2012-06-28

Microsoft TechEd Europe - Del 10 - 10 deadly Sins of Administrators about Windows Security

Talare: Paula Januszkiewicz (Penetration tester, MVP eterprise Security. iDesign CQURE
Presentation: SIA300

Anteckningarna nedan är mina anteckningar live från presentationen. Detta gör att det kan vara felstavningar, felsyftningar och liknande. Jag ber om ursäkt för alla eventuella felaktigheter.
Lämna gärna en kommentar i så fall så ser jag till att ändra. :)

- Service konton
En sak att tänka på är att om man kör en service under ett domänkonto så kommer lösenordet att sparas i registret. Detta gör att om man har services som körs som exempelvis domainadmin-konto då kommer man alltså att ha lösenordet sparat i registret.
Ett sätt är att lösa detta genom att använda managed service accounts (finns sedan Windows server 2008 R2)

- Tjänster som inte är installerade under %Systemroot% eller %programfiles%.
Ett problem med att tjänster installeras på andra ställen är att mapparna har alldeles för öppna behörigheter (med andra ord: vem som helst kan ändra filer i dessa mappar).
Det är inte helt otroligt att någon byter ut en fil mot en annan fil och att den nya filen är en elak fil...

- Gammal teknologi.
Exempelvis Windows XP...
Säkerheten är enormt myckte högre i Windows 7 än XP.

- Encryption.
Nytt motto: "Use Encryption when you can!"

- Installation av applikationer
Hur många verifierar checksummorna för filer på installationsshare innan de installeras? (17 av 20 ITadmins säger att de aldrig gör detta)
Hur många verifierar checksummorna för installationsfiler som de precis installerat (20 av 20 IT admins säger att de inte gör detta)
Vem som helst som kommer åt installationsfilerna eller kan komma åt dataströmmen när man laddar ned en fil kan lägga in malware i installationfilen...

- Ingen monitorering av nätverket.
Det går att skicka ut trafik på protokoll om det är öppna i brandväggar och liknande.
De flesta företagen idag tillåter exempelvis ICMP ut genom brandväggen. Det går utmärkt att skicka filer över ICMP om man vill...

- WYSInotWYG
(what you se is NOT what you get)
Rootkits kommer att ändra hur operativsystemet uppför sig. Det går inte att lita på exakt vad man ser. Även om man inte ser en fil så kan den mycket fäl finnas där.

- Too much trust in people
Den billigaste och effektivaste attacken är oftast inte teknisk.
Övervaka saker... och berätta att du gör det!

- Avsaknaden av dokumentation
Det behövs dokumentation för inte bara hur systemen ser ut, utan även för hur man återskapar dem.
Få företag har dokumentation så att det räcker för att kunna hantera miljön, eller i värsta fall hantera miljön om administratörerna skulle åka på semester eeller sluta.

Inga kommentarer:

Skicka en kommentar

Related Posts Plugin for WordPress, Blogger...