VDI vs. RDSH vs. DaaS, Single-User en Multi-User systemen... een introductie
Voor de meeste lezers, luisteraars en bezoekers van Come Get IT zal dit gesneden koek zijn. Toch valt het me op dat hier (zie titel) zo nu en dan verwarring over bestaat. Om je een voorbeeld te geven... het komt voor dat we minder technisch onderlegde sales mensen in de zaal hebben tijdens een van onze evenementen. Die weten soms niet wat VDI betekend, of wat het verschil is met een op RDSH gebaseerde oplossing. Na vandaag is alles helder, beloofd. Kortom: een technisch sales verhaal, deel 1.
Het belang van Server Hardening
Voorkom aanvallen als NotPetya en Stuxnet
De wereld is de afgelopen jaren meermaals opgeschrikt door ernstige cyberdreigingen. Twee daarvan waren Stuxnet en NotPetya. Deze vormen van malware wisten veel schade aan te richten, mede door een gebrek aan server hardening.
Stuxnet werd in 2010 ontdekt en is een malafide computerworm. De worm kon zich verspreiden dankzij een (toen al bekende) kwetsbaarheid in de printer spooler service op Windows servers die het doelwit waren van de aanval. Die service was in de meeste gevallen niet noodzakelijk, het waren immers geen printservers maar systemen die onder meer werden ingezet in het proces om uranium te verrijken.
Uiteindelijk werden 200.000 computers getroffen door Stuxnet. Was de spooler service niet aanwezig geweest op deze systemen, dan was dit aantal waarschijnlijk lager geweest.
NotPetya is een recentere aanval. Deze malware, gebaseerd op de ourdere ransomware variant Petya, sloeg in 2017 om zich heen, en dan met name in Oekraïne. Volgens een schatting van het Witte Huis wist deze aanval in totaal 10 miljard dollar aan schade aan te richten bij zijn slachtoffers.
Ook NotPetya had voorkomen kunnen worden (of de impact had kleiner kunnen zijn) als er geen misbruik gemaakt had kunnen worden van het SMB1-protocol. Dit protocol werd in 1983 ontworpen en onder andere door Windows ’95 gebruikt voor het delen van bestanden. Het protocol is logischerwijs flink verouderd maar op veel getroffen servers werd het nog toegestaan, terwijl het al lang niet meer nodig is en al enige tijd als onveilig wordt bestempeld.
Server hardening
Beide aanvallen hadden dus voorkomen kunnen worden als er server hardening plaats had gevonden. Server hardening is het proces waarbij onnodige zaken als software, services, serverrollen en dergelijke zo veel mogelijk worden uitgeschakeld om zo het aanval “oppervlak” zo klein mogelijk te maken en te houden.
Bekende maatregelen zijn het installeren van updates en het inzetten van een gedegen beveiliging beleid, bijvoorbeeld rondom wachtwoorden. Maar diverse andere maatregelen blijken minder bekend of worden vergeten. Het uitzetten van ongebruikte en onnodige functies, services en rollen - zoals het SMB-protocol of de print spooler service in het geval van NotPetya en Stuxnet - behoren hier ook toe.
Daarnaast kan een server beschermd worden door administrator-accounts restricties te geven. Het is bijvoorbeeld vrij gemakkelijk om op een Active Directory-account in te stellen tussen welke tijden iemand in mag loggen. Een hele simpele maatregel om ongeautoriseerde actoren beter buiten de deur te houden.
Een geavanceerdere maatregel is het gebruik van Group Managed Service Accounts voor het beheer van Service Accounts. Een specifiek account dat wordt ingezet ten behoeve van specifieke services en/of applicaties. De wachtwoorden voor deze accounts worden beheerd door Active Directory Domain Services waardoor jij niet hoeft na te denken over wanneer een Service Account toe is aan een nieuw wachtwoord, iets wat in de praktijk vaak vergeten of lastig gevonden wordt.
