Om du misstänker att värdens privata nyckel har manipulerats kan du skapa en ny genom att utföra följande steg:



Relevanta dokument
Användarmanual för Pagero Kryptering

Anvisningar för installation och borttagning av skrivardrivrutinerna Windows PostScript och PCL utgåva 8

Installationsguide fo r CRM-certifikat

Instruktion: Trådlöst utbildningsnät orebro-utbildning

Topologi. Utförande: I exemplet så kommer vi att utgå från att man gör laborationen i en Virtuell miljö (Virtualbox).

Installationsanvisning för LUQSUS version 2.0

3.2 1H[W*HQHUDWLRQ6HFXULW\ Användarmanual

Viktigt! Läs igenom hela anvisningen innan du påbörjar inloggningen för första gången.

Scan Station Pro 550 Administration och serviceverktyg för Scan Station

Handbok Fjärranslutning till skrivbord. Brad Hards Urs Wolfer Översättare: Stefan Asserhäll

Nokia C110/C111 nätverkskort för trådlöst LAN. Installationshandbok

Windows 10 systemverktyg

ADOBE FLASH PLAYER 10.3 Lokal inställningshanterare

Många företag och myndigheter sköter sina betalningar till Plusoch

Instruktion: Trådlöst nätverk för privata enheter

Conferencing. Novell. Conferencing 1.0. novdocx (sv) 6 April 2007 STARTA CONFERENCING-KLIENTEN: LOGGA IN: Juli Conferencing Snabbstartguide

DGC IT Manual Citrix Desktop - Fjärrskrivbord

via webbgränssnittet. Du har även tystnadsplikt gällande dina identifikationsuppgifter.

Installationsanvisning för LUQSUS-K version 3.0b

Instruktioner för Axxell's Trådlösa Nät

OBS! FÖRSÖK INTE INSTALLERA PROGRAMVARAN INNAN DU HAR LÄST DET HÄR DOKUMENTET.

Compose Connect. Hosted Exchange

Lathund för BankID säkerhetsprogram

Storegate Pro Backup. Innehåll

Användarhandbok för InCD Reader

GIVETVIS. SKA DU HA INTERNET I DIN LÄGENHET! En guide till hur du installerar internet i ditt nya hem.

Nej, Latitude ON Flash är för närvarande endast tillgängligt på följande Dell datorer: Dell Latitude E4200 Dell Latitude E4300

Installationsguide Junos Pulse för MAC OS X

Handbok Dela Skrivbord. Brad Hards Översättare: Stefan Asserhäll

GIVETVIS. SKA DU HA INTERNET I DIN LÄGENHET! En guide till hur du installerar internet i ditt nya hem.

Telia Centrex IP Administratörswebb Handbok

Användarhandbok AE6000. Wireless Mini USB AC580-adapter med Dualband

Handbok Dela Skrivbord. Brad Hards Översättare: Stefan Asserhäll

Översikt av kapitlet. Ge databasen ett lösenord. Förhindra ändringar av koden i databasen

Lathund för Novell Filr

Startanvisning för Bornets Internet

Sharpdesk V3.5. Push - installationsguide: produktnyckelversion. Version 1.0

Din manual NOKIA

Filleveranser till VINN och KRITA

Novell Filr skrivbordsprogram för Windows snabbstart

KARLSBORGS ENERGI AB INTERNET KABEL-TV INSTALLATIONSHANDBOK REV

HASP-felsökningsguide

SNABBGUIDE FÖR MODEM OPTIONS FOR NOKIA 7650

Flytt av. Vitec Mäklarsystem

Uppdatering av MONITOR Mobile 8.0

Bruksanvisning Brother Meter Read Tool

Metoder för verifiering av användare i ELMS 1.1

Guide för konfigurering av Office 365 konton

REGION SKÅNE VDI KLIENTINSTALLATION

Författare Version Datum. Visi System AB

Handbok. Pagero för Danske Bank

Manuell installation av SQL Server 2008 R2 Express för SSF Timing

Instruktioner för Internetanslutning

1. Säkerhetskopiera den eller de byråer du har arbetat med via i Visma Klient.

KARLSBORGS ENERGI AB ADSL INSTALLATIONSHANDBOK REV

Handbok för installation av programvara

Handbok för installation av programvara

Installationsguide, Marvin Midi Server

Installation/uppdatering av Hogia Personal fr.o.m. version 13.1

Instruktion: Trådlöst nätverk för privata

Nero AG SecurDisc Viewer

ARX på Windows Vista, Windows 7 eller Windows 2008 server

TELIA CENTREX IP ADMINISTRATÖRSWEBB HANDBOK

Årsskiftesrutiner i HogiaLön Plus SQL

Installationsguide för FAR Komplett Offline 2.1.2

Viktig information om Capture Pro Software Version 3.1.0

Innehållsförteckning. Logga in med etjänstekort i Infektionsregistret 3. Installation av kortläsare till e-tjänstekort 3

Installera Windows Custom PostScript- eller PCL-skrivardrivrutin

TeamViewer Installation och användning

Handbok för AirPrint. Information om AirPrint. Tillvägagångssätt för inställning. Utskrift. Bilaga

INSTALLATION AV VITEC MÄKLARSYSTEM

EIT060 Datasäkerhet - Projekt 2. Jacob Ferm, dt08jf0 Johan Paulsson, dt08jp8 Erik Söderqvist, dt08es8 Magnus Johansson, dt08mj9 26 februari 2011

Snabbstartguide för McAfee VirusScan Plus

INSTALLATION AV KLIENT

progecad NLM Användarhandledning

Konfigurering av eduroam

Steg-för-steg-guide för Microsoft Windows Server Update Services 3.0 SP2

ÅTVID.NET Startinstruktioner

FIBER INSTALLATIONSHANDBOK VERSION 1.0. Felanmälan och support nås på Alla dagar 08:00-22:00

Vi finns nära dig. Telia Connect 4.1 Installationshandbok för PC Uppkopplingsprogram för Telia Mobilt bredband

KARLSBORGS ENERGI AB FIBER INSTALLATIONSHANDBOK REV

Användarhandledning för The Secure Channel

Installationsbeskrivning för CAB Service Platform med CABInstall

Sharpdesk V3.5. Installationsguide: produktnyckelversion. Version 1.0

Använda Google Apps på din Android-telefon

Kom igång med Advance Online portal med certifikatsverifiering

Fillagringsplatser. Fillagringsplatser (information om fillagringsplatserna du har att tillgå på Konstfack) Inledning... 12

Du har fått en fil som heter Tryckhusets ftp.xml Denna kommer nu att användas. Lägg den exempelvis på ditt skrivbord.

Innehållsförteckning GavleNet Silver

Användardokumentation för CuMaP-PC. Fleranvändarsystem och behörigheter

Hantera maskinen enkelt med snabbmenyn! Spara användningstid genom att registrera funktioner som används ofta i en knapp.

Bordermail instruktionsmanual

MPEG-problemlösning. Obs: Kunskapsdatabasen för WEB innehåller mer information om kardiologispecifika verktyg och visning av MPEG-objekt.

Mac OS X 10.5 Leopard Installationshandbok

Kakor. Krishna Tateneni Jost Schenck Översättare: Stefan Asserhäll

Installation av WinPig Slakt

Administrationsmanual ImageBank 2

TES Mobil. Användarmanual. Användarmanual TES Mobil Dok.nr v8

Snabbguide. 1. Systemkrav. 2. Installation och aktivering. Installation. Aktivering

VERSION 3.2 KLIENTMANUAL NETALERT CS

Transkript:

Bästa säkerhetspraxis för Symantec pcanywhere I det här dokumentet beskrivs ändringarna för förbättrad säkerhet i pcanywhere 12.5 SP4 och pcanywhere Solution 12.6.7, hur huvuddragen i dessa förbättringar fungerar och några av de steg som användare bör vidta för att minska säkerhetsriskerna. SSL-handskakning och TCP/IP-kryptering TCP/IP-anslutningar är nu skyddade med SSL genom 256-bitars eller 128-bitars kryptering. Alternativet "Ingen" finns också för att hoppa över krypteringen. Emellertid görs fortfarande dataintegritetskontroller. Symantec rekommenderar 256-bitars kryptering (standard) för optimal säkerhet. Alternativet med 128-bitars kryptering respektive alternativet "Ingen" är avsedda för prestandakänsliga miljöer. Självsignerade SSL-certifikat pcanywhere tillämpar självsignerade SSL-certifikat. Två nyckelfiler används: host.key och host.cer. Host.key innehåller den privata nyckeln och Host.cer innehåller X.509-certifikatet som innehåller den publika nyckeln. Den privata nyckeln skyddas av ACL:er vilka endast ger åtkomst till administratörer, priviligierade användare och SYSTEM. Varning: Filen med den privata nyckeln måste vara skyddad. Om en obehörig person får åtkomst till filen med den privata nyckeln så kan denne utge sig för att vara värden eller utföra mellanhandsattacker (MITM, Man-in-the-Middle) mot alla som försöker fjärrstyra en värddator. Om du misstänker att värdens privata nyckel har manipulerats kan du skapa en ny genom att utföra följande steg: 1. Stoppa värdprocessen. 2. Ta bort filen med den privata nyckeln och certifikatfilen. 3. Rensa listan över betrodda certifikat. Anvisningar finns i avsnittet Lista över betrodda certifikat i detta dokument. 4. Starta om värdprocessen. Under den processen, när värden startas och det inte finns några nyckelfiler, skapas en ny uppsättning automatiskt. Verifiering av tumavtryck med SSL Verifiering av tumavtryck med SSL används av fjärranvändare för att validera värdens legitimitet. Verifieringen måste göras för att det ska gå att skapa en säker anslutning mellan fjärranvändaren och värden, och som skydd mot mellanhandsattacker. När en fjärranvändare försöker ansluta till en värd via TCP/IP så visas som standard en dialogruta med tumavtrycket för värdens publika nyckel. Fjärranvändaren ska matcha tumavtrycket i dialogrutan med värdens tumavtryck.

Tumavtrycket är inte hemligt. Det går att skriva ut det, e-posta det eller föra det vidare via telefon. Tumavtrycket är lagrat i värdkatalogen på cert.thumbprint.txt. Om fjärranvändaren godkänner värdcertifikatet genom att klicka pågodkänn alltid så lagras värdens publika nyckel lokalt i listan över betrodda certifikat, och godkänns automatiskt för framtida anslutningar. Mer information om listan över betrodda certifikat finns i avsnittet Listan över betrodda certifikat i detta dokument. Modemändringar Nu finns det en ny 256-bitars krypteringsnivå för modemkommunikation. Symantec rekommenderar att den nya krypteringsnivån tillämpas. Symantec rekommenderar användning av lägre krypteringsnivåer om säkerheten inte är nödvändig eller avgörande, eftersom de alternativen kan ge bättre prestanda i vissa miljöer. Säkerheten för modemkommunikation omfattar inte validering av tumavtryck och är därför sårbar för mellanhandsattacker. För att kunna utföra någon av dessa attacker måste angriparen aktivt manipulera signalerna på telefonlinjen. Det föreligger ingen säkerhetsrisk om angriparen bara kan följa kommunikationen på linjen. Ändrad tidsgräns för meddelande om godkännande under uppgradering jämfört med ny installation Standardtidsgränsen har ökat från 10 till 30 sekunder. Säkerhetsstandarder AES256 är standardkrypteringsnivån för alla anslutningar. Symantec rekommenderar att du manuellt kontrollerar alla standardinställningar för säkerhet. Följ anvisningarna i det här avsnittet för att kontrollera standardinställningarna för säkerhet. Om du har uppgraderat till pcanywhere 12.5 SP4 eller pcanywhere Solution 12.6.7 så förblir inställningenför att bekräfta anslutningen densamma som före uppgraderingen. Följ anvisningarna i det här avsnittet för att konfigurera inställningen och kontrollera andra standardinställningar. 1. I pcanywhere navigerar du till Värdalternativ > Säkerhetsalternativ och väljer följande inställningar: Meddelande vid begäran om TCP/IP-fjärrsession Den här inställningen bestämmer om dialogrutan med tumavtryck ska visas på värddatorn. Meddelande för att bekräfta anslutning Den här inställningen bestämmer om den dialogruta ska visas som uppmanar värdanvändaren att godkänna eller avslå begäran om fjärrkontroll. Om meddelandet visas och tidsgränsen uppnås (30 sekunder som standard) så nekas åtkomst såvida inte fjärranvändaren är en superanvändare, som då beviljas åtkomst. Om inte meddelandet visas så fortsätter anslutningen för alla fjärranvändare. 2. Navigera till Fjärralternativ > Kryptering och välj följande inställningar:

Meddelande vid anslutning via icke-betrodda/okända TCP/IP-värdar Den här inställningen styr om ett meddelande ska visas med tumavtrycket för värdens publika nyckel. Meddelandet från värden om att visa begäranden om TCP/IP-sessioner visas endast om TCP/IPfjärrmeddelandet också väljs, och om fjärranvändaren inte godkänner eller avbryter det inom fem sekunder. Meddelandet från värden visas fem sekunder efter att dess publika nyckel överförs till fjärrdatorn. Sessionsbegäran fortsätter om meddelandet från fjärrdatorn inte gäller obetrodda nätverk, om värdens certifikat redan finns i listan över betrodda nätverk eller om fjärranvändaren väljer att lita på eller avslå anslutningen inom fem sekunder. Om anslutningen fortsätter så uppmanas användaren av värden att bekräfta anslutningen som standard. Anvisningar för anslutningshandskakning Anvisning Fjärransluten dator Värddator 1 Om Meddelande vid anslutning via icke-betrodda/okända TCP/IP-värdar väljs så använder fjärregisten för återanrop API:n ssl_ctx_set_verify. 2 Den fjärranslutna datorn startar anslutningen genom att anropa ssl_connect. 3 Värden godkänner begäran om anslutning genom att anropa ssl_accept. 4 Värdens dialogruta med tumavtryck schemaläggs så att den visas under fem sekunder. 5 Om den fjärranslutna datorn har registrerat återuppringning i steg 1, så anropas återanropsfunktionen på den fjärranslutna datorn och fjärrdialogrutan med tumavtryck visas. Om användaren väljer Alltid pålitlig så lagras den publika nyckeln för framtida referens och den fjärranslutna datorn fortsätter handskakningsprocessen. Om användaren väljer Pålitlig bara en gång så fortsätter den fjärranslutna datorn handskakningsprocessen. Om användaren väljer Avslå så avbryter den fjärranslutna datorn anslutningsprocessen.* *Om fjärranvändaren väljer Avslå så avbryts anslutningen och meddelandet med värdens tumavtryck visas inte om de fem sekunderna inte har startat, eller stängs automatiskt om det har visats. Stäng-knappen finns i meddelandet så att fjärranvändaren kan stänga det. Beroende på om fjärranvändaren klickar på Pålitlig eller Avslå så fortsätter eller avbryts anslutningen och meddelandet från värden stängs automatiskt.

6 Handskakningsprocessen fortsätter och anslutningen upprättas. 7 Om fönstret med värdens tumavtryck inte har visats än (fem sekunders fördröjning) så avbryts det och visas inte alls. 8 Den fjärranslutna datorn skickar autentiseringsinformation till värden. 9 Om värden är konfigurerad att visa meddelandet (värdalternativ 2 ) så visas dialogrutan i samband med detta. Om användaren på värddatorn väljer Ja/godkänn så autentiseras användaren och processen fortsätter. Om användaren på värddatorn väljer Nej/avslå så avbryter värden anslutningen. Certifikathantering Den gamla certifikathanteringen har tagits borts. Det nya betrodda systemet uppmanar fjärradministratören att ange datorns pålitlighetsinställningar. Om administratören väljer Alltid pålitlig så läggs datorn till listan över pålitliga certifikat och administratören får inget meddelande när denne ansluter till samma dator. Om administratören väljer Pålitlig bara en gång i samband med nästa anslutning, så visas meddelandet om pålitlighet på nytt. Lista över betrodda certifikat Listan över betrodda certifikat är en fil över betrodda certifikat för värddatorer. Listan finns i filen trusted_certs.pem. Om du misstänker att värdens privata nyckel har manipulerats bör du radera filen trusted_certs.pem. Alla värdar måste bli betrodda på nytt. Avbilda en pcanywhere-dator När du avbildar en pcanywhere-dator (fysiskt eller virtuellt) så rekommenderar Symantec att du tar bort den privata nyckeln och lokala krypterade registernyckelfiler som finns på följande platser: 64-bitars: HKLM\Software\Wow6432Node\Symantec\pcAnywhere\CurrentVersion\{hash} 32-bitars: HKLM\Software\Symantec\pcAnywhere\CurrentVersion\{hash} När du distribuerar nya avbildningar eller kopior så återskapas dessa värden när pcanywhere körs för första gången. Hantering av lösenord När krypteringen är inställd på "Nej" skickas lösenorden för pcanywhere som oformaterad text.

I samtliga fall avråds du av Symantec från att använda dina inloggningsuppgifter som domänadministratör för fjärråtkomst. Skapa istället nya inloggningsuppgifter för fjärrkontroll. Symantec rekommenderar också följande standardprinciper avseende lösenord: Byt ut lösenordet ofta Använd starka lösenord Begränsa åtkomsten till och distribution av säkra inloggningsuppgifter Begränsa de privilegier och behörigheter som är kopplade till inloggningsuppgifterna för fjärråtkomst Kryptering på disken Filerna för värden och fjärrkonfigurationen finns på disken i ett krypterat format. Dessa filer är krypterade med en nyckel som är unik för varje dator. Om en dator klonas från en annan dator som har installerat pcanywhere så är nyckeln densamma och datorerna kan läsa varandras filer. Som standard har endast administratörer, priviligierade användare och SYSTEM åtkomst till värdens konfigurationsfiler. Som standard har även alla användare på datorn åtkomst till fjärrkonfigurationsfiler. Även om dessa filer är krypterade så är de inte säkra. Vem som helst som har åtkomst till filerna kan dekryptera dem och se vad de innehåller. För att skydda dessa filer måste de förses med lämpliga ACL:er. Observera att ingen kryptering utförs i Mac- eller Linux-system. I dessa system skyddar du filerna med filbehörigheter. Importera och exportera konfigurationsfiler Som standard krypteras värdfiler och fjärrkonfigurationsfiler. Om du vill flytta någon av dessa filer till en annan dator måste du först ta bort krypteringen med hjälp av awfilemgr.exe. Efter att ha tagit bort krypteringen flyttar du filen till ett nytt system och importerar den med sammaverktyg. Importprocessen krypterar filen med den nya datorns nyckel. Köra värddatorn och den fjärranslutna datorn Vilka användare kan köra värddatorn? Administratörer och priviligierade användare kan köra värdprocessen. Dessa användare har åtkomst till värdens alla konfigurationsfiler, den privata nyckeln och X.509-certifikatet. Vilka användare kan köra den fjärranslutna datorn? Alla användare som kan logga in på rutan kan köra den fjärranslutna datorn. Dessa användare har åtkomst till värdens alla fjärrkonfigurationsfiler och listan över betrodda certifikat. Användare som körs på värden Fjärranvändare som får ansluta till en värd kan göra ändringar i värdsystemet som skulle kunna äventyra systemet. Några av de åtgärder som en fjärranvändare endast kan göra under en fjärrsession är:

Starta en kommandotolk Starta om datorn Observera att när värden kör en tjänst så visas meddelandet som begär inloggningsuppgifter. Om värden däremot körs som ett programså krävs inga inloggningsuppgifter. Internetbaserade fjärrkontrollssessioner pcanywhere Access Server inte längre är säker för internetbaserade fjärrkontrollsessioner. Efter en ingående analys av Access Server-kommunikationer kan Symantec inte längre rekommendera att Access Server används. Eftersom Access Server inte längre finns så rekommenderar Symantec att du använder VPN för internetbaserade fjärrkontrollsessioner. Felmeddelande "Kan inte ansluta till den angivna enheten" Felmeddelande "Kan inte ansluta till den angivna enheten" visas i ett antal fall. Utför följande steg i tur och ordning för att bestämma vad som är orsaken till problemet. 1. Se till att både fjärrdatorn och värden har samma kryptering. 2. Kontrollera autentiseringstypen och se till att ange korrekta inloggningsuppgifter. 3. Om du är administratör återskapar du värd-/nyckelfiler som finns på följande platser genom att radera dem och starta om pcanywhere-konsolen: Vista eller senare: C:\ProgramData\Symantec\pcAnywhere\Hosts XP: C:\Documents and Settings\All Users\Application Data\Symantec\pcAnywhere\Hosts 4. Se till att du har rätt nätverksanslutning för värdsystemet. Se till att din brandvägg är konfigurerad på rätt sätt så att du kan pinga värdsystemet o.s.v.

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss