image

Microsoft-architect geeft 10 gekke security tips

dinsdag 10 juli 2012, 14:01 door Redactie, 16 reacties

Volgens Microsoft security architect Roger Grimes is het dreigingslandschap continu in ontwikkeling en is het daarom belangrijk 'out-of-the-box' te denken. Grimes verzamelde tien 'gekke' security tips die vaak genegeerd worden, maar wel degelijk effectief zijn. Met name bij bedrijven zouden de tips hun waarde hebben bewezen. "Ze zien de resultaten en weten dat deze methodes werken, en ze werken prima."

  1. Hernoem het administrator-account
  2. Verwijder overbodige administrator-accounts
  3. Gebruik honeypots
  4. Gebruik geen standaard poorten
  5. Installeer niet in standaard directories
  6. Gebruik tarpits
  7. Analyseer het netwerkverkeer
  8. Schakel een met wachtwoord beveiligde screensaver in
  9. Schakel web browsen vanaf servers uit
  10. Hou tijdens de ontwikkeling rekening met security
Reacties (16)
10-07-2012, 14:18 door Earl Grey
Euh....? Wat is hier precies gek aan? De meeste zijn toch gewoon doodnormale tips?
10-07-2012, 14:24 door Anoniem
Volgens mij is dit allemaal common sense hoor. Hiermee wordt bij ons standaard rekening gehouden bij projecten of gewoon het reguliere werk. Interessant voor mensen die nieuw zijn in de security maar ik verwacht dat een beetje informatiebeveiliger dit soort dingen toch allemaal wel weet.
10-07-2012, 14:32 door Anoniem
Inderdaad niet bepaald de gekste dingen en allemaal vrij standaard.

misschien was het meer ironisch bedoelt om aan te tonen dat mensen dit soort dingen nog steeds niet implementeren omdat "ze het toch wel beter hebben geregeld" ?
10-07-2012, 14:38 door Anoniem
... volgens Microsoft is het ook common policy om je lockoutpolicy van je password te verhogen van 3 of 5 ... naar 50 invalid attempts omdat de grote hoeveelheid mobiele devices hier anders te veel last van hebben.
10-07-2012, 14:53 door Anoniem
Door Redactie: ]Grimes verzamelde tien 'gekke' security tips die vaak genegeerd worden, maar wel degelijk effectief zijn. ]

Er staat dus echt dat het 10 tips zijn die vaak genegeerd worden. Deze tips kunnen common sense zijn of niet, ze worden dus blijkbaar vaak vergeten.
10-07-2012, 14:57 door WhizzMan
1,4 en 5 vertragen een aanvaller die echt naar binnen wil alleen maar een heel klein beetje. Daar staat tegenover dat de kans dat je daardoor fouten maakt in dagelijkse beheerwerkzaamheden groter wordt. Ik zou die drie dus niet direct aanbevelen. Tip 10 is een basisprincipe waar de andere negen eigenlijk allemaal onder vallen.
10-07-2012, 15:03 door Anoniem
Hernoem het administrator-account
'root' hernoemen is mogelijk (vriend heeft die ooit eens naar 'wortel' hernoemd), maar vrij lastig. Ook vrij vervelend als Highly Paid Consultant drie uur aan het kloten is om alleen maar op je systeen in te loggen. Ik weet niet hoe windows administrator accounts verder werken dus kan ik niet veel over zeggen
Gebruik honeypots
ja, handig. Vergeet er wel bij te zeggen dat je daadwerkelijk moet snappen wat security is om die te kunnen gebruiken anders heb je een compromised systeem vlak naast je productiesysteem staan, in hetzelfde netwerk (welk je natuurlijk gewoon vertrouwd en niet op filtert qua ip traffic); even los van dat het niet mag.
Gebruik geen standaard poorten
en highly paid consultant is weer drie uur bezig de juiste poort te vinden
Installeer niet in standaard directories
en highly paid consultant is weer drie uur bezig de juiste directory te vinden
Gebruik tarpits
en iedereen zeurt dat het allemaal traag is
Analyseer het netwerkverkeer
99% van het verkeer is "internetverkeer". veel verder komt 99% van de mensen niet
Schakel een met wachtwoord beveiligde screensaver in
ik zie niet wat hier raar aan is. 't is vervelend als je aan het rijden bent en je je screen wil unlocken
Schakel web browsen vanaf servers uit
updates gaan via http. geen updates dan maar?
Hou tijdens de ontwikkeling rekening met security
10-07-2012, 15:44 door Anoniem
Het lijken mij inderdaad rare adviezen. Het is toch Microsoft zelf die standaar poorten met een nummer onder de 1056 gebruikt, die kwetsbaar zijn voor aanvallen? Het is toch Microsoft zelf die over heel de wereld in alle versies van Windows dezelfde standaard directories hanteert? En hoe gebruik ik een "honeypot"? Hoe analyseer ik mijn netverkeer?

Het lijkt er meer op dat Microsoft zijn verantwoordelijkheid voor een super onveilig systeem ontloopt door de schuld te geven aan de gebruikers.

Erik
10-07-2012, 16:48 door Anoniem
Is dit alleen voor MS "Out-of-the-box-thinking" ??? Zegt genoeg...

En dan, +1 voor WhizzMan, my 1st thoughts exactly!
10-07-2012, 18:58 door Anoniem
Hoe begin ik eraan? o_O Tijd om een automatiseer tool te ontwikkelen security.nl?
10-07-2012, 21:08 door Anoniem
1,4 en 5 vertragen een aanvaller die echt naar binnen wil alleen maar een heel klein beetje. Daar staat tegenover dat de kans dat je daardoor fouten maakt in dagelijkse beheerwerkzaamheden groter wordt. Ik zou die drie dus niet direct aanbevelen.

1. In een managed omgeving hebben beheerders 2 gepersonaliseerde accounts. Het default 'Administrator' account wordt per definitie via GPO of handmatig (GPO is makkelijker) hernoemd en het wachtwoord ligt in een kluis. Account is eigenlijk nooit meer nodig. beheerders doen hun dagelijkse werk ook via een 'normaal' user account en kunnen basis taken via deligation of control worden toebedeeld op dat account wanneer nodig. 99% van de dagelijkse werkzaamheden kunnen op deze wijze worden afgehandeld. Het tweede beheerder account heeft vaak meerdere rechten en soms is deze 'Enterprise Administrator' in een Forest of gewoon simpel 'Domain Admin'. Op deze wijze is ook makkelijk te achterhalen met welk account bepaalde changes zijn doorgevoerd en bij wie dat hoort. Daarnaast staan bepaalde ISO normeringen het gebruik van 'generieke' (admin) accounts niet toe. Dus net zoals het default guest account, RENAMEN.

4. Standaard poorten ontkom je meestal niet aan, maar dat zegt niets over een extra security laag inbouwen. Waarom moeten SOAP-diensten bijvoorbeeld altijd op poort 80 of poort 443? En waarom niet gewoon een andere poort? Security begint al bij het globaal design, maar security hoort integraal deel uit te maken van iedere dienst die je implementeerd binnen een organisatie. Is het eenvoudig om van standaard poorten af te wijken zonder functioneel verlies, dan gewoon doen.

5. Waarom zou je niet in standaard directories installereen. Houd op een server je C: (boot+os) minimaal en installeer alles op de D: bijvoorbeeld en verplaats je swap ook naar D: of zelfs op een andere disk. Voordelen van applicaties op een andere drive zetten is dat je bij een herinstallatie van een server je je geen zorgen hoeft te maken waar het stond en kan je de C: disk zonder probleem opnieuw indelen.

Wanneer je dus naar het basale lijstje kijkt dan kan je zeggen:
1. Hernoem het administrator-account = EEN MUST DO
2. Verwijder overbodige administrator-accounts = NIET DOEN, DISABLEN en WACHTWOORD WIJZIGEN, WEG IS WEG
3. Gebruik honeypots = LEUK MAAR NIET VOOR IEDEREEN
4. Gebruik geen standaard poorten = PAS SELECTIEF TOE
5. Installeer niet in standaard directories = OP SERVERS JA, OP WERKSTATIONS SOMS
6. Gebruik tarpits = OP MAIL JA (SMTP RELAY) maar VERDER NIET
7. Analyseer het netwerkverkeer = OP FIREWALL's maar verder alleen bij ONTWIKKELING en DIAGNOSE
8. Schakel een met wachtwoord beveiligde screensaver in = JA ICM HANDMATGE LOCK, verplicht gebruikers op straffe van ontslag om scherm te locken bij weglopen werkplek. Screensaver met time-out is gevaarlijk omdat er tussen timeout en lock onbewaakt toegang is.
9. Schakel web browsen vanaf servers uit = JA
10. Hou tijdens de ontwikkeling rekening met security = JA bij alle ontwikkelingen.
10-07-2012, 22:06 door Anoniem
admin account hernoemen.......admin SID eindigd altijd op 500
10-07-2012, 22:43 door Anoniem
Misschien een rare vraag, maar waarom de wachtwoord beveiligde screensaver? Zit er een bug of exploit in?
11-07-2012, 09:38 door Anoniem
Tip 11: Migreren naar Linux.
11-07-2012, 10:07 door Anoniem
@Anoniem 15:03

Dat je een highly paid concultant inhuurt om een en ander te doen lijkt me niet vreemd. Dat deze dan niet de juiste poorten, directories kan vinden vind ik eerder een probleem dan documenteren. Wanneer dit namelijk is gedaan kan de consultant dus snel verder met hetgeen waarvoor hij is ingehuurt.

@Anoniem 15:44

Volgens mij is het niet alleen Microsoft die standaarden hanteert. Het IANA heeft hier ook een rol in... Zie www.iana.org/assignments/port-numbers

Groet,
Jan-Willem
11-07-2012, 15:03 door RickDeckardt
wat dacht die MS man? Laten we eens "Gek" doen en aan security denken?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.