Bästa säkerhetspraxis för Symantec pcanywhere I det här dokumentet beskrivs ändringarna för förbättrad säkerhet i pcanywhere 12.5 SP4 och pcanywhere Solution 12.6.7, hur huvuddragen i dessa förbättringar fungerar och några av de steg som användare bör vidta för att minska säkerhetsriskerna. SSL-handskakning och TCP/IP-kryptering TCP/IP-anslutningar är nu skyddade med SSL genom 256-bitars eller 128-bitars kryptering. Alternativet "Ingen" finns också för att hoppa över krypteringen. Emellertid görs fortfarande dataintegritetskontroller. Symantec rekommenderar 256-bitars kryptering (standard) för optimal säkerhet. Alternativet med 128-bitars kryptering respektive alternativet "Ingen" är avsedda för prestandakänsliga miljöer. Självsignerade SSL-certifikat pcanywhere tillämpar självsignerade SSL-certifikat. Två nyckelfiler används: host.key och host.cer. Host.key innehåller den privata nyckeln och Host.cer innehåller X.509-certifikatet som innehåller den publika nyckeln. Den privata nyckeln skyddas av ACL:er vilka endast ger åtkomst till administratörer, priviligierade användare och SYSTEM. Varning: Filen med den privata nyckeln måste vara skyddad. Om en obehörig person får åtkomst till filen med den privata nyckeln så kan denne utge sig för att vara värden eller utföra mellanhandsattacker (MITM, Man-in-the-Middle) mot alla som försöker fjärrstyra en värddator. Om du misstänker att värdens privata nyckel har manipulerats kan du skapa en ny genom att utföra följande steg: 1. Stoppa värdprocessen. 2. Ta bort filen med den privata nyckeln och certifikatfilen. 3. Rensa listan över betrodda certifikat. Anvisningar finns i avsnittet Lista över betrodda certifikat i detta dokument. 4. Starta om värdprocessen. Under den processen, när värden startas och det inte finns några nyckelfiler, skapas en ny uppsättning automatiskt. Verifiering av tumavtryck med SSL Verifiering av tumavtryck med SSL används av fjärranvändare för att validera värdens legitimitet. Verifieringen måste göras för att det ska gå att skapa en säker anslutning mellan fjärranvändaren och värden, och som skydd mot mellanhandsattacker. När en fjärranvändare försöker ansluta till en värd via TCP/IP så visas som standard en dialogruta med tumavtrycket för värdens publika nyckel. Fjärranvändaren ska matcha tumavtrycket i dialogrutan med värdens tumavtryck.
Tumavtrycket är inte hemligt. Det går att skriva ut det, e-posta det eller föra det vidare via telefon. Tumavtrycket är lagrat i värdkatalogen på cert.thumbprint.txt. Om fjärranvändaren godkänner värdcertifikatet genom att klicka pågodkänn alltid så lagras värdens publika nyckel lokalt i listan över betrodda certifikat, och godkänns automatiskt för framtida anslutningar. Mer information om listan över betrodda certifikat finns i avsnittet Listan över betrodda certifikat i detta dokument. Modemändringar Nu finns det en ny 256-bitars krypteringsnivå för modemkommunikation. Symantec rekommenderar att den nya krypteringsnivån tillämpas. Symantec rekommenderar användning av lägre krypteringsnivåer om säkerheten inte är nödvändig eller avgörande, eftersom de alternativen kan ge bättre prestanda i vissa miljöer. Säkerheten för modemkommunikation omfattar inte validering av tumavtryck och är därför sårbar för mellanhandsattacker. För att kunna utföra någon av dessa attacker måste angriparen aktivt manipulera signalerna på telefonlinjen. Det föreligger ingen säkerhetsrisk om angriparen bara kan följa kommunikationen på linjen. Ändrad tidsgräns för meddelande om godkännande under uppgradering jämfört med ny installation Standardtidsgränsen har ökat från 10 till 30 sekunder. Säkerhetsstandarder AES256 är standardkrypteringsnivån för alla anslutningar. Symantec rekommenderar att du manuellt kontrollerar alla standardinställningar för säkerhet. Följ anvisningarna i det här avsnittet för att kontrollera standardinställningarna för säkerhet. Om du har uppgraderat till pcanywhere 12.5 SP4 eller pcanywhere Solution 12.6.7 så förblir inställningenför att bekräfta anslutningen densamma som före uppgraderingen. Följ anvisningarna i det här avsnittet för att konfigurera inställningen och kontrollera andra standardinställningar. 1. I pcanywhere navigerar du till Värdalternativ > Säkerhetsalternativ och väljer följande inställningar: Meddelande vid begäran om TCP/IP-fjärrsession Den här inställningen bestämmer om dialogrutan med tumavtryck ska visas på värddatorn. Meddelande för att bekräfta anslutning Den här inställningen bestämmer om den dialogruta ska visas som uppmanar värdanvändaren att godkänna eller avslå begäran om fjärrkontroll. Om meddelandet visas och tidsgränsen uppnås (30 sekunder som standard) så nekas åtkomst såvida inte fjärranvändaren är en superanvändare, som då beviljas åtkomst. Om inte meddelandet visas så fortsätter anslutningen för alla fjärranvändare. 2. Navigera till Fjärralternativ > Kryptering och välj följande inställningar:
Meddelande vid anslutning via icke-betrodda/okända TCP/IP-värdar Den här inställningen styr om ett meddelande ska visas med tumavtrycket för värdens publika nyckel. Meddelandet från värden om att visa begäranden om TCP/IP-sessioner visas endast om TCP/IPfjärrmeddelandet också väljs, och om fjärranvändaren inte godkänner eller avbryter det inom fem sekunder. Meddelandet från värden visas fem sekunder efter att dess publika nyckel överförs till fjärrdatorn. Sessionsbegäran fortsätter om meddelandet från fjärrdatorn inte gäller obetrodda nätverk, om värdens certifikat redan finns i listan över betrodda nätverk eller om fjärranvändaren väljer att lita på eller avslå anslutningen inom fem sekunder. Om anslutningen fortsätter så uppmanas användaren av värden att bekräfta anslutningen som standard. Anvisningar för anslutningshandskakning Anvisning Fjärransluten dator Värddator 1 Om Meddelande vid anslutning via icke-betrodda/okända TCP/IP-värdar väljs så använder fjärregisten för återanrop API:n ssl_ctx_set_verify. 2 Den fjärranslutna datorn startar anslutningen genom att anropa ssl_connect. 3 Värden godkänner begäran om anslutning genom att anropa ssl_accept. 4 Värdens dialogruta med tumavtryck schemaläggs så att den visas under fem sekunder. 5 Om den fjärranslutna datorn har registrerat återuppringning i steg 1, så anropas återanropsfunktionen på den fjärranslutna datorn och fjärrdialogrutan med tumavtryck visas. Om användaren väljer Alltid pålitlig så lagras den publika nyckeln för framtida referens och den fjärranslutna datorn fortsätter handskakningsprocessen. Om användaren väljer Pålitlig bara en gång så fortsätter den fjärranslutna datorn handskakningsprocessen. Om användaren väljer Avslå så avbryter den fjärranslutna datorn anslutningsprocessen.* *Om fjärranvändaren väljer Avslå så avbryts anslutningen och meddelandet med värdens tumavtryck visas inte om de fem sekunderna inte har startat, eller stängs automatiskt om det har visats. Stäng-knappen finns i meddelandet så att fjärranvändaren kan stänga det. Beroende på om fjärranvändaren klickar på Pålitlig eller Avslå så fortsätter eller avbryts anslutningen och meddelandet från värden stängs automatiskt.
6 Handskakningsprocessen fortsätter och anslutningen upprättas. 7 Om fönstret med värdens tumavtryck inte har visats än (fem sekunders fördröjning) så avbryts det och visas inte alls. 8 Den fjärranslutna datorn skickar autentiseringsinformation till värden. 9 Om värden är konfigurerad att visa meddelandet (värdalternativ 2 ) så visas dialogrutan i samband med detta. Om användaren på värddatorn väljer Ja/godkänn så autentiseras användaren och processen fortsätter. Om användaren på värddatorn väljer Nej/avslå så avbryter värden anslutningen. Certifikathantering Den gamla certifikathanteringen har tagits borts. Det nya betrodda systemet uppmanar fjärradministratören att ange datorns pålitlighetsinställningar. Om administratören väljer Alltid pålitlig så läggs datorn till listan över pålitliga certifikat och administratören får inget meddelande när denne ansluter till samma dator. Om administratören väljer Pålitlig bara en gång i samband med nästa anslutning, så visas meddelandet om pålitlighet på nytt. Lista över betrodda certifikat Listan över betrodda certifikat är en fil över betrodda certifikat för värddatorer. Listan finns i filen trusted_certs.pem. Om du misstänker att värdens privata nyckel har manipulerats bör du radera filen trusted_certs.pem. Alla värdar måste bli betrodda på nytt. Avbilda en pcanywhere-dator När du avbildar en pcanywhere-dator (fysiskt eller virtuellt) så rekommenderar Symantec att du tar bort den privata nyckeln och lokala krypterade registernyckelfiler som finns på följande platser: 64-bitars: HKLM\Software\Wow6432Node\Symantec\pcAnywhere\CurrentVersion\{hash} 32-bitars: HKLM\Software\Symantec\pcAnywhere\CurrentVersion\{hash} När du distribuerar nya avbildningar eller kopior så återskapas dessa värden när pcanywhere körs för första gången. Hantering av lösenord När krypteringen är inställd på "Nej" skickas lösenorden för pcanywhere som oformaterad text.
I samtliga fall avråds du av Symantec från att använda dina inloggningsuppgifter som domänadministratör för fjärråtkomst. Skapa istället nya inloggningsuppgifter för fjärrkontroll. Symantec rekommenderar också följande standardprinciper avseende lösenord: Byt ut lösenordet ofta Använd starka lösenord Begränsa åtkomsten till och distribution av säkra inloggningsuppgifter Begränsa de privilegier och behörigheter som är kopplade till inloggningsuppgifterna för fjärråtkomst Kryptering på disken Filerna för värden och fjärrkonfigurationen finns på disken i ett krypterat format. Dessa filer är krypterade med en nyckel som är unik för varje dator. Om en dator klonas från en annan dator som har installerat pcanywhere så är nyckeln densamma och datorerna kan läsa varandras filer. Som standard har endast administratörer, priviligierade användare och SYSTEM åtkomst till värdens konfigurationsfiler. Som standard har även alla användare på datorn åtkomst till fjärrkonfigurationsfiler. Även om dessa filer är krypterade så är de inte säkra. Vem som helst som har åtkomst till filerna kan dekryptera dem och se vad de innehåller. För att skydda dessa filer måste de förses med lämpliga ACL:er. Observera att ingen kryptering utförs i Mac- eller Linux-system. I dessa system skyddar du filerna med filbehörigheter. Importera och exportera konfigurationsfiler Som standard krypteras värdfiler och fjärrkonfigurationsfiler. Om du vill flytta någon av dessa filer till en annan dator måste du först ta bort krypteringen med hjälp av awfilemgr.exe. Efter att ha tagit bort krypteringen flyttar du filen till ett nytt system och importerar den med sammaverktyg. Importprocessen krypterar filen med den nya datorns nyckel. Köra värddatorn och den fjärranslutna datorn Vilka användare kan köra värddatorn? Administratörer och priviligierade användare kan köra värdprocessen. Dessa användare har åtkomst till värdens alla konfigurationsfiler, den privata nyckeln och X.509-certifikatet. Vilka användare kan köra den fjärranslutna datorn? Alla användare som kan logga in på rutan kan köra den fjärranslutna datorn. Dessa användare har åtkomst till värdens alla fjärrkonfigurationsfiler och listan över betrodda certifikat. Användare som körs på värden Fjärranvändare som får ansluta till en värd kan göra ändringar i värdsystemet som skulle kunna äventyra systemet. Några av de åtgärder som en fjärranvändare endast kan göra under en fjärrsession är:
Starta en kommandotolk Starta om datorn Observera att när värden kör en tjänst så visas meddelandet som begär inloggningsuppgifter. Om värden däremot körs som ett programså krävs inga inloggningsuppgifter. Internetbaserade fjärrkontrollssessioner pcanywhere Access Server inte längre är säker för internetbaserade fjärrkontrollsessioner. Efter en ingående analys av Access Server-kommunikationer kan Symantec inte längre rekommendera att Access Server används. Eftersom Access Server inte längre finns så rekommenderar Symantec att du använder VPN för internetbaserade fjärrkontrollsessioner. Felmeddelande "Kan inte ansluta till den angivna enheten" Felmeddelande "Kan inte ansluta till den angivna enheten" visas i ett antal fall. Utför följande steg i tur och ordning för att bestämma vad som är orsaken till problemet. 1. Se till att både fjärrdatorn och värden har samma kryptering. 2. Kontrollera autentiseringstypen och se till att ange korrekta inloggningsuppgifter. 3. Om du är administratör återskapar du värd-/nyckelfiler som finns på följande platser genom att radera dem och starta om pcanywhere-konsolen: Vista eller senare: C:\ProgramData\Symantec\pcAnywhere\Hosts XP: C:\Documents and Settings\All Users\Application Data\Symantec\pcAnywhere\Hosts 4. Se till att du har rätt nätverksanslutning för värdsystemet. Se till att din brandvägg är konfigurerad på rätt sätt så att du kan pinga värdsystemet o.s.v.