EKLIENT STANDARD HANTERING AV KLIENTER MED OPERATIVSYSTEM SOM GÅTT EOL 1.0



Relevanta dokument
HANTERING AV KLIENTER MED MJUKVARA SOM GÅTT EOL V2.0

eklient Objekt 1 Livscykelplaner i Samverkan Livscykelplaner eklient 1.5

EKLIENT STANDARD KLASSIFICERING AV KLIENTER 1.0

eklient Livscykelplaner i Samverkan Livscykelplaner eklient 1.0

Installationsanvisningar. till IST Analys

Livscykelplaner. Version 1.7. Uppdaterad eklient Livscykelplaner version 1.7

Handledning Livscykelplaner eklient 1.0

NSi Output Manager Vanliga frågor och svar. Version 3.2

Generell IT-säkerhet

Presentation vid KommITS Göteborg 6 maj 2015

Policy för användande av IT

STYRKAN I ENKELHETEN. Business Suite

Datasäkerhet. Hur ska vi göra för att skydda våra datorer mot virus och andra hot?

Manual licenserver. Installations och konfigurations-manual för Adtollo licenserver

IT-säkerhet i Svenska kyrkan gemensamma IT-plattform GIP

Definition DVG A06. Varför operativsystem? Operativsystem. Översikt. - Vad är ett operativsystem?

Datacentertjänster IaaS

Bilaga, Definition av roller och begrepp, till policy för IT-säkerhet. Publiceringsdatum Juni 2007 ( rev. September 2011)

Manuell installation av SQL Server 2008 R2 Express för SSF Timing

Installationsinstruktion med rekommenderade inställningar Extern Uppkoppling med SITHS-Kort mot Landstinget Västmanland

Instruktion: Trådlöst utbildningsnät orebro-utbildning

Uppgradering till DentalEye 3.2

Vad är molnet? Vad är NAV i molnet? Vem passar NAV i molnet för? Fördelar med NAV i molnet Kom igång snabbt...

1 Installationsinstruktioner

1. Säkerhetskopiera den eller de byråer du har arbetat med via i Visma Klient.

3.2 1H[W*HQHUDWLRQ6HFXULW\ Användarmanual

Molnplattform. Version 1.0. Användarhandbok

Bilaga, Definition av roller och begrepp, till policy för IT-säkerhet. Beslutsdatum (rev )

ANVISNING Säkerhetsuppdateringar för IT infrastruktur

Tekis-FB Systemkrav

SkeKraft Bredband Installationsguide

Operativsystem DVG A06. Definition. Varför operativsystem? - Vad är ett operativsystem?

Installation/uppdatering av Hogia Personal fr.o.m. version 13.1

Instruktion: Trådlöst nätverk för privata

Till ditt skrivbord som tjänst via Internet

Instruktion: Trådlöst nätverk för privata enheter

1 Installationsinstruktioner

Bilaga, Definition av roller och begrepp, till policy för IT-säkerhet

Design Collaboration Suite

Systemkrav WinServ II Edition Release 2 (R2)

SÄKRA DIN AFFÄR VART DEN ÄN TAR DIG. Protection Service for Business

Innehåll Molntjänster... 4 Vad är detta?... 5 Cirkeln sluts... 6 The Cloud... 7 The Cloud (forts.)... 8 Definition av molntjänster...

Instruktion för åtkomst till Nyps via LstNet

Bilaga Funktionshyra Vårdval Gynekologi sida 1 (5) FUNKTIONSHYRA. Vårdval Gynekologi

Internt penetrationstest. Tierps kommun. Revisionsrapport. Juni Erik Norman 1(6)

Installation av WinPig Slakt

Grupp Policys. Elektronikcentrum i Svängsta Utbildning AB

Din guide till en säkrare kommunikation

Minnesisolering för virtuella maskiner en hypervisorstudie

DVG A06. Operativsystem, mm. Karlstads universitet Datavetenskap. DVG A06 Johan Eklund. Datavetenskap, Karlstads universitet 1

1. Revisionsinformation

Extern åtkomst till Sociala system

Tjänstekomponent Mjukvaruplattform

Tjänstebeskrivning Extern Åtkomst COSMIC LINK. Version 1.0

ISA Informationssäkerhetsavdelningen

Installationsinstruktion med rekommenderade inställningar Extern Uppkoppling med OTP och SITHS-kort mot Landstinget Västmanland

F6 Exchange EC Utbildning AB

EBITS Totalförsvarets Forskningsinstitut David Lindahl Erik Westring

Bilaga 1 till avtal om hemtjänst enligt lagen om valfrihetssystem

Data Sheet - Secure Remote Access

Rekommenderad felsökning av dator innan service

Du kan installera Widgitprodukter på ett nätverk. Följande program och tillägg hanteras (du kanske inte har licens att installera all dessa):

Manuell installation av SQL Server 2008 R2 Express SP2 fo r SSF Timing

IPv6- Inventering. Västkom Västra Götalands Län

DIG IN TO Nätverkssäkerhet

Anvisning för gemensamma konton, G-konto

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser

Teknisk manual. För LOV utförare Upplands-Bro kommun Reviderad:

PROTOKOLLSUTDRAG 95 KS/2016:222, KS/2019:73. IT-säkerhet svar på revisionens uppföljande granskningsrapport

Datasäkerhet. Informationsteknologi sommarkurs 5p, Agenda. Slideset 10. Hot mot datorsystem. Datorsäkerhet viktigare och viktigare.

Handbok Remote Access TBRA

Drag och Släpp & Spara till Server. Säkerhetsinställningar. Version 5.0

Novi Net handelsbolag. Produkter och tjänster

Installation av Topocad

EKLIENT STANDARD SESSIONSHANTERING 1.0

Net id OEM Användarhandbok för Windows

Bilaga 2 utdrag urinförandehandbok

Software Asset Management (SAM) Licenshantering i Göteborgs Stad

CSC UTVÄRDERING AV KOSTNADSPÅVERKAN GENOM INFÖRANDE AV CSC DESKTOPVIRTUALISERING CSC DYNAMIC DESKTOP. DESKTOPVIRTUALISERING Radar Group International

Grattis till ett bra köp!

Håbo kommuns förtroendevalda revisorer

Granskning av säkerheten i mobila enheter. Internrevisionsrapport

EBITS Arbetsgruppen för Energibranschens Reviderad Informationssäkerhet

TEKNISK SPECIFIKATION. för TIDOMAT Portal version 1.7

Att införa IPv6 internetprotokoll version 6 En praktisk vägledning

Bilaga IT till förfrågningsunderlag Bil 3 Inledning

Ändringar i samband med aktivering av. Microsoft Windows Vista

Administratör IT-system Kursplan

Foptec Internet Supervisor

Vid problem med programmet kontakta alltid C/W Cadware AB på telefon

Hogias Ekonomisystem. Systemkrav för enanvändarinstallation fr o m version av GENERELLA KRAV

Kontrollera din mobila anläggning!

ANVÄNDARVILLKOR ILLUSIONEN

Webbokning Windows 7,8.1 &10 Installationsmanual

Molntjänster. Översikt. Lektion 1: Introduktion till molntjänst. Introduktion till molntjänst. Vilka tjänster finns? Säkerhet.

Utarbetat av Område Informationsklass. Teknisk standard Ånge Kommun...1. Syfte med beskriven it-miljö...3. Hårdvara...

Många företag och myndigheter sköter sina betalningar till Plusoch

INSTALLATIONSINSTRUKTIONER FÖR VIDA INNEHÅLL

Systemkrav 2014 för enanvändarinstallation fr o m version av

Transkript:

EKLIENT STANDARD HANTERING AV KLIENTER MED OPERATIVSYSTEM SOM GÅTT EOL 1.0

1 av 8

2 av 8 Innehåll Historik... Fel! Bokmärket är inte definierat. Dokumentinformation... 3 Syfte... 3 Målgrupper... 3 Revision... 3 Styrande principer... 3 Referenser... 3 Summering... 4 Termer och begrepp... 4 Avgränsningar... 4 Livscykel... 4 Risker... 4 Åtgärder... 5 Information... 5 Inventering... 5 Utvärdering... 5 Deadline... 5 Kostnader... 6 Tekniska Aktiviteter... 6 Uppgradering... 6 Tredje-parts Applikationer... 6 Interimslösningar... 6 Verktyg... 6 Enhanced Mitigation Experience Toolkit (EMET)... 6 Microsoft Baseline Security Analyzer (MBSA)... 7 Problemapplikationer... 7 Virtualisering... 7 Behörigheter... 7 Lokal administratör... 7 Lokala inställningar och behörigheter... 7 Säkerhetsuppdateringar och uppdateringar... 7 Lokalbrandvägg... 8 Nätverkssegmentering.... 8 Isolering... 8

3 av 8 Dokumentinformation Syfte Detta dokument agerar referensdokument och tillhör dokumenttypen standards inom eklient. En standard definierar ett gemensamt språk mellan aktörer och underlättar det dagliga livet för intressenter. Dokumentet definierar egenskaper, krav och instruktioner som behövs i dialog mellan landsting/regioner, med driftspartners/driftsorganisation och med applikationsleverantörer. Man är ofta övertygad om att man i en samling pratar om samma sak - men så behöver det inte uppfattas av alla! En standard visar på vad man kan förvänta sig, både styrkor o svagheter och accepteras av inblandade. Syftet med detta dokument, En standard för hantering av klienter med OS, är att ge förslag till en säker hantering av klienter i operativt bruk som inte längre har ett supporterat operativsystem. Dokumentets avsikt är att vara till stöd för den lokala/regionala förvaltningen av en centraliserad klientplattform för att leverera en stabil och säker leverans till verksamheten. Målgrupper Lokal förvaltningsorganisation för klientplattform Intressenter och medlemsorganisationer i eklient Aktörer på marknaden med intresse att följa eklient Partners till medlemsorganisationer i eklient Revision Detta dokument revideras årligen. Senaste revidering 2014-12-02. Styrande principer Styrande principer för denna standard är: Använd vedertagna standardlösningar som är globalt använda Behörighetstilldelning efter principen ej mer än vad du behöver Information ska skyddas från förvanskning och obehörig åtkomst Kontrollerad livscykelhantering av ingående komponenter Referenser Ex närliggande standardsdokument i eklient referenser till direkta fakta eller ställningstaganden i standarden RefID Dokumentnamn Sökväg

4 av 8 Summering Standarden definierar och beskriver risker med att använda operativsystem som inte längre supporteras, åtgärder för att avveckla End Of Life klienter samt interimslösningar för att skydda omgivande infrastruktur och information i händelse av att avveckling/uppgradering inte kan ske innan End Of Life inträffar. Termer och begrepp T nr begrepp/term Beskrivning T1 EOL End Of Life, att den uttalade livscykeln är slut. T2 Malware är ett samlingsbegrepp för datorprogram som installeras på en dator eller ett datornätverk utan administratörens samtycke T3 Trojan En trojansk häst eller trojan är ett datorprogram som utger sig för att vara till nytta eller nöje, men som gör något annat när det lurat en användare att installera eller köra det. Programmet kan till exempel spionera på användaren, göra betalningar i användarens namn, skicka skräppost eller attackera andra datorer. T4 DoS/DDoS Denial of Service, en attack mot ett datasystem i syfte att hindra normal användning av systemet. De vanligaste attacktyperna är överbelastningsangrepp. T5 T6 Avgränsningar Standarden kommer vara avgränsad till att beskriva risker och åtgärder för EOL operativsystem utan att nämna några versionsnummer eller produkter. Livscykel Operativsystem från Microsoft har en klar livscykel, när supporten upphör och produkten går EOL. Att förlänga supporten efter denna tidpunkt är både tidsödande och kostsam. Man bör i god tid vara proaktiv och redan innan ett operativsystem gått EOL, säkerställt att man kan uppgradera klienter till senaste operativsystem utan påverkan av verksamhetsfunktionalitet och säkerhet. Även om Microsoft har en klar livscykel på sina operativsystemprodukter är applikationer och framförallt tredjepartsapplikation inte alltid livscykelhanterade och även om det finns så följer det inte alltid Microsofts operativsystem. Att sätta en egen tidsgräns för när man anser ett operativsystem har gått EOL är en bra lösning och redan då påbörja en avvecklingsplan och även en hårdgräns då klienter med EOL operativsystem inte får förekomma i miljön. Om båda dessa två tidsgränser sker innan Microsofts EOL datum uppnår man en större säkerhet och minskar administration och kostnader. Risker Att använda operativsystem kan bli en stor säkerhetsrisk och administrativt kostsam risk. Man bör i god tid utvärdera vilken verksamhetspåverkan man ställs inför när man ska uppgradera till nyare operativ system. Den största påverkan brukar vara tredjepartsapplikationer och

5 av 8 drivrutiner som inte stöds eller inte fungerar på nyare operativsystem. Att mjukvara behöver uppgraderas och hårdvara behöver bytas ut kan förekomma vid operativsystems byte, vilket medför kostnader som måste beaktas. Tredjeparts tillverkare har inte alltid en proaktiv policy eller ett fokus på IT-säkerhet. Att i god tid ha en dialog med tillverkaren om deras roadmap i relation till EOL för supporterade operativsystem är i allra högsta grad en viktig åtgärd. Riskerna som EOL operativsystemet kan skapa i den redan uppgraderade delen av miljön måste man ta med i beräkningarna, det kan vara risker som: Sprida virus, malware och trojaner Användas till attacker, som tex. DoS/DDoS Ej möjligt att stödja höjda IT-säkerhetskrav Åtgärder Verksamheten ska ha ett grundläggande handlingsprogram att inte använda sig av produkter som har gått EOL och en tydlig avvecklingsplan för att bli av med EOL operativ system ska finnas. Information En stor och viktig åtgärd är att informera ut till verksamheten varför man behöver göras dessa åtgärder för att skapa en förståelse om att det ger något och inte bara är en negativ åtgärd från IT. Vilka fördelar det är att uppgradera och vilka risker det innebär om man inte gör det. Detta bör man göra i god tid innan operativsystemet går EOL. Inventering Första steget av åtgärder är att säkerställa omfattningen av klienter med EOL Operativ System som finns in miljön. System och applikation som är ett krav för verksamheten måste inventeras och kartläggas, bland dessa kan även specialhårdvara finnas. Det kan vara nödvändigt att utöka inventering för att kartlägga omfattningen. Utvärdering Att få kontroll över antalet klienter med EOL operativ system är en viktig del i utvärderingen. Man kan även behöva gruppera och kategorisera dessa klienter i mindre grupper som geografisk plats, avdelning, applikationer m.fl. Från inventeringen kartläggs vilken verksamhetspåverkan en uppgradering av operativsystemet har på olika klienter, i detta skede är det viktigt att applikationsägare och systemägare är delaktiga och kommer med feedback berörande sina system och applikationer. Olika nivåer av påverkan kräver olika aktiviteter och hantering, i slutändan också olika kostnader. Deadline En deadline på sista datum då EOL klienten får vara aktiv måste sättas för att sätta press på att uppgiften blir utförd. Tidsramen ska vara realistisk och satt utifrån information från inventering och utvärdering. Man bör ha en nära dialog med säkerhetsavdelningen för få stöd i denna fråga för att driva fram detta krav mot verksamheten.

