2. i
Sammanfattning
Medytekk AB (nedan kallat Beställaren) har bett om konsultation och anbudssvar gällande deras IT-
infrastruktur och hur denna kan både uppgraderas men även göras mer effektiv för Medytekks
personal.
Infrastrukturen är idag i End-Of-Life och behöver därför både uppgraderas och uppdateras för att
medarbetarna hos beställare ska kunna arbeta så effektivt som möjligt. Eftersom infrastrukturen är
gammal ökar också risken för IT-relaterade incidenter i form av säkerhetshoten ökar, support från
leverantörer avslutas och medarbetarna blir ineffektiva då de behöver avvakta långsam teknik.
På grund av detta beslutade Medytekk AB att få en utförlig rapport med förslag och åtgärder för att
kunna effektivisera och säkra upp sin IT-infrastruktur. Man ville också få rekommendationer kring
fysisk utbyggnad samt en framtida lösning på hur de kan bygga ut sin IT-infrastruktur mot
molntjänsten Microsoft Azure.
DIAB AB, förlagda i Helsingborg, fick uppdraget att utvärdera uppdragsbeskrivningen samt
återkomma med rekommendationer och förslag kring detta.
Medytekk AB fungerade som beslutare och beställare avseende den slutgiltiga implementeringen av
infrastrukturen.
Arbetet genomfördes under denna period för kursen Customer Solutions Scenario som ingår i en del
utav yrkeshögskoleutbildningen på EC Utbildning med inriktningen Cloud Computing Engineer.
3. ii
Förord
Målet är uppnått med detta arbete och det presenteras med stolthet i en rapport som anförtrotts
Medytekk AB samt lärare inom EC Utbildning. Resan har varit intensiv och intressant sådan där alla
intressenter har varit aktiva och hjälpt till. Kunskapen som mottagits kommer att medtagas på den
resa som kommer att ske framöver.
Undertecknade vill tacka samtliga på Medytekk AB för att de kontaktat oss gällande förbättringar och
uppgraderingar av deras IT-infrastruktur samt deras hjälp med projektet som gjort detta arbete
utförbart.
Vi vill även rikta ett stort tack till våra externa partners André Kronvall, ATEA Sverige AB, Conny
Rask, Alliero Services AB samt Henrik Ängefjord, Tyréns AB.
Undertecknade önskar en trevlig läsning.
Helsingborg, november 2016
Daniel Hedberg
Didrik Johannesson
Jonny Hermansson
Jonatan Höst
Pierre Thoor
Cloud Computing Engineer
EC Utbildning Helsingborg
4. iii
Innehållsförteckning
1 Introduktion 1
1.1 Bakgrund 1
1.2 Målsättning 1
1.3 Syfte 1
1.4 Effektmål 1
1.5 Avgränsningar 1
1.6 Arbetsmetod 2
1.6.1 Val av metodik 2
1.7 ITIL Foundation 2
2 Ny serverinfrastruktur 3
2.1 Servermiljö 3
2.2 Hårdvara 3
2.3 Mjukvara 4
2.4 Licenser 4
2.4.1 Windows Server 2016 4
2.4.2 VMware vSphere Enterprise Plus 4
2.5 Infrastrukturen 5
2.5.1 Katalogtjänsten Active Directory 5
2.6 Utrullning av nya virtuella maskiner 5
2.7 Säkerhetsinställningar 6
2.7.1 Antivirus 6
2.7.2 Group Policy 6
2.7.3 Windows Update 7
3 Ny klientmiljö 8
3.1 Hårdvara 8
3.1.1 HP Elitebook 840 G3 #1 8
3.1.2 HP Elitebook 840 G3 #2 9
3.1.3 HP Z24n 24” 9
3.1.4 HP Ultraslim Docking Station 2013 9
3.1.5 Logitech K280e 10
3.1.6 Logitech M500 10
3.2 Mjukvara 10
3.3 Licenser 11
3.3.1 Windows 10 11
3.3.2 Bitdefender 11
5. iv
3.4 Säkerhetsinställningar 11
3.4.1 Antivirus 12
3.4.2 Group Policy 12
3.4.3 Windows Update 13
3.4.4 LAPS 13
3.4.5 BitLocker 14
4 Nätverk och nätverksövervakning 15
4.1 Nätverk 15
4.2 VPN 15
4.3 Nätverksövervakning 16
5 Backup & Restore 17
5.1 Programvara 17
5.2 Licens 17
5.3 Volume Shadow Copies Service 17
6 Filhantering 18
7 Mailhantering 19
7.1 Licens 19
8 Riskanalys 20
9 Åtgärdsplan 21
10 Fysisk säkerhet 23
10.1 Yubikey 24
11 Framtidsförslag 25
12 Avslut & Sammanfattning 26
12.1 Referensförteckning 26
13 Bilagor 27
13.1 Active Directory struktur 27
13.2 Active Directory Gruppstruktur 28
13.3 Active Directory Group Policy-struktur 30
13.4 Nätverksplan 31
13.5 Tidsplan 32
13.6 Prisuppgift 33
13.7 Serverdokumentation 34
13.7.1 Lösenord 34
13.8 Om projektgruppen 35
13.9 PowerShell script för import av användare 36
6. 1
1 Introduktion
Denna rapport ingår som en del i yrkeshögskoleutbildningen på EC Utbildning med inriktning på
Cloud Computing Engineer.
1.1 Bakgrund
DIAD AB har fått i uppgift att undersöka samt ge rekommendationer gällande ny och en mer
konsoliderad infrastruktur till Medytekk som i denna rapport refereras till beställaren.
I detta inkluderas konsolidering av servrar samt brandväggar för en mer effektiv och framförallt
kostnadseffektiv miljö.
Man vill även få rekommendationer kring en fysisk ombyggnation om man under projektets gång
anser att detta är nödvändigt.
1.2 Målsättning
Huvudmålet med detta projekt blir att skapa en rekommendation gällande ny infrastruktur för
beställaren då detta bolag är under en stor expansionsfas och behöver därför kunna dels effektivisera,
administrera och säkra upp deras miljö mer centralt.
1.3 Syfte
Det huvudsakliga syftet med projektet är att gå från EOL-fas (End-Of-Life) på både hårdvara som
mjukvara till GA-fas (General Availability) där man dels får leverantörssupport och en säkrare IT-
miljö. Även att man i denna rapport har undersökt och nu klargjort olika förslag på produkter och
lösningar som kan hjälpa beställaren med att effektivisera sitt arbete.
1.4 Effektmål
Med hjälp av en ny infrastruktur som delvis konsoliderats bedöms beställaren kunna effektivisera sitt
arbete med 70 % då man dels får en mer driftsäker infrastruktur men också en allt mer supporterad
och enhetlig miljö.
Att uppnå en 70 % ökning på effektiviteten bedöms som ett stort effektmål.
1.5 Avgränsningar
I och med att beställaren är ett läkemedelsbolag vill man därför inte spara sin information i molnet
men vill gärna se förslag och rekommendationer för framtida utbyggning mot molnet och då specifikt
mot Microsoft Azure.
Projektet kommer inte heller innebära att man kommer ha hand om utrullningar för nya klientdatorer
då den interna IT-avdelningen kommer att handhava detta.
Migrering av nuvarande serverpark kommer inte att ske inom ramen för detta projekt.
7. 2
1.6 Arbetsmetod
Beställaren ville ha en empirisk undersökning av deras IT-miljö där man sedan kan återge
rekommendationer på uppgraderingar för att effektivisera och säkra upp en ny IT-miljö.
Olika former av laborationer, litteraturstudier och tester har utförts inom ramen för projektet där man
eliminerat så många framtida problem som möjligt för beställaren.
1.6.1 Val av metodik
I detta projekt har man valt den kvalitativa metoden då den informationen som koncentrerades var till
en stor mängd. Detta gav beställaren en djupare förståelse av problemen som är relaterade till
ineffektiviteten.
Den kvalitativa metoden är den grundläggande forskningsmetoden inom hermeneutik där man fick
fram en kvalitativ empiri.
Den kvantitativa metoden var inte aktuell i detta arbete då förståelsen av problemet fanns men inte en
djupare sådan.
1.7 ITIL Foundation
ITIL, IT Infrastructure Library, är ett ramverk där man besvarar frågeställningar som hur man
identifierar, planerar, levererar och supporterar IT-tjänster med hjälp av processer.
För beställaren rekommenderas att man använder sig utav en Change process (ändringshantering) när
man vill göra någon form av ändring i IT-miljön. Exempelvis att ha möten om inverkan för de
månatliga Microsoft uppdateringarna, eller vid implementering av en ny applikation där man utser
testpiloter som sedan rapporterar in diverse avvikelser som har uppstått eller om man anser att
systemet är driftsäkert så att uppdateringarna eller applikationen kan skickas ut till resterande i
verksamheten. Med denna process säkerställer man att inga ändringar görs utan plan eller riskanalys.
Något som beställaren borde implementera är någon form av inventarierverktyg för att hålla kontroll
på vilka inventarier som finns för att kunna implementera Service Asset och Configuration
Management processerna.
Vi på DIAB erbjuder olika servicenivåer som en del av processen Service Operation. Detta för att
säkerställa så att tjänsterna körs utan avbrott och att man arbetar proaktivt. De olika servertjänsterna
som är installerade i infrastrukturen kan ha olika servicenivåer.
Incident och Problem Management processerna kommer i kraft om någon incident sker en eller flera
gånger, som då övergår i Problem Management där Incident Manager samt Problem Manager lyfter
problemet och kontrollerar om någon ändring/fix kan lösa problemet. Här arbetar man tillsammans
med Change Manager för att implementera ändringen som först går igenom
ändringshanteringsprocessen.
Finns många fler processer i ITIL ramverket men kommer initials inte att användas. En närmare
diskussion kring addering av processer sker på nästkommande ledningsgruppsmöte.
8. 3
2 Ny serverinfrastruktur
2.1 Servermiljö
Beställaren efterfrågan en ny IT-miljö då den nuvarande befinner sig End-Of-Life läge men också en
central administrationsmiljö där man kan effektivisera sitt arbete.
Lösningsförslaget är att ha minst tre fysiska servrar (kallat hostar) i en VMware-miljö.
VMware ESXi är ett operativsystem som är ämnat för virtualisering. Med virtualisering får vi
fördelar som förenklar serverhantering, konsolidering, reducerad kostnad för el och kylning.
Beroende på hur kunden vill sköta sin migrering av den gamla miljön, så kan vi utnyttja P2V; som
står för physical-to-virtual.
Vår rekommenderade VMware-konfiguration bygger på att företaget inom snarast bygger ut sin
serverpark. Kunden har bett om 1 server att börja med, men vår rekommendation för att försäka
driftsäkerhet och datatillförlighet innebär att kunden bör ha 3 servrar. Till detta förslag ingår följande
kostnadstillägg:
Mellanox 10Gbit ConnectX-2 DualPort 2 000 3 st. 6 000
VMware vSAN Advanced (1x CPU) 36 324 3 st. 108 972
Cisco 3m 10Gbit SFP+ Twinax 500 3 st. 1 500
Kostnaden tillåter kunden att utnyttja den fulla kapaciteten av vSAN med funktioner så som till
exempel: deduplication, distribuerad RAID, SSD caching och checksumming.
När tillfället för uppgraderingen väl kommer så kan man även undersöka möjligheterna för 40Gbit
Infiniband och QSFP-kablage för ökad hastighet.
2.2 Hårdvara
Vi har valt HP:s serverserie ProLiant med senaste generationen (G9) för att få prisvärd och robust
hårdvara. Med 24st SFF-platser (2,5” hårddisk) så finns det god möjlighet för utbyggnad av lagring.
Processorn består av 8 kärnor och har 16 trådar med hjälp av Intels HyperThreading-teknologi. På
moderkortet finns det plats till en till processor, så allt kan byggas ut om mer serverkraft behövs.
HP ProLiant DL380 Gen9
Pris: 32.000 SEK
Intel E5-2620V4 2,1GHz
128 GB RAM minne
2st 200 GB SSD hårddisk
Figur 1. HP ProLiant DL380 Gen9. Källa: HP
9. 4
2.3 Mjukvara
Eftersom Microsoft Windows Server 2012 R2 nyligen blivit ersatt av Microsoft Windows Server
2016 kommer vi därför att rekommendera detta för att vara i framkant och slippa byta
operativsystemsversion inom 1 år och därmed öka licenskostnaderna samt öka säkerheten jämfört
med den äldre versionen.
Antivirusleverantör kommer bli Bitdefender efter många tester då denna programvara använder
minimalt antal resurser på både server som klient.
2.4 Licenser
För servermiljön behövs olika licenser, först måste vi ha licens för VMware som är listad under
rubrik 2.4.2. För de virtuella maskinerna inuti VMware behövs en Windows-licens för varje virtuell
maskin som kommer använda Windows som operativsystem.
2.4.1 Windows Server 2016
Pris: 475 SEK per 2 cores (minimum per server är 16 kärnor så det behövs 8 licenser per server)
Pris per server: 3.800 SEK
Antal Windows servrar: 8 st.
Totalpris: 30.400 SEK
2.4.2 VMware vSphere Enterprise Plus
Som beställaren angivit i sin uppdragsbeskrivning vill man först använda en host i sin miljö för att
sedan kunna bygga ut enkelt vid behov.
Licensavtalen hos VMware är per processor och man köper support hos VMware för tre år i stöten.
Använder man mer än en host behövs en central hantering av ESXi-hostar som heter vCenter.
Prisuppgift för en host:
Support 3 år: 21.510 SEK
vSphere licens: 32.677 SEK
Totalpris: 54.187 SEK
Prisuppgift för expansion:
Vid expansion till tre hostar med en processor i varje behövs:
Support 3 år: 64.530 SEK
vSphere licens: 32.677 SEK/processor = 97.881 SEK
vCenter: 55.926 SEK
Totalpris: 218.337 SEK
10. 5
2.5 Infrastrukturen
Tabell över infrastrukturen med servrar samt roller och tjänster.
SERVERNAMN ROLLER
Host1 VMware ESXi 6.0
Host2 VMware ESXi 6.0
Mgmt-WS2016 Management server
Main-FW FreeBSD, brandvägg, pfSense
vCenter Linux vCenter appliance
PROD-DC1 Domänkontrollant
DNS-server
DHCP-server
PROD-DC2 Domänkontrollant
DNS-server
DHCP-server
PROD-APP1 Microsoft SQL Server
PROD-DEP1 Windows Deployment Services
Microsoft Deployment Toolkit
Bitdefender Relay Server
Windows Server Update Services
PROD-DA1 Remote Access (DirectAccess)
IIS
BITDEFENDER Bitdefender GravityZone Business Security
PROD-FILESRV1 File server
VSS
PROD-BACKUP1 Veeam Backup v.9
2.5.1 Katalogtjänsten Active Directory
Då beställarens företag fortfarande är ganska litet till storleken väljer vi att bygga om Active
Directory strukturen från grunden, detta för att beställaren skall ha en skalbar struktur som följer
dagens bransch standard.
Vi väljer att titta på hur företaget är uppbyggt rent fysiskt då vi skapar containers och grupper.
Noterbart är att administratörs (adm_<avdelning>) och användargrupperna (anv_<avdelning>_r/rw)
är till för att sortera slutanvändare inom de olika avdelningarna. Administratörs och
användargrupperna tilldelas som medlemmar av dl_<avdelning>_r och dl_<avdelning>_w grupperna
som i sin tur används för rättigheter.
Se bilaga 13.2 Medytekk – Gruppstruktur.
2.6 Utrullning av nya virtuella maskiner
För nya virtuella maskiner så har vi skapat en template till Windows Server 2016 med senaste
uppdateringarna från den 13 november 2016. Till detta tillkommer även en ”Customization
Specification” för att den virtuella maskinen ska automatiskt gå med i domänen och gå igenom
installationsprocessen själv.
11. 6
2.7 Säkerhetsinställningar
Eftersom beställaren är ett läkemedelsföretag så krävs det att säkerheten, både fysisk som digital är av
största vikt och prioriterad. Vi kommer att implementera antivirus, olika policys vad organisationen
får och inte får göra, samt en struktur och process över operativsystemsuppdateringar.
2.7.1 Antivirus
För servermiljön kommer Bitdefender och deras GravityZone Business Security-lösning där även
klientmaskinerna kommer att hanteras. Allt från fysiska maskiner till virtuella maskiner och även
olika operativsystem kommer att skyddas.
Antivirus-servern (Bitdefender.medytekk.se) installeras genom en så kallad Virtual Appliance med
Ubuntu som operativsystem. Detta för en snabb och säker installation med ytterst få inställningar.
Man når management interface genom att gå till IP-adress 192.168.0.151 och där ser man alla
inställningar, vilka maskiner som är skyddade, sätta upp nya policys, skjuta ut installationspaket till
nya maskiner, dra ut rapporter, titta på diverse status etc.
De säkerhetsinställningar som är konfigurerade för servermiljön i Medytekks domän är policyn
Default AV Server Policy som innehåller följande inställningar:
Normal genomsökning av filer/nätverksenheter när användarna öppnar filer
Aktiverat Ransomware skydd
Snabb genomsökning av systemhårddisk en gång om dagen (kl. 05:00)
Full genomsökning av systemhårddisk en gång om dagen (kl. 00:00)
Enhetskontroll (Device Control modulen) som söker igenom USB-enheter samt CD/DVD
media
Aktiverat Intrusion Detection System (IDS)
Hämta uppdateringar en gång per timme från lista (högsta prioritering först):
1. PROD-DEP1 (Relay Server)
2. Lokal Bitdefender-server
3. (Fallback URL upgrade.bitdefender.com)
2.7.2 Group Policy
Servermiljön kommer ha olika policys beroende på vilken roll de har för infrastrukturen men också
gemensamma policys för att säkra upp miljön.
Default Domain Policy: Innehåller inställningar för hela domänen som exempelvis
lösenordshantering.
Direct Access Server Settings: Inställningar för DirectAccess servern.
Default Domain Controllers Policy: Inställningar för domänkontrollanterna.
Change localadmin name: Av säkerhetsskäl byts Administrator ut mot MedyAdm.
Do not show last logged in user: Av säkerhetsskäl visas inte användarnamnet för den senaste
inloggade.
WSUS Settings Domain Controllers: Windows Update inställningar för
domänkontrollanterna, se 2.7.3 Windows Update.
WSUS Settings Prod Servers: Windows Update inställningar för produktionsservrar, se
2.7.3 Windows Update.
12. 7
2.7.3 Windows Update
Samtliga Windows servrar kommer varje månad få nya säkerhetsuppdateringar installerade. Andra
tisdagen i månaden runt kl. 19:00 svensk tid släpper Microsoft sina månatliga uppdateringar för
supporterade programvaror.
Servermiljön kommer att få dessa installerade några dagar senare för att eliminera riskerna med
dåliga uppdateringar som kan störa affärsverksamheten och därmed innebära en viss nedtid på miljön.
Automatiska omstarter är ej konfigurerade på servermiljön då dessa kräver en viss övervakning för
omstarter.
För domänkontrollanterna så kommer uppdateringarna också att installeras några dagar senare och
inte initiera en automatisk omstart utan det sköts manuellt av IT-personal för att de sedan ska testa så
att användarna kan logga in mot domänkontrollanterna.
13. 8
3 Ny klientmiljö
Då beställaren byter ut hela sin IT infrastruktur är det att rekommendera en standardisering av
slutanvändarens hårdvara. Detta för att säkerställa att slutanvändaren kan arbeta på bästa sätt mot den
nya infrastrukturen samt att förenkla för administratörer som på så sätt kan fokusera på att ta hand om
att finslipa infrastrukturen.
3.1 Hårdvara
Till slutanvändare har vi valt att ta fram två olika specifikationer av HP Elitebook 840 G3. Ett bärbart
kraftpaket som gör att alla slutanvändare hos beställaren kan vara produktiva både på och utanför
kontoret. HP Elitebook rymmer alla viktiga portar, VGA, Display Port, RJ-45, USB, USB-C finns
med samt dockningskapacitet. Som skydd mot visuell hackning har Elitebook 840 G3 även ett unikt
inbyggt sekretesskydd som är speciellt framtaget av HP och 3M, detta sekretesskydd gör att man inte
kan se vad som står på skärmen om man inte sitter mitt framför skärmen.
Vår rekommendation från DIAD AB är det första alternativet då det kommer med dubbelt så mycket
RAM-minne samt mycket större SSD hårddisk, en kraftigare maskin helt enkelt.
3.1.1 HP Elitebook 840 G3 #1
Pris: 14.000 SEK/st.
Antal: 100 st.
Totalpris: 1.400.000 SEK
14 tums skärm / 1920 x 1080
Intel Core I7-6500U 3.1GHz
16 GB RAM-minne
512 GB SSD hårddisk
Intel HD Graphics 520
Figur 2. HP Elitebook 840 G3. Källa: HP
14. 9
3.1.2 HP Elitebook 840 G3 #2
Pris: 9.000 SEK/st.
Antal: 100 st.
Totalpris: 900.000 SEK
14 tums skärm / 1920 x 1080
Intel Core I5-6200U 2.8GHz
8 GB RAM-minne
128 GB SSD hårddisk
Intel HD Graphics 520
Figur 3. HP Elitebook 840 G3. Källa: HP
3.1.3 HP Z24n 24”
Pris: 2.600 SEK/st
24 tums IPS-skärm / 1920 x 1080
Figur 4. HP Z24n. Källa: HP
3.1.4 HP Ultraslim Docking Station 2013
Pris: 1.400 SEK/st.
Figur 5. HP Ultraslim Docking Station 2013. Källa: HP
15. 10
3.1.5 Logitech K280e
Pris: 200 SEK/st.
Figur 6. Logitech K280e. Källa: Logitech
3.1.6 Logitech M500
Pris: 250 SEK/st.
Figur 7. Logitech M500. Källa: Logitech
3.2 Mjukvara
För klientdatorer så rekommenderas Microsofts senaste operativsystem Windows 10 p.g.a. att inom
ett par år kommer supporten för Windows 8.1 att avslutas.
Versionen på Windows 10 blir i Enterprise-version (E3) för enklare hantering av samtliga
klientdatorer samt dess licenser (läs mer om licenserna under rubriken 3.3 Licenser).
Klientdatorerna installeras genom Windows Deployment Services och Microsoft Deployment Toolkit
(servern PROD-DEP1). En referensbild på en klientdator är tagen för snabbare utrullning av nya
klientdatorer, här finns både Windows 8.1 samt Windows 10. På denna referensbild inkluderas
följande programvaror och applikationer:
Senaste Windows-säkerhetsuppdateringar (2016–11)
Microsoft .NET Framework 3.5 & 4.6
Microsoft Visual C++ (2005, 2008, 2010, 2012, 2013, 2015)
Oracle Java 8 Update 111 (x86- & x64-versionerna)
Google Chrome
Adobe AIR
Adobe Shockwave 12.2.5.195
7-Zip 16.04
Foxit PDF Reader 8.1
Drivrutiner för HP Elitebook 840 G3
16. 11
När man gör en utrullning till en ny klientdator så använder man referensbilden samt ett schema som
gjorts i Microsoft Deployment Toolkit (servern PROD-DEP1) som heter Production Installation
Windows 10. Med hjälp av dessa skapas en så kallad BAS-installation som innehåller ovannämnda
applikationer men också:
Microsoft Office 2016
Local Administration Password Solution (LAPS)
Bitdefender
De applikationerna installeras alltid utanför referensbilden p.g.a. tekniska anledningar.
3.3 Licenser
Här presenteras licenskostnader för klientdatorer där operativsystemet samt kostnader för antivirus
finns med i BAS-installationen. Licenskostnader för Office 365 finns under kapitel
7 Mailhantering/Licens. Övriga programvaror och applikationer har inga licenskostnader eller typer
av avgifter.
3.3.1 Windows 10
Klienterna kommer att utrustas med Windows 10 Enterprise E3-versionen.
Pris: 692 SEK per enhet och år.
Antal: 100 st.
Totalpris: 69.200 SEK per år
Det som också behövs är Microsoft CoreCAL Bridge licens så att klienterna kan använda tjänster
inuti miljön.
Pris: 26 SEK per användare och per månad
Antal: 100 st.
Totalpris: 2.600 SEK/månad
3.3.2 Bitdefender
Klienterna kommer att utrustas med Bitdefender som antiviruslösning.
Pris: 240 SEK per enhet och år
Antal: 100 st.
Totalpris: 24.000 SEK per år
3.4 Säkerhetsinställningar
Här presenteras de olika säkerhetsinställningar som rekommenderas för Medytekks klientmiljö för att
kunna säkerhetsställa och vara skyddade mot exempelvis IT-relaterade hot och elakartad kod.
17. 12
3.4.1 Antivirus
Programleverantör är Bitdefender och deras lösning heter GravityZone Business Security som även
används på servernivå (ej VMware ESXi). De moduler som är installerade på varje enskild
klientdator är:
Antivirus
Antimalware
Antiphishing
Device Control
Bitdefender installeras i samband med utrullning av nya klientdatorer men kan också avinstalleras
eller ominstalleras via det grafiska gränssnittet på Bitdefender-servern.
