Welkom
over ons
Opleidingen
overzicht opleidingen
Projecten
overzicht projecten
Detacheren
expertise inhuren?
Contact
contact informatie

    Security Blog

    Microsoft Learning - Jeroen Spaander


    Welkom op het Security Blog

    De afgelopen tien jaar worden we regelmatig bestookt met meldingen en waarschuwingen in het nieuws met betrekking tot IT beveiligingsproblemen bij bedrijven of overheid. Die beveiligingsissues leveren verschillende risico's op waarover de meeste mensen weinig tot niets weten. Zowel in mijn priveleven als tijdens de werkzaamheden die ik als consultant voor grote bedrijven en overheidinstanties uitvoer, sta ik er van te kijken hoe weinig interesse er leeft omtrent de risico's die we lopen of de stappen die we dagelijks dienen te zetten om die risico's te beperken.

    Indien je als Technisch Specialist, Project Manager, Teamleider, Hoofd van een afdeling, Security Officer of hoger management, je verantwoordelijkheid voor de uitvoering, het verbeteren en de controle met betrekking tot het securitybeleid niet serieus oppakt, dan ben je in mijn ogen niet geschikt voor de rol of functie die je uitvoert. Wat mij verontrust en eerlijk gezegd mateloos irriteert is dat deze mening niet door iedereen gedeeld wordt. applocker

    Een sluitend securitybeleid waarbij zowel de veiligheid als de werkbaarheid optimaal is ingeregeld met een minimaal budget bestaat niet maar het hoort mij inziens bij je takenpakket (of je nu hoog of laag op de ladder staat) om je verantwoordelijkheid te pakken en ervoor te zorgen dat we de balans vinden tussen werkbaarheid, budget en beveiligingsbeleid. Helaas is die balans bij de meeste bedrijven of overheidsinstellingen ver te zoeken. Aangezien u de moeite neemt om dit Security Blog te lezen, ga ik er vanuit dat u de noodzaak om zowel uw besef als kennisniveau omtrent security op pijl te houden wel inziet. Er is nog hoop :)

    Indien u een artikel of onderwerp interessant vindt en er meer over te weten wilt komen, kunt u door op de titel van het artikel te klikken naar het hoofd blog over het desbetreffende onderwerp browsen. Daar heb ik alle informatie over het onderwerp geplaatst.

    Ik hoop dat u vindt wat u zocht of indien u niet op zoek was naar iets specifieks u de onderwerpen en de manier van weergeven toch de moeite waard vindt om te lezen.
    Mocht u een opmerking, vraag of bijdrage hebben die u wilt delen dan kunt u deze ons mailen:

    Security Blog Mail


    Indien de informatie overeenkwam met wat u zocht en u van mening bent dat wij die op een begrijpelijke wijze voor u beschikbaar gesteld hebben dan kunt u ons daarvoor belonen en andere mensen van dienst zijn door ons op facebook te liken of onze link via linkedin te delen.







     




    windows-8-user-account-control

    Windows 8 User Account Control

    Microsoft Learning - Jeroen Spaander


    Wat is UAC (User Account Control)?

    UAC geeft een systeem beheerder de mogelijkheid om zijn admin inloggegevens in te voeren (terwijl hij met zijn standaard gebruikers account ingelogged is) om administratieve taken uit te voeren zonder dat hij van account hoeft te wisselen, uit te loggen of de opdracht via de 'Run as' (andere gebruiker) mogelijkheid te gebruiken.

    Indien de gebruiker ingelogt is met admin credentials en hij wil een applicatie opstarten die instellingen voor "het hele systeem" wijzigt, dient hij eerst nogmaals admin inloggegevens in te voeren voordat die toepassingen mag draaien. UAC is een veiligheidsinstelling om misbruik (virussen en exploits) te voorkomen.

    Welke UAC instellingen kan ik configureren?



    In Windows Server 2012 is de UAC functionaliteit op de volgende punten verbeterd:

    • Een gebruiker met beheerdersrechten mag nu de UAC instellingen configureren in het configuratiescherm.
    • Er zijn aanvullende lokale beveiligings policies beschikbaar gesteld die een lokale beheerder in staat stellen om de UAC-berichten voor lokale bestuurders in Admin Approval Mode te wijzigen.
    • Er zijn aanvullende lokale beveiligings policies beschikbaar gesteld die een lokale beheerder in staat stellen om de UAC-berichten voor gebruikers te wijzigen.


    Welke security tools kan ik daarvoor gebruiken?


    UAC handmatig aanpassen windows-8-manual-uac-settings

    De UAC instellingen handmatig aanpassen doet u natuurlijk niet indien uw pc onderdeel uitmaakt van een Active Directory. Indien uw pc lid is van AD, dient u die instellingen centraal te configureren via de policies. In Vista, Windows 7 en Windows Server 2008 R2 was het mogelijk om in het Search (voormalig Run) invoerveld de letters UAC in te tikken en op enter te rammen. Via een schuifbalk kon u dan de UAC instellingen handmatig wijzigen. (daarna was een reboot nodig om de instellingen door te voeren)

    In Windows 8 kreeg ik dat niet voor elkaar maar ik kon nog wel (in de Customer Preview versie) via het Configuratie Scherm (Control Panel) de UAC instellingen handmatig aanpassen.

    DESKTOP - WINDOWS KNOP + I - CONTROL PANEL - USER ACCOUNTS AND FAMILY SAFETY - CHANGE USER ACCOUNT CONTROL SETTINGS


    secpol.msc

    windows-8-local-security-policy-uac-settings Secpol.msc is een Microsoft System Console waarmee u de Local Security Policies van het Systeem kunt aanpassen. Indien u via de Search optie (Windows-logotoets+Q) secpol.msc invoert en dan secpol.msc opstart krijgt u een overzicht van alle lokale systeem veiligheids opties. Deze kunt u tevens opslaan als een template (.inf - zie onderaan) om deze template vervolgens op een ander systeem weer te importeren zodat die instellingen in 1 keer doorgevoerd worden.

    Wederom zou u in een AD omgeving de Group Policies gebruiken om deze lokale systeem policies centraal te beheren. Security Policies worden in een AD omgeving standaard op een werkstation of server om de 90 minuten gerefreshed / overschreven (op een domain controler zelfs om de vijf minuten) door de Local Group Policy settings die u via de Group Policies (centraal) geconfigureerd heeft. Om even snel tijdelijk wijzigingen aan te brengen kunt u dus ook in een AD omgeving secpol gebruiken om iets uit te proberen op een enkele machine of server.

    Daarnaast kunt u bijvoorbeeld doormiddel van zo'n template (.inf) de security instellingen meegeven tijdens het uitrollen van een image via USB of DVD. Daarmee zorgt u ervoor dat na het uitrollen van een pc via een USB of DVD, die dus nog niet aan het netwerk gehangen heeft en dus ook niet de beveiligings instellingen via de Group Policies doorgevoerd gekregen heeft, de net uitgerolde pc toch beveiligd is met de instellingen die uw bedrijf voorschrijft.



    SECURITY SETTINGS - LOCAL POLICIES - SECURITY OPTIONS


    gpedit.msc windows-8-local-group-policy-security-uac-settings

    gpedit.msc is een Microsoft System Console waarmee u de Policies van een Systeem kunt aanpassen. Ondanks de GP die voor: Group Policy staat, start de Editor op als Lokale Group Policy editor waarmee u dan ook enkel de Lokale Group Policy instellingen kunt configuren voor het systeem waarop u ingelogt bent.

    Waar u met de secpol.msc (zie hierboven voor de uitleg) enkel de security instellingen kon configureren is de gpedit console veel uitgebreider en bevat alle instellingen die voor het systeem of de gebruiker te configureren zijn via de Group Policies (afgezien van de Group Policy Preferences die wel enkel via de centrale Group Policies te configureren zijn).

    Indien u met uw systeem aan een AD omgeving hangt dient u in negenennegentig procent van de gevallen de instellingen voor systeem en gebruiker via de centrale group policies te configureren. Dit dient u via de Group Policy Management Console (gpmc.msc) doormiddel van de Group Policy Management Editor uit te voeren. (zie uitleg hieronder)



    COMPUTER CONFIGURATION - WINDOWS SETTINGS - SECURITY SETTINGS - LOCAL POLICIES - SECURITY OPTIONS


    gpmc.msc

    windows-8-group-policy-security-uac-settings

    In een AD omgeving dient u de instellingen voor alle systemen zoveel mogelijk centraal te beheren. Daarmee zorgt u voor een generieke en uniforme omgeving en dat komt het beheren en troubleshooten van uw omgeving ten goede.

    Het centraal inregelen van die configuratie van uw gebruikers en systemen maakt natuurlijk onderdeel uit van uw beleid en staat niet op zichzelf.

    De instellingen van een Group Policy kunt u centraal bekijken of toewijzen aan specifieke containers (OU) met gebruikers of systemen (of AD groepen) via de Group Policy Management Console (gpmc.msc).

    Indien u met de rechtermuis knop op 1 van de policies in de Group Policy Management Console klikt krijgt u de mogelijkheid (Edit) om de desbetreffende policy aan te passen. Hiermee opent u de Group Policy Management Editor. (zie plaatje hiernaast) Op deze manier kunt u de UAC instellingen centraal toewijzen aan al uw systemen.



    COMPUTER CONFIGURATION - POLICIES - WINDOWS SETTINGS - SECURITY SETTINGS - LOCAL POLICIES - SECURITY OPTIONS





    security templates mmc windows-8-security-template-uac-settings

    Indien u de veiligheids instellingen van een specifiek systeem niet centraal wenst of kan beheren (bijvoorbeeld in een pilotomgeving voor een project waarbij de leverancier van een specifieke applicatie eerst de nieuwe applicatie zonder de group policy instellingen van het bedrijf ter goedkeuring aan wenst te bieden om aan te tonen dat de applicatie daadwerkelijk functioneerd) kunt u er voor kiezen om een template (.inf) te maken die handmatig of via secedit commandline opties doorgevoerd kunnen worden op het desbetreffende systeem.

    Tevens kunt u zo'n template ook meegeven aan een offline image die via USB of DVD uitgerold wordt (waardoor ze de centrale group policy security settings nog niet hebben ontvangen) waardoor het desbetreffende systeem al wel de juiste security settings heeft na de uitrol.

    Een Security Template maakt u door de Security Template snap-in te laden via de Microsoft Management Console (mmc.exe opstarten via Search - Taakbalk - File - Add / Remove Snap-in - Selecteer: Security Templates - OK - Rechter muisknop op C:\Users\... klikken - New Template selecteren)

    MMC - ADD SECURITY TEMPLATES SNAPIN - NEW TEMPLATE - LOCAL POLICIES - SECURITY OPTIONS


    overige UAC configuratie mogelijkheden (al raad ik u dat af)

    U kunt de UAC instellingen rechtstreeks via de registry configureren.

    Aangezien de UAC instellingen uit registry instellingen bestaan kunt u daarvoor elke scripttaal gebruiken zoals VBS of Powershell waarmee u de UAC registry instellingen kunt configureren op het systeem.


    Klik hier voor de UAC Tips and Tricks van Microsoft





     




    applocker

    Applocker

    Microsoft Learning - Jeroen Spaander


    Wat is Applocker:

    AppLocker helpt beheerders bepalen welke toepassingen en bestanden gebruikers kunnen uitvoeren zoals; uitvoerbare bestanden, scripts, Windows Installer-bestanden, DLL's, applicatie installatie bestanden (msi, mst, msp en app-x)en applicatie installer producten.
    AppLocker helpt administratieve overhead te voorkomen en draagt bij aan het verminderen van de IT beheerkosten door het verminderen van het aantal telefoontjes naar de helpdesk die het gevolg zijn van gebruikers die niet-goedgekeurde applicaties gebruiken.
    AppLocker kan bijdragen aan de beveiliging door het beperken van bestanden die door gebruikers of groepen uitgevoerd mogen worden en is ideaal voor organisaties die op dit moment Groepsbeleid gebruiken om hun Windows-computers te beheren.

    Hieronder heb ik een aantal scenario's weergegeven waarbij AppLocker gebruikt kan worden:

    • Een applicatie of bepaalde versie wordt niet langer ondersteund door uw organisatie en u dient ervoor te zorgen dat gebruikers die applicatie of versie niet meer mogen opstarten.
    • Het veiligheidsbeleid van uw organisatie schrijft voor dat software waarvoor een licentie benodigd is enkel door de daarvoor bevoegde gebruikers opgestart mag worden.
    • De kans dat ongewenste software door uw gebruikers of beheerders in uw omgeving ingevoerd wordt is hoog, en u dient deze dreiging te verminderen.
    • De licentie voor een applicatie is ingetrokken of is verlopen in uw organisatie, en u dient te voorkomen dat de applicatie gebruikt wordt.
    • Specifieke tools zijn niet toegestaan ​​binnen uw organisatie, of alleen bepaalde gebruikers dienen toegang te hebben tot deze tools.
    • Een enkele gebruiker of een kleine groep van gebruikers dient gebruik te kunnen maken van een specifieke applicatie die voor alle andere gebruikers niet toegankelijk mag zijn.
    • De computers in uw organisatie kunnen of worden door meerdere gebruikers gedeeld terwijl zij niet dezelfde applicaties (dienen te) gebruiken.
    • Aanvullend op andere maatregelen die u neemt ten behoeve van de beveiliging van gegevens, dient u de toegang tot die gegevens doormiddel van gebruik van een specifieke applicatie te beperken


     Feature / Functie   Windows Server 2008 R2 and Windows 7   Windows Server 2012 and Windows 8 

     Applocker bied ondersteuning voor Packaged Apps en Packaged App Installers.


     No

     Yes

     AppLocker wordt beheerd doormiddel van de Group Policies die enkel met Admin rechten gewijzigd kunnen worden.


     Yes

     Yes

     AppLocker bied de mogelijkheid om de gebruikers bij fouten door te verwijzen naar een Web pagina voor ondersteuning.


     Yes

     Yes

     Applocker bied de mogelijkheid om samen te werken met de Software Restriction Policies.


     Yes

     Yes

     AppLocker wordt ondersteund door PowerShell cmdlets om onderhoud en beheer te ondersteunen.


     Yes

     Yes

     AppLocker kan de volgende lijst met file formats beheren.


      .exe
      .com
      .ps1
      .bat
      .cmd
      .vbs
      .js
      .msi
      .msp
      .dll
      .ocx

      .exe
      .com
      .ps1
      .bat
      .cmd
      .vbs
      .js
      .msi
      .msp
      .mst
      .dll
      .ocx
      .appx







     



    Klik hier om Sinterklaas
    zichtbaar te maken!



    Security Camera Ship



    Vorig jaar rond deze tijd hoorde ik gestommel en gerommel op het dak en zo goedgelovig als ik was dacht ik Sinterklaas en Piet een vroeg welkom te heten. Vol verwachting zat ik naar onze (brandende) haard te kijken, mobieltje in de hand om aan de ene kant snel een foto te kunnen maken om daarna nog sneller 112 te kunnen bellen als Klaas zijn kont zou branden.

    Het geschuivel op het dak bleef aanhouden en zo hulpvaardig als ik ben ging ik onze zuiderburen even de weg wijzen. We wonen op een groot rood schip in de haven van Arnhem en het lag voor de hand dat die oude baas zich vergiste en het in zijn hoofd had gehaald om met onze boot huiswaarts te keren.

    Wat schetste mijn verbazing toen ik boven op het dek stond: zeker geen Klaas te zien en Piet ook bijna niet. Toen ik dichterbij kwam zag ik dat Piet er nogal Marokkaans uitzag en nu wil ik natuurlijk zeker niet dissen door te zeggen dat een Marokkaan geen Piet mag zijn maar mijn twijfel sloeg op dat moment toe. Piet die Piet niet was ging er opeens snel vandoor en bij mij ging toen het lampje branden. Volgens mij verdient die stoute Niet Piet de roe!

    We hebben vorig jaar de Goedheiligman en Pietervrienden uiteindelijk helemaal niet meer gezien. Dit jaar hebben we camera's op het dak geplaatst. Zijn jullie ook zo benieuwd hoe de Sint zijn paard over onze loopbrug dirigeert? Klik op de link helemaal rechts (boven de facebook link) en nu maar stilletjes afwachten... Lieve Sint en Piet, vergeten jullie ons dit jaar niet?

     



     
     
    © 2013   GET ON ICT    Voorwaarden
    Follow GET ON ICT on Twitter   Follow GET ON ICT on Twitter   Follow GET ON ICT on Facebook   Follow GET ON ICT on LinkedIn   Mail GET ON ICT
    026-3618779