Microsoft-architect geeft 10 gekke security tips
Volgens Microsoft security architect Roger Grimes is het dreigingslandschap continu in ontwikkeling en is het daarom belangrijk 'out-of-the-box' te denken. Grimes verzamelde tien 'gekke' security tips die vaak genegeerd worden, maar wel degelijk effectief zijn. Met name bij bedrijven zouden de tips hun waarde hebben bewezen. "Ze zien de resultaten en weten dat deze methodes werken, en ze werken prima."
- Hernoem het administrator-account
- Verwijder overbodige administrator-accounts
- Gebruik honeypots
- Gebruik geen standaard poorten
- Installeer niet in standaard directories
- Gebruik tarpits
- Analyseer het netwerkverkeer
- Schakel een met wachtwoord beveiligde screensaver in
- Schakel web browsen vanaf servers uit
- Hou tijdens de ontwikkeling rekening met security
Reacties (16)
10-07-2012, 14:18 door
Earl Grey
Euh....? Wat is hier precies gek aan? De meeste zijn toch gewoon doodnormale tips?
Volgens mij is dit allemaal common sense hoor. Hiermee wordt bij ons standaard rekening gehouden bij projecten of gewoon het reguliere werk. Interessant voor mensen die nieuw zijn in de security maar ik verwacht dat een beetje informatiebeveiliger dit soort dingen toch allemaal wel weet.
Inderdaad niet bepaald de gekste dingen en allemaal vrij standaard.
misschien was het meer ironisch bedoelt om aan te tonen dat mensen dit soort dingen nog steeds niet implementeren omdat "ze het toch wel beter hebben geregeld" ?
misschien was het meer ironisch bedoelt om aan te tonen dat mensen dit soort dingen nog steeds niet implementeren omdat "ze het toch wel beter hebben geregeld" ?
... volgens Microsoft is het ook common policy om je lockoutpolicy van je password te verhogen van 3 of 5 ... naar 50 invalid attempts omdat de grote hoeveelheid mobiele devices hier anders te veel last van hebben.
Door Redactie: ]Grimes verzamelde tien 'gekke' security tips die vaak genegeerd worden, maar wel degelijk effectief zijn. ]
Er staat dus echt dat het 10 tips zijn die vaak genegeerd worden. Deze tips kunnen common sense zijn of niet, ze worden dus blijkbaar vaak vergeten.
10-07-2012, 14:57 door
WhizzMan
1,4 en 5 vertragen een aanvaller die echt naar binnen wil alleen maar een heel klein beetje. Daar staat tegenover dat de kans dat je daardoor fouten maakt in dagelijkse beheerwerkzaamheden groter wordt. Ik zou die drie dus niet direct aanbevelen. Tip 10 is een basisprincipe waar de andere negen eigenlijk allemaal onder vallen.
Hernoem het administrator-account
'root' hernoemen is mogelijk (vriend heeft die ooit eens naar 'wortel' hernoemd), maar vrij lastig. Ook vrij vervelend als Highly Paid Consultant drie uur aan het kloten is om alleen maar op je systeen in te loggen. Ik weet niet hoe windows administrator accounts verder werken dus kan ik niet veel over zeggen
Gebruik honeypots
ja, handig. Vergeet er wel bij te zeggen dat je daadwerkelijk moet snappen wat security is om die te kunnen gebruiken anders heb je een compromised systeem vlak naast je productiesysteem staan, in hetzelfde netwerk (welk je natuurlijk gewoon vertrouwd en niet op filtert qua ip traffic); even los van dat het niet mag.