De säkerhetsinställningar som är konfigurerade för klientdatorer i Medytekks domän är policyn
Default AV Workstation Policy som innehåller följande inställningar:
Normal genomsökning av filer/nätverksenheter när användarna öppnar filer
Aktiverat Ransomware skydd
Snabb genomsökning av systemhårddisk en gång om dagen (kl. 16:00)
Full genomsökning av systemhårddisk en gång om dagen (kl. 12:00)
Enhetskontroll (Device Control modulen) som söker igenom USB-enheter samt CD/DVD
media
Aktiverat Intrusion Detection System (IDS)
Avaktiverar nätverksidentifiering när enheten är på publikt nätverk (så som café etc)
Aktiverar nätverksidentifiering när enheten är på ett hemmanätverk eller på arbetsplats
Hämta uppdateringar en gång per timme från lista (högsta prioritering först):
1. PROD-DEP1
2. Lokal Bitdefender-server
3. (Fallback URL upgrade.bitdefender.com)
3.4.2 Group Policy
De policys som vi rekommenderar att beställaren nyttjar för att hålla en eftergiven struktur och
enhetliga inställningar för samtliga klientmaskiner är:
Företagsbakgrundsbild
Blockera access till kontrollpanelen
Se till att UAC är igång och kan inte stängas av från en icke-administratör
BitLocker-inställningar
Local Administration Password Solution-inställningar (se 3.4.4 LAPS)
Att externa enheter blockeras eller krypteras med hjälp av BitLocker
Windows Update-inställningar (se 3.4.3 Windows Update)
Folder redirect-inställningar
Ta bort senaste inloggade användaren från inloggningsrutan
DirectAccess Client Settings, som ställer in inställningar för DirectAccess
Windows Firewall-inställningar
18. 13
3.4.3 Windows Update
Samtliga klienter kommer varje månad få nya säkerhetsuppdateringar installerade. Andra tisdagen i
månaden runt kl. 19:00 svensk tid släpper Microsoft sina månatliga uppdateringar för supporterade
programvaror.
Klientmiljön kommer att få dessa uppdateringar installerade onsdagar kl. 06:00 där man aktiverat
automatisk omstart av datorn om så krävs. Detta för att höja säkerheten i nätverket då dessa är
uppkopplade direkt mot Internet.
Även aktiverat är automatisk uppvakning av klienterna för att kunna installera uppdateringarna.
3.4.4 LAPS
I arbetet om att hålla en hög säkerhetsnivå kommer vi använda LAPS, Local Administrator Password
Solution, som möjliggör att varje enskild klientdators lokala administratörskonto får helt olika
lösenord. Dessa lösenord sparas i katalogtjänsten Active Directory under attributer för varje enskilt
datorobjekt. Attributen heter ms-Mcs-AdmPwd och ms-Mcs-AdmPwdExpirationTime.
Lösenorden byts var 30:e dag och kommer innehålla 14 tecken där de tillåtna tecknen är versaler,
kapitäler samt siffror. Alla dessa inställningar styrs via Group Policy där endast organisationsenheten
innehållande klientdatorer kan processa denna policy.
På domänkontrollanterna finns programvaran LAPS UI där man kan söka efter ett datorobjekt där
den sedan visar administratorslösenordet och datumet för när lösenordet byts ut.
Figur 8. LAPS gränssnitt. Källa: Microsoft
19. 14
3.4.5 BitLocker
BitLocker är en krypteringsmetod för klientmaskiner och deras hårddiskar. Med hjälp av detta så kan
inte obehöriga komma åt datan och informationen om datorn mot förmodan skulle stjälas eller också
glömmas på en offentlig plats. Företagets data är säkrat från obehöriga.
Denna funktion aktiveras i samband med utrullning av klienterna med hjälp av Microsoft Deployment
Toolkit. En Group Policy, BitLocker Settings Workstations, ligger aktiverad mot alla klienter så om
någon skulle av misstag råka låsa sin dator i BitLocker-läget kan administratörer låsa upp datorn så
den kan användas igen.
Figur 9. BitLocker Recovery Tab.
20. 15
4 Nätverk och nätverksövervakning
För att sköta nätverket har vi valt att använda Ubiquitis produkter då de erbjuder bra produkter till ett
bra pris. Genom att använda dem hela vägen med router, switch samt AP så får man ett gränssnitt för
att styra hela nätverket. Ubiquitis switchar förenklar även installation av APs då dem har inbyggd
PoE vilket gör att man slipper dra strömsladd till varje AP utan istället så för dem ström genom
vanlig nätverkskabel.
Ubiquitis APs tillsammans med controller mjukvaran som körs på deras Cloud Key gör att personalen
får en smidig upplevelse när de rör sig i byggnaden och då byter APs för att få bättre signal.
Antal Benämning Tillv. art. nr. Pris per st Pris totalt
3 Ubiquiti UniFi Switch US-48-750W US-48-750W 10.495 kr 31.485 kr
5 Ubiquiti Unifi AP-AC Pro UAP-AC-PRO 1.299 kr 6.495 kr
1 Ubiquiti Unifi Security Gateway USG-PRO-4 3.195 kr 3.195 kr
1 Ubiquiti Unifi Cloud Key UC-CK 945 kr 945 kr
4.1 Nätverk
Vi har byggt upp tre nätverk på begäran.
Produktion: 192.168.0.0/24 på VLAN 10 med DHCP från DC:s på 192.168.0.10 och 192.168.0.11. I
produktionsnätverket finns servrar och klienter, det dagliga nätverket helt enkelt. All trafik routas ut
på internet.
Management: 192.168.10.0/24 på VLAN 5, här finner vi servrar som finns bara för att hantera
nätverket. Bland annat en server för att hantera de andra Windowsservrarna, en server för Wireshark
för avlyssning av nätverk och hantering av antivirus. Ingen trafik routas ut på Internet, utan det når
endast produktionsnätverket.
Ett tillägg i management-nätverket är 192.168.99.0/24, ett eget nätverk för VMwares vMotion och
lagring.
Test/Utveckling: 192.168.0.0/24 på VLAN 20. Detta nätverk är tomt just nu, men det kommer att
användas för test. Genom att klona alla virtuella maskiner kan man få ett identiskt nätverk men endast
för test och utveckling av ny programvara. Ingen trafik routas ut på internet eller når övriga delar av
nätverket.
4.2 VPN
För att hålla en hög säkerhet hela vägen även när personalen kommer vara utanför kontoret så har vi
valt att använda DirectAccess som VPN. Detta har vi valt för att göra det så enkelt för användarna
som möjligt. Genom att använda DirectAccess så behöver inte användarna tänka på att aktivera VPN
när de är utanför kontoret då detta sköts per automatik.
DirectAccess har förbättrats mycket i Windows 10 och finns nu inbyggt från början. DirectAccess
aktiveras sedan med hjälp av GPO som rollen skapar själv.
21. 16
4.3 Nätverksövervakning
Kunden har i sin beställning bett om ett sätt att övervaka nätverkstrafik. Vi har löst detta genom att
skapa en virtuell maskin med nätverksövervakningsmjukvaran Wireshark. Den virtuella maskinen har
tillgång till alla VLAN och kan därför se över all trafik. Detta har krävt att ”promiscuous mode”
tillåts på alla virtuella switchar; vilket är en säkerhetsrisk. Resultatet är att alla maskiner kan övervaka
all nätverkstrafik, men i diskussion med kunden har det ansetts vara acceptabelt.
22. 17
5 Backup & Restore
En dedikerad VM som sköter backupen med programvaran Veeam. Backup körs dagligen med
kompletta backuper veckovis. Återläsning och verifiering av backuper sköts regelbundet. Notifikation
i form av mail skickas till veeam@medytekk.se. Detta är en delad brevlåda som kopplats till backup-
administratörens mailbox. Det tas fullständiga backuper på hela miljön en gång per månad och
inkrementell backup dagligen. Återläsning (testning) görs en gång i månaden (efter fullständig
backup).
Backup görs till nätverksdisk på annan VM. Det går iväg mail med status efter varje jobb till
specificerad mailadress. Kopior av backup görs till extern lagring (som står i ett annat rum än i
serverrummet) i form av en NAS och vitala delar backas upp externt till en server på DIAD AB.
5.1 Programvara
Programvaran som rekommenderas är Veeam Backup & Replication v9 Enterprise då man kan
återställa en hel virtuell maskin på bara minuter eller också objekt i Active Directory, t.ex. om man
råkat ta bort fel användare och inte har aktiverat Active Directory Recycle Bin.
5.2 Licens
Veeam Backup & Replication v9 Enterprise – 11.040 SEK.
Vid expansion av bolaget rekommenderas att man uppgraderar till Veeam Backup & Replication v9
Enterprise Plus som då kommer kosta 18.240 SEK.
5.3 Volume Shadow Copies Service
För snabb och smidig hantering av versioner av sparade filer har vi aktiverat tjänsten VSS. Det
innebär att det sparas kopior av alla dokument som man sedan kan välja tidpunkt att återgå till utan
att behöva öppna upp backup jobb. Vi har valt att låta versionerna sparas i 10 dagar (så man kan gå
tillbaka 10 dagar i tiden för varje fil)
23. 18
6 Filhantering
Filhanteringen omfattar både Microsoft OneDrive till slutanvändare om 1TB per användare, som
ingår i Office 365 där lagringen sker i molnet på servrar i Europa. Det finns även lagring i form av en
filserver som står i en säker miljö på företaget. Här sparas känslig information som har en högre
säkerhetsklassning.
Filer på filservern omfattas av backup och redundans i form av DRS och att Volume Shadow Copies
Service är aktiverat med 30 minuters intervaller som sparar i tio dagar. Filerna replikeras även över
på en extern lagring.
Användare ansvarar själva för att spara rätt fil på rätt plats och att separera privata dokument från
företagets dokument.
24. 19
7 Mailhantering
Microsoft Office 365 inkl. lokal installation av Microsoft Office 2016 till varje användare. Hantering
av användare och konto sköts av Active Directory och synkroniseras med Azure AD Connect. Den
lokala IT-avdelningen hanterar administrationen av befintliga och nya användare.
I Office 365 Admin Center > Health > Directory Sync Status kan man se status över den senaste
synkroniseringen av katalogtjänsten men också lösenordssynkroniseringen.
Figur 10. Directory Sync Status. Källa: Office 365 Admin Center
I Admin Center kan man också ställa in vilken form av Office-licens varje användare ska ha.
I bilaga 10.1 finns ett PowerShell-script för importering av användare mot en CSV-fil. Dessa
användare kommer att lagras på de lokala domänkontrollanterna och sedan synkroniseras upp mot
Azure AD.
7.1 Licens
Beställaren vill använda sin mailhantering hos Microsoft och deras tjänst Office 365. Office 365 är en
prenumerationstjänst där kostnaden för en licens ligger på 210 SEK per användare och per månad.
Kostnad: 210 SEK per användare och per år.
Antal: 100 stycken.
Totalpris: 21.000 SEK
25. 20
8 Riskanalys
RISK SANNOLIKHET KONSEKVENS RISKVÄRDE
Stöld av hårdvara on-site 2 7 14
Stöld av hårdvara off-site 7 2 14
Dataintrång 6 9 54
Strömavbrott 2 9 18
DDoS attack 3 8 24
Social engineering 2 10 20
Oavsiktlig borttagning av filer 5 10 50
Lösenord skrivs ner 9 10 90
DOA 3 5 15
WAN-länk går ner 2 7 14
Hårddisk, driftfel 4 9 18
Virus outbreak 3 7 21
Elfel 3 9 27
Automatisk installation av
korrupt uppdatering
2 8 16
26. 21
9 Åtgärdsplan
För att förebygga stöld av hårdvara (klient laptop eller server) föreslår vi att man använder sig av
låskabel till laptop samt att servrarna monteras i det säkerhetsskåp som vi har föreslagit. Vi förlust av
exempelvis laptop så kan man via AD blockera och radera enheten ”remote”. Tidsplan för åtgärd, ca
3 arbetsdagar att ersätta stulen hårdvara och återställa från backup
Dataintrång har gjorts så svårt som möjligt med krav på VPN anslutning till företagsnätverket med en
gedigen lösenordspolicy och två-stegs-faktor inloggning när man ej är på plats på företaget. Tidsplan
för åtgärd, dataintrång är svårt att sätta tid på men har hög prioritet så vi räknar med att vara på plats
inom 4 timmar.
Strömavbrott hanteras av UPS som håller servers igång så länge så att dom kan stängas ner på ett
säkert sett. Tidsåtgång, UPS:er reagerar omedelbart sen är det upp till extern aktör att fixa
strömavbrott.
DDoS attacker är svåra att skydda sig mot men vi har valt att lägga alla publika hemsidor på ett
webhotell offsite vilket skyddar mot dom ytligaste attackerna. Tidsåtgång, en DDoS attack är svår att
uppskatta, vi får information om det och kan börja ta åtgärder inom 4h.
