Michi69 10 Geschrieben 22. August 2014 Melden Teilen Geschrieben 22. August 2014 Hallo zusammen, ich bin gerade dabei ein Konzept für die IT / EDV Sicherheit in unserem Unternehmen auf zustellen und würde mich über ein paar Tips / Interessante Links / Hinweise / freuen............. Es ist mir bewußt, das es Firmen, Schulungen, Normen, Behörden etc.gibt, die sich mit diesem großen Aufgabenbereich auseinander setzen. Aber ich hätte gerne etwas Basis Struktur drin. Folgendes zur Information - Firewall : Sophos Firewall UTM9 ein, Clients: Windows 7 64 bit Clients mit Internet Zugang ( IE 9-11 , Mozilla Firefox), Aktuelle MS Updates User mit hauptbenutzerrechten Wir haben DVD Laufwerk ausgebaut + USB Port gesperrt Avira Anti Vir - 4 Gebäude ( 3 Produktion + 1 Verwaltung) die mit HP Switchen verbunden sind Nicht benutze LAN Dosen sind nicht gepacht DSL Zugang über Telekom Updates für Software und Programme lasse ich mal aussen vor Schulungen zum Thema Sicherheit sind geplant Schonmal Danke Zitieren Link zu diesem Kommentar
micha42 29 Geschrieben 22. August 2014 Melden Teilen Geschrieben 22. August 2014 Moin, als Einführung zum thema würde ich Dir mal die Seiten des BSI empfehlen (Stichwirt Grundschutz). Hier kann man auch eine Struktur für das Sicherheitskonzept ableiten. Auch der Anhang zum §9 BDSG ist eine gute Möglichkeit ein Konzept zu entwerfen. Aber wenn Du in das Thema einsteigst, wirst Du schnell merken, dass hauptbenutzer quasi Admins sind. siehe http://www.gruppenrichtlinien.de/artikel/wie-werde-ich-lokaler-administrator/ lass das ;) Michael Zitieren Link zu diesem Kommentar
Sunny61 807 Geschrieben 22. August 2014 Melden Teilen Geschrieben 22. August 2014 Windows 7 64 bit Clients mit Internet Zugang ( IE 9-11 , Mozilla Firefox), Aktuelle MS Updates User mit hauptbenutzerrechten Seit VISTA gibt es die Hauptbenutzergruppe nur noch aus Kompatibilitätsgründen. Mehr Rechte hat diese Gruppe nicht mehr. Wenn es also keinen zwingenden Grund gibt die Benutzer in diese Gruppe zu packen, dann lass es bleiben. Bist incl. XP gilt der von micha42 gepostete Link natürlich. Und bezüglich Sicherheit solltet ihr auch auf Firefox verzichten. Das up2date halten des Browsers ist für 'normale' Benutzer schwer möglich und en Admin verbraucht sehr viel Zeit mit Scripten dafür. Wenn Du wirklich Sicherheit willst, und wirkliche Sicherheit ist auch unbequem, dann kommst Du an Software Restriction Policies nicht vorbei. Zum Spielen kannst Du dir ja einen Rechner installieren und das hier austesten: http://schneegans.de/computer/safer/ Zitieren Link zu diesem Kommentar
micha42 29 Geschrieben 22. August 2014 Melden Teilen Geschrieben 22. August 2014 (bearbeitet) Bist incl. XP gilt der von micha42 gepostete Link natürlich. Und bezüglich Sicherheit solltet ihr auch auf Firefox verzichten. Das up2date halten des Browsers ist für 'normale' Benutzer schwer möglich und en Admin verbraucht sehr viel Zeit mit Scripten dafür. punkt a wusste ich noch gar nicht. Gut zu wissen. punkt b Wir machen das über WSUS und das Scripten hält sich in Grenzen. Ich stelle meinen usern gern auch einen zweiten Browser zur Verfügung, damit die 1. ihre Vorlieben zumindest teilweise leben können aber vor allem 2. damit ich bei dringenden Warungen einen Browser zu meiden Ausweichmöglichkeiten habe. EDIT: mir ist ncoh was aufgefallen: 1. IE 9-11 sollte vereinheitlciht werden (natürlich auf 11) 2. USB zukleben oder deaktivieren. Gute Idee und was ist mit Dropbox und Co? alle Clouddienste kann man gar nicht wegfiltern. bearbeitet 22. August 2014 von micha42 Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 22. August 2014 Melden Teilen Geschrieben 22. August 2014 Zu 2. Einen Proxy mit Filter einsetzen. Es gibt Produkte, die solche Listen regelmäßig aktualisieren. Generell kann man mit einem Proxy den größten Teil der binären Downloads (EXE, JAR, etc) blockieren. Ein Produkt wäre http://www.mcafee.com/de/products/web-gateway.aspx Zitieren Link zu diesem Kommentar
