Sikkerhetsløsning mot BIOS-angrep

Ny sikkerhetsløsning mot BIOS-angrep

Dell har nå lansert Dell Data Protection | Endpoint Security Suite Enterprise, som integrerer kunstig intelligens- og maskinlæringsteknologi fra Cylance for proaktiv forebygging mot avanserte trusler og skadelig programvare. Som en del av den nye løsningen tilgjengeliggjør vi også en ny løsning for post-boot BIOS-verifisering i kommersielle PC-er, integrert i maskiner kjøpt med Dell Data Protection | Endpoint Security Suite Enterprise-lisens.

BIOS-verifisering i sikkert skymiljø

Den nye BIOS-verifiseringen benytter et sikkert skymiljø for å sammenlikne og teste hvert individuelle BIOS-image opp mot de offisielle målingene fra Dells BIOS-lab. Ved å gjennomføre testen i et separat miljø, isolert fra selve enheten, kan brukeren være sikker på at post-boot-imaget ikke har blitt kompromittert.

BIOS-verifisering vil til å begynne med være tilgjengelig for Dells kommersielle klienter med 6. generasjons Intel-brikkesett, inkludert den oppdaterte Latitude-serien, utvalgte modeller av Precision, OptiPlex og XPS-seriene, samt enkelte Venue Pro-nettbrett.

Den nye funksjonaliteten gjør Dell enda bedre rustet til å levere de sikreste kommersielle PC-ene på markedet i dag. Vi kombinerer nå en rekke førsteklasses sikkerhetsløsninger for klienter i Dell Data Protection Suite, inkludert omfattende krypteringsmuligheter, avansert autentisering og beskyttelse mot skadelig programvare – og nå også BIOS-verifisering.

It-sikkerhet med kunstig intelligens

Dell Data Protection | Endpoint Security Suite Enterprise er i dag den eneste sikkerhetsløsningen for klienter med innebygd Cylance-teknologi som beskytter mot kjøring av avanserte vedvarende trusler og skadevare ved hjelp av kunstig intelligens. Trusler som er omfattet inkluderer zero-day angrep og målrettede angrep som «spear-phishing» og ransomware.

Ifølge Cylance-tester tilbyr den nye løsningen en betydelig høyere grad av beskyttelse enn før, og stanser 99 prosent av skadelig programvare og avanserte vedvarende trusler, langt over gjennomsnittet på 50 prosent som finnes i mange tradisjonelle antivirusløsninger.

Den nye Endpoint Security Suite Enterprise er en helhetlig løsning som forenkler klientsikkerhet slik at it-avdelingen kan fokusere på brukernes behov. Hovedfordelene med løsningen inkluderer:

  • Ingen signaturer. Den avanserte beskyttelsesteknologien er basert på kunstig intelligens og dynamiske matematiske modeller, med minimale antall falske positiver, som eliminerer behovet for stadig oppdatering av signaturer.
  • Proaktiv forebygging. Ved å forebygge mot skadelig programvare reduseres kostnadene ved opprydding betraktelig, ikke minst tidsbruken på «blanking» og re-imaging av lagringsmedier, og reinstallering av operativsystem og programmer.
  • Bedre ytelse og sikkerhet. Endpoint Security Suite Enterprise bruker kun en brøkdel av de systemressursene du vanligvis forbinder med antivirus og tradisjonelle skadevareforebyggende løsninger. Lokal deteksjon uten behov for en konstant skytilkobling gjør også at mobile ansatte kan arbeide der de vil uten å bekymre seg.

Den økende kompleksiteten i BIOS-spesifikke angrep, og nye varianter skadelig programvare som har evnen til å reinstallere seg selv i BIOS, gjør at virksomheter trenger mer avansert funksjonalitet for å vite at systemene deres ikke blir kompromittert. Dells post-boot BIOS-verifisering kan gi it-avdelingen visshet om at de ansattes systemer er sikre hver gang de slås på.

Vil du vite mer om hvordan din virksomhet kan ta i bruk slike sikkerhetsløsninger? Send meg en uforpliktende e-post på Lasse_Kaasa@Dell.com.

Slik oppgraderer du til Windows 10

Forrige uke ble Windows 10 lansert, med bedre sikkerhets- og produktivitetsløsninger, den nye nettleseren Edge, og en oppfrisket versjon av startmenyen. Dell har jobbet tett sammen med Microsoft under utviklingen av Windows 10, og med den gradvise utrullingen over nett har mange Dell-kunder allerede begynt å bruke det nye operativsystemet.

