De beste sikkerhetsrutiner for Symantec pcanywhere Dette dokumentet inneholder informasjon om forbedrede sikkerhetsendringer i pcanywhere 12.5 SP4 og pcanywhere Solution 12.6.7, hvordan viktige deler av disse forbedringene fungerer, og noe av det brukere bør gjøre for å redusere sikkerhetsrisikoer. SSL-håndtrykk og kryptering for TCP/IP TCP/IP-tilkoblinger er nå sikret med SSL med 256- eller 128-biters kryptering. Det er også et alternativ for å ikke bruke kryptering, men det foretas allikevel kontroller av dataintegritet. Symantec anbefaler at du bruker standardalternativet for 256-biters kryptering for best sikkerhet. Alternativene for 128-biters og ingen kryptering er tilgjengelige for sikre miljøer der ytelse er ekstra viktig. Egensignerte SSL-sertifikater pcanywhere bruker egensignerte SSL-sertifikater. To nøkkelfiler brukes: host.key og host.cer. Host.key inneholder den private nøkkelen, og Host.cer inneholder X.509-sertifikatet med fellesnøkkelen. Den private nøkkelen er beskyttet av adgangskontroller (ACL) som kun lar administratorer, privilegerte brukere og SYSTEM få tilgang til den. Advarsel: Den private nøkkelfilen må beskyttes. Hvis en ikke godkjent person får tilgang til den private nøkkelfilen, kan de få muligheten til å utgi seg for å være verten, eller utføre et MITM-angrep (man-in-the-middle) på enhver person som prøver å kontrollere en vert eksternt. Hvis du mistenker at den private vertsnøkkelen ikke er sikker mer, kan du lage en ny på følgende måte: 1. Stans vertsprosessen. 2. Slett den private nøkkelfilen og sertifikatfilen. 3. Tøm listen med klarerte sertifikater. Du finner instruksjoner for dette i delen Listen med klarerte sertifikater i dette dokumentet. 4. Start vertsprosessen på nytt. Som en del av denne prosessen, når verten har startet og nøkkelfilene ikke er å finne, lages et nytt sett automatisk. Bekrefte SSL-avtrykk Bekreftelse av SSL-avtrykk brukes av eksterne brukere for å kontrollere at verten er gyldig. Denne bekreftelsen må utføres for å opprette en sikker tilkobling mellom den eksterne brukeren og verten, og for å beskytte mot MITM-angrep. Når en bruker prøver å koble til en vert via TCP/IP, vil brukeren som standard få opp en dialogboks med avtrykket til vertens fellesnøkkel. Den eksterne brukeren bør sammenligne avtrykket i denne dialogboksen med vertens avtrykk.
Dette avtrykket er ikke hemmelig. Det kan skrives ut, sendes på e-post eller gis på telefonen. Avtrykket lagres i vertskatalogen, i cert.thumbprint.txt. Hvis den eksterne brukeren godtar vertssertifikatet ved å velge Accept Always (alltid godta), lagres vertens fellesnøkkel lokalt i listen over klarerte sertifikater, og godtas automatisk ved senere tilkoblinger. Hvis du vil vite mer om denne listen, kan du se i delen Listen med klarerte sertifikater i dette dokumentet. Modemendringer Et nytt 256-biters krypteringsnivå er nå tilgjengelig for modemkommunikasjon. Symantec anbefaler det nye krypteringsnivået. Symantec anbefaler kun å bruke lavere krypteringsnivåer hvis sikkerhet er av liten eller ingen betydning, skjønt disse alternativene kan gi bedre ytelse i enkelte miljøer. Sikkerheten som brukes i moderne kommunikasjon, inkluderer ikke avtrykksbekreftelse, og er derfor mer utsatt for at noen kan utgi seg for å være verten, eller for MITM-angrep. Angriperen som vil gjøre noe av dette, må kunne manipulere signaler på telefonlinjen direkte. Det finnes ingen sårbarheter tilknyttet at angriperen kun observerer kommunikasjonen. Endring av tidsavbrudd for godtakelsesmelding ved oppgradering sammenlignet med ny installering Standard tidsavbrudd er økt fra 10 til 30 sekunder. Sikre standarder AES256 er standard krypteringsnivå for all kommunikasjon. Symantec anbefaler at du kontrollerer standardinnstillingene for sikkerhet manuelt. Fullfør fremgangsmåten i denne delen for å kontrollere standardinnstillingene for sikkerhet. Hvis du oppgraderte til pcanywhere 12.5 SP4 eller pcanywhere Solution 12.6.7, vil innstillingen Prompt to confirm connection (be om tilkoblingsbekreftelse) ikke endres i forhold til innstillingen du brukte før oppgraderingen. Bruk fremgangsmåten i denne delen til å angi denne innstillingen og kontrollere andre standardinnstillinger. 1. I pcanywhere går du til Host Options (vertsalternativer) > Security Options (sikkerhetsalternativer) og velger følgende innstillinger: Prompt when receiving a remote TCP/IP session request (varsle ved mottak av ekstern TCP/IP-øktforespørsel) Denne innstillingen avgjør om dialogboksen for avtrykk vises på verten. Prompt to confirm connection (be om tilkoblingsbekreftelse) Denne innstillingen avgjør om dialogboksen som ber vertsbrukeren om å godta eller avvise forespørselen om ekstern kontroll, skal vises. Hvis varselet vises og tidsavbruddsgrensen nås (30 sekunder som standard), blir adgang nektet med mindre den eksterne brukeren er en superbruker. I så fall får brukeren