Gebruik geen standaard poorten
en highly paid consultant is weer drie uur bezig de juiste poort te vinden
Installeer niet in standaard directories
en highly paid consultant is weer drie uur bezig de juiste directory te vinden
Gebruik tarpits
en iedereen zeurt dat het allemaal traag is
Analyseer het netwerkverkeer
99% van het verkeer is "internetverkeer". veel verder komt 99% van de mensen niet
Schakel een met wachtwoord beveiligde screensaver in
ik zie niet wat hier raar aan is. 't is vervelend als je aan het rijden bent en je je screen wil unlocken
Schakel web browsen vanaf servers uit
updates gaan via http. geen updates dan maar?
Hou tijdens de ontwikkeling rekening met security
'root' hernoemen is mogelijk (vriend heeft die ooit eens naar 'wortel' hernoemd), maar vrij lastig. Ook vrij vervelend als Highly Paid Consultant drie uur aan het kloten is om alleen maar op je systeen in te loggen. Ik weet niet hoe windows administrator accounts verder werken dus kan ik niet veel over zeggen
Gebruik honeypots
ja, handig. Vergeet er wel bij te zeggen dat je daadwerkelijk moet snappen wat security is om die te kunnen gebruiken anders heb je een compromised systeem vlak naast je productiesysteem staan, in hetzelfde netwerk (welk je natuurlijk gewoon vertrouwd en niet op filtert qua ip traffic); even los van dat het niet mag.
Gebruik geen standaard poorten
en highly paid consultant is weer drie uur bezig de juiste poort te vinden
Installeer niet in standaard directories
en highly paid consultant is weer drie uur bezig de juiste directory te vinden
Gebruik tarpits
en iedereen zeurt dat het allemaal traag is
Analyseer het netwerkverkeer
99% van het verkeer is "internetverkeer". veel verder komt 99% van de mensen niet
Schakel een met wachtwoord beveiligde screensaver in
ik zie niet wat hier raar aan is. 't is vervelend als je aan het rijden bent en je je screen wil unlocken
Schakel web browsen vanaf servers uit
updates gaan via http. geen updates dan maar?
Hou tijdens de ontwikkeling rekening met security
Het lijken mij inderdaad rare adviezen. Het is toch Microsoft zelf die standaar poorten met een nummer onder de 1056 gebruikt, die kwetsbaar zijn voor aanvallen? Het is toch Microsoft zelf die over heel de wereld in alle versies van Windows dezelfde standaard directories hanteert? En hoe gebruik ik een "honeypot"? Hoe analyseer ik mijn netverkeer?
Het lijkt er meer op dat Microsoft zijn verantwoordelijkheid voor een super onveilig systeem ontloopt door de schuld te geven aan de gebruikers.
Erik
Het lijkt er meer op dat Microsoft zijn verantwoordelijkheid voor een super onveilig systeem ontloopt door de schuld te geven aan de gebruikers.
Erik
Is dit alleen voor MS "Out-of-the-box-thinking" ??? Zegt genoeg...
En dan, +1 voor WhizzMan, my 1st thoughts exactly!
En dan, +1 voor WhizzMan, my 1st thoughts exactly!
Hoe begin ik eraan? o_O Tijd om een automatiseer tool te ontwikkelen security.nl?
1,4 en 5 vertragen een aanvaller die echt naar binnen wil alleen maar een heel klein beetje. Daar staat tegenover dat de kans dat je daardoor fouten maakt in dagelijkse beheerwerkzaamheden groter wordt. Ik zou die drie dus niet direct aanbevelen.
1. In een managed omgeving hebben beheerders 2 gepersonaliseerde accounts. Het default 'Administrator' account wordt per definitie via GPO of handmatig (GPO is makkelijker) hernoemd en het wachtwoord ligt in een kluis. Account is eigenlijk nooit meer nodig. beheerders doen hun dagelijkse werk ook via een 'normaal' user account en kunnen basis taken via deligation of control worden toebedeeld op dat account wanneer nodig. 99% van de dagelijkse werkzaamheden kunnen op deze wijze worden afgehandeld. Het tweede beheerder account heeft vaak meerdere rechten en soms is deze 'Enterprise Administrator' in een Forest of gewoon simpel 'Domain Admin'. Op deze wijze is ook makkelijk te achterhalen met welk account bepaalde changes zijn doorgevoerd en bij wie dat hoort. Daarnaast staan bepaalde ISO normeringen het gebruik van 'generieke' (admin) accounts niet toe. Dus net zoals het default guest account, RENAMEN.
4. Standaard poorten ontkom je meestal niet aan, maar dat zegt niets over een extra security laag inbouwen. Waarom moeten SOAP-diensten bijvoorbeeld altijd op poort 80 of poort 443? En waarom niet gewoon een andere poort? Security begint al bij het globaal design, maar security hoort integraal deel uit te maken van iedere dienst die je implementeerd binnen een organisatie. Is het eenvoudig om van standaard poorten af te wijken zonder functioneel verlies, dan gewoon doen.
5. Waarom zou je niet in standaard directories installereen. Houd op een server je C: (boot+os) minimaal en installeer alles op de D: bijvoorbeeld en verplaats je swap ook naar D: of zelfs op een andere disk. Voordelen van applicaties op een andere drive zetten is dat je bij een herinstallatie van een server je je geen zorgen hoeft te maken waar het stond en kan je de C: disk zonder probleem opnieuw indelen.
Wanneer je dus naar het basale lijstje kijkt dan kan je zeggen:
1. Hernoem het administrator-account = EEN MUST DO
2. Verwijder overbodige administrator-accounts = NIET DOEN, DISABLEN en WACHTWOORD WIJZIGEN, WEG IS WEG
3. Gebruik honeypots = LEUK MAAR NIET VOOR IEDEREEN
4. Gebruik geen standaard poorten = PAS SELECTIEF TOE
5. Installeer niet in standaard directories = OP SERVERS JA, OP WERKSTATIONS SOMS
6. Gebruik tarpits = OP MAIL JA (SMTP RELAY) maar VERDER NIET
7. Analyseer het netwerkverkeer = OP FIREWALL's maar verder alleen bij ONTWIKKELING en DIAGNOSE
8. Schakel een met wachtwoord beveiligde screensaver in = JA ICM HANDMATGE LOCK, verplicht gebruikers op straffe van ontslag om scherm te locken bij weglopen werkplek. Screensaver met time-out is gevaarlijk omdat er tussen timeout en lock onbewaakt toegang is.
9. Schakel web browsen vanaf servers uit = JA
10. Hou tijdens de ontwikkeling rekening met security = JA bij alle ontwikkelingen.
Misschien een rare vraag, maar waarom de wachtwoord beveiligde screensaver? Zit er een bug of exploit in?
@Anoniem 15:03
Dat je een highly paid concultant inhuurt om een en ander te doen lijkt me niet vreemd. Dat deze dan niet de juiste poorten, directories kan vinden vind ik eerder een probleem dan documenteren. Wanneer dit namelijk is gedaan kan de consultant dus snel verder met hetgeen waarvoor hij is ingehuurt.
@Anoniem 15:44
Volgens mij is het niet alleen Microsoft die standaarden hanteert. Het IANA heeft hier ook een rol in... Zie www.iana.org/assignments/port-numbers
Groet,
Jan-Willem
Dat je een highly paid concultant inhuurt om een en ander te doen lijkt me niet vreemd. Dat deze dan niet de juiste poorten, directories kan vinden vind ik eerder een probleem dan documenteren. Wanneer dit namelijk is gedaan kan de consultant dus snel verder met hetgeen waarvoor hij is ingehuurt.
@Anoniem 15:44
Volgens mij is het niet alleen Microsoft die standaarden hanteert. Het IANA heeft hier ook een rol in... Zie www.iana.org/assignments/port-numbers
Groet,
Jan-Willem
11-07-2012, 15:03 door
RickDeckardt
wat dacht die MS man? Laten we eens "Gek" doen en aan security denken?
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.