Oppgraderingen er gratis for de aller fleste som i dag benytter Windows 7 eller Windows 8.1. Dersom du ikke allerede har oppgradert, eller ikke har reservert din oppgradering, har du fortsatt god tid – dette tilbudet fra Microsoft er gyldig helt frem til 28. juli 2016.

Slik skaffer du Windows 10

Det er enkelt å oppgradere til Windows 10 på din private PC. Hvis du har en datamaskin gjennom arbeidsgiver kan det imidlertid hende at du må spørre it-avdelingen om de nødvendige tilganger.

Microsoft har laget en kort guide til hvordan du skaffer deg til Windows 10. Kort sagt klikker du på et lite Windows 10-ikon som skal ha dukket opp ved siden av klokken i systemfeltet. Så trykker du på knappen for å reservere din oppgradering, og legger inn din e-post hvis du ønsker å få tilsendt en bekreftelse på reserveringen. Hvis ikonet ikke vises må du kontakte systemansvarlig.

Etter å ha reservert din oppgradering er det bare å vente – i løpet av de neste ukene kommer Windows 10 til å laste seg selv ned, og du vil bli varslet når oppgraderingen er klar. Når varselet kommer kan du selv bestemme om du vil oppgradere umiddelbart, eller om du vil vente til et senere tidspunkt. Selve oppgraderingen tar normalt inntil en time, og du kan ikke bruke datamaskinen til noe annet mens den kjører.

Slik får du Windows 10 på nye maskiner

Fra og med 10. november vil forbrukerdatamaskiner solgt via vår nettside Dell.no, som den prisbelønte Dell XPS 13, komme med Windows 10 forhåndsinstallert. Kommersielle klienter vil komme med Windows 10 forhåndsinstallert fra 11. desember.

Husk at du ikke går glipp av Microsofts beste operativsystem selv om du kjøper ny PC før disse datoene. Dersom du kjøper en ny Dell-maskin med Windows 7, Windows 8 eller Windows 8.1 forhåndsinstallert kan du raskt og enkelt oppgradere selv, enkelt og helt gratis, slik vi beskriver her, helt frem til 28. juli 2016.

God oppgradering!

Hånd med klokke som holder ratt.

Syv datasikkerhets-trusler som kommer

Dells sikkerhetsrapport ble sluppet tidligere denne uken. Foruten å analysere de mest utbredte truslene og hvor angrepene var hyppigst i 2014, kom den også med spådommer over yndede mål for angriperne i årene som kommer.

  1. I takt med at stadig flere innfører to-faktorautentisering vil de med onde hensikter gjøre mye og mer for å knekke disse mekanismene
  2. Android forblir et yndet angrepsmål for de som lager malware. Dell forventer stadig nye og mer sofistikerte former for angrep som blir vanskeligere å avdekke og blokkere
  3. I samme spor vil se mer målrettede malware-angrep for Android-enheter rettet mot spesifikke apper, banker og brukergrupper, og nye flater som smarte TV-er og klokker
  4. Dell forventer i 2015 å se de første formene av malwareangrep mot kroppsnær teknologi
  5. Digital valuta, som Bitcoin, fortsetter å bli angrepet, særlig med bruk av botnet
  6. Rutere og andre nettverkstilknyttede dingser i hus og hjem, som alarmsystemer, blir nye mål. Man skal ikke utelukke at de blir brukt som en del av større tjenestenekt-angrep (DDoS)
  7. El-biler og deres operativsystem utpekes som naturlige mål.

Dataene i trussel-rapporten stammer fra over en million sensorer i 200 land, aktivitet fanget i honningkrukker i Dells sikkerhetssenter, malware/IP-data fra tusenvis av brannmurer og e-post sikkerhetsenheter over hele verden, kunnskap som er delt med over 50 samarbeidspartnere og mange frilans sikkerhetseksperter, og spamvarsler fra millioner av pc-over som beskyttes av Dell SonicWall-løsninger.

Hele sammendraget av rapporten kan du lese her

Ønsker du råd og en diskusjon om hvordan vi kan hjelpe dere innføre den beste sikkerhetsstrategien? Send meg en e-post på ronny.stavem@software.dell.com

Stadig flere opplever problemer med PST-filer

Virksomheter som har kjørt Exchange og Outlook kan ofte erfare problemer med såkalte PST-filer. Disse inneholder gjerne e-postdata, og sluttbrukere har ofte ikke noe forhold til om e-posten ligger lagret lokalt på harddisker eller trygt forvart på sentrale Exchange-servere.

