Centralizing security and operations of Windows clients in an emergency care IT infrastructure

Abstract

HDO er i dag i en omstillingsprosess der de ønsker å anskaffe en ny kommunikasjonsløsning for det norske nødnettet. Som en del av deres nye løsning, vil HDO sende ut Windows klienter til lokasjoner knyttet til nødnettet, rundt omkring i Norge. Denne prosjektgruppen fikk i oppgave å lage et system til å styre, operere og sikre disse klientene. Opprettelsen av dette systemet har involvert en grundig analyse av vidt forskjellige måter å håndtere Windows-miljø, hvor både erfarne teknikere og relevant litteratur har blitt rådført. Spesifikke systemkrav som sentralisering av styrings-muligheter, automatisering av operasjonelle oppgaver og høy tilgjengelighet hos klientmaskinene, har vært veiledende for valg av styrings-løsningen. Bestepraksiser og industristandarder innen sikkerhet og drift har blitt vurdert og implementer hvor det er hensiktsmessig innenfor det tiltenkte bruksområdet for systemet.

Styringssystemet Configuration Manager fra Microsoft ble valgt som en sentral del av dette systemet, siden det oppfyller kravene for funksjonalitet og egenskaper fremsatt av HDO. Som konseptbevis er det blitt opprettet et domenemiljø for å demonstrere hvordan sikkerhet og drift blir håndtert gjennom livssyklusen til en Windows klient i den foreslåtte løsningen. Domenemiljøet demonstrerer prosessen av å automatisere utrulling av operativsystem bilde-filer, applikasjoner og oppdateringer, i tillegg til hvordan klienter sikrest ved hjelp av Configuration Manager, Active Directory samt andre sikkerhets-verktøy. Sluttproduktet er et system som har brukt samtlige spesifikasjonskrav fra HDO til å skreddersy en løsning for deres bruksområde. Det er også gjennomført en risikoanalyse med fokus på klient-sikkerhet, hvor fordelene ved å implementere det foreslåtte systemet, med tilhørende sikkerhetstiltak, blir fremhevet.

HDO is currently in a restructuring process, where they are procuring a new communication solution for the Norwegian emergency network. As part of their new solution, HDO will provide Windows client machines to locations involved in emergency services across Norway. This project group was tasked with creating a system to manage, operate and secure these client machines. The creation of this system involved thorough research into different approaches of managing Windows environments, where both experienced technical professionals and relevant literature were consulted. Specific system requirements like centralization of management abilities, automation of operational tasks and high availability of client machines informed the choice of the management solution. Best practices for security and industry standards for operations have been considered and implemented where it complies with the intended use cases of the system.

Microsoft’s Configuration Manager was chosen to be at the center of this system, as it delivers on the required functionality and attributes needed to fulfill the conditions set forth by HDO. As a proof of concept, a domain environment has been created to show how security and operation is accomplished throughout the lifecycle of Windows client machines in the proposed environment. The domain environment demonstrates the process of automating the deployment of operating system images, applications and updates, as well as how to secure the clients using Configuration Manager, Active Directory and other security tools. The resulting system has taken all requirements specified by HDO to tailor a solution befitting their use case. A risk analysis focused on client security was completed, detailing the benefits of implementing the proposed system with its added security measures.