Hej,

I forbindelse med mit job diskuterer jeg ofte sikkerhed i forhold til forretningsapplikationer og integrationer imellem forretningssystemer. Jeg er dog af forskellige årsager blevet bedt om at forhold mig til hvordan man skal opbygge et nyt office-miljø på en sikker måde og her mangler jeg input.

Baggrund:
Virksomheden påtænker at bygge et nyt miljø med Windows XP klienter som har den seneste Office installeret. De skal naturligvis have adgang til en Exchange server. Brugerne består af interne ansatte med alm. it-kundskaber og konsulenter i et forhold 2-1. De interne rejser en gang imellem til udlandske afdelinger og skal herfra have via VPN eller lignende have adgang til deres mails m.m.

Input:
1. Man hører ofte, at man skal bygge sin struktur op således at hvis en klient bliver ramt af virus eller lignende, så kommer den ikke videre derfra fordi man på forskellige måder beskytter serverne og resten af netværket.
2. Man hører også, at det bliver mere og mere ønsket/almindeligt at folk (som f.eks. konsulenter) kan tage sin "egen" computer og plugge den på netværket. Fremtidsperspektivet er (i følge en eller anden forsker), at et firma giver deres ansatte mere i løn og det herefter bliver deres opgave at bringe den nødvendige computer med, at vedligeholde den m.m. At dette kan gøres skyldes naturligvis, at man har beskyttet resten af netværket imod "onde" computere.

Men hvem har erfaringer med det? Er der nogen som kender beskrivelser af sådanne implementationer på et niveau der rækker videre end et salgs-white-paper-niveau?

Jeg vil for alt i verden undgå den typiske implementation, hvor et antal Windows system-administratorer har lukket din computer ned 20% mere end nødvendigt og som herefter nægter at åbne op for noget som helst. Det skal helst være en løsning som flytter ejerskabet af computeren fra system administratorerne tilbage til brugerne.

At skifte til Unix eller lignende pga. anklager om at Windows ikke er sikkert, er nok ikke lige i scope.

Marc Munk

Jeg ville lave en eller anden form for adskilelse mellem klienterne og serverne. Enten med en firewalle eller en router med access lister. Og så kun åbne for det mest nødvendige. Evt hvis det er muligt så få lukket af for trafik mellem klienterne. Der er formentlig ingen grund til at klienterne kan tale med hinanden.

Håber det hjælper dig vidre i dit projekt.

  • 0
  • 0