PST-filer er i mange sammenhenger nyttig, som i migrering av Exchange data, men da slike filer kan genereres av sluttbrukerne er det mange selskaper som sliter med store utfordringer med e-post på avveie. I tillegg er disse PST-filene sårbare, slik at de veldig ofte ender opp med å bli korrupte og man mister viktig informasjon.

Sikkerhet og sensitiv info på avveie

Da PST-filer oftest ikke sikkerhetskopieres, er lagret lokalt på brukernes PCer og på ulike filservere, har man større risiko for at sensitive selskapsdata går tapt. Dell Software har derfor utviklet en løsning lar deg migrere PST-filer spredt i infrastrukturen inn til sentral Exchange infrastruktur. Dette på en sikker, smidig og rask måte.

Du kan lese mer om løsningen og laste ned en gratis prøveversjon her.

Ta kontakt med Geir.Aasen@software.dell.com for mer informasjon eller en demonstrasjon.

Virtualiseringsekspert lovpriser Wyse vWorkspace

Brian Madden er kjent som en uavhengig ekspert med tydelige meninger rundt desktop- og applikasjonsvirtualisering. Han har skrevet fire bøker og over 2000 artikler om teknologiene og hans blogg har millioner av besøkende hvert år. Madden står også bak BriForum (19. – 20. mai 2015), en leverandør-nøytral konferanse som fokuserer på virtualisering og mobilitet. Brian Madden har blitt rangert som fremste foredragsholder på både VMworld og Citrix Synergy. Det er med andre ord en betydelig kapasitet på området, og en svært viktig påvirker for både de som utvikler løsninger og de som kjøper dem.

Dell, Quest og Wyse – en god kombinasjon

Dells administrasjonsløsning for desktop- og applikasjonsvirtualisering – Wyse vWorkspace er en svært viktig komponent blant vårt tilbud for det profesjonelle markedet. Det er en omfattende virtualiseringsløsning som kombinerer det beste fra oppkjøpene av Wyse og Quest med våre egne innovasjoner og patenterte løsninger. Vi mener vWorkspace skiller seg ut ved å være eneste ende til ende-løsning med VDI tilkoblingsprogramvare som gir enkelhet, fleksibilitet, skalerbarhet, høy ytelse og enklere administrasjon

Skrytevideo med vWorkspace

Løsningen i siste versjon ble nylig analysert av Madden i denne videoen der han forklarer hvordan programvaren gir rike fordeler for de fleste typer virksomheter. Han mener selv at han mottar mange entusiastiske tilbakemeldinger fra de som har innført vWorkspace.

Madden er svært positiv til løsningens fremtidsutsikter og følger opp med å kommentere på samarbeidet Dell har med Nutanix som benyttes i Wyse Datacenter Appliance XC. Du kan lese mer om Wyse Datacenter Appliance XC i bloggartikkelen, Ny løsning gir enklere utrulling av virtuelle arbeidsflater. Er du interessert i mer informasjon om Wyse vWorksapce eller Wyse Datacenter Appliance XC, ta kontakt med erik_tessem@dell.com.

Fem vanlige feil ved migrering fra Windows Server 2003

Nedenfor har vi samlet fem av de vanligste feilene som begås ved migrering fra ett serveroperativsystem til et annet.

1.      For dårlig planlegging

Det aller viktigste før man går i gang med en så kritisk prosess som migrering til et nytt operativsystem er planleggingen. Likevel er det mange som ikke forbereder seg og forstår sitt eksisterende miljø før de går i gang med en migreringsprosess. Dette handler om å analysere tilstanden før migreringen starter, og å bestemme hva som skal flyttes over – så vel som hva som ikke får bli med.

Det er også noen som unnlater å identifisere applikasjoner som er avhengige av Active Directory før overgangsprosjektet starter opp. Det kan naturlig nok få uheldige konsekvenser, både for enkeltbrukere og for virksomheten som helhet.

2.      Undervurdering av effekt på brukere og organisasjon

Uavhengig av om du velger å restrukturere hele Active Directory-miljøet ditt ved å flytte alle ressurser inn i et nytt miljø ved hjelp av et AD-migreringsverktøy, eller om du legger til Windows Server 2012-domenekontrollere i ditt gamle Active Directory-miljø, er det viktig å være klar over hvordan brukerne kan bli påvirket.

Migrering, konsolidering og restrukturering av filserverdata bør ikke føre til nedetid for brukerne, og selv om selve prosjektet for det meste bør gjennomføres i arbeidstiden, kommer du langt ved å ha en helhetlig strategi for å drifte gamle og nye ressurser samtidig.

