Windows 7 indeholder en mængde sikkerhedsfunktioner, der ikke bare er gode at have, men direkte nødvendige. Det eneste minus er, at de ikke er slået til som standard.
Det betyder i praksis, at sikkerheden på en Windows 7-pc er den samme i et virksomhedsnetværk uden nogen specifik sikkerhedskonfiguration som i et hvilket som helst hjemmenetværk.
God sikkerhed består af flere lag af forskellige beskyttelsesforanstaltninger, og Windows 7 har mange indbyggede sikkerhedsfunktioner. Med disse og med nogle værktøjer, du kan downloade fra Microsoft, kan du forbedre sikkerheden på dine klienter betydeligt.
Højere sikkerhed med EMET
I en ideel verden ville alle programmer i udgangspunktet være uden sikkerhedshuller. Det gælder dine egenudviklede programmer såvel som de fra tredjeparter. Men sådan er virkeligheden desværre ikke.
Desuden er det de senere år blevet mere almindeligt, at angreb sker mod sårbare programmer i stedet for mod sikkerhedshuller i styresystemet.
Men det gratis værktøj fra Microsoft Enhanced Mitigation Experience Toolkit (EMET) kan give dine programmer ekstra beskyttelse blandt andet mod såkaldte 0-dagsangreb. Det bliver simpelthen sværere at udnytte sårbarheder i programmer.
Sådan gør du:
1. Download og installer EMET på en testmaskine. Distribuer herefter EMET Setup.msi til dine klienter med det værktøj, du normalt anvender til distribution af programmer.
2. For at aktivere EMET skal du konfigurere værktøjet. Det kan med fordel gøres ved at hente gruppepolitik-skabeloner fra EMET's installationsmappe i C:\Program files\EMET\Deployment\Group Policy files og placere admx-filen i mappen PolicyDefinitions (enten i C:\Windows eller på SYSVOL) og adml-filen i den underliggende mappe en-us.
Når du har gjort det, dukker der en ny installationskategori op i policy-mappen Windows Components, hvorfra du kan indstille EMET og styre hvilke programmer, der skal beskyttes.
Her kan du også slå populære valgmuligheder til såsom at beskytte Adobe Reader, Oracle Java, Microsoft Office, Chrome, Firefox og en række andre udbredte programmer.
3. Det er dog ikke nok at konfigurere GPO-indstillingerne. Du er også nødt til med jævne mellemrum at køre kommandoen EMET_Conf --refresh, hvilket genindlæser konfigurationen af EMET. Opret kommandoen som en planlagt opgave.
4. Når du aktiverer EMET, kan du tjekke hvilke programmer, der beskyttes, enten med EMET_Conf --list eller via EMET GUI.
At slå EMET til vil uden tvivl øge sikkerheden på dine klienter betydeligt, men afhængigt af i hvilken grad, du låser systemet ned, kan det betyde, at visse programmer helt holder op med at fungere. Derfor er det vigtigt, at du tester dine programmer, efter du har slået EMET til.
Hvis du slår forhindring af datakørsel (også kaldet Data Execution Prevention, DEP) til, skal du være klar over, at det ændrer i indstillingerne for opstart, og hvis du har BitLocker slået til, kommer BitLocker til at gå i genoprettelsestilstand, hvilket betyder, at der kræves en BitLocker-genoprettelsesnøgle, før brugeren kan få adgang til computeren igen.
BitLocker og MBAM
Drevkryptering er en nem måde at beskytte dataene, selvom maskinen kommer på afveje. Krypteringsfunktionen BitLocker i Windows 7 er utrolig populær og anvendes i stor stil.
Men der er en masse mangler ved standardopsætningen af BitLocker. Her tænker vi især på to store problemer.
For det første ved man ikke, om BitLocker er slået til eller ej.
For det andet: I de tilfælde, hvor genoprettelsesnøgler bruges til at låse computer op, der er havnet i genoprettelsestilstand, benyttes altid den samme genoprettelsesnøgle, da den ikke ændres efter en oplåsning.
Det gør det muligt for brugerne for eksempel at skrive genoprettelsesnøglen ned på en gul huskeseddel, som de klæber på computeren, hvilket kan sammenlignes med at låse hoveddøren men lade nøglen sidde i låsen.
For at administrere BitLocker forsvarligt har du brug for tilføjelsen Microsoft Bitlocker Administration and Monitor (MBAM). Den indgår i Microsoft Desktop Optimization Pack og gør det ikke alene muligt for dig at afhjælpe ovenstående problem, men giver også mulighed for, at helpdesken eller slutbrugerne selv kan hente genoprettelsesnøgler efter behov.
Aktivering af BitLocker er i sig selv nok til at fylde en firesiders artikel - TPM'en skal aktiveres på en centraliseret og automatiseret måde, GPO-indstillinger skal konfigureres, BitLocker skal aktiveres, og krypteringen skal gennemføres.
Herefter skal MBAM installeres på servere, der kører IIS og SQL Server, og MBAM-agenten skal distribueres til alle klienter - så du har stadig et seriøst stykke arbejde foran dig.
Den største fordel ved MBAM er, at du kan få rapporter om og se den nøjagtige status for drevkrypteringen på dine Windows 7-klienter. Uden MBAM famler du i mørke og kan kun gætte på, om BitLocker faktisk er slået til på computerne.
Du får også en selvbetjeningsportal. Det giver alt sammen mulighed for en professionel administration af BitLocker.
Kontrol over tilladte programmer med AppLocker
En meget enkel måde at tilføje endnu et lag sikkerhed på en Windows 7-klient er at styre hvilke programmer, der har tilladelse til at køre på computeren. Det kan sættes op for exe-filer, men også for de mest almindelige script-filer.
Ideelt ville både exe-filer og script-filer være signeret med et certifikat. På den måde kan man oprette intelligente regler med AppLocker baseret på udgiveren af certifikatet.
Forholdsvis mange leverandører af tredjepartsprogrammer underskriver deres programmer med certifikat, men der findes undtagelser. Egenudviklede programmer er sjældent underskrevne, så det handler om at indføre kodesignatur i sin klientplatform både for programmer og scripts.
Man kommer langt med standardreglerne i AppLocker, men målet vil altid være at oprette regler, der er baseret på udgiverne.
Sådan gør du:
1. Åbn gpedit.msc for at test AppLocker. Gå ind i Computer Configuration > Windows Settings > Security Settings > Application Control Policies. Åbn menuen og klik på AppLocker.
2. Marker og højreklik på Executable Rules og vælg Create Default Rules. Dermed tillader du alt, der er installeret i mapperne Programmer og Windows, og at lokale administratorer må køre alt.
3. Klik på Applocker og derefter Configure Rule Enforcement. Sæt kryds i Configured ved Executable rules og tryk derefter OK.
4. Åbn services.msc og sørg for, at tjenesten Application Identity starter. Det er alt, der behøves - AppLocker er nu slået til.
Det kan dog tage et par minutter, før AppLocker aktiveres. Du kan tjekke status i Logbog under Logfiler for programmer og tjenester > Microsoft > Windows > Applocker > EXE.
Med AppLocker kan du med en hvidliste effektivt styre, hvad der må køre på dine Windows 7-maskiner. Da ikke alle exe-filer er signerede, vil det indebære nogen manuel administration, men det vil sandsynligvis være minimalt, da de fleste programmer i dag er digitalt underskrevet.
Sikkerhedsskabeloner
Microsoft tilbyder komplette konfigurationer, som justerer sikkerhedsindstillingerne og forbedrer sikkerheden i Windows.
Konfigurationen kan også eksporteres i form af gruppepolitik. Værktøjet Security Compliance Manager (SCM) har færdiglavede skabeloner til Windows 7 SP1, men også til Internet Explorer og Microsoft Office.
I værktøjet fremgår det klart, hvad standardindstillingerne er i Windows, Internet Explorer eller Office, og hvordan Microsoft anbefaler, at man anvender de sikkerhedsskabeloner, der følger med SCM.
Til hver indstilling er der en beskrivelse af hvilken sårbarhed, indstillingen kan påvirke, og du får at vide, hvilken indflydelse en låsning af den specifikke indstilling har på systemet og på dine brugere.
Sådan gør du:
1. Download SCM og installer det.
2. Åbn menuen for Windows 7 SP1 og vælg Win7S1 Computer Security Compliance. Gennemgå alle indstillinger og læg mærke til forskelle mellem Microsofts anbefalede konfiguration, og hvad der er standard i Windows 7. Foretag ændringer i indstillingerne efter behov.
3. Når du har gennemgået alle indstillinger, vælger du GPO Backup (folder) i menuen Export til højre.
4. Importer GPO-backup'en på den server, hvor du håndterer gruppepolitik og anvend indstillingerne på klienterne, men sørg for at teste grundigt først.
Desværre har Microsoft standset udviklingen af SCM, men de eksisterende skabeloner er gennemprøvede og er stadig en god kilde til information.
To-faktor-autentifikation og konklusion
At autentificere sig udelukkende med brugernavn og adgangskode er skidt af mange grunde - for eksempel kan adgangskoder skrives ned på papirlapper og sættes på skærmen eller under tastaturet eller brugerne kan narres til at oplyse deres adgangskoder til uvedkommende. Det gør det nemt for angribere at finde veje ind i dine systemer.
Denne sårbarhed kan du fjerne ved at kræve, at brugeren i forbindelse med login skal benytte noget, som kun brugeren har, såsom et smartcard eller en USB-nøgle.
Kombineret med noget, som brugeren ved, såsom en PIN-kode, er der pludselig tale om autentifikation med to faktorer, hvilket alt andet lige forbedrer sikkerheden.
Fra et sikkerhedsmæssigt perspektiv er det virkelig ikke godt stadig at nøjes med at bruge adgangskoder. Heldigvis findes der et utal af produkter fra tredjeparter, der tilbyder løsninger til to-faktor-autentifikation. Evaluer, hvad der er bedst for dine brugere og for it-afdelingen.
Med hæderlig PKI, det vil sige en Microsoft Certificate Authority, en PKI-konfiguration i dit Windows-miljø, kan du ved brug af smartcard øge sikkerheden i dit Windows-miljø. Begynd med de mest følsomme brugerkonti, det vil sige de konti, der har højere privilegier end standardbrugerne.
Konklusion
Ved fuldt ud at udnytte sikkerhedsfunktionerne i Windows 7 får du helt sikkert en mere sikker klientplatform. Anvender du ekstra sikkerhedsindstillinger for programmer og styresystem, øger du sikkerheden yderligere.
Hvis du desuden forstærker autentifikationen af brugerne, får du en klientplatform, der rent sikkerhedsmæssigt er i topklasse.
Oversat af Thomas Bøndergaard