micha42 29 Geschrieben 22. August 2014 Melden Teilen Geschrieben 22. August 2014 (bearbeitet) Filtert der auch RAR oder ZIP weg? Das kann ich bei mir nicht deaktiveren und dann hab ich den Salat wieder. Und: filtert der auch Uploads aus einer https-Session? ;) nix für ungut bearbeitet 22. August 2014 von micha42 Zitieren Link zu diesem Kommentar
Sunny61 807 Geschrieben 22. August 2014 Melden Teilen Geschrieben 22. August 2014 punkt b Wir machen das über WSUS und das Scripten hält sich in Grenzen. Ich stelle meinen usern gern auch einen zweiten Browser zur Verfügung, damit die 1. ihre Vorlieben zumindest teilweise leben können aber vor allem 2. damit ich bei dringenden Warungen einen Browser zu meiden Ausweichmöglichkeiten habe. Wei handelst Du die ganzen AddOns? Darüber hast Du normalerweise keinen Einfluß, erst Recht nicht auf den Code, auf die Sicherheit und natürlich auch nicht auf die Lücken, die dir solche AddOns öffnen. EDIT: mir ist ncoh was aufgefallen: 1. IE 9-11 sollte vereinheitlciht werden (natürlich auf 11) WSUS gibt das alles her. ;) 2. USB zukleben oder deaktivieren. Gute Idee und was ist mit Dropbox und Co? alle Clouddienste kann man gar nicht wegfiltern. Zukleben hilft nicht, wenn dann im BIOS deaktivieren. Alternativ mit der DEVCON.EXE, gibt es von MSFT kostenlos, automatisch alles was mit USB zusammenhängt deaktivieren. Maus und Tastatur sollte dann natürlich nicht an USB hängen. ;) Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 22. August 2014 Melden Teilen Geschrieben 22. August 2014 Filtert der auch RAR oder ZIP weg? Das kann ich bei mir nicht deaktiveren und dann hab ich den Salat wieder. Und: filtert der auch Uploads aus einer https-Session? ;) nix für ungut Der Proxy untersucht auch gepackte Dateien, keine Sorge. Verschlüsselte Archive lassen sich auch blockieren. Die Einschränkung ist HTTPS. Hier lassen sich nur ganze Hosts blockieren. Oder man lässt den HTTPS-Tunnel am Proxy enden und verwendet intern ein eigenes Zertifikat. Ist aber sehr problematisch und sollte eher nicht gemacht werden. Für den Rest hilft die SRP (sieh weiter oben). Malware wird eher selten über HTTPS mit gültigen Zertifikaten verteilt. Zitieren Link zu diesem Kommentar
Dukel 455 Geschrieben 22. August 2014 Melden Teilen Geschrieben 22. August 2014 Willst du nur die oben genannten Themen in das Sicherheitskonzept aufnehmen? Wie ist es mit z.B. Passwortrichtlinien; Provisioning (User zu- und Abgänge); Benutzerrechte; Administrative Konten; Serversicherheit; Physikalischer Zugriff; ... Wenn man es sehr umfangreich machen will kann man Themen wie Backup oder Verfügbarkeiten auch aufnehmen. Zitieren Link zu diesem Kommentar