3.      Inkonsekvent eller fraværende sameksistens-strategi

Hvis migreringen får negative konsekvenser for brukerne henger det ofte sammen med en inkonsistent, eller i verste fall fraværende, strategi for hvordan gamle og nye ressurser skal fungere sammen i migreringsperioden. For enkelte stopper det imidlertid ikke der.

Dersom sameksistens-strategien din under migreringen ikke er god nok kan du i verste fall også komme i en situasjon hvor de aller nyeste data fra brukerne for eksempel ikke blir med til det nye miljøet. Usynkroniserte mapper, tap av produktivitet, og tillatelser som må opprettes på nytt for alle brukerne er andre litt for vanlige problemer som oppstår etter en migreringsprosess er utført.

4.      Utilstrekkelig databeskyttelse

Databeskyttelse som ikke blir ivaretatt godt nok er viktig nok til å fortjene å nevnes for seg. Migreringsprosjekter innebærer nemlig mye endringer og dermed høyere risiko for kritiske feil i Active Directory og andre systemer. Det er derfor viktig å ha en god gjenopprettelsesstrategi, slik at man enkelt kan rulle tilbake dersom uhellet skulle være ute.

5.      Mangelfull optimalisering av det nye miljøet

Et siste punkt jeg vil nevne er mangelfull optimering av det nye miljøet. Når du på forhånd har gjort jobben med kartlegging av hvilke verktøy som må byttes ut, kompatibilitetstesting av programmer som skal være med videre, og undersøkelse av hvilke applikasjoner som snakker med domenekontrollerne, er det nemlig lett å glemme oppfølgingen som må til etterpå. Det handler for eksempel om å utnytte nye muligheter i Windows Server 2012 til det fulle, men også enklere ting som å fjerne det du ikke vil ha bruk for fremover.

Nye muligheter

For våre kunder har vi i Dell migrert mer enn 50 millioner Active Directory-kontoer, og flyttet mer enn 40 millioner e-postbokser til Microsoft Exchange. Vår programvare håndterer i dag mer enn 86 millioner Active Directory-kontoer, og har to ganger blitt kåret til Microsoft ISV Partner of the Year. Basert på vår erfaring har vi utviklet migreringsmetodikken Dell ZeroIMPACT for å unngå disse og andre fallgruver.

Hvis du vil vite mer, eller behøver råd eller assistanse i forbindelse med migrering for din virksomhet, kan du ta kontakt med meg på Geir.Aasen@software.dell.com for å finne ut hva vi eller våre partnere kan bistå med.

Best håndtering av Linux-baserte virtuelle arbeidsflater

Dell Wyse vWorkspace støtter de mest utbredte leveranseteknologiene for arbeidsflater og applikasjoner. Alle disse ulike leveransemetodene kan administreres og forvaltes fra løsningens enhetlig administrasjonskonsoll. Dermed kan man kaste ut kostbare profilhåndteringsløsninger fra nisjetilbydere. Les mer om alle fordelene her.

Wyse vWorkspace støtter de mest relevante av eldre klient- og server operativsystemer og Linux slik at man unngår å opprettholde flere miljøer. Wyse vWorkspace er i dag den eneste løsningen for x64 og x86 Linux-distribusjonene.

Opplæring og utvikling

Linux-baserte virtuelle arbeidsflater er i dag særlig aktuelt i akademiske- og for utviklingsmiljøer. Med Wyse vWorkspcace kan systemadministrator klargjøre og rulle ut Linux-baserte virtuelle skrivebord med nødvendig «brokering» basert på xrdp protokollen som er en åpen kildekode «Remote Desktop Protocol» (RDP) for Linux. Ulike og overlappende administrasjonsverktøy er ikke nødvendig ettersom Wyse vWorkspace støtter de mest utbredte hypervisorene ved at systemadministratorer kan håndtere Microsoft® System Center Virtual Machine Manager (SCVMM), VMware vSphere og Parallels® Virtuozzo virtuelle instanser direkte i administrasjonsgrensesnittet.

Lyst til å vite mer? Kontakt meg på erik_tessem@dell.com

 

Sikre pasientdata

Pasientopplysninger på avveie

Mengden sensitiv informasjon i helsesektorens journalsystemer er enorm. Grunnen er naturligvis at helsepersonell behøver tilgang til en lang rekke opplysninger om pasienter for å tilby trygg og riktig behandling. Utfordringene kommer når ulike regler og retningslinjer skal møtes på en fullgod måte for å beskytte data på tvers av miljø og nettverk mot urettmessig tilegnelse av tredjeparter.

