Security Professionals - ipfw add deny all from eindgebruikers to any

user policy security aanpassen

22-02-2013, 15:08 door Frank38, 10 reacties
Wij willen onze user policies tegen het licht houden en eventueel aan passen. Dit voornamelijk voor de security aan te scherpen.

Als eerste gaan we ons password beleid aanpassen maar daarnaast zit ik te denken aan password enabled screensavers en lock down screen na 10 minuten. Zijn er nog meer dingen die we zo in kunnen stellen om e.e.a. nog veiliger te krijgen?

alvast bedankt
Frank
Reacties (10)
22-02-2013, 15:36 door Anoniem
AppLocker (of in oudere versies: Software Restriction Policy)
Daarmee kun je 99% van alle trojans buiten de deur houden als je systeem verder goed is ingericht.
22-02-2013, 16:00 door Anoniem
Wat je beschrijft is geen policy maar low-level systeeminstellingen, hoogstwaarschijnlijk gedreven door de IT afdeling in plaats van het hogere management, zoals bij policies het geval is. voordat je dit soort dingen gaat doen zou ik eerst met de betreffende managers gaan praten of hier ueberhaupt wel draagvlak voor is, anders kunnen de instellingen na invoering direct weer teruggedraaid worden. Dat vereist eerder een lesje security beleid. Maar goed, los daarvan:

- Vermijd local administrator rechten (of breder: inzet van least privilege)
- Blokkeer tijdig de accounts van de users die uit dienst zijn. Hoe ga je dat inrichten?
- Richt de omgang met service accounts en functionele accounts (waar meerdere mensen mee inloggen) in
- Stel de acceptable use policies voor IT gebruik (zoals internetverkeer) op
- Stel een user awareness plan op en voer het uit
- Zorg voor periodieke controles van clean desk
- Denk na over session timeouts
- Voer een proces in voor aanvragen, toekennen em intrekken van rechten
- Zorg voor een veilige omgang van zeer gevioelige gegevens (of worden die niet meegenomen en in plaintext vorm gemaild?)
- Zorg voor hardening van de werkplek (zie iedere willekeurige recommended practice van de werkplek OS leverancier - hoogstwaarschijnlijk Microsoft)
- ...
22-02-2013, 16:25 door Anoniem
Is dit om vinkjes te zetten bij een audit lijst, of heb je goede indicatie dat dit in jouw organisatie een echte verbetering geeft ?

Cq dat wat je nu aan problemen hebt verbetert door deze wijziging ?

Als je password policy niet totaal bagger is, is geneuzel als verplicht 12 karakters en 30 dagen (waar het misschien 8 en 90 dagen was) m.i. vooral irritant en absoluut niet het grootste risico of probleem wat je oplost.

Het is natuurlijk wel iets wat simpel is om te doen, en zichtbaar.
Ik hoop dat je doel is om security echt te verbeteren, en niet alleen om je management te laten zien dat je "iets" doet.
22-02-2013, 16:57 door Frank38
Door Anoniem: Het is natuurlijk wel iets wat simpel is om te doen, en zichtbaar.
Ik hoop dat je doel is om security echt te verbeteren, en niet alleen om je management te laten zien dat je "iets" doet.

Het is wel degelijk om iets te verbeteren. Ik hoef niets aan het management te laten zien maar het is wel de laatste jaren niet meer bijgewerkt/aangepast/verouderd.

Het voorbeeld zoals je aangaf, het wachtwoordbeleid, dat is inderdaad bagger. Hier kunnen we echt niet mee doorgaan.

Waarom dat ik deze vraag stelde is dat het wachtwoordbeleid niet het enige is wat de security verhoogd maar er zullen vast veel meer policysettings. Heeft iemand dit ook bij zijn eigen organisatie aangepast en welke policysettings waren dat dan?

o ja, ik heb genoeg draagvlak om dit uit te voeren!!
22-02-2013, 17:51 door Erik van Straten
Door Frank36: o ja, ik heb genoeg draagvlak om dit uit te voeren!!
Tip: bespreek de geplande maatrelegen, voordat je ze invoert, ook met de OR (of, bij een bedrijf zonder OR, met de personeelsvertegenwoordiging). En beschrijf de maatregelen en doelen in een document dat voor iedereen te vinden is, bijv. op de intranetsite (als jullie die hebben).

Dat kun je combineren met een AUP (Acceptible Use Policy of gedragscode, zie bijv. https://www.security.nl/artikel/45293/1/Op_61%25_bedrijfsnetwerken_draait_P2P-software.html). Google bijv.naar gedragscode internet medewerkers voor voorbeelden.

Stuur de huidige medewerkers een mailtje (of vraag HRM dat te doen) met een link daarnaar en zorg dat nieuwe medewerkers de link in hun aanstellingsbrief o.i.d. krijgen.
22-02-2013, 23:47 door fvandillen
Hoi Frank,

Als je wilt dan ben ik best bereid eens het een en ander door te lopen met je. Ik ben er e-mail bereikbaar via info AT florianvandillen PUNT nl.

Groet,
Florian
18-04-2013, 16:42 door Frank38
vandaag een eerste opzet gemaakt voor een plan de security hier aan te scherpen.
eerst me natuurlijk ingelezen en met collega's overlegt

de volgende punten zijn nu beschreven:
- wachtwoordbeleid (password history, max password age, min password age, min password length, complex) etc
- vpn/sharepoint/apn beveiliging
- plan voor invoeren van een NAP
- plan voor invoeren interne firewall en client firewall
- beleid administrator-accounts

dit is een eerste opzet en zal nog uitgebreid worden.
wat hier nog een puntje is, is hoe we om moeten gaan met cloud diensten. Wat moeten we accepteren of wat moeten we weigeren en is er een goede dropboxvariant die wel veilig is.

Hoe gaan jullie met bovenstaande puntje om?
verder zijn aanvullingen altijd welkom

thanx,
Frank
18-04-2013, 17:39 door [Account Verwijderd]
[Verwijderd]
18-04-2013, 18:41 door [Account Verwijderd]
[Verwijderd]
18-04-2013, 19:35 door Anoniem
Lees je eens in, zou ik zeggen. Snappen wat policies zijn en hoe er mee om te gaan is wel een redelijke basisvaardigheid voor degenen die policies maken. Een goed leerboek systeembeheer heeft er een hoofdstuk (wat zeg ik, een hele afdeling hoofdstukken) over.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.