micha42 29 Geschrieben 22. August 2014 Melden Teilen Geschrieben 22. August 2014 Willst du nur die oben genannten Themen in das Sicherheitskonzept aufnehmen? Wie ist es mit z.B. Passwortrichtlinien; Provisioning (User zu- und Abgänge); Benutzerrechte; Administrative Konten; Serversicherheit; Physikalischer Zugriff; ... Wenn man es sehr umfangreich machen will kann man Themen wie Backup oder Verfügbarkeiten auch aufnehmen. Daher ja auch mein eingangs erwähnter Verweis auf Anlagen zu §9 BDSG. Das gibt m.E. eine gute Struktur, an der man sich langhangeln kann. Letztlich: Wofür schreibe ich ein Sicherheitskonzept? Doch zum Vorzeigen. Wenn also zB ein potentieller Kunde unser Konzept sehen will, dann will er sehen, dass wir diese Punkte abgearbeitet haben. Der Rest der Diskussion ist hier etwas aus dem Ruder gelaufen. wo wir aber schon wieder OT sind: Sunny, ich gebe Dir voll Recht Zahni, es ging ja um das Thema USB-verhindern, also Dataleak, also upload in irgendwelche Cloudspeicher. Ich glaube nämlich, wir haben den Kampf gegen Datendiebstahl auf technischem Weg einen Riegel vorzuschieben durch diese Dienste verloren. Klar kann man alles dicht machen, aber Sicherheit ist immer auch eine Abwegung. Allen Buhrufen zum Trotze müssen die user ja auch arbeiten können. (was zwar ärgerlich ist, aber nicht zu ändern ;) ) Michael Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 22. August 2014 Melden Teilen Geschrieben 22. August 2014 (bearbeitet) Solche Lösungen werden in großen Unternehmen eingesetzt. Sicher kann man es nicht verhindern. Man kann es den Usern aber erschweren. Damit es immer wieder in Bewusstsein kommt, was man als User darf und was nicht. Sehr oft ist keine böse Absicht in der dem Tun der User, sondern eher Unwissenheit oder es ihnen egal. Gern werden von Usern so "Verfahren" erdacht, bei dem der IT-Abteilung die Fußnägel hochrollen - wenn sie davon wüsste. Bekannte Cloud-Dienste lassen sich über einen Proxy schon blockieren. bearbeitet 22. August 2014 von zahni Zitieren Link zu diesem Kommentar
Daniel -MSFT- 129 Geschrieben 22. August 2014 Melden Teilen Geschrieben 22. August 2014 Zukleben hilft nicht, wenn dann im BIOS deaktivieren. Alternativ mit der DEVCON.EXE, gibt es von MSFT kostenlos, automatisch alles was mit USB zusammenhängt deaktivieren. Maus und Tastatur sollte dann natürlich nicht an USB hängen. ;) Devcon ist ja sowas von XP. Das geht doch heute via GPO: http://social.technet.microsoft.com/Forums/windowsserver/en-US/012ea7bc-6d72-419f-89d5-66f47826bf74/forum-faq-how-to-restrict-mass-storage-drive-and-cdrom-access?forum=winserverGP Du kannst auch USB-Geräte nach Device ID black- und whitelisten. Zitieren Link zu diesem Kommentar
Sunny61 807 Geschrieben 22. August 2014 Melden Teilen Geschrieben 22. August 2014 Devcon ist ja sowas von XP. Das geht doch heute via GPO: http://social.technet.microsoft.com/Forums/windowsserver/en-US/012ea7bc-6d72-419f-89d5-66f47826bf74/forum-faq-how-to-restrict-mass-storage-drive-and-cdrom-access?forum=winserverGP Nur weil es für XP gemacht wurde, ist es heute nicht schlechter als Gestern. Und der Tipp aus http://support.microsoft.com/kb/823732 hat AFAIR in der Vergangenheit bei der Installation vom SP1 für W7 für Fehlermeldungen gesorgt. Wenn neue Rechner eingerichtet werden im BIOS USB deaktivieren, dann brauch ich mich um den Rest nicht zu kümmern. Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 22. August 2014 Melden Teilen Geschrieben 22. August 2014 Mitunter will man aber auch andere USB-Geräte anschließen. Manche BIOS-Versionen können die Geräte-Typen beschränken. Zitieren Link zu diesem Kommentar
Stoni 10 Geschrieben 22. August 2014 Melden Teilen Geschrieben 22. August 2014 wobei du eben bei Thema bist , manche können. Aber nach meiner Erfahrung hier , zumindest, was ich noch betreue, eben nicht. Habe auch immer wieder dieses Thema, aber bringt alles nichts, wenn die kunden nicht auf " aktuelle Hardware " umsteigen. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.