tilgang. Hvis varselet ikke vises, fortsettes tilkoblingen for enhver ekstern bruker. 2. Gå til Remote option (eksternt alternativ) > Encryption (kryptering), og velg følgende innstilling: Prompt when connecting over TCP/IP untrusted/unknown hosts (varsle ved tilkobling via ikke klarerte / ukjente TCP/IP-verter) Denne innstillingen avgjør om det vises et varsel med avtrykket til vertens fellesnøkkel. Vertens varsel om å vise TCP/IP-øktforespørsler vises kun hvis det eksterne TCP/IP-varselet også er valgt, og den eksterne brukeren ikke godtar eller avbryter innen fem sekunder. Vertsvarselet vises fem sekunder etter at verten sender fellesnøkkelen sin til den eksterne datamaskinen. Øktforespørselen fortsetter hvis det eksterne varselet ikke er satt til å presentere ikke klarerte nettverk, hvis vertens sertifikat allerede er i listen over klarerte sertifikater, eller hvis den eksterne brukeren velger å klarere eller avvise koblingen innen fem sekunder. Når tilkoblingen fortsetter, blir vertsbrukeren bedt om å bekrefte tilkoblingen som standard. Fremgangsmåte for tilkoblingshåndtrykk Trinn Ekstern datamaskin Vertsmaskin 1 Hvis Prompt when connecting over TCP/IP untrusted/unknown hosts (Varsle ved tilkobling via ikke klarerte / ukjente TCP/IP-verter) er valgt, registreres den eksterne datamaskinen for tilbakeringing med APIen ssl_ctx_set_verify. 2 Den eksterne datamaskinen starter tilkoblingen med et kall til ssl_connect. 3 Verten godtar tilkoblingsforespørselen med et kall til ssl_accept. 4 Verten angir at vertsavtrykkdialogen skal vises om 5 sekunder. 5 Hvis den eksterne datamaskinen registrerte seg for tilbakeringing i trinn 1, kalles tilbakeringingsfunksjonen på den eksterne datamaskinen nå, og dialogen for eksternt avtrykk vises. Hvis brukeren velger Trust always (alltid godta), blir fellesnøkkelen lagret til senere bruk, og den eksterne datamaskinen fortsetter håndtrykkprosessen. Hvis brukeren velger Trust once (godta én gang), fortsetter den *Hvis den eksterne brukeren velger Deny (avvis), avbrytes tilkoblingen, og vertsvarselet om avtrykk vil enten ikke vises hvis dette skjer før den 5-sekunders forsinkelsen, eller lukkes automatisk hvis det har kommet opp. Lukkeknappen er inkludert i varselet, så den eksterne brukeren kan lukke det. Hvis den eksterne brukeren i stedet velger å klarere eller avvise, blir tilkoblingen fortsatt eller avbrutt, og vertsvarselet lukkes automatisk.
eksterne datamaskinen håndtrykkprosessen. Hvis brukeren velger Deny (avvis), avbryter den eksterne datamaskinen tilkoblingsprosessen.* 6 Håndtrykkprosessen fortsetter, og tilkoblingen opprettes. 7 Hvis vinduet med vertsavtrykket ikke har vistes ennå (det er en fem sekunders forsinkelse), avbrytes det nå, slik at det ikke vises. 8 Den eksterne datamaskinen sender autentiseringsinformasjon til verten. 9 Hvis verten er konfigurert til å varsle (vertsalternativ nr. 2), vises dialogen nå. Hvis brukeren på verten velger Yes/Accept (ja/godta), brukes informasjonen til å autentisere brukeren, og prosessen fortsetter. Hvis brukeren på verten velger No/Deny (nei/avvis), lukkes tilkoblingen av verten. Sertifikathåndtering Den gamle sertifikathåndteringen er fjernet. Som standard vil det nye klareringssystemet be den eksterne administratoren om å angi datamaskinens klareringsinnstillinger. Hvis administratoren velger Trust Always (alltid godta), legges datamaskinen til på listen over klarerte sertifikater, og vil ikke varsle administratoren ved tilkobling til samme datamaskin. Hvis administratoren velger Trust Once (godta én gang), vil klareringsvarselet vises igjen ved neste tilkobling. Listen med klarerte sertifikater Listen med klarerte sertifikater er en fil med klarerte sertifikater fra vertsdatamaskiner. Listen lagres i filen trusted_certs.pem. Hvis du mistenker at vertens private nøkkel ikke er sikker lenger, bør du slette filen trusted_certs.pem. Alle verter må da klareres på nytt. Lage et bilde av en pcanywhere-datamaskin Når du lager et bilde av en pcanywhere-datamaskin (fysisk eller virtuelt), anbefaler Symantec at du sletter den private nøkkelen, sertifikatet og lokale registernøkkelfiler for kryptering på følgende steder: 64 biter: HKLM\Software\Wow6432Node\Symantec\pcAnywhere\ CurrentVersion\{hash} 32 biter: HKLM\Software\Symantec\pcAnywhere\CurrentVersion\{hash}
