SENTRALISERT OG SIKKER DRIFT AV WINDOWS KLIENTER OG TILKNYTTET MASKINVARE John Bothner & Olav Ligaarden Nasjonal sikkerhetsmyndighet Sikkerhetskonferansen 2017 Oslo Kongressenter 28 29.03.2017 SLIDE 1
Innhold Sentralisert og sikker drift av Windows klienter Kontrollere maskinvareenheter ved bruk av Windows Device Control Oppsummering SLIDE 2
Innhold Sentralisert og sikker drift av Windows klienter Kontrollere maskinvareenheter ved bruk av Windows Device Control Oppsummering SLIDE 3
Skadevare-angrep De fleste slike angrep starter med eposter til de ansatte Ofte vellykkede angrep pga svak styring av: brukernes rettigheter (de er ofte admin) programvare brukere får lov å installere og kjøre sikkerhetskonfigurasjon på klientene sikkerhetsoppdatering av programvare Disse sårbarhetene ønsker vi å unngå Sentralisert drift gir mulighet for bedre styring SLIDE 4
NSMs ti viktige tiltak Alle ti tiltak krever sentralisert og sikker drift av klienter Særlig hvis man har mange klienter Søk på sjekklisten «S-02» på www.nsm.stat.no SLIDE 5
Sentralisert drift av klienter Klient Klient Klient Klient Klient Klient Nettverk Katalogtjenester Installasjons- og oppdateringstjenester Konfigurasjonstjenester Systemmonitoreringstjenester Sentralisert drift muliggjør sikring av Windows-klientene SLIDE 6
Sikkerhetsmessige muligheter med sentralisert drift Automatisering og skalering av sikkerhetsarbeidet Kjøring og installasjon av kun godkjent programvare Sikkerhetsoppdatering av all programvare på alle klienter Sikkerhetskonfigurering av alle klienter Systemovervåking av sikkerhetshendelser på klientene Reduksjon av brukernes mulighet til å svekke sikkerheten Lettere å få oversikt over sikkerhetstilstanden per klient SLIDE 7
Sentralisert og sikker drift av klienter 1. Kjøp produkter som muliggjør sikre klienter 2. Katalogtjeneste 3. Konsistent og sikker installasjon av programvare 4. Konsistent og sikker konfigurasjon (og verifikasjon av denne) 5. Systemmonitorering av sikkerhetshendelser SLIDE 8
1. Kjøp produkter som muliggjør sikre klienter Bruk siste versjon av IT-produkter Nyere IT-produkter har som regel mer sikkerhetsfunksjonalitet Gjelder: maskinvare, Windows, Office, PDF-leser, nettleser, mm. Velg maskinvare som har innebygget sikkerhet UEFI, 64bit CPU, VT-X, Intel TXT, TPM 2.0 Unngå innebygd mikrofon og kamera Velg programvare som har god sikkerhetsfunksjonalitet Windows 10 Enterprise 64 bit har flere sikkerhetsfunksjoner enn «Pro» SLIDE 9
2. Katalogtjeneste Nøkkelen til all sentralisert drift Det mest brukte verktøy: Active Directory Verktøy for å melde klienter inn i et domene Sentralisert styring av brukernes adgang til ressurser SLIDE 10
3. Sentralisert installasjon og oppdatering Gjelder programvare til klientene gjennom hele levetiden Windows, applikasjoner, drivere, oppdateringer og oppgraderinger Ofte ikke sentralisert og konsistent nok Da vanskeligere å få oversikt over sårbarhetene Bruk sentralisert verktøy til å distribuere, installere, avinstallere, oppdatere og oppgradere programvare Mange konkurrerende produkter Applikasjoner som ikke er fra Microsoft blir ofte glemt Muliggjør 3 av 10 tiltak fra S-02 SLIDE 11