Sikkerhet i helsesektoren er avgjørende for å ivareta pasientens personvern og pasientsikkerhet. Pasienter flyttes nå i større grad mellom de ulike virksomhetene/regionen. Dette øker behovet for mer samhandling og utveksling av helseopplysninger. Samtidig som pasientsikkerheten skal ivaretas må man ivareta personvernet, da brudd på pasienters personvern kan resultere i tapt tillit og frykt for at opplysninger skal bli misbrukt eller tapt.

Alle kan se alt

Dagens tilgangskontroll i helsevesenet er ikke tilstrekkelig og helsepersonell kan se pasientopplysningene også hos de man ikke behandler. Dette er et alvorlig problem. Jeg hører stadig noen si at dersom vi kunne starte på nytt, så skulle alt vært så annerledes. Denne luksusen er det ingen som har, men vi har erfaringer, både gode og dårlige, om hva som virker og ikke. Det viktige er å se framover og ikke drømme om en sikkerhetsmessig utopisk tilværelse. Personopplysninger er hard valuta i cyberspace, og man skal ha sovet lenge i timen for å ikke ha fått med seg de utallige hendelsene der helsepersonell har snoket, eller at personopplysninger har lekket ut.

Felles praksis

Det er på tide å etablere en felles praksis, i form av prosesser, metode og teknologi for tilgangskontroll mellom helseforetakene. Dette skal ivareta både pasientsikkerheten og personvernet, samtidig som helsepersonell sikres tilgang til informasjon og journaler de behøver for for å yte helsehjelp.

Med tilgangskontroll menes metoder for å tildele, endre, slette og føre kontroll med autorisasjon for tilgang til livsviktige IT-ressurser. Dette for å opprettholde konfidensialitet, integritet og tilgjengelighet til informasjon. Riktig tilgangskontroll vil kontrollere at informasjon ikke kommer på avveie, reduserer risiko for misligheter, færre muligheter for misbruk av informasjon og systemer, og mindre risiko for svekket omdømme og tillit. Pasientene må ha tillit til, og vil kreve, at behandlende helsearbeider har tilgang til all relevant informasjon og kan gi den aller beste behandling. God tilgangsstyring er nøkkelen til aksept, uten vil mulighetene for snoking være stor.

Tap av sensitiv informasjon og personopplysninger er gjerne en stor belastning. Dine personopplysninger går ikke av mote, og hvem vet hva som skjer når du som pasient kommer ut av behandlende institusjon og skal på rekreasjon til eller fra et egnet reisemål. Er du trygg på at dine personopplysninger ikke har blitt auksjonert bort på nett?

Oppdatert nettbrett

Folk og virksomheter skal ikke komme til oss kun for å oppgradere PC-en, nettbrettet eller programvare. De skal komme til oss for bistand til å øke effektivitet og produktiviteten, løse problemer og forbedre resultater. Under er noen nyheter som tar oss enda et skritt i den retningen.

Dell Venue 11 Pro

Oppdateringene i Dell Venue 11 Pro 7000 Series er for folk på farten og gir sikker tilgang til innhold utover virksomhetens brannmur. Dette er oppdateringer i den nye versjonen:

  • 15 prosent tynnere, samt vifteløs avkjøling som gir en støyfri brukeropplevelse
  • Økt batterilevetid
  • To valgfrie mobile tastaturer
  • Ny Intel Core M-prosessorserie
  • Vidvinkel med 1920 x 1080 FHD IPS og 10.8-tommers skjerm
  • Dockingstasjon for skjerm, tastatur og mus
  • Skreddersydde løsninger for spesialister innen blant annet helse, detaljhandel og annen kundevennlig virksomhet

Nettbrettet kan konfigureres med tilleggsfunksjonalitet for sikkerhet, som tofaktor-autentisering med integrert smartkort- og fingeravtrykksleser, samt Dell Data Protection-porteføljen for klientsikkerhet. Det gjør Venue 11 Pro til det sikreste og enklest administrerbare Windows-brettet i bransjen.

Dell Software Suite

Vår klientprogramvareporteføljen Dell Software Suite fungerer sømløst i heterogene miljø og leverer sikkerhet og administrasjon. Programvarepakken adresserer kritiske endepunkt og utfordringer tilknyttet mobilitet ved å tilby følgende funksjoner:

  • Effektiv administrasjon av Windows-enheter med mulighet til å styre systemets maskinvare og programvare, gjøre BIOS og driveroppdateringer, og se garantiinformasjon med Dell KACE K1000 Express
  • Tilrettelegge for mobil produktivitet og samtidig beskytte virksomheter fra trusler ved å håndheve adgangskontroll
  • Beskytte sluttbrukere mot skadelig programvare
  • Sørge for en sikkert, administrert miljø for data og applikasjoner på Android-baserte nettbrett med Dell Mobile Management

I tillegg utvides administrasjonsmulighetene med nye Dell Command Tools. Verktøyet integreres i kundens eksisterende SCCM eller KACE systemadministrasjonsløsninger og forenkler deling, forsterker overvåking og effektiviserer oppdateringer.

«Smart desk»

Med produkter og konsepter utfordrer vi den tradisjonelle måten mennesker samhandler med teknologi på. Det nye konseptuelle “smart desk”-arbeidsområdet er en forlengelse av vår skjermteknologi og tar i bruk multi-touch LCD-skjermer som et interaktivt verktøy.

Priser og tilgjengelighet

  • Dell UltraSharp 27 Monitor (UP2715K) vil være tilgjengelig over hele verden fra 18. desember. Norsk pris er ikke bekreftet, men vil ligge på rundt kroner 15 000
  • Dell Venue 11 Pro 7000-serien vil være tilgjengelig rundt midten av november på Dell.com i USA til en startpris på kroner 5695

 

Det finnes mer informasjon i den engelske pressemeldingen her.

Interessert i å høre mer om disse nyhetene? Kontakt lasse_kaasa@dell.com

De privilegerte er mest utsatt

Trusselbildet i Norge er økende og alle typer virksomheter bør være mer på vakt. Vi er et rikt land med penger til å betale for bot og bedringer. Dette gjør oss til særlige mål, og man kan akkurat nå være utsatt for spionasje, utpressing, lekkasjer eller rett og slett sabotasjeplaner. Flere og flere virus og andre ondsinnede programmer låser ned datafangst med kryptografi og krever løsepenger for at man skal få sine data tilbake.  Samtidig skal man ikke glemme de interne risikoene. Nasjonal sikkerhetsmyndighet (NSM) sier at for å øke sikkerheten bør det ikke gis administrator-rettigheter til sluttbrukere, men overlate slike privilegier til de som «kan det».

Trygge brukere?

Hvorfor er det slik at «de som kan det» alltid skal gå under radaren? «De som kan det» er jo folk som jobber i/for it-avdelingen og har kunnskap om hvordan systemer er og skal virke. Er man automatisk en trygg person fordi man har fått tildelt en rettighet i et fagsystem eller applikasjon? En privilegert bruker er ofte en anonym bruker. De kan utføre alle endringer siden de har den magiske nøkkelen som kan gjøre alt på de fleste systemer. Man ser jo heller ikke hva som utføres siden det sjelden logges hva de som har høyest tilgang driver med, og de kan jo uansett slette en logg eller spor etter seg dersom de skulle finne på å gjøre noe dumt. Administratorer er like menneskelige som oss andre. De glemmer like fort og de må jo huske ikke bare sine egne passord, men også til alle systemer de administrerer. De deler ofte sine privilegier med andre og kan ha flere tilganger enn nødvendig.

Varig holdbarhet

Mange domener har «password never expire»-flagget satt. Man tør ikke bytte disse passordene da man ikke kjenner til hvem som benytter de ulike kontoene i Active Directory eller katalogene. Har leder eller eier av fagsystemer/styringssystemer i din virksomhet full oversikt over hvem som har tilgang? Ofte kan man være i en situasjon der innleide konsulenter, utviklere eller leverandører sitter på kritiske tilganger, gjerne i produksjon for å «teste best».

Hvis det skjer en hendelse kan dere se tilbake på hvem som utførte hvilke kommandoer på de ulike systemene? Hvor mange administratorkontoer finnes det? Forbausende mange tror at de har kontroll.

Hva er kritisk for deg?

Det kan være styringssystemer til viktige funksjoner. Det kan være kildekoden til den neste appen dere er i ferd med å lansere. Det kan være så enkelt som økonomisystemet, eller dørtilgangsapplikasjonen.