Når du distribuerer nye bilder eller kloner, gjenopprettes disse verdiene første gang pcanywhere kjører. Passordhåndtering Hvis kryptering er satt til None (ingen), sendes pcanywhere-passord som ren tekst. I alle tilfelle anbefaler Symantec at du ikke bruker domeneadministratorlegitimasjon til ekstern tilgang. Opprett i stedet ny sikkerhetslegitimasjon for ekstern kontroll. Symantec anbefaler også at du følger standard passordpolicyer, som disse: Bytt passord ofte Bruk sterke passord Begrens tilgang til og distribusjon av sikkerhetslegitimasjon Begrens privilegiene og tillatelsene til legitimasjonen for ekstern tilgang Kryptering på disken Konfigurasjonsfilene for vert og ekstern bruker lagres på disken i kryptert format. Disse filene er kryptert med en nøkkel som er unik for hver datamaskin. Hvis en datamaskin klones fra en annen datamaskin med pcanywhere installert, blir nøkkelen den samme, og datamaskinene vil kunne lese hverandres filer. Som standard har bare administratorer, privilegerte brukere og SYSTEM tilgang til vertskonfigurasjonsfilene. Det er også standard at alle brukere på datamaskinen har tilgang til filene for ekstern konfigurasjon. Selv om disse filene er krypterte, er de ikke sikret. Alle som har tilgang til filene, kan dekryptere dem og se på innholdet. Hvis du vil sikre noen av disse filene, må du angi adgangskontroller (ACL) på dem. Merk: Ingen kryptering foretas på Mac- og Linux-systemer. Bruk filtillatelser til å beskytte filene på disse systemene. Importere og eksportere konfigurasjonsfiler Som standard krypteres konfigurasjonsfiler for vert og ekstern bruker. Hvis du vil flytte en av disse filene til en annen datamaskin, må du først fjerne krypteringen med awfilemgr.exe. Etter at du har fjernet krypteringen, kan du flytte filen til et nytt system og importere den med samme verktøy. Importprosessen krypterer filen med nøkkelen til den nye datamaskinen. Kjøre verten og den eksterne datamaskinen Brukere som kan kjøre verten Administratorer og privilegerte brukere kan kjøre vertsprosessen. Disse brukerne har tilgang til alle vertens konfigurasjonsfiler, den private nøkkelen og X.509-sertifikatet. Brukere som kan kjøre den eksterne datamaskinen Enhver bruker som kan logge på boksen, kan kjøre den eksterne datamaskinen. Disse brukerne har tilgang til alle konfigurasjonsfilene for ekstern bruk samt listen over klarerte sertifikater.
Kontekst for brukere som kjører på verten Eksterne brukere som har tillatelse til å koble til en vert, kan utføre endringer i vertssystemet som kan gjøre systemet mindre sikkert. Her er noe av det en ekstern bruker kun kan gjøre i en ekstern økt: Starte et ledetekstvindu som administrator Starte datamaskinen på nytt Merk: Når verten kjører som en tjeneste, spør den om legitimasjon. Hvis verten kjører som et program, blir du imidlertid ikke bedt om legitimasjon. Internett-baserte eksterne kontrolløkter pcanywhere Access Server er ikke lenger sikker for nettbaserte eksterne kontrolløkter. Etter en inngående analyse av kommunikasjonen til Access Server, anbefaler ikke Symantec lenger at den brukes. Symantec anbefaler at nå som Access Server ikke kan brukes, kan du bruke VPN til nettbaserte eksterne kontrolløkter. Feil: "Unable to attach to specified device" (kan ikke koble til angitt enhet) Denne feilmeldingen vises i flere tilfeller. Gjør som følger, i angitt rekkefølge, for å avgjøre hva roten til problemet er. 1. Kontroller at både ekstern bruker og vert bruker samme kryptering. 2. Se over autentiseringstypen, og sørg for at du angir riktig legitimasjon. 3. Som administrator kan du lage nye verts-/nøkkelfiler på følgende steder, ved å slette dem og starte pcanywhere-konsollen på nytt: Vista eller nyere: C:\ProgramData\Symantec\pcAnywhere\Hosts XP: C:\Documents and Settings\All Users\Application Data\Symantec\pcAnywhere\Hosts 4. Kontroller at du har en fungerende nettverkstilkobling til vertssystemet. Kontroller at brannmuren er riktig konfigurert, at du kan sende ping-kommando til vertssystemet osv.