Ett ganska vanligt förekommande ”problem” när man har större företag med hemligheter är att
hackers använder sig av s.k. ”Social Engineering” för att få access till företagsnätverk. Detta är nästan
helt omöjligt att skydda sig mot. Vi har valt att lägga tid på internutbildning i IT säkerhet. Vad
personal ska tänka på och hur man ska agera om en främling kommer med frågor som kan användas
vid intrång. Tidsåtgång, ca 2 timmars utbildning med personalen.
En ganska vanligt förekommande beteende hos användare är att man skriver ner sina lösenord på
papper eller liknande i anslutning till ens arbetsstation. Datorerna är utrustade med
fingeravtrycksläsare så att personen i fråga vet egentligen inte sitt lösenord och det byts med
automatik var 14e dag via GPO och Windows Biometric Framework Feature koppling till AD.
Tidsåtgång, ca 2 timmars utbildning med personalen.
Skulle användaren råka ta bort en fil från sin lagringsplats på servern så kan en utvald användare med
förhöjd säkerhets status återställa filen snabbt med VSS eller om filen legat på OneDrive så sparar
OneDrive flera versioner av samma fil automatiskt. Tidsåtgång, ca 30 min från anmäld ticket hos IT-
avdelningen
Vid DOA så tar ansvarig beställare kontakt med försäljningsstället och returnerar enheten i utbyte
mot en ny. Tidsåtgång, ca 3 arbetsdagar.
Om en hårddisk på servern skulle gå ner så byter man helt sonika ut den, all data sparas med
redundans så effekten blir att den totala kapaciteten minskar tills hårddisken är utbytt. Tidsåtgång,
upp till 3 dagar.
Vid eventuellt virus så finns det dagliga backuper tagna så att det alltid går att återfå skadade eller
borttagna data. Vi har förebyggt virus-spridande genom att lägga hög säkerhet på bilagor i mail och
att med rättighetsinställningar sett till att personer ej har rättigheter att skriva på mer än sina egna
mappar. Tidsåtgång, ca 1 timme efter att återställning från backup eller VSS.
Med en WSUS server så minimerar vi risken att ”dåliga” Windows Updates rullas ut, IT-avdelningen
bestämmer när och vilka uppdateringar som ska rullas ut på klienterna. Tidsåtgång ca 4 timmar för
ominstallation av mjukvara på klienten.
27. 22
Elfel är i princip omöjliga att skydda sig mot, vi har redundans på servers (dubbla nät agg) och
UPS:er. Tidsåtgång, så långt tid som det tar för extern aktör (elfirma) att fixa problemet.
WAN uptime är viktig för att personal ska kunna kommunicera med företaget externt, vi har
föreslagit dubbla WAN kopplingar för att skapa redundans och öka uptime. Tidsåtgång, tiden den tar
för extern aktör att åtgärda felet.
28. 23
10 Fysisk säkerhet
För att säkerhetsställa fysisk säkerhet för servers har vi köpt ett säkerhetsskåp från Rittal AB. Micro
Data Center Level E.
Skåpet tåler brand, vatten och är inbrottssäkert.
Figur 11. Säkerhetsskåp. Källa: Rittal AB
Modulkonstruktionen gör att installation kan ske på svåråtkomliga ställen, och dessutom att utökade
IT-strukturer kan integreras i efterhand. Utbyggnadsmöjligheter och därmed investeringar i flera steg
i takt med att IT-verksamheten växer. Förberedd för montage av olika IT-klimatiseringslösningar.
Investeringssäkerhet genom de- och återmonterbarhet.
Användningsområden: Bra skydd mot fysiska IT-hot
Behovsanpassad utrustning som kompletterar skåp i
datorhallar.
Material: Stålplåt, med beläggning
Färg: Skåp: RAL 7035
Servicedörr: RAL 7035
Manöverdörr: RAL 9005
Kapslingsklass IP enligt IEC 60 529: IP 56
Leveransens omfattning: Säkerhetsskåp med manöverdörr och servicedörr
Kabelinföring i båda sidoelementen
Båda dörrarna har nyckellås
Skydd som standard mot: Brand
Släckvatten
Korrosiva gaser
Vandalism
Extern åtkomst
Damm
Stöld/inbrott
29. 24
10.1 Yubikey
YubiKey 4 ger dig stark autentisering till oändligt antal applikationer och den har efterfrågats under
en lång tid från marknaden. Yubico’s 4:e generation YubiKey är byggd på ”high-performance secure
elements”. Den inkluderar samma funktioner som YubiKey NEO bortsett från NFC, men med
ytterligare förstärkta publika/privata nycklar, snabbare kryptering och det världens första klicka för
att signera funktion.
Med YubiKey 4 plattformen får du en snabbare utrullning av 2-faktorsinloggning och du som
beställare väljer själv vilka funktioner du vill ha på din YubiKey 4K. Inga hemligheter sparas hos
Yubico eller någon annan 3-parts organisation. Den bästa uppsidan är att du som kund med
exempelvis 1 000 anställda anpassar era YubiKey 4K på mindre än 10 min.
Var kan du använda YubiKey 4K?
YubiKey 4K kan användas för säker access till ett brett spektra av tjänster och applikationer samt för
remote access, VPN, password managers, computer login, FIDO U2F (Gmail, GitHub, Dropbox
m.fl), CMS och mycket mer.
YUBIKEY 4 Funktioner:
Fungerar på Microsoft Windows, Mac OS X, Linux operating systems m.fl.
Support för multiple authentication protocols, inklusive Yubico OTP, smart card (PIV), och
FIDO U2F
Hardware secure elements skyddar dina kryptonycklar
RSA 4096 för OpenPGP
Support för PKCS#1
Fungerar direkt, du behöver inte fylla i information från en annan enhet, ersätter SMS och
andra inloggningsmetoder.
Fungerar som ett USB tangentbord, smart card och smart card reader - ingen klient mjukvara
eller drivrutiner behöver installeras, fungerar via enhetens USB port
Robust och vattentålig; YubiKey 4 är praktiskt taget okrossbar vid normal användning.
Passar perfekt på din nyckelknippa och den väger bara 3g. Den mindre Nano versionen väger
bara 1g och passa perfekt i din enhets USB-port.
Tillverkad i USA och Sverige med hög säkerhet och kvalité.
Figur 12. Två-faktors hårdvara. Källa: Yubico
30. 25
11 Framtidsförslag
Framtiden är svår att förutse, men man kan göra kvalificerade gissningar. Förslaget på infrastruktur
som vi har kommit med är i allra högsta grad skalbar.
Hostarna ligger i ett kluster som enkelt kan byggas ut hur långt som helst egentligen. Fysisk hårdvara
som kommer att behöva uppgraderas med tiden innefattar bl.a. nätverksprodukterna, här går
utvecklingen i rasande fart och de möjliga hastigheterna ökar i enorm fart från år till år. Med en
virtuell miljö så betyder det att hela systemet kan bli snabbare genom att bara byta ut ett par
nätverkskort och några switchar.
Mobila enheter kommer att bli vanligare och vanligare även här har kunden ett bra grundsystem som
tillåter säker kommunikation med trådlösa och mobila enheter.
Filhantering och hybrida moln är redan långt kommet men kommer givetvis att bli ännu vanligare i
framtiden, lokal lagring kommer nog att bli mindre och mindre i takt med att datacenters och styrning
av data blir bättre och om möjligt ännu säkrare. Ett exempel på det är att man inom kort kommer att
kunna på fil-nivå bestämma var i världen datan ska sparas.
Regelverket kommer att uppdateras att innefatta även sekretess-klassificerad information (exempelvis
PUL). Det som också talas mycket om är mer uppluckrade arbetstider och kravet att utgå från ett
kontor när man arbetar. I vårt förslag kan man redan nu jobba "remote" utan att kompromissa med
säkerheten.
31. 26
12 Avslut & Sammanfattning
Med denna rapport tillsammans med de rekommendationer som framkommer kan Medytekk AB
tillsammans med DIAD AB och andra tredjepartsleverantörer förverkliga en stark och säker IT-
infrastruktur med 70 % effektivare medarbetare.
Molnet kommer att till en början att användas delvis men rekommendationerna som ges är att man
ska försöka flytta mer resurser till Microsoft Azure för att säkerställa driften av infrastrukturen ännu
mer och kunna minska IT-relaterade kostnader.
Vid en större expansion och om man beslutar att behålla större delen on-premise så rekommenderas
det starkt att man lägger till två VMware ESXi hostar till dess kluster för att kunna använda de mer
avancerade funktionerna som ger en större driftsäkerhet.
Med Azure AD Connect får man en sömlös funktion som automatiskt synkroniserar användare från
de lokala domänkontrollanterna upp till Azure Active Directory och möjliggör att användarna kan
logga in med sitt domänkonto på exempelvis Office 365 med samma lösenord som när man loggar in
på sin klientmaskin.
Utrullning av nya klientmaskiner samt servrar i VMware vSphere har effektiviserats och där IT-
personalen kan spara timmar på att installera upp nya maskiner.
Volume Shadow Copy funktionalitet som möjliggör att alla användare kan få tillbaka filer som
raderats av misstag utan att involvera IT-personal och kan därmed få ner antal supportärenden.
Antalet intrångsmöjligheter på klientmaskinerna har drastiskt minskat då man använder teknologi
som Local Administration Password Solution, BitLocker, antivirus samt beskrivna policys.
12.1 Referensförteckning
Kronvall, André; Software Specialist, ATEA Sverige AB. 2016. 3 november.
Rask, Conny; CEO, Alliero Services AB. 2016. 27 oktober.
Ängefjord, Henrik; SCCM Administrator, Tyréns AB. 2016. 28 oktober
Niehaus, Michael. 2016. Set up MDT for BitLocker. Microsoft. https://technet.microsoft.com/sv-
se/itpro/windows/deploy/set-up-mdt-2013-for-bitlocker (Hämtad 2016-11-07)
YubiKey 4 & YubiKey 4 Nano. Youbico. https://www.yubico.com/products/yubikey-
hardware/yubikey4/ (Hämtad 2016-11-08)
40. 35
13.8 Om projektgruppen
Projektgrupp DIAD AB (Daniel Hedberg, Didrik Johannesson, Jonatan Höst, Jonny Hermansson,
Pierre Thoor)
Vi fick i uppdrag att i ett grupparbete ta fram en ny infrastruktur till det fiktiva bolaget Medytekk AB.
Det första vi gjorde var att etablera rollerna inom gruppen och besluta för vilket system vi skulle
jobba efter. Vi beslöt att jag (Daniel Hedberg) skulle agera projektledare i första hand. Jag
accepterade rollen och delegerade ut övergripande roller för resten av gruppen. Vi beslutade oss att
använda SCRUM’s agila metod framför den klassiska "vattenfallsmetoden" som är väldigt stel och
det tar tid att upptäcka och åtgärda eventuella misstag.
Pierre ansvarar för dokumentation samt konfiguration av WSUS och WDS likaså konfiguration av
GPO:er och BitLocker.
Didrik bygger infrastruktur med hårdvara och virtuella maskiner. Didrik är också väldigt duktig på att
felsöka och komma med lösningar när man fastnar därför är han även den vi vänder oss till när vi har
något problem med infrastruktur och liknande.
Jonny fick ansvarsområdet att ta fram hårdvara till kunden i form av arbetsstationer, servrar, skrivare
osv. Jonny är duktig på att hantera användare i Active Directory och får ansvaret att sätta upp
strukturen för användare.
Jonatan har mycket goda kunskaper i bland annat nätverk och har fått i uppdrag att tillsammans med
Didrik designa det virtuella och fysiska nätverket.
Givetvis så har alla hjälpt alla att bli klara med sina uppgifter den sammanlagda kompetensen i
gruppen är mycket hög.
Jag (Daniel) har hjälpt till med att skapa exempelvis Office 365 och kopplingen till Active Directory
miljön på den lokala miljön. Jag har satt upp deadlines och mål i samråd med resten av gruppen och
försökt att ”lastbalansera” arbetet så mycket som möjlig. Vi har jobbat agilt med dagliga SCRUM
möten. Eftersom vi har jobbat på eget håll rent fysiskt så har vi gjort ”Daily SCRUM” på egna tider
när det har passat, därefter har jag gått igenom rapporterna och i kombination med kommunikation
via mail/Facebook kunnat bilda mig en uppfattning om hur projektet ligger till. Vi började med att
använda projektledningsverktyget Trello som är en online plattform för att organisera projekt. Efter
några dagars utvärdering av verktyget beslutade vi gemensamt om att byta till ett verktyg som
passade vår grupp bättre. Vi valde DaPulse projektplanering och tyckte att det passade detta projektet
bättre med överskådliga ”uppgifter” och tydliga mål. Under projektets gång har vi haft fysiska träffar
minst en gång i veckan och Skype möten minst 2 ggr per vecka.