1. Systemsikkerhet. 1.1. Innledning. Innhold



Like dokumenter
1. Installasjon av supportpack

Planlegging og iverksetting av sikkerhetsavhengige tjenester i forskjellige systemer

1. Intro om System Center

Rasputin v9 driftsveiledning

1. Installasjon av Novell Netware 6 server

Huldt & Lillevik Lønn og Personal - System 4. Oppdatering. Aditro HRM AS

KPS kontaktdatase Driftsveiledning

Installasjonsveiledning. DDS-CAD ByggMester

Import av klientfiler er kun mulig fra Akelius Årsavslutning, Akelius Skatt og Akelius Revisjon.

Huldt & Lillevik Lønn og Personal - System 4. Oppdatering. Personec AS. Veiledningen er oppdatert pr

1. MSI fra Group Policy

Installasjonsveiledning

Velkomment til å installere BAS21

Visma Contracting Oppgradering til versjon 5.20

Installasjonsveiledning. DDS-CAD Arkitekt & Konstruksjon 7

1. Introduksjon Windows server 2008

WinTid Scheduler. Oppgradering til versjon HRM

Huldt & Lillevik Reise. Oppgradering. Aditro HRM AS

Installasjonsveiledning

Installasjonsveiledning

Huldt & Lillevik Lønn 5.0. Oppdatere til ny versjon

Kjøre Wordpress på OSX

Installasjonsveiledning

Steg for steg. Sånn tar du backup av Macen din

Steg for steg. Sånn tar du backup av Macen din

6105 Windows Server og datanett

Steg for steg. Sånn tar du backup av Macen din

6105 Windows Server og datanett

Installasjonsveiledning DDS-CAD 7.3

Testrapport. Aker Surveillance. Gruppe 26. Hovedprosjekt ved Høgskolen i Oslo og Akershus. Oslo, Public 2013 Aker Solutions Page 1 of 5

Brukerveiledning Custodis Backup Basic Epost:

Huldt & Lillevik Lønn 5.0. Installere systemet

1: Steng ned alle MAB på alle maskiner før dere starter oppdateringen. Dette gjelder også MAB Schedule som dere vil finne på serveren.

DDS-CAD 7 INSTALLASJON VIA NETTVERK. DATA DESIGN SYSTEM ASA Øksnevad Næringspark, 4353 Klepp st., fax , tel.: , e-post: dds@dds.

DIPS Communicator 6.x. Installasjonsveiledning

Installasjon av Cantor Controller MSSQL. Installasjon av Enbruker. Veiledningen har tre kapittel

Maestro Klientadministrasjon

Grunnkurs i. Windows Utforsker. Nordre Land kommune IKT-avdelingen

Visma Contracting Oppgradering til versjon 5.41

Installasjon av FEBDOK versjon 5.4 konsern

Installasjon og oppgradering av Advisor

6105 Windows Server og datanett

6105 Windows Server og datanett

Læringsmål og pensum. Oversikt. Systemprogramvare Operativsystemer Drivere og hjelpeprogrammer. To hovedtyper programvare

Installasjonsveiledning Future

1. Hent NotaPlan Online Backup på 2. Trykk på Download i menyen og på Download i linjen med Notaplan Backup

DDS-CAD 7 INSTALLERE PÅ TERMINALSERVER. DATA DESIGN SYSTEM ASA Øksnevad Næringspark, 4353 Klepp st., fax , tel.: , e-post: dds@dds.

Installasjon av Windows 7 og Office 2016

PC som hjelpemiddel i grunnskolen i Bærum kommune - informasjon til elever og foresatte

)DVW3ODQ,QVWDOOHULQJ $%% $6 'LYLVMRQ $XWRPDVMRQVSURGXNWHU ΑΒΒ 3RVWERNV 6NLHQ

Teori om sikkerhetsteknologier

1. Introduksjon Windows server 2000

DDS-CAD 7 INSTALLERE PÅ TERMINALSERVER. DATA DESIGN SYSTEM ASA Øksnevad Næringspark, 4353 Klepp st., fax , tel.: , e-post: dds@dds.

Installasjon av FEBDOK versjon 5.1 konsern

Huldt & Lillevik Lønn og Personal - System 4. Installasjon. - første gang. Med MS SQL Server eller eksisterende MS Express.

Releasenotes. Visma AutoPay. Versjon

Tekniske krav. Installasjonsrekkefølge. Operativsystem og web-server. Maskinvare. .Net Framework 2.0. ASP.Net AJAX 1.0

6105 Windows Server og datanett

8 myter om datasikkerhet. du kan pensjonere i

Her kan du lese om forskjellige tilgangsområder, passord, utlogging og tilslutt en gjennomgang av hvordan man håndterer skrivere.

