höja detta värde kommer vi runt problemet och kan definiera hur länge sessionen skall kunna vara levande.

Observera att du inte bör ändra det här om du inte har det här problemet.
Övrig information över vad som gäller runt att publicera Exchange 2013 med TMG finns att läsa på TechNet bloggen: http://blogs.technet.com/b/exchange/archive/2012/11/21/publishing-exchange-server-2013-using-tmg.aspx

Publicerat i Exchange, Forefront TMG | 1 kommentar

Underlätta informationsskydd med Office-mallar och AD RMS

Publicerat den 24 maj, 2013 av Anders

AD RMS (Active Directory Right Management Services) är ett enormt bra verktyg och teknik för att skydda det som verkligen betyder något för de flesta företag, själva informationen.

Dock spelar det ingen roll hur bra teknik det är om inte våra användare använder tekniken.
Steget att behöva gå in och faktiskt välja en RMS template eller peka ut de användare som skall kunna få ta del av informationen kan i många fall vara det största problemet oavsett hur många riktlinjer och säkerhetspolicys som finns. Trots att det bara rör sig om 3-4 musklick så är det extra steget den största tröskeln.

Mycket går att automatisera med SharePointplatser och dylikt men en väldigt enkel lösning är också att arbeta med Officemallar vilket i stort sett alla redan gör på sina arbetsplatser.
Genom att ha exempelvis word-mallar för information som enbart skall kunna nås av anställda (med ett AD-konto) och sedan AD RMS skydda själva mallen gör att varje dokument som skapas från mallen får samma skydd.

Skapa en ny template med tydlig information om att den även innehåller en kryptering och lägg till valfri AD RMS policy om det skall gälla alla anställda eller en viss avdelning.

När en användare sedan skapar ett dokument utifrån mallen så kommer dokumentet vara skyddat.
Informationen kommer enbart kunna läsas av en (AD-autentiserad) användare var dokumentet än befinner sig. Dokumentet kommer inte kunna skrivas ut eller skickas till en e-post utanför organisationen och inte ens en print-screen kommer få med innehållet i dokumentet.

Naturligtvis kan man ta ett kort på skärmen men då är det också mer uppenbart att man går emot arbetsplatsens riktlinjer och det här är trots allt en teknik som skall underlätta att följa de IT-policys som finns.

Läs mer på itsäkerhetsguiden.se/ad-rms

Publicerat i Informationssäkerhet | Märkt #MEET | Lämna en kommentar

Skräddarsy säkerhetsrapporter från Endpoint Protection

Publicerat den 7 maj, 2013 av Anders

Forefront Endpoint Protection och System Center Endpoint Protection och dess centrala övervakning i System Center Configuration Manager ger möjligheten att genera en hel del rapporter med fördefinierade inställningar för vilken data den skall hämta. En viss del av den här informationen kan även exporteras till Excel och dylikt vilket är tillräckligt i det flesta fall.
Dock kan det finnas verksamheter som har specifika krav både på vilken data de vill ha rapporter på och i vilket format. Tack vare att all data från Endpoint Protection sparas i en SQL kan vi använda SQL reporting service och SQL Report Builder för att skräddarsy exakt det data vi vill ha ut.
Med hjälp av rätt SQL querys kan vi även hitta samband för att identifiera mönster hur maskinerna blir smittade, exempelvis mellan identifierade virus och version av operativsystem.

Här kommer en guide och ett exempel på hur man kan använda SQL 2008 R2 Report Builder. I mitt fall använder jag FEP 2010 och Configuration Manager 2007, då den här version har minst antal färdiga rapporter by default.

Börja med att surfa till den SQL reporting server som du använder för Endpoint Protection:

Gå mot sökväg http://<sqlserver>/reports

Klicka på ”Report Builder”

Klicka på New Report -> Table or Matrix Wizard

Välj next (Create a dataset)

Välj next (Data source skall vara markerad med automatik)

Design a query

Välj vilken data du vill använda.

Vill du ha mer än en tabell behöver du sätta upp en relation mellan dessa för att koppla samman tabellerna.

Klicka på Add Relationship (1) och välj de två tabeller som du vill knyta ihop på ”Left Table” (2) respektive ”Right Table” (3) och dubbelklicka på ”Join Fields” (4).

Klicka på ikonen ”Add Field” (5) och välj de två fälten du vill knyta ihop.

I mitt fall ville jag ha ut all skadlig kod som på träffats, detaljer om eventuella filer/sökvägar finns samt vilka datorer som har blivit smittade och vilka användare som har varit inloggade vid tidpunkten.

Jag har jag kopplat ihop tre tabeller

dtFEP_AM_ComputerInfectionStateContributor
För att få reda på detekterad skadlig kod, sökväg, process, detektionstid
dtFEP_AM_TreatMetadata
För att få ut namnet på malwaret
dtFEP_Common_Computer
För att få information om datorn där malwaret påträffats med information om Domän, Operativsystem och klient version
dtFEP_Common_User
För att få ut information om användaren som var inloggad vid tidpunkten som malwaret påträffades

Nästa steg handlar om att välja ut vilka fält du vill bygga upp dina tabeller med och hur de vill sortera dessa. I mitt fall vill jag sortera detta på skadlig kod och namnet på denna.

Nästa steg väljer vi vilket utseende tabellen skall ha och klickar sedan på Finish

Vår rapport öppnas då i Microsoft SQL Server Report Builder
Här kan vi ange valfri rubrik och finslipa på utseendet av rapporten

När du är nöjd generar du rapporten

Den här rapporten kan du generera hur många gånger som helst för att hämta in ny data och vill du konvertera till exempelvis Excel eller annat format så kan du enkelt få ut motsvarande information i det formatet du önskar.

Publicerat i Forefront, System Center Endpoint Protecion | Lämna en kommentar