Het probleem
De minister van onderwijs heeft geconstateerd dat er op het MBO zo goed als niks aan security wordt gedaan en dat dit als verplicht onderdeel toegevoegd zal worden.
Bij deze een taak voor MBO-4 (eigenlijk MBO-5)
Het opzetten van een alternatieve M$ server met een NAS die clients kan adden met SMS tweetrapsverificatie, als mailserver werkt zonder Microsoft en NSA gespioneer, en synchroniseert met een private cloud server als dropbox, maar dan zonder die ongewenste Amerikaanse bemoeienis.
Huidige "beveiliging" M$ server omgeving
1- Sterke wachtwoorden
2- Whitelisten
3- Firewall
4- Gegevens fysiek naar ander locatie zoals:
Externe schijven, NAS, Private cloud Server
6- Tweetrapsverificatie
De tweetrapsverificatie via Google is dan ook totaal onbetrouwbaar wat security aan gaat.
Uiteindelijk heeft elk bedrijf dat geregistreerd staat in de USA te maken met dat Patriot Act
Server/NAS Synology DiskStation DS918+
Naast het installeren van M$ Server en exchange Mail is het de bedoeling dat we een systeem gaan opzetten met zoveel mogelijk veiligheid.
Dat zal een behoorlijke uitzoekerij zijn, maar je hoeft bij ons als BBLer geen productie te maken.
Je hebt dan ook dik 1.000 uur om dat te doorgronden, te installeren en te documenteren
Suggesties, raadgevingen, alternatieven en beschikbare documentatie graag naar info@komp-u-ter-hulp.nl
De opzet is dat nieuwsgierige aagje van een M$ buiten de deur te houden.
En ondanks die beloften van M$ om die privacyschendingen van Office tegen te gaan, vertrouwen we ze voor geen cent.
Uiteindelijk heeft elk bedrijf dat geregistreerd staat in de USA te maken met dat Patriot Act.
De veelgebruikte M$ server en exchange mail.
Wat zou het moeten worden?
En dat met de Mail Plus client
Office Outlook is wat betreft veiligheid sowieso niet aan te bevelen.
Het is wel de bedoeling om als clients Windows 10 machines te gebruiken.
En dan moet die NAS synchroniseren als een soort Dropbox met een private cloud server
Maar als cryptolocker binnen sluipt, dan is de private server ook besmet.
Eigenlijk zou je 2 cloud servers moeten hebben, die je om de beurt gebruikt op even en oneven dagen, of een andere oplossing moeten zien te vinden.
Het inloggen van de clients gaat via tweetraps auhtenficatie
Een wachtwoord en een code die naar je telefoon wordt verstuurd
Hier de mogelijke opstelling
En dan liefst nog met een image van het OS (kopie firmware) en opslag van de data. Zodat, als het bedrijf verwoest wordt door brand, je dezelfde apparatuur nieuw aanschaft om daar weer alles op te kunnen zetten.
NAS Synology DiskStation
DS918+ mailserver
Users
guide PDF
Hoe maak ik de
Synology NAS toegankelijk via internet
Security Advisor
Analyseer
systeeminstellingen, de sterkte van het wachtwoord
en netwerkvoorkeuren en verwijder mogelijke malware.
AppArmor
Dit is een verbetering op
kernelniveau die schadelijke programma's blokkeert
zodat deze geen onbevoegde toegang krijgen tot
systeembronnen.
AES 256-bits encryptie
Versleutel gedeelde mappen en gegevensoverdrachten via het netwerk om onbevoegde toegang tot gegevens te voorkomen
2-stappen verificatie
Voorkom dat anderen zich
bij uw DSM aanmelden door een zescijferig eenmalig
wachtwoord (OTP) te genereren op uw mobiele
apparaat.
Vertrouwensniveau
Pas het vertrouwensniveau
aan in Package Center om te voorkomen dat pakketten
van niet-vertrouwde bronnen worden geïnstalleerd,
zodat uw NAS is beveiligd tegen onbekende of
gevaarlijke pakketbestanden.