Gewoon patchen, goede firewalls OpenBSD), en GEEN admin rechten uitdelen. Alle webverkeer via squid met havp en clamav, geen andere verbindingen toestaan. USB poorten en cd romspelers uitschakelen en je hebt geen extra meuk nodig.

Alternatief 1: thin clients gebruiken. Lekker alles serverbased, dan heb je veel meer controle. Zelfde proxies en virusscanners gebruiken. Nooit een probleem gekregen en gezien. IDS heeft nooit geklaagd.

Alternatief 2: gebruik een linux omgeving. ;-)

EJ

EJ bedankt voor je reactie.
Klopt, de volgende items zoals jij al aangeeft zijn gerealiseerd:
- Alle Microsoft patches worden geinstalleerd, overige pakketten worden ook goed bijgehouden
- Lokale gebruikers zijn NIET lid van de lokale Administrator groep
- Internet verkeer gaat via Proxy, zonder proxy is direct internetverkeer niet mogelijk
- USB poorten en cd rom spelers zijn wel ingeschakeld MAAR starten niet automatisch op
- IDS en Firewall zijn aanwezig

Thinclients en Serverbased staan nog op mijn todo lijstje :)

Linux omgeving draait thuis :)

Toch ben ik nog steeds op zoek naar ervaringen betreft software oplossingen, mensen laat je horen!

Squid is a caching proxy for the Web supporting HTTP, HTTPS, FTP, and more.
HAVP (HTTP Antivirus Proxy) is a proxy with a ClamAV anti-virus scanner.

Even voor de duidelijkheid EJ!
Squid is een proxy en HAVP is een Proxy.
Jij geeft aan proxy met proxy en clamav, kun je dit nader toelichten!

Geen andere verbindingen toestaan begrijp ik, alleen Internet verkeer door de proxy.

Greetz.

Havp is uitsluitend een security proxy, geen cacheing proxy. Havp stuurt alle requests door clamav. Clamav laat zich uitbreiden met anti-phishing filters. Squid is uitsluitend een cacheing proxy, die prima logt wat iemand op het net uitvreet. Ze vullen elkaar dus prima aan. Op de website van havp staat uitgelegd hoe ze samen kunnen worden gebruikt.

Eventueel kun je met vieze truuks ervoor zorgen dat https wordt gebroken en ook door de filters wordt gestuurd. Let op dat dit grenst aan wat mag. Maar je kunt een zeer zwaar beveiligde omgeving bouwen op deze manier. De Nederlandsche Bank verplicht banken in Nederland om op deze manier om te gaan met Internet verkeer. Of ze het al doen is een andere zaak.... :-)

EJ

EJ wederom bedankt voor je reactie :)

Duidelijk verhaal en ook zeker interessant om te testen......volgend project.

Iceyoung begrijp je reactie, het begrip binnen de organisatie is aanwezig.
Ik probeer mijn collega's zoveel mogelijk bij te brengen maar interesse komt meestal van 1 kant.
Het is 1 van de belangrijke items: organisatie security bewust maken.

Maar software matige beveiliging icm hardware matige beveiliging voor onze Microsoft omgeving is ook een must.
Ik ga er vanuit dat meerdere organisaties gebruik maken van software matige beveiliging voor workstations, laptops, pda's en servers. Daarom ben ik benieuwd welke pakketten deze organisaties gebruiken en waarom!

Pakketten die ik momenteel bestudeer:

- Symantec Multi-tier Protection
- McAfee Total Protection
- Worry-Free™ Business Security
- Kaspersky Open Space Security

Ik hoop graag wat verschillende ervaringen te lezen, bij voorbaat dank!

Ik ga maar niet op de aannames in, maar

- Goeie router, dit is je 1st line defense dus bespaar hier niet op
en wil je hier wel op besparen raad ik SME server aan, ook gratis en voor niks heb je alleen wel een stukje oude
hardware nodig. Linux maar voor de beginner makkelijk te beheren daar deze via web interface te benaderen en te
beheren is. En moet het toch even vermelden, mensen die zomaar klakeloos andere eindgebruikers aanraden om Linux
te gebruiken, LEES EERST WAT DE PERSOON VRAAGT, implementatie van Linux is net zo veilig als de kennis van
de beheerder van het product. Dat wij het kennen wil niet zeggen dat de persoon in kwestie het kan. 1st think simple
before you start to complicate things just because.
- Als je dan toch client server omgeving doelt, draai je clients dan in een virtuele omgeving, voordeel is dat dit een
beschermde omgeving is voor EN van eindgebruikers. Tevens centraal beheer en eveneens makkelijk te herstellen d.m.v
"snapshot" (moment opname) terug zetten. Nadeel is wel dat die client dan resources van de server toebedeeld krijgt en
je server dus wel een redelijke vermogen aan o.a. memory dient te hebben.
- Centraal software management en management gebruik ik persoonlijk in MS omgeving SMS en Dameware NT Utilities,
Ok moet toegeven Dameware is een betaald pakket, maar dat is wat ik ken, gebruik, en prettig vind. Maar de keus is
aan de persoon zelf, het aanbod is zo omvangrijk ook van de niet betaalde paketten.

Bedankt voor je reactie.

1. Klopt, router is aanwezig met IDP & Anti-virus.

2. Citrix of vmware zal bij de volgende implementatie gebruikt gaan worden :)

3. Ben nog op zoek naar juiste software, ben op dit moment bezig met PowerFuse icm met Wisdom van RES

Wij zetten deze config heel veel weg in het MKB veld,

SBS 2003 R2 server met alle ms updates,
trend micro worry free ,
linksys rv042 /sonicwall tz190 firewall ,
geen local admin op windows werkstations.

verder gezond gebruik en verstand van software en internet.

Frans

En geen dank, lets stop the bashing and really share the knowledge ...

Ja klopt, werkte voorheen ook met PowerFuse toch werk ik prettiger met Dameware in mijn geval daar ik vrij groot aantal servers te beheren heb in meerdere datacenters, maar ja de ene houd van appels en de ander van peren, zeg maar net als MS en Linux ... ik mix de peren altijd met de appels en heb zo gewoon een lekker exotisch salade ... ik denk dat iedereen de bash discussie al ziet ;)

En 1 tip met al die verschillende security utils, sometimes less is more ...
Al is het maar om conflicten te vermijden en maar te zwijgen over de performance.

Thuis draai ik 4 virtuele servers welke werkelijk 4 Dell Studio Hybrid (groen en economisch) zijn op een Dell R900 (OK niet echt milleu vriendelijk maar gewoon een lekkere dikke bak), dit speelt verstoppertje achter een virtuele SME server die onzichtbaar is achter een DrayTek Vigor router.
Willen die hackies spelen met mn 4096 Bit SSH RSA Key, ze gaan hun gang maar, dat zal een brute force attack worden op een virtuele deur die er niet eens is, maar wanneer ze daarachter zijn zie ik ze over 200 jaar wel inloggen en tegen die tijd praat ik allang persoonlijk binair met het Oracle met Neo aan mn zijde ... bash

En om je heel eerlijk te zeggen, steen door dat "raam" en, vertrouw die man met die hoed helemaal niet, en knal die kut pinguin ook maar eens een keer neer
Ik stam af van "Novell lopend in een rondje, wat je zag is wat je kreeg" met als hoofgerecht Unix en als toetje na VAX/VMS
Wat een tijden ...

Maar kerel verder veel succes, vindt overigens 1 ding wel opmerkelijk.
Je hebt een goed 1st point of view, wat is de beste security ... dacht iedereen maar zo ;)

Goed punt, het NIET delen van kennis heeft zich al bewezen in het mislukken van verschillende security projecten!


Wederom goed punt, het mixen heeft naar mijn mening de volgende voordelen:
- elke leveranciers heeft toch zijn eigen sterke producten (MS & Linux)
- niet afhankelijk van 1 partij waardoor meer stabiliteit en redundantie


Gaat dit niet ten kosten van de performance!
Wordt deze SSH opgezet met de virtuele SME Server!


Bedankt doe men best, security is wederom weer een andere tak van sport binnen de ICT waar ik mezelf de afgelopen tijd erg in verdiep, af en toe best pittig maar zeer interessant.

Toch wil ik je nog de volgende laatste vraag stellen: de Servers die je beheert wat draait hier softwarematig qua beveiliging op!

As mentioned before 4096 Bit SSH RSA Key kan mn Dell R900 met 4 x L7455 Xeon, Six Cores, 2.13GHz, 12M Cache, 1066Mhz FSB icm 64 GB redelijk snel verwerken, dat snoept tie als een appeltje.

En qua beveiliging vertrouw ik allereerst op mn double firewalled entrance, en maak ik voornamelijk gebruik van VPN.
Wie heeft de snelweg niet graag voor zichzelf ;) en hoe minder weg gebruikers hoe minder ongelukken.
En encryptie als 2nd line defense geeft de hacker/cracker als deze al binnenkomt meestal een domper dat deze het toch maar opgeeft en de file gewoon weg flikkert tenzij ze meer dan 200 jaar oud kunnen worden.
En natuurlijk, lets not be cocky en ALLES is te kraken en als mn echt wil is mn netwerk ook plat, dat weet ik wel.

En m.b.t. virus en al die andere shit, ik draai Avira Professional op mn clients i.c.m. Webroot SpySweeper en G-Data op mn server, toch weer een quad scan m.t. data welke binnenkomt, welke weg wordt geschreven naar mn Dell MD3000 storage. De client haalt het bestandje binnen, Avira en Webroot scannen deze op shit, dan wordt het weg geschreven naar het netwerk waar G-Data het vervolgens nog ff nakijkt, nu moet ik toegeven dat G-Data in client omgeving aardig wat resources gebruikt vandaar dat ik deze op mn server heb draaien. En firewall dat draai ik niet op mn clients, niet nodig omdat ik anders niet op mn frontline security zou vertrouwen.

Als laatste wil ik hier ook nog aan toevoegen, je backup planning behoort ook tot security, bouw niet op je raid of redundancy. Want stel je boel klapt eruit, hoe snel heb je alles recovered. Ik simuleer 1 keer per maand een recovery van mn netwerk en ben met 22 uur weer up and running, al mn (virtual) servers en full recovery alle data.

Maar je hebt nu een klein beetje een inzage hoe ik het heb draaien, en je kan die salade altijd een andere draai geven ...

Leuk speelgoed, de 4 Virtuele Servers hebben aardig wat resources tot hun beschikking!

Opgebouwd met een Virtuele SME server die onzichtbaar is achter een DrayTek Vigor router!

Klopt, MAAR het moel wel interessant zijn......

Avira Professional heeft al een Spy/Adware functie waarom dan nog een extra Tool!

Grappig deze gebruik ik voor mijn laptop, tot nu toe ben ik hier tevreden over.

Hier heb ik uiteindelijk ook voor gekozen en heeft veel voordelen betreft het beheren van je lokale netwerk.

Wederom goed punt, dit is op dit moment redelijk in orde!
Bij de volgende migratie zal dit perfect worden geregeld :)