20120910

Trådlösa nätverk

• Blir allt vanligare
• Trådlös trafik mellan två hosts är snabbt
• Trådlös trafik mellan MÅNGA hosts krockar och blir segt
• Radiokanaler, finns bara tre rena, många verktyg kan hantera en sådan koppling på smart sätt.
• Trådlös säkerhet har börjat bli så pass bra att den har implementerats även på trådade nät
• Ad-hoc
• Två datorer som pratar med varandra utan en trådlös router/accesspunkt.
  
• Infrastructure
• Två eller fler datorer som anslutar till en accesspunkt via de kan nå varandra.
• Olika standarder
• 802.11a
• Användes ganska lite, lite kort räckvidd men hög bandbredd, lite krockar.
  
• 802.11b
• Mycket krockar, långsamt, bra räckvidd.
  
• 802.11g
• Mycket krockar, hyfsat snabbt, bra räckvidd.
  
• 802.11n
• Varierat, mycket snabb, hyfsad till bra räckvidd.
• Trådlöst bredband
• 3g, 4g
• Säkerhetsprotokoll
• WPA2-personal
• Det man kör hemma, rätt bra säkerhet
• Inloggning mot accesspunkt med lösenord (samma lösenord för alla)
  
• WPA2-Enterprise
• Det som körs på företag
• Inloggning mot certifieringsserver med domänkonton (däribland AD) via accesspunkten
  
• Ej krypterat men bidrar lite säkerhet
  
• Dolt SSID
• Går att hindra ett nätverk från att vara synligt utan lite mer grävande
• Falsk säkerhet.
• Då måste man lägga till ett dolt nätverk
  
• MAC-adresslås
• Man låser en accesspunkt till bara vissa MAC-adresser
• Bidrar lite säkerhet, men bara som ett svagt kompliment
• Bökigt också.
  
• DHCP-filtrering
• Man kan filtrera vilka som får ansluta

Group Policies

• Group Policy Management heter verktyget
• Högerklick->Edit
• Computer->Policies->Windows settings>Wireless
• Create wireless network policy (Vista och senare)
  
• Edit
• Add
• Infrastructure
• Profile name
• Ditt namn på den.
  
• SSID
• Det publika namnet på den
• Security
• Här man ställer in WPA2 osv
• Advanced
• Massa olika inställningar
• Roaming är relevant på företag som är geografiskt stora.
• Bra för att pusha ut specialiserade inställningar till många klienter
• Du kan ställa in XP också på ungefär motsvarande sätt, men det är markant mer begränsat och ser lite annorlunda ut.
• Inställningar kan vara klart bråkigt då man behöver det för nätverksuppkoppling och man behöver nätverksuppkoppling för att det ska fungera.
  
• Sköts ofta med installationsscript.
• Ofta måste man logga in först med trådat nätverk för att få det hela.
• Med WPA2 personal så måste man alltid skriva in lösenord i windows, det skickas inte ut med group policies (det kan dock naturligtvis sparas lokalt).

Desktop security

• Användarens miljö
• Local group policies
• Hette förrut local computer policies, men interfacet ser väldigt liknande ut som domänhanteraren.
• Bitlocker
• Kryptera hela disken
• EFS
• Encrypted file system
• Kryptera filer/kataloger
• Application restrictions
• Blockera enskilda eller alla utom vissa applikationer
• UAC
• Kontroll av rättigheter
• Säkerhet för IE
• Inte så fascinerande intressant då det inte är så poppis
• Windows defender
• Låg prio
• Action center
• Ger en massa varningar om man inte har en massa inställningar som backup och antivirus.
• Switchar kan neka baserat på om de inte fyller upp sådant
• Går att stänga av promptningarna om de stör i onödan, exempelvis backup på tunna klienter
• Security essentials
• Den och andra säkerhetsskydd är bra att se till att köra fullt ut minst en gång i månaden (dvs, ta det där dygnet det tar).
• Group Policies (GPO)
• GPO är det man skriver typ alltid
• GPO=Group Policy Object
• Alla som är i en domän får sådana.
• I princip allt som går att hantera på en windowsdator går att ställa in med det.

Hur policies läses i ordningsföljd
0. registret

1. Lokal datorpolicy (local GPO)
   
2. Site-level GPOs (mkt ovanligt)
3. Domän GPOs
   
1. Inställningar som gäller alla användare i domänen.
2. Default domain policies
4. OU-GPO
1. Organizational unit
2. Till för att ställa in för lokala kontor och liknande
   
5. Under OU-GPO
1. Under organisational unit
2. För underkategorier på lokala kontor och liknande.
3. Exempelvis har nackademin sånt system för att ge mer lagring till vissa klasser.

Rankingen är att ju högre siffra desto högre prio.

Lokala policys

• Sök på local security policy
• Notera likheter med group policies
• Notera att mycket saknas dock
• Exempelvis kan bara administrators och LOCAL SERVICE ställa in tid, men man kan ställa in att andra kan göra det med.
  
• Det är relevant att ställa in saker om det är en dator som inte är med i domänen
• MMC
• Verktyg som är praktiskt för att göra ett specialanpassat interface med olika möjligheter för styrning av servern, det är egentligen det som används av server manager osv.
  
• File
• Add/remove snapin
• Här kan man lägga in lokala policies
• Man kan annars skriva in edit group policy för allt som har med hela datorn
  
• Går att utöka listan med remote admin tools
  

Filkryptering

• EFS
• Filerna är gröna, utöver det märks det mest i att det är lite slöare.
• Kräver NTFS
• Det ställs in på användarnivå, ej på datornivå
• Skyddas av användarens lösenord
• Stödjer smart card, wizards, group policies.
• Går att kryptera page file
• Offlinefiler, dvs, man har en lokal krypterad kopia av sina filer
• Stöd för 256 bit encryption
• Ställer man in det så är det svårt att forcera en fil.
• Administratorn kan normalt ta över en fil, men är den krypterad så kan han inte göra det utan recovery agent.
  
• Egenskaper på en fil/katalog->Advanced för att ställa in encryption
• Man måste även ställa in vilka som har rätt till filen/katalogen så att inte obehöriga har rätt till den.
• Viktigt att ha en recovery agent om man ska använda EFS.
• Mer specifikt, EFS är sällan en bra idé utanför domäner
• Bitlocker
• Kryptering av en hel partition
• Kontroll med checksummor på disken
• Bra grejer, finns dock bara i Ultimate/Enterprise
• Går naturligtvis att ställa in via policies (också bra att se till att spara det datat i AD)
• Går att sätta på flera sätt
• Control panelen-> Systems and Settings
• Högerklicka på en volym-> Turn on bitlocker
• CLI manage-bde.wsf
• Windows 7 och framåt har mycket simplare hantering än Vista
• Man får en wizard
• Stödjer att ett USB-minne bara fungerar automatiskt i en specifik dator.
• Kryptering tar uppskattningsvis 80 GB/timme
• Bitlocker har 48 teckens kryptering för recovery
  
• TPM
• Trusted platform module
• Till för att ha kryptering så nära boot som möjligt, ligger antingen på moderkortet eller på USB-minne, kräver ofta lösen/PIN.
  
• Viktigt att inte lägga annat på usb-minnet
• Non-TPM mode
  
• i praktiken är det USB som gäller då, då ligger själva nyckeln på usb-stickan .
• Kollar ofta om något är fel
• Applocker
• Program för att styra vilka program som får köras.
• Kan naturligtvis puttas ut med group policies.
• Sätt in default först är väldigt vettigt, annars är allt utom det du väljer är ej tillåtet (default ger exempelvis tillgång till Program files).
• Går att ställa in under Local Security Policies med Create default rules under application control policies.
• Software restriction policies
• Legacy för XP och äldre.
• Disallow
• Välj bort det som inte ska användas
  
• Allow
• Välj det som ska få användas
  
• Basic user
• Olika rättigheter för admin och vanliga
  
• Använd aldrig på samma system som Applocker
• Additional rules är det man leker mest med.
• Olika sätt att differentiera program
  
• Path-regel
• Till katalog eller exefil
• Bra när man tillåter utvalda program
  
• Hashregel
• kontrollsumma på exefil
• Bra när man blockerar utvalda program
  
• Certifikatregel
• Endast vettig när man tillåter utvalda program
• För lätt att gå runt annars
  
• Digital signatur i exefil