Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Share computer beveiligen.

24-02-2010, 13:32 door Anoniem, 17 reacties
Beste mensen van security.nl,

Voor dat ik deze vraag wou stellen aan jullie had ik dus al een beetje gezocht of mijn vraag al eens was gesteld, ik kon helaas niks vinden al leken er wel een paar op mijn vraag alleen daar kreeg ik niet voldoende informatie uit.

Wat ik dus wil weten is als je een bedrijf heb waar je een computer hebt die je b.v.b. in de kantine staat waar iedereen gebruik van mag maken. is mijn vraag hoe kan je deze computer het best beveiligen zodat mensen wel gebruik kunnen maken van tekst bewerking programma en het internet. Maar niet het systeem zo omzeep helpen dat het netwerk straks volzit met allemaal virussen.

Ik dacht zelf aan:

In het bios de usb porten uitschakelen.
Het bios beveiligen met een password.
Windows XP sp3 installeren en koppelen aan het domain.
Rechten instellen dat men alleen gebruik kan maken van de iconen die op de desktop staat.
Deepfreez installeren.
Computer koppelen aan sophos enterprice waardoor die een virusscanner krijgt en firewall krijgt.

En hier houd het voor mij op. Hebben jullie nog meer opties wat ik kan doen om het systeem te beveiligen zodat mensen die op de sharecomputer zitten geen rare dingen kunnen uit halen.

Alvast bedankt!
Reacties (17)
24-02-2010, 15:17 door Anoniem
er zijn tal van mogelijkheden dieje zou kunnen proberen hierbij doe ik even een kleine greep vanuit mijn positie als Pen-tester/

-Windows Naar keuze installeren maakt eigenlijk niet uit welke dat is,
-Zorgen dat de windows elke keer optimaat beveiligd word met 'Critical' Updates.
-Een goede antivirus installeren Met Wachtwoord voor de Settings.
- 'n VNC/Remote Desktop software installeren, zodat je via je Server op elke gewenste computer mee te kijken, wat de gebruikers doen.
- Verder raad ik je aan om Logfiles aanteleggen voor al jouw belangrijke instellingen, mochten die gewijzigt worden, weetje tenminste hoelaat, wanneer, en wat eris gewijzigt.
-Bios Password ('n Must)
-Verder raad ik je sterk aan om de mensen die er gebruik van willen maken Beperkte rechten accounts te geven.
-De Netwerk server Optimaal te beveiligen met een Firewall & Antivirus, ook deze Uptodate houden zowel AV&Firewall als de OS van de server.

-eens in de tijd dat de gebruiker actief is op de computer mee kijken via jouw Remote desktop.
-Backups te maken, en te bewaren op een Portable HDD.

is zijn eigenlijk de belangrijkste dingen dieje zou kunnen doen en zou moeten doen.

mocht je meer research willen doen over wat je zou kunnen doen op dit gebiedt, raadt ik je aan om eens een kijkje te nemen op Security Scene Team (SSTeam.ws)

ik hoopje zo voldoende informatie te hebben gegeven,

Mvg,

Rinus.
24-02-2010, 15:22 door SirDice
Haal de local administrator rechten weg van die gebruiker.
24-02-2010, 15:23 door Anoniem
Wat dacht je van een LivdCD/LiveDVD in de PC ? Op die manier kunnen mensen hoe dan ook niets op de PC verprutsen, en je hebt iedere keer als je de PC aanzet een volledig schoon systeem.
25-02-2010, 01:22 door Bitwiper
Door Anoniem: Windows XP sp3 installeren
Check http://en.wikipedia.org/wiki/Windows_SteadyState en http://go.microsoft.com/?linkid=6760996. Is gratis en speciaal gemaakt voor wat jij wilt (zelf heb ik er overigens geen ervaring mee).

en koppelen aan het domain.
Waarom? Zou ik juist niet doen. Sterker, bij voorkeur in een DMZ zetten.
25-02-2010, 09:20 door bernd
De allerbelangrijkste vraag die je jezelf eerst moet stellen is
"wat wil je faciliteren?"

mogelijke antwoorden zijn:
internetzuil --> installeer kiosk software, zorg dat ze uitsluitend op een beperkte set url's mogen komen. Software hiervoor is te koop, je kunt hiervoor ook je favoriete linux distro aanpassen.

vergaderwerkplek (bijvoorbeeld om te presenteren of te notuleren): installeer de pc als een normale pc in het domein, maar plaats deze in een aparte container in Active Directory. koppel hieraan een strenge policy en zet hierin loopback policies in replace mode aan http://technet.microsoft.com/nl-nl/library/cc782810%28WS.10%29.aspx, waardoor de user grouppolicies niet toegepast worden. (Hetzelfde princype geldt overigens als je eDirectory hebt en Zenworks)

natuurlijk is de fysieke beveiliging belangrijk: bioswachtwoord, bootvolgorde op harddisk-only, USB eventueel uitzetten (lastig voor presentaties!), evt cdrom kabel eruit, autorun uitzetten, ...
26-02-2010, 20:04 door [Account Verwijderd]
[Verwijderd]
27-02-2010, 13:17 door Anoniem
installeer een willekeurige linux distro en zorg voor een gebruikersaccount zonder root-rechten
04-03-2010, 23:33 door Ilja. _V V
Na verbetering bleken de accentje boven de letters gewijzigd te worden in vraagtekens.
Daarom bericht hieronder opnieuw geplaatst. Probleem opgelost.;-)
04-03-2010, 23:47 door Ilja. _V V
Goed, laat ik het eerst eens even opnemen tegen de sterkste man van het forum, Bitwiper... ;-)
Door Bitwiper:
Door Anoniem: Windows XP sp3 installeren (...) en koppelen aan het domain.
Waarom? Zou ik juist niet doen. Sterker, bij voorkeur in een DMZ zetten.

Het probleem zit in de DMZ. Ik mag wel eens een blik werpen op ontwerp-diagrammen & - stroomschema's & daar staat dan in koeienletters op: "Ontwerp Netwerk & Beveiliging voor Bedrijf Très Chic door Duur IT Ontwerp Bureau". In één oogopslag zie ik dan bijna altijd dat er (vaak meerdere) lijnen rechtstreeks in & uit de DMZ lopen, vaak dan ook nog via een aan het bedrijfsdomein gekoppeld rechtstreeks via internet benaderbaar IP-nummer. Helemaal erg word het als er dan ook nog eens VoIP in verwerkt is, waarmee dan zowel de kantinejuffrouw als de directeur kan worden afgeluisterd.
Dat een duur team dat daar dan meestal maanden aan gewerkt heeft dat zelf niet ziet, & ik als "simpele ziel" wel, snap ik dan niet, maar doet er hier verder ook niet echt toe.

Een DMZ heeft nogal wat haken & ogen, o.a. dat er géén beveiligingsmaatregelen zijn zoals FireWall & AV, om een optimale produktiviteit te creëeren & ervan word uitgegaan dat de DMZ zich binnen een beveiligde ring van het netwerk bevind. Meestal niet, dus...
Niet aan een domein koppelen, uiteraard akkoord.

Dan zou ik de computer natuurlijk niet in de kantine opbouwen & testen. Het is wel een idee om te computer via een (draadloze) router via een computer met een tweede netwerkkaart te koppelen aan het internet (router & servercomputer zijn weer in de uiteindelijk opstelling niet fysiek benaderbaar voor de kantinisten). Op die manier heb je standaard al een dubbele beveiliging (FW, AV & niet direct via internet benaderbaar IP)

Het lijkt me bij zo'n project dat je de kantinisten een beter werkende computer wilt aanbieden dan ze zelf thuis hebben, & leuker dan de computer waarop ze werk voor de baas moeten verrichten & dan ook nog eens veilig.

Één van de daarvoor bij uitstek geschikte gereedschappen daarvoor is de GroepsBeleidEditor (in XP) of de GroepsBeleidObjectEditor (Vista & 7). & behalve het aantal mogelijkheden is er verder niet veel verschil tussen beide beleidsmodules.
Alhoewel je daarmee niet direct zelf in het register werkt, is een waarschuwing wel op zijn plaats: Het is zeer krachtig stuk gereedschap. Zo heb ik ooit eens iets te voortvarend daarmee een computer ingesteld met als gevolg dat na de herstart er niets meer aan veranderd kon worden, zelfs niet door een Administrator. Die computer werkte overigens verder perfect...

Daarvoor heb je minimaal XP Pro, Vista of 7, Ultimate, Enterprise of Business (of een server-achtige) nodig, want de home-versies hebben geen GroepsBeleid(Object)Editor.
Gezien dat je het voor een bedrijfskantine wil maken, & je het over Sophos Enterprise hebt, is het misschien een idee om je baas te vragen of er nog ergens een nog niet gebruikte volume-licensie rondslingert voor zo'n besturing, bij de meeste bedrijven worden die toch iets te groot ingekocht omdat het in verhouding goedkoper is.

Voordat je dan van alles gaat instellen moet je al zorgen dat je systeem goed & zo volledig mogelijk is opgezet. Bv. ook je minimaal 2 Administratoren (Ingebouwd plus één extra), minimaal een gebruiker van elk gewenst allooi & de gast-account.

Daarbij kan je voor de zekerheid het systeem even testen met MBSA (Microsoft Basic Security Analyzer) die een heleboel hoofdzaken controleert & ook redelijk duidelijk aanwijzingen geeft voor verbeteringen, indien nodig.

Dan kan je aan de slag met de volgende Beleidsmodules:

1: Lokaal BeveiligingsBeleid (secpol.msc)
2: GroepsBeleidEditor (gpedit.msc)

Om te voorkomen dat, mocht je het toch aan een domein willen koppelen & daar heeft bernd op 25-02-2010,09:20 al wat over geschreven, dat je kantinebeleid word overschreven door een Actieve Directory-beleid vanaf een computer hoger in rang heb je dan nog nodig:

3: Resultant Set of Policy (Resulterende verzameling beleidsregels) (rsop.msc)

Dat zijn overigens de opvolgers van de uit 95/98 etc. bekende:
Door eloow: poledit (tool)

Met die Beleids-Editoren kan je van alles & nog wat regelen, & elke beleids-instelling is van uitleg voorzien. Ook zijn er een heleboel niet-standaard beleids-sjablonen (.adm & .admx) die je kan importeren.

Ondanks alle voorzorgsmaatregelen kan het dan toch in praktijk voorkomen dat hetzij door een technisch defect, hetzij door een gebruiker gewapend met onkunde & ondeskundigheid welke binnen de kortste keren waar je bij staat het systeem compleet naar de knoppen helpt.

Voor die gevallen is het altijd handig om van het systeem een gemakkelijk & snel terug te zetten image te maken.

Dat staat weer los van een veredeld, gebruikersvriendelijk systeemherstel- & gebruikersbeheer-programma zoals de hiervoor al genoemde DeepFreeze of SteadyState.
Daarvan kan je er één naar keuze erbij installeren.

Tot hier geld dan nog steeds dat de computer al zo goed & volledig mogelijk is opgebouwd voordat je aan bovenstaand begint.

Tot nu toe, & niet alleen van mij, is het allemaal een heel technisch verhaal.

Daarom tot slot even een klein stukje over:

Psychologische Beveiliging.

Feitelijk komt dat er op neer dat je inplaats van alleen maar denken aan wat er verkeerd kan gaan & dat (beleids-)technisch voor de gebruiker onmogelijk probeert te maken, je bijna het omgekeerde doet:

Je gaat kijken wat de gebruiker met de computer allemaal wil doen, & zorgt er dan voor, met techniek, dat het op een veilige manier mogelijk is.

Bv: Waarom de USB hardwarematig ontoegankelijk maken? Omdat er de kans is dat het systeem besmet kan raken? Ach, dat is zelfs de SpaceShuttle overkomen.
Je kan ook alleen de Autorun uitschakelen & de AV zo instellen dat alle verwisselbare media eerst gedesinfecteerd worden. Iedereen blij.

We kennen het allemaal wel, hetzij van ons zelf, hetzij van gebruikers onder onze supervisie: De computer doet onverwacht iets niet zoals de gebruiker het verwacht, gebruiker word (soms terecht) woest, & zomaar, ineens, vliegt er een desktop door de zaal!

Omdat te voorkomen kan je natuurlijk de computerkast weer vastschroeven, maar dan gaat er weer een stoel doorheen ofzo.

Terwijl als je als beheerder er voor zorgt dat alles gedaan kan worden dat een gebruiker verwacht, dan zal die agressie die uiteindelijk gericht op sabotage van de computer niet voorkomen (ik zeg niet, niet nooit).
Als dan iets echt niet kan, dan moet dat vooraf aan gebruikers bekend zijn, bij voorkeur met reden (bv. geen porno kijken want het bedrijf volgt een vrouwvriendelijk beleid of geen internetspelletjes want dat is een te hoge belasting voor het bedrijfsnetwerk).

Op die manier wek je ook weer vertrouwen bij je gebruikers, want inplaats van te denken "er mag toch niets van de beheerders, dus ik kijk zelf wel of ik mijn probleem kan oplossen", creëer je een vertrouwensbasis waarbij de gebruiker weet dat die het altijd aan de beheerder kan vragen om iets op de juiste wijze mogelijk te maken.

Het enige wat de beheerders dan hoeven te doen, is goed luisteren, & een redelijke wens van een gebruiker omtoveren naar een juiste technische oplossing.

Zal je zien dat er statistisch een stuk minder computerstoringen voorkomen, & mochten die dan toch onverhoopt voorkomen, dan weet de gebruiker dat de beheerder graag te vinden om het op te lossen.
05-03-2010, 08:28 door Anoniem
``Een DMZ heeft nogal wat haken & ogen, o.a. dat er géén beveiligingsmaatregelen zijn zoals FireWall & AV, om een optimale produktiviteit te creëeren & ervan word uitgegaan dat de DMZ zich binnen een beveiligde ring van het netwerk bevind. Meestal niet, dus...``

De bedoeling van een DMZ is juist dat deze zich buiten het beveiligde deel van je netwerk bevindt. Systemen die hier staan moeten vaak bereikbaar zijn vanaf internet en hebben niet of nauwelijks toegang tot de rest van het corporate netwerk. Overigens is er geen enkele reden om geen AV te gebruiken (hoe kom je op deze veronderstelling), en je kan op systeemniveau een firewall gebruiken en je kan indien je meerdere hardware matige firewalls hebt ook het DMZ verder beveiligen, zodat je een firewall hebt op je externe perimeter, en een firewall tussen het DMZ en het corporate netwerk.

``In één oogopslag zie ik dan bijna altijd dat er (vaak meerdere) lijnen rechtstreeks in & uit de DMZ lopen, vaak dan ook nog via een aan het bedrijfsdomein gekoppeld rechtstreeks via internet benaderbaar IP-nummer.``

Dat is dan ook volstrekt logisch. Immers is een DMZ bedoelt voor dergelijke systemen. Waar zou jij een webserver plaatsen welke bereikbaar moet zijn voor de buitenwereld, om een voorbeeld te noemen. Lees onderstaande eens.

DMZ (Computing)
http://nl.wikipedia.org/wiki/Demilitarized_zone_(informatica)

``Dat een duur team dat daar dan meestal maanden aan gewerkt heeft dat zelf niet ziet, & ik als "simpele ziel" wel, snap ik dan niet, maar doet er hier verder ook niet echt toe.``

Wellicht dat er een reden is dat dat team duur is, en misschien kan je hen eens vragen waarom zij bepaalde zaken zo inrichten, indien je dat zelf niet snapt.
05-03-2010, 09:07 door sjonniev
Die Sophos opmerking is een goeie! Met de laatste versie heb je ook application control, en kun je beperken welke software erop gedraaid mag worden.
05-03-2010, 09:40 door Anoniem
Gewoon Linux gebruiken.
05-03-2010, 10:24 door s.stok
"-Windows Naar keuze installeren maakt eigenlijk niet uit welke dat is,"
Daaronder valt ook Windows NT 4.0 :) Echt als je geen goed antwoord weet plaats dan niets.

De beste oplossing is inderdaad een Live CD of Linux met allerhande beveiligingssoftware.
En de BIOS en te beveiligen met een wachtwoord. Het boot menu van Linux ook beveiligen met een wachtwoord! en voorkomen dat ze 'e'dit kunnen uitvoeren en zelf parameters kunnen meegeven.

Windows gaat hier niet of nauwelijks werken.
Zelfs met beperkte rechten kan je niet voorkomen dat iemand een virus of iets binnen krijgt.
Deepfreez werkt hier ook maar gedeeltelijk, vroeger op school meegemaakt en toch werdt de computer geïnfecteerd.
05-03-2010, 10:41 door sjonniev
Versleutelen van de harde schijf kan ook geen kwaad, als beveiliging tegen slimmerikken met een schroevedraaier, een extra PC en BartPE/Knoppix/etc.
05-03-2010, 23:05 door Ilja. _V V
Door Anoniem: De bedoeling van een DMZ is juist dat deze zich buiten het beveiligde deel van je netwerk bevindt. Systemen die hier staan moeten vaak bereikbaar zijn vanaf internet en hebben niet of nauwelijks toegang tot de rest van het corporate netwerk. Overigens is er geen enkele reden om geen AV te gebruiken (hoe kom je op deze veronderstelling (...)
Dat is dan ook volstrekt logisch. Immers is een DMZ bedoelt voor dergelijke systemen. Waar zou jij een webserver plaatsen welke bereikbaar moet zijn voor de buitenwereld, om een voorbeeld te noemen. Lees onderstaande eens.
Een DMZ is een apart deel dat zich doorgaans binnen een netwerk bevind. De beveiliging & verbinding met de buitenwereld word verzorgd door een toegangsserver (of meerdere). Een echte DMZ mag nóóit, nóóit, nóóit & te nimmer een directe verbinding met de buitenwereld hebben. Een webserver achter de toegangsserver in de DMZ bediend dan alleen de aldaar aangesloten computers. Indien er een noodzaak is om via internet toegang te verlenen dan word dat gedaan via een webserver voor de toegangsserver.

In de DMZ word meestal geen of minimale actieve beveiliging geimplementeerd om vertraging te voorkomen. Er word aangenomen dat de beveiliging door de toegangsserver geregeld word & het dus in de DMZ in zekere mate veilig is.
Ikzelf zal, gezien de huidige hardware- & netwerk-snelheid, & bedreigingen, toch bij voorkeur altijd AV & FW installeren binnen een DMZ, tenzij dat dwingend opgedragen word, & dan nog onder zwaar protest.

Ik krijg trouwens niet voor niets zo af & toe ontwerpen onder mijn neus geschoven... ;-)
17-05-2010, 14:57 door Anoniem
Hallo,

Wellicht heb je iets aan het programma SiteKiosk? Zie voor meer info en een demo versie www.diz.nl onder het onderdeel informatiezuilen - software.

Met vriendelijke groet,
Corine van Donselaar
17-05-2010, 22:07 door ej__
@Ilja

Ik weet niet waar jij je DMZ's ziet, maar de DMZ's die ik ken zijn in het algemeen beter beveiligd dan het LAN zelf. :) Voor sommigen geldt de ontwerpfilosofie: de DMZ is de veilige zone, de rest (inclusief het LAN) is onveilig. Daarnaast geldt: voor alle aparte functionaliteit een eigen DMZ. Deze DMZ's zijn volledig beveiligd in de zin van AV en firewalls. Er zijn verschillende beheerteams, ieder team kan maar een stuk van de functionaliteit openzetten. Er is geen team dat alles kan. Het 4 ogen principe wordt volledig uitgevoerd. De eigenaar van de server is volledig verantwoordelijk voor alle software die er op draait, inclusief AV. Een onafhankelijk audit team doet security scans, en kan dwingende maatregelen opleggen.

Abstracter gezien is een LAN ook een DMZ. Dat maakt de ontwerpfilosofie universeel toepasbaar. Building blocks is het toverwoord van netwerk architecten.

Je zit blijkbaar in een andere hoek dan waar ik zit (o.a. bancair, de ene bank doet het wel stukken beter dan de andere...).

Ik denk dat ik hierin bitwipers filosofie volg. ;)

EJ
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.