18 apr

Security tip 3: Tips om je netwerk veiliger te maken

Blog artikel 3 uit de serie security tips, dit keer met tips om relatief kleine inspanningen je netwerk een stuk veiliger te maken.

Dit artikel is bedoeld voor systeembeheerders.

  1. Neem afscheid van Windows XP.
    Over minder dan 1 jaar (8 April 2014 om precies te zijn) stopt Microsoft met de ondersteuning van Windows XP SP3. Vanaf dat moment komen er geen beveiligingsupdates meer uit voor Windows XP en kunnen er ook geen support meldingen meer gedaan worden bij Microsoft. Gevolg is dat ook leveranciers van software en hardware Windows XP niet meer zullen ondersteunen, dus geen drivers meer voor XP en ook geen nieuwe virusscanners meer welke XP ondersteunen. Lang verhaal kort, iedereen moet voor deze datum over op een nieuwe versie van Windows (Windows 7 of Windows 8). Nieuwere versie van Windows zijn substantieel veiliger als Windows XP. Daarom het advies om zo snel mogelijk te migreren naar een nieuwere versie van Windows op je werkplekken.Noot: De ondersteuning voor Windows server 2003 stopt op 14 juli 2015, ook voor de servers geld dat de nieuwere versies veel veiliger zijn dan oude versies. Houd hier dus rekening mee, migreer zo snel mogelijk naar de laatste versie.
  2. Voer je dagelijks werk uit met beperkte privileges.
    Als systeembeheer ben je vaak de “koning” van het domein, Domain Admin. Kortom je hebt alle rechten op het netwerk en je kan overal bij, wat je ook nodig hebt om je werk uit te voeren. Echter het is een slecht idee om als Domain Administrator in te loggen op je werkplek. Stel je voor een hacker stuurt jou een email met een geïnfecteerde bijlage, of een link naar een kwaadaardig bestand. Als je deze opent heeft de hacker niet alleen de controle over jou pc, maar ook gelijk de controle over het hele netwerk. De droom van iedere hacker. En geloof me, hackers gebruiken ook linkedIN en kunnen dus makkelijk uitzoeken wie de systeembeheer van een organisatie is.Het advies is dan ook om je dagelijks werk, zoals het lezen van je mail, en het surfen op internet met beperkte privileges uit te voeren. Gebruik een persoonsgebonden administrator account om werkzaamheden uit te voeren waarvoor beheerders privileges nodig zijn. Op deze manier is ook altijd traceerbaar wie wat heeft uitgevoerd.
  3. Gebruik de Windows Firewall of Endpoint protection software.
    Een hacker wil altijd zo snel mogelijk de volledige controle over een netwerk krijgen.
    Eind gebruikers zijn vaak een makkelijke prooi, zij openen mails en bezoeken websites, wat nog steeds de makkelijkste manier is om iemand te besmetten. Als een hacker de controle heeft over een enkele pc, wil deze natuurlijk toegang tot andere werkplekken en servers.
    Dit wordt een heel stuk moeilijker als de Windows Firewall ingeschakeld is, of als er Endpoint protection software wordt gebruikt.Advies, activeer de Windows Firewall of Endpoint protection software op je werkplekken en servers.
    LET OP: Het activeren van de Windows Firewall kan er voor zorgen dat gewenst verkeer geblokkeerd wordt. Test dit dan ook altijd alvorens je dit in productie omgeving uitvoert.
  4. Gebruik op werkstations andere wachtwoorden als op servers.
    Het klinkt misschien als een open deur, maar ik kom het in de praktijk nog steeds tegen, beheerders welke lokale administrator accounts op werkplekken hetzelfde wachtwoord geven als het / een domein administrator account. Als een hacker de controle krijgt over 1 pc in je netwerk, kan hij makkelijk de password database (SAM) van deze pc kopiëren en deze kraken. Als hij eenmaal het wachtwoord heeft gekraakt, heeft hij in 1x de toegang tot alle werkstations en servers.Advies: gebruik nooit het domein administrator wachtwoord voor lokale administrator wachtwoorden op werkplekken en servers. Voor meer veiligheid schakel je alle lokale administrator accounts op je werkplekken uit, of voor zie je deze van een random wachtwoord.
  5. Bezoek het internet niet vanaf je servers / geef servers alleen internet toegang als dit echt noodzakelijk is.
    De kans dat een server besmet wordt met kwaadaardige software is veel kleiner als deze geen toegang heeft tot internet. Internet pagina’s bezoeken vanaf je server is echt een heel slecht idee, je logt vaak in met een Domain Admin account op een server waar vaak ook nog vaak verouderde software op staat. Een verkeerde site bezoeken, en kwaadwillende nemen direct je hele netwerk over.Advies: Beperk internet toegang voor je servers, zet alleen de poorten open welke echt noodzakelijk zijn voor een correcte werking. Gebruik een server nooit om het internet te surfen (op google zoeken naar foutmelding, handleiding of software downloaden ed).
    Download software altijd vanaf je werkstation en upload deze dan naar de betreffende server. Installeer geen software op je server welke niet noodzakelijk is voor een correcte werking van de server eg Acrobat reader / Java / flash / Firefox / Chrome enz.

Wil jij weten hoe goed jou netwerk beveiligd is?
Hulp nodig bij het beter beveiligen van je netwerk?
Wil jij meer weten over het beveiligen van netwerken?

Neem dan contact op met Nova-Lan voor een vrijblijvende offerte.

Delen