Een nadeel van dit alles is wel dat het veiliger maken van een systeem in de praktijk vaak ten koste gaat van bepaalde functionaliteit of de snelheid waarmee een systeem reageert. Ook kan het andere beperkingen met zich meebrengen - bijvoorbeeld het gebrek aan de optie om vanaf bepaalde locaties in te loggen. Iets om rekening mee te houden.
Aanvallen vanaf de werkvloer
Wat nog wel eens over het hoofd wordt gezien is een fysieke aanval in plaats van een aanval via het internet. Uiteraard moet iemand daarvoor wel fysiek aanwezig zijn maar ook dat is niet ongewoon. In het geval van Stuxnet werd de malware onder andere in de beoogde omgeving geïntroduceerd via een geïnfecteerde USB-stick. Een apparaat hoeft dus niet eens met het internet verbonden te zijn om gevaar te lopen.
Het kan daarom ook verstandig kan zijn om de BIOS af te schermen met een wachtwoord. Staat iemand dan bij een server met de intentie om in te breken dan wordt het, met (wederom) een simpele ingreep op z’n minst moeilijker gemaakt de controle over het system te krijgen.
In mijn werk zie ik vaak dat vergeten wordt om gastaccounts uit te schakelen, zowel op servers als op werkstations. Deze accounts vereisen geen wachtwoord om in te loggen wat betekent dat iemand vrij gemakkelijk op het systeem en het netwerk kan komen. Aangezien gastaccounts een integraal onderdeel zijn van Windows 7 en Windows Server 2008, beiden nog veel gebruikt in productieomgevingen, blijft dit een punt van aandacht.
Zo zijn er nog talloze andere maatregelen die je kunt nemen als onderdeel van server hardening. Voor het gemak heeft Microsoft een security baseline opgezet en ook CIS benchmarks heeft een zeer nuttige en waardevolle collectie benchmarks met daarin een reeks configuratie-instellingen die een positieve impact hebben op de beveiliging van je infrastructuur. Deze worden allemaal gratis ter beschikking gesteld dus doe er je voordeel mee!
Experts Live! 2018
Dit jaar heb ik namens SBC Solutions het Experts Live! 2018 evenement bijgewoond, zoals gewoonlijk georganiseerd in Cinemec Ede. Natuurlijk kon het niet anders dan dat mij aantal dingen opvielen die ik graag wil delen.
Allereerst, Windows Server is here to stay! Tijdens Experts Live werden er weer diverse dingen aangestipt die aantonen dat deze server nergens heen gaat de komende jaren.
Linux, Docker en containers
Er was een tijd dat Microsoft en Linux slecht door één ICT-deur konden, die tijd lijkt voorbij. Een verdere integratie van Linux en Windows Server wordt namelijk bewerkstelligt door middel van Docker en containers. Op deze manier wordt het steeds makkelijker een Linux-server, binnen een container, op het Windows server platform te draaien.
Microsoft Teams
Er wordt door Microsoft een steeds grotere focus gelegd op het (samen)werken via Microsoft Teams. Het bouwen van apps binnen deze omgeving, ter bevordering van onderlinge samenwerking, wordt steeds makkelijker en is niet meer voorbehouden aan ontwikkelaars omdat het doel is dat iedereen dat moet kunnen.
Om dit kracht bij te zetten wordt Microsoft Teams aangeboden als een gratis en serverless product waarmee de drempel om hiermee aan de slag te gaan zo laag mogelijk wordt gelegd.
Windows Defender
Daarnaast blijft Microsoft ook de focus houden op security en wordt een verdere integratie van Windows Defender in zowel Windows Server als Windows 10 bevorderd met de introductie van technieken als Attack Surface Reduction.
Natuurlijk is heb ik meer gezien en is er over bovenstaande onderwerpen nog meer te vertellen. In toekomstige blogs vertel ik wat dat betreft graag meer.
Wat duidelijk is; Microsoft is en blijft zéér actief in het ontwikkelen en introduceren van nieuwe technieken en daar komt de komende jaren geen verandering in.
Meer info: https://expertslive.nl/