I vores arbejde med at højne kundernes interne IT sikkerhed får vi tit spørgsmålet: “Hvor får vi mest for pengene?” – dvs virksomheden har allerede investeret I licenser, installation og vedligehold så er det ikke muligt at højne sikkerheden uden at skulle købe yderligere hw/sw?.

Vi har her prøvet at lave en liste over de sikkerhedstiltag der umiddelbart både er “gratis” men også højner Jeres sikkerhed generelt.

Windows Firewall

Windows Firewall er typisk slået til på alle arbejdscomputere I virksomheden, er den ikke det hos Jer er det på høje tid at I enabler denne. Det er gratis og vil gøre arbejdet for en hacker væsentligt sværere.

Næste niveau omkring Firewall kunne være at aktiverer IPSec traffic mellem Jeres maskiner, dette betyder at alt indgående traffic er yderligere krypteret samt at traffikken skal være tilladt på forhånd for at blive etableret. Således kan en hacker ikke bare frit bevæge sig omkring.

Mere Info: https://support.microsoft.com/en-us/help/942957/security-rules-for-windows-firewall-and-for-ipsec-based-connections-in

Applocker

I forbindelse med Windows 7, lancerede Microsoft muligheden for at arbejde med “godkendte applikationer”, således kan en virksomhed specificerer hvilke applikationer der er tilladt at arbejde med I virksomheden, derved elimineres muligheden for at kører “programmer” man modtager I sin email, USB disk etc.

Mere Info: https://docs.microsoft.com/en-us/windows/security/threat-protection/windows-defender-application-control/applocker/applocker-overview

Secure Boot, Device Guard

Siden Windows 2012 R2 og Windows 8.1 har vi haft mulighed for at højne sikkerheden når man arbejder med eksterne servere/skriveborde. Således kan man aktiverer “Restricted Admin mode for Remote Desktop Connection” dette sikre at der ikke sende burger/password oplysninger til en ekstern maskine men at man benytter den mere sikre Kerberos authentication.

Mere info: https://docs.microsoft.com/en-us/windows-server/security/credentials-protection-and-management/credentials-protection-and-management

Domain Brugere/Konti

Ingen almindelige brugere må være medlem af en Admin gruppe, dog ser vi tit at det er tilfældet, men det er muligt at lave en smart løsning med “Just in Time Administration”

Mere Info: https://docs.microsoft.com/en-us/microsoft-identity-manager/pam/privileged-identity-management-for-active-directory-domain-services

Windows Hello for Business

“Fremtiden er uden passwords!” – Det hører og læser man tit, dvs vi skal benytte andre adgangs/authentication muligheder – såsom fingeraftryk, ansigtsgenkendelse, mobil telefonen, en application, øjet/iris genkendelse, lyd eller lugt. Der er flere muligheder i Windows Hello for Business bl.a. ansigtsgenkendelse, pin kode, biometrics og telefonen.

https://docs.microsoft.com/en-us/windows/security/identity-protection/hello-for-business/hello-identity-verification

Vi samarbejder med en hel del dygtige partnere der vil kunne hjælpe med implementeringen af ovenstående i Jeres virksomhed, I har jo allerede købt licenserne så det er bare med at få benyttet de teknologier der er I Jeres Software.

Kontakt os for mere viden…

Skriv et svar

Din e-mailadresse vil ikke blive publiceret. Krævede felter er markeret med *