Monthly Archives: January 2012

Varför betala för flera diskkrypteringsprodukter?

Posted on by

I de flesta bolag körs idag Windows 7 Ultimate/Enterprise och man har därmed redan betalat för BitLocker. Samtidigt levereras nästan alla nya laptops med ett säkerhetschip som standard. Varför investera i dyra tredjepartsprodukter med extra administration när man redan har en lösning som bara behöver slås på? I denna bloggpost kommer min kollega Christian Malm, som arbetar på Onevinn AB som säkerhetskonsult, att berätta närmare om BitLocker och dess möjligheter. Christian har utfört och granskat flertalet BitLocker implementationer på stora företag i Sverige.

BitLocker

Gränsen mellan företagsnätet och Internet är på väg bort när tekniker som DirectAccess(för ytterligare information om DirectAccess läs här) dyker upp. Var och varannan vecka kan vi läsa om dataläckage vilket visar hur viktigt det är att skydda informationen som finns inom företaget. Nya sätt att alltid förbli uppkopplad utvecklas hela tiden, vilket låter anställda hålla sig uppkopplade hela tiden. Detta leder till att anställda tar med sina klienter ut till nya miljöer såsom resan, kaféet och även till stranden en varm sommardag.

Vad skulle hända ditt företag om en dator innehållande känslig data är blir stulen?
Konsekvenserna skulle kunna vara ödesdigra.

Det är här BitLocker tar vid och hjälper till att skydda. Målet med BitLocker är att skydda klientdata men samtidigt erhåller man synergieffekter.
För att nämna några:
· Möjligheten att återställa lokalt administratörskonto begränsas genom att förhindra uppbootning från alternativt media
· Vid avveckling av klienter behöver inte data skrivas över upprepade gånger för att inte kunna återläsas
· BitLocker med TPM känner av att en förändring skett på klienten som skulle kunna innebära intrångsförsök för att få ut krypteringsnyckeln
· Centraliserad administration i det familjära gränssnittet Active Directory

BitLocker Drive Encryption är en teknik som låter hela systempartitionen krypteras. Tillsammans med ett säkerhetschip som kallas TPM(Trusted platform module) valideras tidiga uppstartsvariabler för att försäkra klientens integritet. Detta hjälper till att skydda företagsklienters data vid exempelvis stöld där man annars hade kunnat få ut känsliga dokument eller i värsta fall få tillgång till företagsnätverket.

Administration
Att administrera BitLocker sker centralt då man utnyttjar uppbackning till Active Directory. Integrationen av Active Directory erbjuder IT-supporten en central administration för att återställa data eller klienter. Vid en säkerhetsöverträdelse som är legitim till dess att användaren åter får tillgång till sin dator, brukar processen se ut enligt följande:

1. Användaren upprättar autentiserad kommunikation med IT-support/Help Desk och läser upp en åtta-siffrig sträng.
2. IT-support/Help Desk läser 48-siffrigt återställningslösenord. Detta består av åtta fält med sex siffror i varje fält. Varje fält har en kontrollsumma så att man snabbt upptäcker fel.
3. Användaren upprättar företagskommunikation. (VPN, DirectAccess, Besöker en site)
4. IT-support/Help Desk verifierar kärnorsaken till problemet och återställer sedan klienten så att den fungerar som innan.

För utökad administration och monitorering finns idag BitLocker Administration
and Monitoring (MBAM). MBAM är del av Desktop Optimization Pack (MDOP) för
ytterligare information, besök: http://www.microsoft.com/en-us/windows/enterprise/products-and-technologies/mdop/default.aspx.

Att jobba på en BitLocker-klient
Många är vi som har provat på att arbeta på en klient med hårddiskkryptering och de flesta brukar känna av begränsningar prestandamässigt. Med BitLocker Drive Encryption är prestandapåverkan minimal och kan uppmätas till endast några enstaka procent. Microsoft hävdar själva att prestandapåverkan kan representeras med ensiffrig procentenhet vid prestandautvärderingar. Under krypteringen finns inga krav på att datorn behöver vara påslagen tills krypteringen är klar, utan användaren kan fritt stänga av datorn när arbetsdagen är slut och det är dags för hemgång. Detta gäller även om ett strömavbrott skulle ske under krypteringen, krypteringen återupptas när klienten återfår ström.

BitLocker To Go
Utöver att kryptera sekundära diskar vilket BitLocker möjliggör, så brukar önskemålet om BitLocker To Go dyka upp. Onevinn implementera en möjlighet för användarna till att köra BitLocker To Go i samband med våra BitLocker leveranser. Detta innebär att användare har möjlighet till kryptering av USB-minnen samtidigt som all återställningsinformation backas upp till Active Directory. När en användare glömmer bort sitt lösenord till det krypterade USB-minnet brukar de bli väldigt tacksamma när IT kan hjälpa dem att återställa annars förlorad data.

Onevinn AB har lång erfarenhet av BitLocker och har gjort flera implementationer, designer och granskningar. Önskar ni ytterligare information kring BitLocker och vilka möjligheter det ger er verksamhet är ni välkomna att kontakta oss.

Vet du vad DirectAccess är?

Posted on by

Den senaste teknologin av fjärraccess från Microsoft heter DirectAccess och kallas för nästa generations VPN. DirectAccess är en nyhet i Windows 7 på klientsidan och på serversidan kan vi välja mellan Windows Server 2008 R2 feature och Forefront UAG för hantering av inkommande trafik. Vad som skiljer DirectAccess från ett traditionellt VPN är att klienterna kopplar upp sig automatiskt till företagets nätverk och får efter autentisering access till interna resurser. Med DirectAccess behöver alltså användarna inte göra några interaktiva operationer för att datorn ska etablera en anslutning till företaget. Det blir en helt transparent upplevelse, precis som om du satt på kontoret!

Nu är det faktiskt ett tag sedan DirectAccess kom till världen, och många av er har säkert redan hört talas om det, men samtidigt så är det inte speciellt många som har tagit steget till att fullt implementera lösningen…vilket jag dock kan förstå då där är en del att tänka till kring och en del strategier som man bör ta ställning till. Jag vill dock återigen säga , som jag sagt förut, och det är att implementationen inte behöver vara svår.
Allt som oftast så tycker jag mig höra en del skräck och oro från beslutsfattare och IT organsationer då man ska implementera nya teknologier. Jag anser att det sällan är den nya teknologin som sätter käppar i hjulet i ens verksamhet utan anser att det snarare är avsaknad av de mjuka värdena, exempelvis strategier och policysramverk, som leder till mindre lyckade implementationer. Nog om det för tillfället, vi kommer att återkomma till vad jag just pratade om i ”DirectAccess – Del 2” och då belysa vad som är viktigt att tänka till kring och vilka erfarenheter vi har med oss från våra implementationer.

Forefront UAG DirectAccess

Redan så tidigt som 2009 satte jag, Henrik Parkkinen, upp en PoC (Proof Of Concept) av DirectAccess och demonstrerade detta på Microsofts kommundag samma år. Demot jag körde var DirectAccess ihop med IPsec NAP (Network Access Protection). Det som gjorde vårt demo och vår implementation av DirectAccess unikt redan 2009 var att vi på Onevinn hade då utvecklat egna tester till NAP för att verifiera hälsostatusen på klienten.
Förutom att DirectAccess ger slutanvändarna en transparant fjärraccess lösning ger teknologin även stora möjligheter för IT organisationen, då dem bla kan fjärrstyra datorn utanför företagets nätverk, kontrollera och hantera uppdateringar till operativsystem, antivirus, mjukvaror etc.

DirectAccess medför samtidigt en del utmaningar utifrån ett säkerhetsperspektiv, både sett från ett tekniskt perspektiv och utifrån ett informationssäkerhetsperspektiv. En klient som har DirectAccess aktiverat kan initiera trafik varsomhelst ifrån i världen då datorn har en internetförbindelse, vilket i teorin kan illustreras som en förlängd nätverkskabel inifrån företaget ut till datorn. I praktiken och i teorin vore det väldigt oklokt att förlänga ethernetkabeln utanför företaget utan någon vidare kontroll eller medvetenhet kring säkerhetsriskerna. Vad jag menar på i det här fallet är att om en DirectAccess aktiverad dator skulle bli stulen finns där en hotbild och en del utmaningar som vi behöver vara medvetna om och kunna försvara oss mot.

Microsoft erbjuder flera teknologier som i de flesta fallen finns inkluderade i klientens eller serverns operativsystem för att öka säkerhetsnivån på infrastukturen. Vi kommer i “DirectAccess – Del 2″ att titta närmare på hur vi kan åstadkomma en högre säkerhetsnivå för vår DirectAccess infrastruktur och hur dessa teknologier samverkar.

Onevinn AB har en lång erfarenhet av DirectAccess och har arbetat med teknologin sedan Windows Server 2008 R2 var i betastatus. Onevinn AB har medverkat på mässor, seminarium, offentliga event där vi presenterat och demonstrerat DirectAccess. Onevinn AB har även blivit ombedda av Microsoft att tala om erfarenheter, strategier och metoder för hur man implementerar DirectAccess i sin verksamhet. Vi har flera kunder som har valt att implementera teknologin och de flesta av dem använder idag flertalet av de säkerhetsteknologier som vi kommer titta närmare på i nästa del.
Vill ni veta mer om DirectAccess och få ett demo av samtliga teknologier och hur de samverkar är ni välkomna att kontakta oss, nedan finns namn, mail och telefonnummer till våra säljare som kan boka in er på ett demo.

Forefront + PointSharp ger en säkrare ActiveSyncanslutning för dina enheter

Posted on by

Min kollega Anders Olsson skrev för ett tag sedan en väldigt välskriven artikel om
Forefront+ PointShartp för hur man säkrar ActiveSyncanslutningar.
För vidare information och läsning fortsätt här.