6 av 8 Kostnader Vem som ska bära kostnader för aktiviteter och interimslösningar i hanteringen av EOL klienter måste beslutas och hanteras ändamålsenligt. Viktigt att verksamheten förstår behovet och innebörden av att detta jobb blir utfört och de ekonomiska konsekvenserna och riskerna om det inte blir utfört. Ett EOL operativsystem som nyttjas av ett väldigt litet antal klienter blir då per klient en väldigt dyr kostnad som kan undvikas. Tekniska Aktiviteter Att kunna uppgradera till senaste operativsystem utan någon verksamhetspåverkan är ett önskat scenario men sällan möjlig för alla klienter. Man kan behöva bygga en interimslösning för dessa klienter under avvecklingsperioden, oavsett påverkan ska alltid en avvecklingsplan finnas. Önskvärt är att i första hand lägga resurser på att migrera bort EOL klienter istället för att skapa interimslösningar. Den lägsta kostnaden kommer alltid vara att uppgradera klienter utan att behöva skapa en interimslösning. Uppgradering Den del som det är möjligt att uppgradera med ingen eller liten verksamhetspåverkan, ex var alla applikationer redan finns paketerade och stöds på det nya operativsystemet. Dessa klienter bör utföras först för att minska antalet EOL klienter så fort som möjligt, på detta sätt frigörs mer resurser för att lägga på klienter där en uppgradering har hög påverkan eller på eventuella interimslösningar. Tredje-parts Applikationer Stöds inte applikationen på det nya operativsystemet ska man aktivt undersöka möjligheten att uppgradera till nyare version av applikationen eller välja annan tillverkare. Att uppgradera applikationsfloran istället för att lägga pengar på interimslösningar är i det långa loppet bästa lösningen. Att ha en nära dialog och sätta press på tredje-parts tillverkare på en klar livscykel som följer operativsystems livscykel och säkerhets policy ska vara en självklarhet. Interimslösningar Klienter med hög verksamhetspåverkan behöver hanteras och kan oftast inte uppgraderas utan att olika åtgärder utförs. Man bör i första hand lägga resurserna på att lösa problemen, men under denna tid kan det vara nödvändigt att skapa sig en eller flera interimslösningar för att minska riskerna tills man lyckats att migrera bort alla EOL klienter. Vilken eller vilka interimslösningar man väljer beror på vilken nivå av säkerhet man måste uppnå. Här nedan följer några exempel på interrimslösningar. Kostnaden för olika interimslösningar varierar beroende på omfattning och miljöns komplexitet, en grov indelning i låg, medel och hög är endast en riktlinje att gå på för att jämföra olika lösningar. Verktyg Enhanced Mitigation Experience Toolkit (EMET) Enhanced Mitigation Experience Toolkit är ett verktyg från Microsoft som hjälper till att förhindra säkerhetsproblem och hjälper till att förhindra utnyttjande av programsårbarheter. Sårbarheter som t.ex. Körning av skadligkod från internetsidor, Bifogade skadliga filer i epost. Microsoft EMET kan laddas ner utan kostnad och paketeras, testas och distribueras ut i verksamheten via distributionsmotorn och styras via Microsoft grupprinciper, vilket innebär en medelhög kostnad.

7 av 8 Microsoft Baseline Security Analyzer (MBSA) Denna Microsoft produkt identifierar säkerhetsuppdateringar som saknas och vanliga säkerhets felkonfigurationer. En rapport genereras och beskriver vad som bör åtgärdas. Denna produkt laddas ner utan kostnad från Microsoft och kan köras både lokalt och remote mot en eller flera datorer. Problem som rapporten visar kan avhjälpas centralt genom grupprinciper eller via distributionsmotor. Snabbt sätt att få en överblick att klienten har alla säkerhetsuppdateringar som har levererats och detta till en låg kostnad. Problemapplikationer Ofta är det en eller flera applikationer som är anledningen till att man inte kan uppgradera klienter. För att minska användandet av klienter med EOL operativsystem ska ENDAST problem applikationer finnas på dessa klienter, alla applikationer som fungerar på uppgraderad klient SKA användas på dessa och inte på en EOL klient. Motiveringen till detta är att klienten kan låsas ner mer och användandet minskar. Detta innebär till stor del att användare behöver använda sig av två klienter under denna period vilket är en låg kostnad totalt sätt. Virtualisering Desktopvirtualisering och applikationsvirtualisering är exempel på virtualiseringlösningar. Att installera och tilldela en problemapplikation via någon virtualiseringslösning eller annan terminalserver lösning är ingen långsiktig plan, eftersom applikationen förmodligen då måste installeras på samma klient os eller motsvarande server OS som också är att betraktas som EOL, det kan dock som en interimslösning vara skäligt. Kostnaden för en sådan lösning är oftast medel till hög. Behörigheter Lokal administratör De flesta hot mot klienter sker om användare har höga rättigheter, t.ex. att de är lokal administratör. Att bara tillåta standard användare och även strypa behörigheter lokalt men även mot andra system från dessa klienter är en nödvändig åtgärd, detta minskar riskerna och även administrationen av klienterna. Lokala inställningar och behörigheter Endast de mest nödvändiga lokala behörigheter och inställningar för användaren samt klienten ska vara aktiva. För att åstadkomma detta kan man använda sig av Security Compliance Manager SCM, för att nyttja standard baselines eller skapa egna Security Baseline. Detta för att strypa behörigheter och sätta en högre grad av säkerhet. Alla avsteg från denna baseline måste motiveras. Security Compliance Manager kan laddas ner utan kostnad från Microsoft. Tjänster som är aktiva på klienten men inte används bör stängas av för att förhindra att de nyttjas negativt och blir ett säkerhetshot. Tillgång till internet eller intranät ska strypas om möjligt och bara vara tillgängligt om det är absolut nödvändigt, ex för datorer som är anslutna till eller kör administrativa verktyg för medicinteknisk utrustning. Att aktivera olika åtgärder är oftast enkelt men att hitta rätt inställningar kan vara svårare, så kostnaden kan vara allt från låg till hög. Säkerhetsuppdateringar och uppdateringar Även om Säkerhetsuppdateringar slutar levereras som standard när ett operativsystem går EOL så är det viktigt att säkerställa att dessa klienter har alla säkerhetsuppdateringar som finns att tillgå.

8 av 8 Internet Explorer ska vara av högsta möjlig version och säkerhetsuppdaterad, även alla plugins ska uppgraderas till senaste version. Alla installerade applikationer ska ses över så de håller den senaste uppdateringsnivån. Att hålla en klienten uppdaterad är alltid viktigt och ännu viktigare efter den går End of life. Att hålla en klient uppdaterad är en låg kostnad. Lokalbrandvägg Lokal brandvägg ska vara aktiv på klienten. På en EOL klient ska endast den trafik som är nödvändig tillåtas och det kan vara nödvändigt att nyttja olika regelverk för olika EOL klienter för att endast öppna för den nödvändiga trafiken. Regelverket ska styras central för att lätt kunna administrera. Att slå på brandvägg och skapa regelverk är en förhållandevis låg kostnad. Nätverkssegmentering. Så länge EOL klienter finns i miljön så ökar riskerna att dessa klienter kan skapa hot för andra klienter och system. Att nätverkssegmentera så att EOL klienter blir nätverksmässigt avskärmade från andra klienter och servrar och endast når de system och adresser som nödvändigt. Att segmentera klienter nätmässigt kan göras på olika sätt, beroende på nätverksutrustningen och infrastrukturen om man måste fysiskt avskilja eller man logiskt kan avskilja i befintlig utrusning. Kostnaden beroende på hårdvaran som finns och den geografiska utbredningen är allt från medel till hög. Isolering En incidentrutin ska skapas för att kunna isolera alla klienter vid en eventuell säkerhets attack av eller mot EOL klienter för att snabbt förhindra att andra klienter eller system i miljön blir berörda. Detta kan vara en del av nätverkssegmentering att förhindra all nätverksåtkomst för dessa klienter och att aktivt stänga ner dessa klienter centralt administrerat kan också vara en åtgärd. Detta är dock en kortvarig lösning om klienten flyttas till annat nätverk och startas upp där. Ska man vara helt säker bör klienten fysiskt sättas i karantän eller centralt sätta klienten i sådant skick att den inte går att starta upp eller någon form av startup lösenord. Att ha väldigt tillförlitlig inventering och lokalisering på alla EOL klienter är nödvändigt för att kunna utföra ett snabbt och effektiv isolerings åtgärd. Beroende på nätverksinfrastrukturen och manageringslösning kan denna kostnad vara medel till hög.

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss