Forskel mellem versioner af "IT-sikkerhedsråd"

Fra NørderiWiki
Skift til: Navigation, Søgning
(Computer / Data sikkerhed)
 
(11 mellemliggende versioner af den samme bruger vises ikke)
Linje 17: Linje 17:
 
*Start her: [https://sikkerdigital.dk/borger/fem-sikre/brug-staerke-kodeord Lav et stærkt kodeord]
 
*Start her: [https://sikkerdigital.dk/borger/fem-sikre/brug-staerke-kodeord Lav et stærkt kodeord]
  
'''Brug multi faktor alle steder det er muligt.''' Skulle din adgangskode blive gættet, skal man have adgang til enhed mere for at få adgang.
+
'''Brug multi faktor alle steder det er muligt.''' Skulle din adgangskode blive gættet, skal man have adgang til din mobile enhed for at få adgang.
  
 
Tjek om en side er falsk eller kan have malware:
 
Tjek om en side er falsk eller kan have malware:
 +
https://tjekpånettet.dk/
 
https://www.virustotal.com/gui/home/url
 
https://www.virustotal.com/gui/home/url
 
<br />
 
<br />
 
[https://decentsecurity.com/malware-web-and-phishing-investigation/ Easily Report Phishing and Malware] (lidt mere avanceret).
 
[https://decentsecurity.com/malware-web-and-phishing-investigation/ Easily Report Phishing and Malware] (lidt mere avanceret).
 +
 +
Flere gode råd ang. passwords:
 +
*https://www.ncsc.gov.uk/collection/passwords/updating-your-approach
 +
*https://www.ncsc.gov.uk/blog-post/problems-forcing-regular-password-expiry
  
 
= Computer / Data sikkerhed =
 
= Computer / Data sikkerhed =
 
'''Hold dit software opdateret.''' Dette er nok nr. 1 grund til at der kommer malware/ransomware ind på sin computer/netværk.
 
'''Hold dit software opdateret.''' Dette er nok nr. 1 grund til at der kommer malware/ransomware ind på sin computer/netværk.
 
Opdater Windows og alle programmer. Brug evt. Thor fra Heimdal: [https://heimdalsecurity.com/da/products/thor-free-software-updater Thor FREE - Softwareopdaterer til Windows-pc'er]
 
Opdater Windows og alle programmer. Brug evt. Thor fra Heimdal: [https://heimdalsecurity.com/da/products/thor-free-software-updater Thor FREE - Softwareopdaterer til Windows-pc'er]
 
Så kommer vi til det vigtigste for at undgå at man mister data:
 
  
 
'''Husk backup, og test du kan genskabe''' - Se mere under [[Backup_tips|Backup tips]].
 
'''Husk backup, og test du kan genskabe''' - Se mere under [[Backup_tips|Backup tips]].
Linje 43: Linje 46:
  
 
'''Sikre domæne og hjemmeside mod misbrug og spam''', start her: https://sikkerpånettet.dk/
 
'''Sikre domæne og hjemmeside mod misbrug og spam''', start her: https://sikkerpånettet.dk/
Læs mere her [[Microsoft_Office_365#Undg.C3.A5_spam_og_misbrug_af_dom.C3.A6ne|Undgå spam og misbrug af domæne]] og under [[E-mail_sikkerhed|E-mail sikkerhed]].
+
Læs mere under [[E-mail_sikkerhed|E-mail sikkerhed]].
  
'''Firewall''' der bestykker netværket ude fra er første trin. Husk denne også skal holdes opdateret. Firewall skal også scanne netværket indefra og ud. Se mere under [[Fortinet#Firewall_sikkerheds_tips|Firewall sikkerheds tips]]
+
'''Generelt kun åbne for adgang til det der skal bruges''' hverken mere eller mindre ([https://en.wikipedia.org/wiki/Principle_of_least_privilege Principle of least privilege])
 +
Deri ligger også have få udbydere og eksterne leverandører som muligt. Så man nemmere kan overskue hvem og hvad man har giver adgang til på sit netværk.
  
 
'''Brugere skal ikke være lokal administrator på computere.''' Der findes PAM systemer til at styre dette, så man fx kan tillade at blive lokal administrator i kort tid.
 
'''Brugere skal ikke være lokal administrator på computere.''' Der findes PAM systemer til at styre dette, så man fx kan tillade at blive lokal administrator i kort tid.
 +
 +
 +
 +
== Netværk ==
 +
'''Firewall''' der bestykker netværket ude fra er første trin. Husk denne også skal holdes opdateret. Firewall skal også scanne netværket indefra og ud. Se mere under [[Fortinet#Firewall_sikkerheds_tips|Firewall sikkerheds tips]]
  
 
'''Opdeling af internt netværk''', i fx forskellige afdelinger og funktioner. Netværks udstyr på eget lukket netværk. Servere på eget netværk, kun med de åbninger der præcis er behov for.
 
'''Opdeling af internt netværk''', i fx forskellige afdelinger og funktioner. Netværks udstyr på eget lukket netværk. Servere på eget netværk, kun med de åbninger der præcis er behov for.
Linje 54: Linje 63:
 
Fx DHCP snopping, 1x / wifi enterprise, port security (tilladte mac adr. på porte, )
 
Fx DHCP snopping, 1x / wifi enterprise, port security (tilladte mac adr. på porte, )
  
'''Generelt kun åbne for adgang til det der skal bruges''' hverken mere eller mindre ([https://en.wikipedia.org/wiki/Principle_of_least_privilege Principle of least privilege])
+
= Tips til beskyttelse af Microsoft Office 365 konto =
Deri ligger også have få udbydere og eksterne leverandører som muligt. Så man nemmere kan overskue hvem og hvad man har giver adgang til på sit netværk.
+
  
= Tips til beskyttelse af 365 konto og domæne =
 
  
== Undgå spam og misbrug af domæne ==
+
[https://learn.microsoft.com/en-us/azure/active-directory/identity-protection/howto-identity-protection-configure-risk-policies Configure and enable risk policies]
  
'''SPF''' er kort fortalt en måde at fortælle verden hvem der må sende mail i dit navn. Således dit domæne ikke bliver misbrugt til spam.
 
Og SPF burde jo sådan set være rigeligt for at undgå misbrug, men det er det ikke. Da den måde email er lavet på, er der nemlig 2 Fra adresser. SPF tjekker kun den ene, envelope-from, der er nem at 'snyde' med, og ikke header-from som vises i klienten.
 
<br/>
 
Se den rigtig gode engelsk forklaring her: [http://www.xeams.com/difference-envelope-header.htm Envelope vs Header FROM]. Se også [https://serverfault.com/questions/753496/why-does-dmarc-operate-on-the-from-address-and-not-the-envelope-sender-return Serverfault] og [https://en.wikipedia.org/wiki/Sender_Policy_Framework#Header_limitations Wikipedia].
 
<br />
 
SPF opsættes som TXT records i DNS for domænet.
 
  
'''DKIM''' bruges til at validere at mailen kommer fra hvor den udgiver sig for at komme fra. Det sker ved at indsætte en signatur i mailen, som via DNS records kan tjekkes. Dette er altså noget mail serveren også skal kunne indsætte. Det kan Office 365, se her hvordan det opsættes: [https://technet.microsoft.com/library/mt695945(v=exchg.150).aspx Use DKIM to validate outbound email sent from your custom domain in Office 365].
+
https://docs.microsoft.com/en-us/office365/admin/add-users/let-users-reset-passwords?view=o365-worldwide
<br />
+
DKIM opsættes som TXT records i DNS for domænet. Se vedledning fra udbyderen.
+
  
Alt dette her hjælper ikke noget hvis modtager af mail ikke tjekker SPF/DKIM og afviser mail der ikke godkendes. Da der er flere der ikke tør at afvise mails blev DMARC opfundet.
+
https://docs.microsoft.com/da-dk/office365/admin/security-and-compliance/set-up-multi-factor-authentication?view=o365-worldwide
  
'''DMARC''' er en måde at binde SPF og DKIM sammen. Således kan du fortælle omverden at hvis ikke SPF/DKIM er overholdt må du gerne afvise mail fra mit domæne (da de jo må være forfalsket). Samt der sendes rapporter fra modtager mail servere, om de modtager mails der udgiver sig for at være dig. Dermed kan du langsomt køre DMARC op for at se hvor der er problemer.
+
https://docs.microsoft.com/da-dk/office365/securitycompliance/security-roadmap?redirectSourcePath=%252farticle%252fOffice-365-security-roadmap-Top-priorities-for-the-first-30-days-90-days-and-beyond-28c86a1c-e4dd-4aad-a2a6-c768a21cb352
<br />
+
DMARC sættes også på via DNS record.
+
<br />
+
[https://technet.microsoft.com/library/mt734386(v=exchg.150).aspx Use DMARC to validate email in Office 365]
+
<br />
+
For DMARC rapporter: dmarcanalyzer.com eller https://go.valimail.com/microsoft.html
+
 
+
- Vær opmærksom på der kan være problemer hvis en modtager videresender dine mails automatisk.
+
  
 +
https://docs.microsoft.com/en-us/office365/securitycompliance/responding-to-a-compromised-email-account
  
Se mere på disse links:
 
*God dansk forklaring på SPF, DKIM og DMARC: [https://www.ubivox.dk/blog/dmarc-dkim-og-spf-identitet-og-autentificering/ Identitet og autentificering i email]
 
*[https://henrik.schack.dk/2013/01/22/spf-dkim-dmarc-spambeskyttelse/ SPF, DKIM & DMARC Spambeskyttelse]
 
*[http://www.xeams.com/spf-dkim-dmarc.htm How to use SPF, DKIM and DMARC]
 
*[https://www.plesk.com/blog/business-industry/can-spf-dkim-dmarc-eliminate-junk-emails/ Can SPF, DKIM and DMARC free you from junk emails?]
 
*[https://dmarc.dk/ DMARC.dk]
 
  
[https://technet.microsoft.com/en-us/library/jj200769(v=exchg.150).aspx Submit spam, non-spam, and phishing scam messages to Microsoft for analysis]
 
  
 
== Beskyttelse af konto / MFA ==
 
== Beskyttelse af konto / MFA ==
Linje 105: Linje 90:
  
  
 +
https://learn.microsoft.com/en-us/answers/questions/442349/need-to-block-mfa-registration-from-external-netwo
  
 
+
= Læs mere =
== Læs mere ==
+
  
 
https://www.sans.org/security-awareness-training/blog/time-password-expiration-die
 
https://www.sans.org/security-awareness-training/blog/time-password-expiration-die

Nuværende version fra 17. jun 2024, 16:01

Gode IT-sikkerhedsråd til alle både privat og i virksomheder

Her vil jeg komme med lidt forskellige korte og gode råd til at sikre sig selv og sit IT netværk (computere m.m.)

Dette er med udgangspunkt i et Windows system, med standard indstillinger.

Vigtigste råd kommer her:
Uanset diverse tekniske løsninger er god sund fornuft og skepsis over for fx mails og links noget af det bedste man kan gøre.

Generelt

Dette er de råd alle, også slut brugere, bør kende som minimum.

Brug multi faktor alle steder det er muligt. Skulle din adgangskode blive gættet, skal man have adgang til din mobile enhed for at få adgang.

Tjek om en side er falsk eller kan have malware: https://tjekpånettet.dk/ https://www.virustotal.com/gui/home/url
Easily Report Phishing and Malware (lidt mere avanceret).

Flere gode råd ang. passwords:

Computer / Data sikkerhed

Hold dit software opdateret. Dette er nok nr. 1 grund til at der kommer malware/ransomware ind på sin computer/netværk. Opdater Windows og alle programmer. Brug evt. Thor fra Heimdal: Thor FREE - Softwareopdaterer til Windows-pc'er

Husk backup, og test du kan genskabe - Se mere under Backup tips.

Her er der jo meget forskel på hvilke systemer man bruger, så derfor kan det være lidt mere omfattende, men se mere på backup tips siden.

3-2-1-1-0 Golden Backup Rule

Få et system der blokere malware inden det kommer ind. Fx netværks scanning eller DNS blokering. Her kan den betalte Thor fra Heimdal være en god løsning. Eller en alternativ sikker DNS service: 9.9.9.9 - Se her hvordan dette ændres: Ændre TCP/IP-indstillinger - Se under Sådan giver du indstillingerne for IPv4 manuelt. Eller se vejleding fra Quad9: https://www.quad9.net/microsoft/

Virksomhed

Dette henvender sig til mindre virksomheder. Men er en god baseline for alle.

Sikre domæne og hjemmeside mod misbrug og spam, start her: https://sikkerpånettet.dk/ Læs mere under E-mail sikkerhed.

Generelt kun åbne for adgang til det der skal bruges hverken mere eller mindre (Principle of least privilege) Deri ligger også have få udbydere og eksterne leverandører som muligt. Så man nemmere kan overskue hvem og hvad man har giver adgang til på sit netværk.

Brugere skal ikke være lokal administrator på computere. Der findes PAM systemer til at styre dette, så man fx kan tillade at blive lokal administrator i kort tid.


Netværk

Firewall der bestykker netværket ude fra er første trin. Husk denne også skal holdes opdateret. Firewall skal også scanne netværket indefra og ud. Se mere under Firewall sikkerheds tips

Opdeling af internt netværk, i fx forskellige afdelinger og funktioner. Netværks udstyr på eget lukket netværk. Servere på eget netværk, kun med de åbninger der præcis er behov for.

Intern netværks beskyttelse - For at forhindre alle og enhver at "overtage" netværk. Fx DHCP snopping, 1x / wifi enterprise, port security (tilladte mac adr. på porte, )

Tips til beskyttelse af Microsoft Office 365 konto

Configure and enable risk policies


https://docs.microsoft.com/en-us/office365/admin/add-users/let-users-reset-passwords?view=o365-worldwide

https://docs.microsoft.com/da-dk/office365/admin/security-and-compliance/set-up-multi-factor-authentication?view=o365-worldwide

https://docs.microsoft.com/da-dk/office365/securitycompliance/security-roadmap?redirectSourcePath=%252farticle%252fOffice-365-security-roadmap-Top-priorities-for-the-first-30-days-90-days-and-beyond-28c86a1c-e4dd-4aad-a2a6-c768a21cb352

https://docs.microsoft.com/en-us/office365/securitycompliance/responding-to-a-compromised-email-account


Beskyttelse af konto / MFA

Sæt security defualts til.


Two factor

https://docs.microsoft.com/da-dk/azure/active-directory/authentication/howto-mfa-getstarted

password reset


https://learn.microsoft.com/en-us/answers/questions/442349/need-to-block-mfa-registration-from-external-netwo

Læs mere

https://www.sans.org/security-awareness-training/blog/time-password-expiration-die

Se https://github.com/kramse/security-courses

6 gode råd der gør din digitale hverdag sikker

Center for Cybersikkerheds publikationer - Kommer løbende med nye vejledninger, dog primært henvendt til virksomheder

https://decentsecurity.com/

https://www.cert.dk/da/video

Rådet for Digital Sikkerhed - Digital dannelse

Hentet fra "https://wiki.kvig.dk/index.php?title=IT-sikkerhedsråd&oldid=4157"