Det første en hacker ønsker når han/hun er inne i nettverket er å oppgradere sin tilgang. De er på jakt etter en priviligert konto eller en spesiell tilgang som kan gi ytterlige tilganger. For å beskytte seg best mulig bør man vite når passordet på root eller administratorkontoen sist ble endret og hvem som kjenner til det nåværende passordet. Er passord for komplekse kan man nesten si med en gang at det er noen som har skrevet dette ned et sted eller to. Løsningen er å:

  1. Ta en verdivurdering av dine viktigste systemer og la disse være gjenstand for ekstra kontroll
  2. Innfør gode passordrutiner og lær ansatte god passordkultur
  3. Ta de viktigste passordene ut av spill og innfør «sjekk ut/inn»-rutiner for uthenting av disse. Man trenger ikke kjenne til alle passordene, kun de nødvendig for å løse aktuelle arbeidsoppgaver
  4. Monitorer de priviligerte. Spor endringer ved å automatisk spille inn definerte hendelser

Vil du vite mer eller ønsker en uforpliktende gjennomgang om hvordan løse disse utfordringene? Kontakt meg på Lars.Tiben@software.dell.com

Dette innlegget ble først publisert i Computerworld 31.10.2014

Tid for Active Directory, Del 1: Tilgjengelighet

AD er blant de viktigste tjenestene i en it-infrastruktur. Samtidig ofte også blant de mest neglisjerte, selv om stadig flere blir flinkere til å pleie sitt AD. Dette skyldes blant annet at bruk av skytjenester   vokser og dette krever som kjent en helt annen kontroll på det interne brukermiljøet for å oppnå tilstrekkelig sikkerhet. Det første brukerne møter på starten av arbeidsøkten er en AD-pålogging. Får ikke vedkommende logget inn, eller mangler autorisasjon til applikasjonene sine blir produktiviteten sterkt nedsatt.

Proaktiv eller reaktiv feilretting?

AD består av mange ulike mekanismer avhengige av hverandre som directory replikering, SYSVOL replikering, DNS, og tidssynkronisering. Kerberos-protokollen som autentiserer brukere og maskiner er sensitiv til tidsforskjeller. Replikeres ikke directory eller SYSVOL til en eller flere domenekontrollere eller sites kan man få mystiske problemer med tilganger, passord eller applikasjoner relatert til GPO innstillinger, som kan være komplisert å feilsøke på. Denne type feil kan gjemme seg i lang tid uten at man opplever direkte nedetid. Det arter seg ofte som ytelsesproblemer i applikasjonene, som man lever med uten å vite at man faktisk har AD-problemer. For å løse dette kan man benytte konsulenter for en helsesjekk, eller etablere gjennomprøvde løsninger for overvåkning og automatiske helsesjekker som kjøres jevnlig for å være proaktiv og ha kontroll selv i eget hus.

Katastrofegjenoppretting

De fleste vi diskuterer AD-modernisering med tar systemvide sikkerhetskopier av en eller flere domenekontrollere. Sikkerhetskopieringen er  i seg selv er enkelt å få til. Utfordringen er gjenoppretting når noe går veldig galt. Microsoft forenklet gjenoppretting av slettede objekter fra og med Windows 2008R2, med recycle bin. Dette krever imidlertid at hele AD forest/domenet er oppgradert og at dette aktiveres spesielt (merk at dette kun gjenoppretter slettede objekter, ikke endrede objekter). En annen utfordring er at kombinasjoner av domenemodeller, versjoner av Active Directory, Windows etc. krever ulike gjenopprettingsprosesser avhengig av hva slags objekter man ønsker å hente tilbake. Dette er ikke lett å forholde seg til i stressede situasjoner og ofte må man hente inn eksterne eksperter som ikke nødvendigvis er tilgjengelig på kort varsel.Vi har snakket med kunder som har hatt driftsforstyrrelser i flere dager på grunn av uhell med IDM, løsning, skript, eller rett og slett feil begått av en sliten AD-ansvarlig med Powershell. Selv de beste gjør feil.

Hele nøkkelen her er å ha en recovery løsning som støtter alle relevante AD versjoner og scenarioer. Dermed kan man raskt sammenligne backup med produksjons-AD og bestemme eksakt hva man behøver å gjenopprette. Tar man for mye, for eksempel en hel OU struktur, kan man introdusere større problemer enn man i utgangspunktet hadde, noe som er kjedelig dersom man kunne klart seg med å kun skrive tilbake eksempelvis SMTP-adresser kun for de berørte brukerne. Merk at det er tiden en slik recovery tar fra faktisk å finne ut hva som bør / må restores til at dette er restoret og replikert til alle domenekontrollere som er den største utfordringen. Å kunne forenkle prosedyren og redusere tiden betraktelig er av stor verdi for en såpass kritisk tjeneste som Active Directory.

Full korrupsjon av AD!

Det verst tenkelige scenarioet er korrupsjon. Det er dessverre kunder som har opplevd at AD har blitt korrupt på en slik måte at Microsoft support ikke har noen annen mulighet enn å anbefale en Forest Recovery prosedyre. Dette er en komplisert og tidkrevende jobb som få i Norge har erfaring med eller har kompetanse til. Microsoft har dokumentert stegene i prosessen og noen har brukt dette til å teste dette i en lab som speiler produksjon for å se hvor lang tid dette vil ta i eget miljø. Vi har større kunder som har rapportert at de brukte en uke på å få sitt miljø tilbake i full produksjon. I mindre miljøer med enklere struktur og færre domenekontrollere går dette selvfølgelig raskere, men tenk på at i disse situasjonene er ofte hele eller store deler av virksomheten ute av spill fordi brukerne ikke får tilganger. Derfor må man vite hvor lang tid en slik prosess tar i sitt eget miljø og så vite hvordan redusere denne tiden. Hver time koster enorme summer fordi det er så mange applikasjoner som er avhengig av AD for å fungere. Ved å automatisere Forest Recovery er det ikke uvanlig å halvere tiden det tar å få opp AD igjen.

Dette var en introduksjon til hvordan vi adresserer AD tilgjengelighet som del av et moderniseringsprogram. I neste innlegg skal vi se nærmere på hvordan vi kan sikre kvalitet på innholdet og modernisere/forenkle administrasjon.

Ønsker du en AD-dialog i mellomtiden er du velkommen til å kontakte meg på Geir.Aasen@software.dell.com

Kun for de privilegerte

Mange virksomheter har ansatte som it-messig får lov til mye mer enn alle andre. Oftest dreier dette seg om administrator, men det kan også gjelde ansatte som har stor tillitt og mye teknisk kompetanse, eller som behøver særlige tilganger for å løse sine arbeidsoppgaver. Det å tildele sensitive tjenester til eksterne brukere som innleide spesialister er også et behov de fleste it-avdelinger har møtt.

Privileged programvare for passord og sesjoner gir virksomheten unik kontroll og beskyttelse for superbrukere og evne til å trygt levere tjenester til tredjeparts brukere i nettverket. I mange tilfeller kan dette være for å gi tilganger til de mest sensitive systemene uansett tid og sted, samtidig som man er sikre på at regler og retningslinjer er overholdt gjennom detaljert logging.

Med passordløsningen får man hyppige engangs autentiseringskoder levert fra sikre enheter i datasenteret. Med løsningen for sesjoner kan man tilby tids- og områdebegrenset tilgang til virksomhetens it-tjenester til utenforstående.

Kryptering

Løsningen fungerer ved at superbrukerne og de med utvidete rettigheter får et ekstra sikkert grensesnitt som de jobber mot, gjerne fra alle typer enheter. Dermed får it-avdelingen full kontroll over alle sesjoner, hvordan programmer brukes og en smidig løsning for passord.

Løsningen integreres lett mot it-miljøet, herunder AD og LDAP, og to-faktors autentisering gjennom Defender eller andre tredjeparts autentiseringsløsninger. Løsningene kan skalere helt opp til 250 000 brukere. AES 256 kryptering beskytter alle lagrede passord og BitLocker™ Drive Encryption beskytter diskene.
Flere av Skandinavias største, deriblant norske, virksomheter akkurat investert i løsningen. Detaljer kan naturligvis ikke avsløres av sikkerhetshensyn, men de var klare på at dette var løsningen som best gjorde dem i stand til å ivareta at deres mest betrodde ansatte ble sikret, men ikke hindret.

Ønsker du å vite mer om våre programvareløsninger generelt, eller identitetshåndtering og tilgangsstyring spesielt? Send meg en mail så skal jeg sette deg i kontakt med rette vedkommende hos oss eller blant våre partnere.

Dell og Microsoft Cloud event 23 April

Her har dere en unik mulighet til å høre om hvorfor Dell er et utmerket valg å kjøre Microsoft Cloud OS på.

Microsoft og Dell inviterer deg til å høre mer om: Microsoft Cloud OS på en Dell plattform Onsdag den. 23. april. Bli oppdatert på siste nytt fra Microsoft og Dell for neste generasjon datasenterløsninger.

 – Hva er Microsoft Cloud OS
 – Hvilke muligheter gir teknologien og hvordan kan det påvirke min virksomhet
 – Dell infrastrukturløsninger for Cloud OS i det moderne datasenter
 – Demo av Microsoft Cloud OS på Dell infrastruktur plattform

 

Meld dere på her: