Innan du checkar ut för semester är mitt tips att boka in något att se fram emot när jobbet drar igång igen efter sommaren. Vad kan då inte vara bättre än att boka in Sveriges största IT-event Microsoft TechDays.
Jag står som föreläsare för 8e året i rad och det kommer bland annat bli:
Säkerhetsfokus runt Windows 10 och Enterprise Mobility + Security (EMS) tillsammans med min kollega Jörgen Nilsson. När vi föreläste om EMS för tre år sedan va EMS nytt för de flesta. Året därpå var Windows 10 färskt på marknaden och vi visade alla fördelar att nyttja Windows 10 och EMS. Förra året gjorde vi en djupdykning inom dessa områden och visade nyheter som ännu inte nått marknaden. I år är det dags igen där vi som vanligt gör demo-maraton och visar allt nytt. Hur du kan kombinera funktionerna i Windows 10 och EMS för att höja säkerheten och bland annat skydda våra identiteter.
Information Protection från design till införande. En session jag gör med Johan Ohlen från Microsoft där vi kommer fokusera på informationsskydd med Azure Information Protection. Nya lagkrav med GDPR kräver att vi har bättre kontroll och spårbarhet på vår information och den här sessionen går igenom tips för ett lyckat införande. Självklart kommer vi visa allt nytt och hur det kan kombineras och integreras med vår infrastruktur både lokalt och i molnet.
Det krävs näst intill att man bosatt sig på månen utan internet access för att ha undgått de nya lagkraven inom EU som träder i kraft den 25 maj 2018. Lagar runt GDPR – General Data Protection Regulation – som definierar reglerna för all form av behandling av information som direkt eller indirekt kan knytas till en person
Utmaningen som alla myndigheter, företag och organisationer står inför handlar till stor del av att identifiera all information som innefattas av dessa regler och sedan säkerhetsställa att denna information är skyddad. Personuppgifter som lagras och framför allt delas måste bland annat kunna redovisas.
Azure Information Protection fyller en viktig roll då den uppfyller följande:
Kryptering av information
Klassificering av information
Spårbarhet av information över vem den har delats med, var och när
Möjlighet att återkalla och begränsa tillgång till information oavsett var den lagrats/delats
…identifiera om och när ovanstående skall appliceras
Då vi (våra användare) idag skapar, hanterar och lagrar information precis överallt är GDPR en tuff utmaning. Med hjälp av condition/regel -baserad applicering direkt i Office kan vi dock komma en bra bit på väg. Genom att identifiera alla dokument som skapas/sparas innehållande exempelvis svenskt personnummer kan vi antingen föreslå användaren eller påtvinga – ett skydd av informationen. Motsvarande kan även konfigureras i vårat mailflöde med hjälp av DLP-regler i Exchange som på så sätt identifierar e-post och dess bifogade Office filer och utför åtgärder som antingen blockerar mailet, eller säkerhetsställer att det är krypterat innan det går iväg till en mottagare.
Detta resulterar i att vi fångar upp den större delen av alla dokument som skapas/sparas med personuppgifter som innefattas av den nya GDPR lagen
Här följer ett exempel: I det här fallet är en regel i Azure Information Protection satt att leta efter ett eller flera svenska personnummer och då upplysa användaren vilket skydd som bör appliceras.
Med den här regeln behöver användaren trycka på ”Change now”. Alternativet hade varit att påtvinga skyddet med automatik av regeln.
Resultatet blir i det här exemplet att själva dokumentet kommer krypteras, det kommer klassificeras som ”Secret” som dels redovisas för alla användare inom organisationen via Azure Information Protection listen, samt i själva dokumentet med en visuell märkning som appliceras med automatik. Detta upplyser den användaren som har rätt att konsumera dokumentet om dess känslighet oavsett delning utanför organisationen.
Dokumentets kryptering ger möjligheten att spåra all nyttjande av dokumentet oavsett var det sedan har delats eller lagrats. Vid behov kan även all tillgång återkallas och dokumentet blir oläsbart för alla utom den som faktiskt skapade dokumentet/applicerade skyddet.
I mitt exempel väljer jag även att blockera epost innehållande personnummer med ett meddelande till slutanvändaren som upplyser användaren om att skicka den här typen av information i ett skyddat dokument istället. Detta beror på att dagens Tracking portal för Azure Information Protection (än så länge) inte stödjer att spåra eller återkalla epost meddelanden eller dokument som skyddats av Exchange.
Användaren kan dock välja att skicka epost-meddelandet med hjälp av “override” vilket då kommer applicera samma skydd med automatik. Ett larm genereras av Exchange som ger oss information om när detta skett vilket vi behöver för att enkelt kunna spåra informationen via Azure Information Protections centrala loggar och på så sätt följa vem som tar del av den.
Om användaren inte väljer ”override” utan skickar mailet ändå blockeras detta och användaren får i detta exempel reda på anledningen till blockeringen och en anvisning över vad som bör göras
Identifiera svenskt personnummer
Azure Information Protection har ett antal fördefinierade utryck att söka efter men här saknas idag svenskt personnummer och begränsas än så länge till amerikanska social security numbers m.fl.
Vi behöver därför manuellt skapa en regel som identifierar ett svenskt personnummer. Min kollega Tom Aafloen har här definierat ett så kallat regular expression med målsättning att identifiera formatet av ett svenskt personnummer med så hög träffsäkerhet som möjligt. I det här fallet används ett format för att säkerhetsställa att det bland annat enbart är 12 månader på ett år och max 31 dagar på en månad med mera
Format [Valbart millennium, 19 el 20][år][månad][dag][möjligt bindesträck][3 siffror][följt av 1 siffra för checksumman]
Exchange Online har där emot ett fördefinierat ”condition” som kan definieras för svenskt personnummer (Sweden National ID).
Följande är den regel som identifierar, blockerar och underrättar användaren om vad som gäller när information skyddad under GDPR skall skickas via E-post
SharePoint (OneDrive for Business) IRM säkerhetsställer att informationen är skyddad när den lämnar SharePoint.
Jag får många frågor runt Information Rights Management (IRM) i SharePoint och om hur det hänger ihop med Rights Management Services (RMS). Fullt förståeligt att detta blir rörigt så vi börjar med att reda ut begreppen.
RMS är krypteringslösningen som används både av IRM och Azure Information Protection (AIP) för att skydda och behörighetskontrollera data.
IRM är ett koncept för SharePoint och OneDrive for Business som ser till att skydda vår information så fort den på något sätt lämnar SharePoint. Antingen vid nedladdning av filer, synk av ett bibliotek eller vid delning. Krypteringen som används är RMS.
De filer som krypteras är Office-dokument i form av Word, Excel, PowerPoint, XML-filer samt PDF.Övriga filformat berörs inte av IRM och kommer inte krypteras varken vid nedladdning eller delning. Det går dock att begränsa så enbart filtyper som stöds får laddas upp till OneDrive och på så sätt se till att all information är krypterad i alla lägen.
Trots att dokumenten är krypterade av IRM stöds fortfarande online versionerna av Word, Excel, PowerPoint och möjliggör visning och editering via webbläsaren. Vid begränsad behörighet förhindras exempelvis utskrift och kopiering av data.
Notera här att det är tack vare IRM som skyddade Office-filer kan visas med exempelvis Word Online, då IRM hanterar både kryptering och dekryptering med RMS. En fil som är RMS skyddad innan uppladdning är inte läsbar av IRM och kan därav inte visas med online-tjänsterna. Där emot kan en fil som RMS-krypterats av IRM flyttas mellan olika bibliotek i SharePoint/OneDrive och på så sätt se till att rätt personer har tillgång till dokumentet. Det är användarnas rättigheter till det aktuella biblioteket eller filen i sig som definierar RMS-behörigheten.
Delning på ett säkert sätt
Den stora fördelen med SharePoint/OneDrive är att kunna samarbeta och dela ett dokument där flera parter är inne och tittar/editerar dokumentet samtidigt. IRM begränsar dock möjligheten till samtidig editering (co-authoring). Men vid delning är arbetssättet detsamma och tillför högre säkerhet vid både delning och nyttjande av onlinetjänsterna. Om ett IRM-skyddat dokument redan är öppnat av en användare blir dokumentet utcheckat och kan då enbart visas för övriga användare tills det att dokumentet stängs igen.
Office-filer kan delas både från Office applikationen eller från webgränssnittet med den stora fördelen att slutanvändaren märker ingen skillnad utan jobbar precis som vanligt.
RMS krypterar och definierar behörighet i form av enbart visning eller editeringsmöjlighet utefter de två alternativ som finns vid delning, view eller edit.
Det som inte fungerar är att skicka en direktlänk till dokumentet om det inte finns definierat att just den användaren även har RMS-mässigt behörighet till dokumentet.
Automatisk kryptering från utforskaren och Office
När en användare sparar eller flyttar ett Office-dokument till OneDrive kommer dokumentet bli krypterat så fort filen stängs och synkas till OneDrive.
OBS den senaste versionen av OneDrive klienten (OneDrive.exe) stödjer än så länge inte IRM. Stödet finns idag med OneDrive for Business klienten (groove.exe)
Användaren kan själva ändra behörighet men inte ta bort skyddet
Användaren har alltid full kontroll över sina egna filer i exempelvis OneDrive och kan även förändra rättigheterna på filen. Antingen RMS -mässigt genom att klicka ”Change Permission” eller genom att klassificera dokumentet med Azure Information Protection och en informationsklass som också krypterar och ändrar behörighet till dokumentet. Skulle skyddet plockas bort av användaren kommer nästa synk att påtvinga ett skydd igen. IRM säkerhetställer att alla dokument kommer vara skyddade.
Viktigt att tänka på om RMS-skyddet förändras av användaren är att krypteringen då genomförs med användarens nycklar och ger fördelen användaren kan spåra och återkalla behörighet till filen. IRM kommer dock inte längre kunna läsa filen och därmed begränsas nyttjande av Word Online.
PDF
Skyddade PDF-filer öppnas med Azure Information Protection Viewer, eller annan PDF applikation med stöd för RMS.
Då användaren alltid har fulla rättigheter är det möjligt att skapa en oskyddad PDF genom att välja ”Save As” i AIP Viewer och spara den på en annan plats än just OneDrive.
Om PDF-filer försöker öppnas med en läsare som inte supporterar RMS får användaren följande:
Alla filer är krypterade i SharePoint Online och OneDrive for Business
Tack vare IRM är våra Office-dokument och PDF:er alltid krypterade med ett skydd som följer med själva filen, oavsett om de flyttas eller delas. IRM krypterar inte filerna när de lagras. Skyddet appliceras av IRM när filen konsumeras eller lämnar SharePoint/OneDrive.
Men hur krypteras då filerna i SharePoint Online och OneDrive for Business? Alla filer oavsett filtyp som lagras i online tjänsterna krypteras. För detaljer om krypteringen och dess nyckelhantering se nedanstående beskrivning
Det finns flera designmässiga lösningar runt AIP/RMS/IRM som bör anpassas utefter verksamhetens behov. Återkom om stöttning behövs i dessa frågeställningar.
Ni har säkert inte missat i media om det virusutbrott som härjar sedan i fredags. Ett Ransomware som både krypterar data, låser ut användarna och begär lösensumma för att återge tillgång.
Det ransomware som nu sprider sig lavinartat heter WannaCrypt/WannaCry som nyttjar en sårbarhet i SMB i Windows.
Denna sårbarhet patchade Microsoft redan i mars månad. Verifiera både bland servrar och klienter att följande uppdatering finns installerad MS17-10 Håll sedan fortsatt fokus på att alltid uppdatera all mjukvara
Förutom att uppdatera sårbarheter i mjukvara är det viktigt att informera/utbilda alla användare att vara vaksamma och tänka till, innan man klickar på länkar och öppnar bifogade filer bland annat via epost.
Det är också viktigt att det finns backup/restore av all viktig information om det väl skulle inträffa ett utbrott hos er.
Under gårdagen skickade Microsoft ut en viktig säkerhetsuppdatering för motorn till sina antimalwareprodukter (Oavsett Defender, Endpoint Protection, Security Essential är det samma antimalwaremotor/engine som används).
Sårbarheten identifierades av en professionell säkerhetsforskare som detekterade en sårbarhet i en del av motorn som kallas nscript som vid en attack skulle kunna både ge tillgång till datorn eller crasha datorn (DoS) bara genom att den scannar en viss manipulerad fil innehållande ett JavaScript. Microsoft blev direkt kontaktad av forskaren och har både offentliggjort sårbarheten och direkt skickat ut en säkerhetsuppdatering som åtgärdar felet.
Denna uppdatering går ut med automatik och varken IT eller slutanvändare behöver vidta någon åtgärd. Det kan dock vara bra att verifiera att uppdateringen är på plats! För isolerade maskiner som saknar uppdateringsmöjlighet genomföra uppdateringen manuellt snarast.
Versionen som har sårbarhet har versionsnummer: 1.1.13701.0 Har du någon annan version är du inte drabbad av denna sårbarhet. Denna säkerhetsuppdateringen som åtgärdar ovanstående sårbarhet ger versionsnummer: 1.1.13704.0
ITSäkerhetsGuiden fortsätter att utvecklas och för de uppmärksammade är ännu en statisk sida på plats, nu för identitetsskydd.
På motsvarande sätt som informationsskydd når du en sammanfattning som kommer uppdateras frekvent med betydande nyheter nu även inom identitetsskydd: https://itsakerhetsguiden.se/identitetsskydd/
Framöver planerar jag även att komplettera med klientskydd och skydd av lokal infrastruktur. Med allt ifrån nya tjänster så som Advanced Threat Protection, Advanced Threat Analytics till klassiska lösningar som Applocker, Defender, SDI m.m. (som fortfarande är avgörande för att skydda vår infrastruktur mot dagens attacker).
Missade du Microsoft TechX för någon vecka sedan? Eller va du där och såg min session och även den bugg som påträffades och därmed vill se hur det fungerar även utan demospöke?
Allt spelades in och kan ses här (inklusive ett kort klipp där jag visar hur Windows Information Protection skall fungera i skarp version till skillnad från den bugg i en tidig Preview version som identifierades under sessionen)
Det är nu enklare än någonsin att dela skyddad information mellan organisationer. De flesta verksamheter har någon form av kontinuerligt samarbete med leverantörer, partners eller kunder. I många fall är det känslig information som delas i form av allt ifrån kundlistor till olika avtal.
Det har kommit en stor nyhet i Azure Information Protection! Verksamheten kan nu skapa en fördefinierad mall med olika rättigheter till olika samarbetspartners, vilket förenklar för våra slutanvändare. Mallen definierar vilka rättigheter som skall gälla för användare inom en viss domän och handlar det om samarbete med flera olika företag/organisationer kan vi definiera olika rättigheter per domän för att matcha verksamhetsbehoven. På samma sätt kan vi även automatisera med dessa mallar så känslig information skyddas med automatik baserat var det lagras eller skickas med samma mall.
Lösningen gör det inte bara enklare för vår egen verksamhet utan ger också möjlighet för samarbetspartnern att hantera informationen inom sin verksamhet. Har de tillräckligt med rättigheter för att exempelvis kunna vidarebefordra information kan de fortsätta kommunicera internt. Den stora fördelen är också att den som applicerar skyddet hela tiden kan övervaka och spåra vilka inom respektive verksamhet som tagit del av informationen. Vid behov kan även tillgången till informationen dras tillbaka både av den som delat informationen ursprungligen. alternativt av de som administrerar lösningen.
Vi tar ett exempel!
I det här fallet har vi skapat mall för vår demoverksamhet som ger full behörighet för samarbete med alla på Onevinn, vi har även definierat att om det skickas till något på Microsoft har de även rättigheter att läsa innehållet. Där emot är det enbart Onevinn anställda som med denna konfiguration har rättighet att dela informationen via epost internt.
Slutanvändaren har en säkerhetsklassning som gör att den enkelt kan definiera klassning och därmed detta skydd oavsett fil. Precis som tidigare skyddas även eventuell bifogat office-dokument om man skyddar ett mail i Outlook.
Användaren väljer i detta fall informationsklassningen Secret och “Cooperation with Onevinn and Microsoft”. (Motsvarande kan även genomföras med automatik baserat på innehåll i mail eller bifogad fil)
En anställd på Microsoft som mottager det här mailet är begränsad att kunna vidarebefordra mailat och bifogat dokument är enbart tillgängligt för läsning.
Däremot har den på Onevinn som får detta mail fulla rättigheter att vidarebefordra mailet men det är enbart användare inom Onevinn som har rättigheter att läsa och ändra innehållet i dokumentet. Skulle någon vidarebordra mailet och bifogat dokument utanför Onevinn blockeras tillgången och försöket loggas.
Användaren kan sedan följa vilka som tagit del av detta dokument och vid behov även blockera tillgången till dokumentet.
Att kunna redovisa för en mottagare av ett dokument vilken informationsklassning informationen har är viktigt. Att belysa om ett dokument är av publik karaktär eller säkerhetsklassat styr användarens betende både vad gäller redigering och hantering av dokumentet.
Med Azure Informations Protections plug-in förenklas en utrullning av RMS avsevärt tack vare den pedagogiska listen som beskriver informationsklassningen.
Som det ser ut i dagsläget så krävs det att ett RMS krypterat dokument ger mottagaren följande behörighet:
Om denna behörighet saknas kan listen i Office nämligen inte visas i nuläget (detta kan komma att förändras framöver i Office 2016 men inte i tidigare Office -versioner)
Som standard tillåts inte detta i RMS grundmall “Confidential View Only” utan alla Office dokument skyddade med denna och andra mallar baserat på “Viewer” kommer få ovanstående beteende där listen inte kan visas.
För att lösa detta modifiera därför de RMS mallar som är definierade som Viewer och manuellt lägg till de rättigheter som gäller, inklusive rättigheten “OBJMODEL”, beskrivs som “Allow Macros” i portalen.
En hel del förändringar kommer ske på ITSäkerhetsGuiden. Microsoft släpper konstant nyheter inom bl.a. säkerhetsområdet och mycket av det kan du läsa om här på ITSäkerhetsGuiden.
För att enklare erbjuda aktuell och uppdaterad information kommer de statiska sidorna täcka aktuella områden och uppdateras succesivt. Självklart kommer det fortsätta komma löpande bloggposter där det som vanligt är viktigt för dig som läsare att hålla koll på publiceringsdatum precis som på andra teknikbloggar runt om på nätet.
Först ut är Informationsskydd som beskriver lösningar som skyddar vår information. I dagsläget beskrivs teknikerna Azure Information Protection och Windows Information Protection.
Säkerhetsfokus runt Windows 10 och Enterprise Mobility + Security (EMS) tillsammans med min kollega Jörgen Nilsson. När vi föreläste om EMS för tre år sedan va EMS nytt för de flesta. Året därpå var Windows 10 färskt på marknaden och vi visade alla fördelar att nyttja Windows 10 och EMS. Förra året gjorde vi en djupdykning inom dessa områden och visade nyheter som ännu inte nått marknaden. I år är det dags igen där vi som vanligt gör demo-maraton och visar allt nytt. Hur du kan kombinera funktionerna i Windows 10 och EMS för att höja säkerheten och bland annat skydda våra identiteter.
IT-Säkerhetsguiden 