torsdag den 21. december 2017

Kryptering af bærbare

Vi har introduceret en række nye sikkerhedstiltag herunder MDM, jeg netop har skrevet om. Et andet tiltag er kryptering af bærbare computere. Vi bruger både Windows og MacOS, men begge styresystemer har gode muligheder for netop kryptering af harddisken.

Formålet er naturligvis at sikre, at ingen kan få data ud af en stjålet computer. Selv om tager harddisk/SSD ud af computeren og forbinder den til en anden computer, så kan man ikke hente data ud af den. 

På Windows 10 er Bitlocker indbygget, men der er mange måder at bruge det på, og det virker ikke ens på alle pc'er. Bitlocker vil som standard ikke bede om kodeord men bruge en såkaldt TPM-chip i computeren. Vi ønskede et ekstra lag af sikkerhed, som i vores tilfælde blev en 6-cifre pinkode. Det krævede et par ændringer i Windows.

En tyv skal altså kende både AD-kodeordet og pinkoden for at låse den op.

Man kan lægge endnu flere lag af sikkerhed over computeren for eksempel forhindre, at den kan starte på en USB-nøgle, men så langt er vi i kke gået.

Vores løsning krævede både ændring af Group Policy og registreringsdatabasen.

Gå ind i gpedit.msc (Group Policy Manager) og gå til Computerkonfiguration -> Administrative skabeloner -> Windows-komponenter -> BitLocker-drevkryptering -> Operativsystemdrev -> Kræv yderligere godkendelse ved start


Vælg Aktiveret i stedet for Ikke konfigureret. Fjern så hakket i "Tillad BitLocker uden et kompatibelt TPM".

Næste trin er registreringsdatabasen, der skal have følgende ændringer:

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\FVE]
"UseAdvancedStartup"=dword:00000001
"EnableBDEWithNoTPM"=dword:00000000
"UseTPM"=dword:00000002
"UseTPMPIN"=dword:00000002
"UseTPMKey"=dword:00000002

"UseTPMKeyPIN"=dword:00000002

Det kan man gemme i et script og køre. Vi har læst meget dokumentation, og det er noget svært at finde ud af, hvorfor det her egentlig er nødvendigt.

Bemærk, at det kræver forholdsvis nye computere. Vi har også en del gamle, hvor vi ikke har fundet en god metode endnu. Bitlocker kræver lidt forundersøgelse og test i modsætning til MacOS.

Tingene er nemlig meget lettere på MacOS. Her skal man blot aktivere FileVault i systemindstillinger, så kører det hele automatisk. Apple har lavet en løsning, hvor det almindelige kodeord også dekrypterer disken. Det betyder naturligvis, at en tyv kan låse computeren op bare med med kode, hvis han får fat i den.

tirsdag den 19. december 2017

Mobile Device Management med Google

Vi har længe ønsket at sikre vore mobile enheder i firmaet. Der fiindes et utal af MDM-løsninger på markedet (Mobile Device Management), men i vores tilfælde var løsningen helt gratis, da det er indbygget i vores Google G Suite.

Man skal igennem en proces hos Apple med certifikater for at sikre iOS-enheder som iPhone og iPad, men det var reelt ikke slemt. Certifikatet laves hos Apple og uploades til Google.

Man kan konfigurere en masse ting i Google, når det gælder MDM, men det har vi reelt ikke brug for. Vi behøver fx ikke særlige regler for, hvilke apps som brugerne må installere. Men vi har brug for at kunne slette en enhed eller i hvert fald firmaets data, hvis enheden bliver stjålet.

Og det er ligetil. Installerer man Googles MDM og ikke vælger noget, så har man reelt det.

En bemærkelsesværdig detalje er, at enheder med iOS reelt ikke skal gøre noget. De opdager ikke engang, at de nu er administreret. Man kan også kun gøre én ting fra centralt hold nemlig af slette deres Google konto, men det er også lige det, jeg havde brug for.

Android brugere opdager, at de er administeret. De bliver også tvunget til at installere en særlig app på deres enhed, hvis de vil have adgang til firmaets data herefter. Det er ikke svært, for det kører ganske automatisk.

Bagefter kan man lidt mere på Android, hvilket ikke er overraksende, når det er Googles egen platform. Man kan ikke bare logge brugerne ud af deres Google konto, man kan også slette enheden helt. Jeg har ikke brug for det sidste, men begge muligheder er der.

En anden rar ting er viden. Nu kan man se, hvem der er logget ind via mobile enheder - og de enheder de bruger.

Man kan teste det, før man ruller det ud i hele huset, da MDM kan lægges på én organisationsenhed. Når man er tilfreds, kan reglerne lægges på alle. Jeg har testet sletning af Google konto på både iOS og Android, og det er let og velfungerende. 

Den nedenstående konfiguration er i praksis det eneste, man skal gøre, hvis man vil have den basale form for MDM, der giver mulighed for at slette firmaets data.



mandag den 18. december 2017

Sjusk fra Google

Google lancerede tidligere i år en række nye funktioner til virksomheder, men der er sjusk i flere af dem, der gør, at vi reelt ikke kan bruge dem.


Den mest spændende nyhed var Team Drives og Google Drive File Stream, som skulle erstatte vores store filserver. Google Drive ville klare det hele og hente/gemme filer dynamisk, når der var brug for dem.


Den del fungerer også godt, men problemet er, at Google har glemt en rolle. I Team Drives (Fællesdrev på dansk) kan man vælge rollen Fuld, hvilket betyder administrator. Får brugerne den rolle, kan de ødelægge alle fælles drev. De kan fjerne sig selv eller deres afdelinger.


Næste trin i roller er redigér rollen. Det virker fint, men den har den begrænsning, at brugerne kun kan uploade. De kan ikke slette filer, de selv har lavet - og de kan ikke engang flytte filer fra en mappe til en anden.


Google har “glemt” rollen modify, der er standard på en filserver. Det betyder, at Team Drives og Google Drive File Stream ikke kan erstatte en filserver endnu.


En anden nyhed fra Google var det nye Sites, der typisk bruges til intranet. I første omgang havde Google glemt søgning. Man tror ikke sine egne øjne men jo, Google brugte noget der ligner seks måneder på at levere søgning til produktet.


Det er med nu, men Google har glemt private intranet. Enten er et intranet offentligt for hele verden (public) eller også er det offentligt for hele firmaet (domænet). Vi - og sikkert mange andre - har brug for intranet til afdelinger eller grupper.


En work-a-round er at lade være med at offentliggøre intranettet og styre adgang via mappen, men så virker søgning ikke. En work-a-round for det er så at bruge Google Cloud Search, der søger på tværs af hele ens Gsuite.


Men det er ikke gode løsninger i længden.

Se: Google som filserver