4. Sentralisert sikkerhetskonfigurasjon Mange sikkerhetsinnstillinger i Windows og applikasjoner Viktig å herde klientene for å redusere angrepsflate Bruk Active Directory Group Policy (evt. og PowerShell) Group Policy muliggjør 8 av 10 tiltak i S-02 Verifiser regelmessig at ønsket konfigurasjon fremdeles er aktiv DC: «Advanced Group Policy Management» (kun storkunder) Klient: «Policy Analyzer» og «gpresult» (gratis) SLIDE 12
5. Sentralisert systemmonitorering Monitorer sikkerhetshendelser på klientene F eks: kjøring av ukjent programvare Raskest mulig oppdage kompromittert klient Bruk Windows-klientenes innebyggede loggfunksjon Send utvalgte logg-data videre til sentral logg-server Windows Event Forwarding Logg-server: mange konkurrerende produkter NB mange monitorerer virksomhetens nett, men det er ikke nok for å oppdage hendelser på klientene SLIDE 13
Innhold Sentralisert og sikker drift av Windows klienter Kontrollere maskinvareenheter ved bruk av Windows Device Control Oppsummering SLIDE 14
Hva er Device Control Internt kamera Internt trådløst nettverkskort Intern mikrofon SLIDE 15
Hva er Device Control Programvare som brukes til å operere/kontrollere enheten Driver SLIDE 16
Hva er Device Control X Driver X SLIDE 17
Hvorfor er Device Control viktig Mangel på kontroll med hvordan enheter brukes Uautorisert eksport av dokumenter SLIDE 18
Hvorfor er Device Control viktig Operasjonelle prosedyrer hindrer ikke bruk av uautoriserte enheter SLIDE 19
Hvorfor er Device Control viktig Drivere kan inneholde ondsinnet kode eller annen kode som kan misbrukes ANGREP Driver med ondsinnet kode eller annen kode som kan misbrukes SLIDE 20
Overordnet om hvordan Device Control kan utføres Kontroller hvordan enheter og drivere velges Foretrekk kjente produsenter av enheter og drivere over mindre kjente Bruk kun signerte drivere Foretrekk drivere som er platform logo certified og signert av Microsoft SLIDE 21
Overordnet om hvordan Device Control kan utføres Kontroller installasjon/aktivering av enheter 1 Fysisk fjerne uønskede enheter fra utstyret 2 Deaktiver uønskede enheter i firmware (UEFI) 3 Hindre installasjon av uønskede drivere 1 Fjern uønskede drivere slik at de ikke kan installeres 2 Blokker fremtidig installasjon av uønskede drivere - Device Installation Restrictions - Hvite- og svartelisting 3 Feilkonfigurer uønskede enheter - Stoppe tjenester, sette restriksjoner i brannmur, osv SLIDE 22
Overordnet om hvordan Device Control kan utføres Kontroller bruken av enheter Sluttbrukere skal ikke manuelt kunne installere drivere eller endre sine aksessrettigheter til maskinvareenheter Sluttbrukeres bruk av enheter skal avgjøres ut ifra operasjonelle behov For eksempel lesing fra, skriving til og eksekvering på eksterne lagringsmedier SLIDE 23
Overordnet om hvordan Device Control kan utføres Hvilke enheter bør man ha et spesielt fokus på Kamera og mikrofon Trådløse enheter WLAN, Bluetooth, IR, GSM, osv Mobiltelefoner Eksterne lagringsmedier SLIDE 24
Innhold Sentralisert og sikker drift av Windows klienter Kontrollere maskinvareenheter ved bruk av Windows Device Control Oppsummering SLIDE 25
Oppsummering Sentralisert drift av klientene gir mulighet for bedre sikkerhet IT-avdelingen kan styre klientene bedre (ref. punkt 1-5) Mulighet til å kompromittere klienten reduseres Kombiner sentralisert drift med tiltakene i sjekklisten S-02 Windows Device Control er viktig for å Hindre at uautoriserte maskinvareenheter benyttes Kontrollere at autoriserte maskinvareenheter benyttes på riktig måte SLIDE 26
TAKK FOR OSS! SLIDE 27