Brukerhåndbok for drift hos Kirkedata AS. Denne håndboken er utarbeidet av

KDRS digitalt depot Spesifikasjon av tjenesten

Frikart til Garmin. Manual for Frikart til Garmin GPS

HØGSKOLEN I SØR-TRØNDELAG

RFID AutoLogOff - et studentprosjekt

Installasjonsveiledning for Ordnett Pluss

En filserver på Internett tilgjengelig når som helst, hvor som helst. Enkelt, trygt og rimelig

Flytte Lønn 5.0 fra SQL 2000 til SQL 2005 / 2008

Fahad Said Data ingeniør 2015 GRIT

Skriv ordbøker og litteratur på Tegnspråk med en nett-tjener i lommeformat! For ivrige Tegnskrift (SignWriting )- brukere!

Instruksjoner for installering og fjerning av Windows PostScript- og PCLskriverdrivere

Brukerveiledning for programmet HHR Animalia

Konvertering og igangsetting. Versjon 1.1

Installere konverteringsprogrammet. Innholdsfortegnelse

Cantor Controller - Installasjon av nettverksklient

Huldt & Lillevik Reise. Oppgradering. Aditro HRM AS

OPPSETT AV GOODREADER FOR FROGNPOLITIKER

Filer i Linux og Bourne-again shell

9.4.0 W i n T i. Nyheter versjon 9.4.0

Hvordan å lage og publisere ditt personlige visittkort

Demoversjon. Installasjon Uni Økonomi V3. - økonomisystemer fra start til børs

Kjenn din pc (Windows Vista)

1. Installasjon av Windows server 2003

Installasjon av FEBDOK versjon 5.3 enbruker.

Huldt & Lillevik Reise. Oppgradering. Aditro HRM AS

Kjenn din PC (Windows7, Vista)

6105 Windows Server og datanett Jon Kvisli, HSN Skriveradministrasjon - 1. Utskrift i nettverk

SPSS Høgskolen i Innlandet

Sikkerhet ved PC-basert eksamen

Lås for terminalserver

Opus Dental 7.1 Oppdateringsveiledning

Huldt & Lillevik Lønn og Personal - System 4. Altinn Monitor. Installasjon- og brukerveiledning. Aditro HRM AS

Generelt om permanent lagring og filsystemer

1. Intro om SharePoint 2013

Humanware Companion.

Installasjonsveiledning Future

INSTALLASJONSVEILEDNING

som blanker skjermen (clear screen). Du får en oversikt over alle kommandoene ved å skrive,

Transkript:

Avdeling for informatikk og e-læring, Høgskolen i Sør-Trøndelag Systemsikkerhet Stein Meisingseth 29.08.2005 Lærestoffet er utviklet for faget LO474D Systemsikkerhet 1. Systemsikkerhet Resymé: Denne leksjonen inneholder en en innledning til faget datasikkerhet, innbrudd, passord og protokoller. Innhold 1. SYSTEMSIKKERHET... 1 1.1. INNLEDNING... 1 1.2. KRAV TIL SIKKERHETEN I ET NETTVERKSOPERATIVSYSTEM... 2 1.3. GENERELLE SIKKERHETSPOLICIER... 2 1.3.1. Maskinvare og krav... 2 1.3.2. Strøm og UPS... 2 1.3.3. Lagring/endring av data... 2 1.3.4. Minnebeskyttelse... 3 1.3.5. Fysisk sikring av serverrom... 3 1.3.6. Klimakontroll av serverrom... 4 1.3.7. Backup og tillit til backuprutiner... 4 1.4. AKSESSRETTIGHETER... 4 1.4.1. Ingen rettigheter... 4 1.4.2. Filkjennskap... 5 1.4.3. Exe-tilgang... 5 1.4.4. Leserettigheter... 5 1.4.5. Rettigheter til å legge til... 5 1.4.6. Oppdateringsrettigheter... 5 1.4.7. Endre filrettighet... 5 1.4.8. Rett til å slette... 5 1.1. Innledning Dette faget vil ta for seg sikkerhet på system/servernivå for følgende deler: Windows 2000/2003 server Novell Netware 6 Linux-baserte servere

Systemsikkerhet side 2 av 5 1.2. Krav til sikkerheten i et nettverksoperativsystem Det kan settes opp fire nivåer for sikkerhet: Fortrolig for gitte brukere dette medfører at bare de angitte brukere har tilgang til enhver form for databruk. Integritet setter krav om at innhold på et system bare kan endres av de som har tilgang til det. Tilgjengelighet angir at servere er tilgjengelig for autoriserte brukere. Krav om autentisering fører til at ingen kan ta i bruk ressurser uten at de autoriserer seg etter de regler som er satt av systemansvarlige 1.3. Generelle sikkerhetspolicier Uansett hvilket datasystem du kjører eller hvilke servere du har gående i bakgrunnen er det alltid en del sikkerhetsforhold du må tenke på: 1.3.1. Maskinvare og krav Etter hvert som det kommer nye oppdateringer til serverprogramvare eller nye versjoner stilles det stadig sterkere krav til maskinvare. På et gitt tidspunkt må hardware oppgraderes. Hvis ikke vil en slik maskin lettere kunne bli angrepet ved at den ikke så godt kan motstå store mengder forespørsler. I tillegg er også maskinen mye mer utsatt for kritiske stopp. 1.3.2. Strøm og UPS I store eller viktige systemer bør man sikre seg mot ikke planlagte strømbrudd. Den letteste måten dette kan gjøres er ved å ta i bruk UPS (Uninterruptible Power Supply). Denne vil sørge for at røm i en gitt tid til tjenermaskin og kan ogå settes til en kontrollert avslutning av en server. Begge deler vil være viktig i en sammenheng der man er avhengig av at data skal være tilgjengelig selv ved kortvarige strømbrudd. Det forlanges oftest at webservere skal være oppe nesten kontinuerlig slike har god bruk for UPS. Også andre tjenere som leverer og lagrer vitale data settes det ofte stor krav til høy oppetid på. 1.3.3. Lagring/endring av data Etter hvert som man har fått bygd ut nettverkene, har dette ført til at data kan deles på en annen måte enn før. Denne muligheten til å dele ressurser innbefatter ikke bare prosessor, men også: Minne I/O-enheter for eksempel disker og skrivere Programmer Data Det at slike ressurser kan deles medfører behov for beskyttelse. Alle større nettverksoperativsystemer (NOS) bør kunne tilby følgene valgmuligheter:

Systemsikkerhet side 3 av 5 Ingen beskyttelse dette kan være nok når det ikke eksisterer sensitive data eller data som man ikke er redd for. Brukes mest i et testsystem, eller ved at data prosesseres og overføres videre til andre sikre lagringsenheter umiddelbart (men da er dette ikke så sikkert uansett). Isolasjon av prosesser dette skjer ved at prosesser opererer helt uavhengig av hverandre, og der det ikke foregår noe som helst form for deling av data. I en slik situasjon har hver prosess sin egen adresse, filer og andre objekter. Dele alt eller absolutt ingen deling eieren av et objekt (fil eller et minneområde) kan angi om dette skal være tilgjengelig for alle eller fullstendig eller delvis helt beskyttet overfor andre. Hvis det er tilgjengelig for andre, må det angis hvilke rettigheter andre skal ha til objektet. Dele ved hjelp av aksess-tilgang i en slik situasjon vil NOS sjekke hvilke rettigheter den enkelte bruker har til ethvert objekt (mappe, filer, minneområde, disk). Dette sikrer at bare godkjente brukere har tilgang til det som bare de skal ha tilgang til. Dele ved hjelp av dynamisk tilgang dette gil mulighet for å gi en dynamisk endring for hver eier av objekter slik at han kan sette forskjellige rettigheter for forskjellige brukere selv. Dette er en farlig rettighet, ved at brukere kanskje ikke helt vet hva de gjør eller ved at de kan gi rettigheter til andre som igjen kan gi dette videre til noen som det ikke var tenkt for. Denne rettigheten bør derfor ikke brukes hvis man er litt redd for sine data (og det gjelder vel i de fleste situasjoner). Begrense bruken av et dokument dette gir brukere for eksempel muligheten til å lese et dokument, men de får ikke rettigheter til å skrive ut, kopiere eller endre. 1.3.4. Minnebeskyttelse I et multiprogrammerende system er det essensielt med beskyttelse av hovedminnet. Ikke bar å beskytte selve minnet, men likeså mye å sikre korrekte prosesser når de er aktive og å sørge for at prosesser som ikke lenger er aktiv blir stoppet på en korrekt måte. Hvis en prosess ved et uhell kan skrive til minneallokeringen til en annen prosess vil dette kunne ha store negative konsekvenser ved at data kan bli ødelagt eller ved at data kan gjøres tilgjengelig for andre enn tiltenkt. I de viktigste NOS som Windows 2000/2003 server og Novell Netware 5/6 er ikke dette noe problem som man trenger å bruke mye oppmerksomhet på hvis man ikke endrer det standard oppsett som er satt. Hvis man likevel ønsker å endre på dette krever det at man har meget god kjennskap til hvordan deling av minneområde skal settes. Men ved å sette denne korrekt vil man kunne oppnå raskere og mer rasjonell prosessering av data. 1.3.5. Fysisk sikring av serverrom Dette bør være selvsagt, men hvor ofte ser man ikke at større bedrifter eller kommuner ikke sørger for at serverrom er tilstrekkelig fysisk beskyttet. Noen rom mangler lås, noen romer har ødelagte lås, noen rom har nøkler som alle ansatte har tilgang til og noen mangler fullstendig rutiner for hvor ofte rom skal være låst. Enkle regler man bør ha er: Bare de som er gitt rettighet til det skal ha tilgang til serverrom Ingen serverrom skal ha et nøkkelsett som er likt med andre brukere av andre tjenester Det skal alltid være kopi av nøkkel/kort i en safe

Systemsikkerhet side 4 av 5 Det skal alltid være kopi av passord i en safe Bare ledere og personer med gitte rettigheter skal ha tilgang til safen Serverrom skal aldri forlates ulåst 1.3.6. Klimakontroll av serverrom Nesten like viktig som fysisk sikring er klimakontroll. Slik som temperaturen har vært i deler av Norge de siste årene om sommeren kreves det at man har sikker og god tilgang til avkjøling av serverrom. Ved at temperaturen blir for høy kan server gå i stå. Mer sikkerhetsproblematisk er det når noen prosesser på server går i stå da kan sikkerheten til server og NOS bli sterkt svekket. 1.3.7. Backup og tillit til backuprutiner Uansett hvilke sikkerhetstiltak man iverksetter bør man i tillegg alltid sørge for en skikkelig backuprutine. For å sikre gode rutiner bør bare en ansatt ha hovedansvaret for at backup blir tatt og at denne fungerer. I større bedrifter vil det kunne være flere som deler på den praktiske jobben, men uansett skal det være en ansatt som har ansvaret. Det må finnes rutiner for hvem som tar backup når den som har hovedansvaret for dette er borte fra jobb. Det enkleste er å ta backup til faste tid hver natt. Det må finnes rutiner som sjekker at backup er tatt. Det er viktig at man bruker programmer som er lette å benytte når det skal tas backup. Oppbevar backup på et brannsikkert sted. Ha alltid noen backup er liggende utenfor huset for eksempel en ukentlig.. Ta kontroll hver uke av at det virkelig blir tatt backup. Hva skjer den dagen serveren går helt i stå og hvis man tror at det er tatt backup og i virkeligheten har det ikke skjedd? På denne måte skapes det en tillit hos de ansatte til at backuprutinene er gode. Typer backup: Inkrementell backup tar en kopi av alt som er endret eller kommet til som nytt siden siste fulle eller inkrementelle backup. Differensiell backup tar kopi av alt som er endret eller kommet til som nytt siden siste fulle backup. Full backup tar kopi av alt. For å unngå å måtte ta så ofte backup kan man bruke en raidløsning, men uansett raid eller ikke bør backup tas. 1.4. Aksessrettigheter Hvert NOS har sine aksessregler for filer og kataloger, men følgende generelle regler gjelder: 1.4.1. Ingen rettigheter Brukeren kan ikke se at det eksisterer en fil, og dermed vil det selvsagt ikke være mulig å aksessere en slik fil.

Systemsikkerhet side 5 av 5 1.4.2. Filkjennskap Dette kan være Read- eller File Scan-rettigheter (avhengig av NOS). I en slik situasjon kan en bruker se fila og finne ut hvem som er eier. Brukeren kan dermed be eieren om å få endret rettigheten (hvis eieren har slike rettigheter), slik at brukeren kan få åpne fila. 1.4.3. Exe-tilgang Her kan brukeren laste filer og kjøre programmer, men har ikke rettigheter til å kopiere filene. Ofte settes slike rettigheter på programmer på filtjenere. 1.4.4. Leserettigheter Brukeren har leserettigheter og kan dermed kopiere filer og kjøre programfiler med slike rettigheter. Vær obs på at i enkelte NOS kreves det mer rettigheter enn bare R for at dette skal fungere slik. 1.4.5. Rettigheter til å legge til I en slik situasjon har brukeren mulighet til å føye til data til en fil, men kan ikke endre eller slette noe av den opprinnelige innholdet på en fil. Denne rettigheten er spesiell viktig når man lagrer data fra mange forskjellige kilder. 1.4.6. Oppdateringsrettigheter Her kan en bruker med slike rettigheter endre, slette og legge til data til en fil (angis ofte som skriverettighet W). 1.4.7. Endre filrettighet Her kan brukeren endre rettigheter til fil eller katalog. Som nevnt tidligere bær man være forsiktig med ås ette denne rettigheten. 1.4.8. Rett til å slette Brukeren kan slette filer. Anbefalt litteratur: leksjonen

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding