Weingeist 159 Geschrieben 12. Juli 2016 Melden Teilen Geschrieben 12. Juli 2016 Hallo Leute, Aufgrund aktueller Ereignisse bei diversen Foren-Teilnehmer, immer besser verfassten Mails die auf meinen Server eintrudeln, gehackte Seiten von beliebten Webportalen, ein Vorfall bei nem Kunden der auf ne perfekt verfasste Offertenanfrage doppelklickte bin ich daran meine Standardkonfigs zu überdenken/überarbeiten. Irgendwie werden mir die Meldungen über verschlüsselte Server einfach etwas zu viel. Aufwändige und teure Proxy-Lösungen, Live-Überwachungen, Auswertungen usw. fallen ja bei KMU's raus. A zu teuer, B kein Personal, C kein Fachwissen. Daher muss es etwas sein, dass möglichst nur das zulässt, was erlaubt ist und alles andere verbietet und granular freigegeben werden muss. Auch wenn der Startaufwand evtl. deutlich grösser ist. Vieles dürfte aber standardisierbar sein. Was bei mir grad auf dem Radar steht zur näheren Prüfung bezüglich Aufwand, Nutzen, Kosten, Benutzerfreundlichkeit folgendes - Konsequentes Whitelisting mit Safer, AppLocker etc. - Nutzung von EMET - Whitelisting für die Windows-Firewall - Sandboxie - Getrennte Arbeitsplätze Internet/Local - Deinstallieren von nichtgebrauchten Packages, Deaktivieren von Diensten etc. Ein paar Fragen dazu: Whitelisting für ausführbare Files: Theoretisch sagt MS, dass dazu nur noch AppLocker gebraucht wird. Wenn man aber das Netz ein wenig durchforscht, dann gibt es einige Seiten die behaupten, AppLocker sei weniger sicher als Safer und es wird teilweise auf einen (bereits geschlossenen?) Exploit verwiesen. SAFER sei dagegen nach wie vor besser. Was stimmt nun? EMET: Setzt das jemand standardmässig ein? Erfahrungen? Windows-Firewall: Bin ich in ner Testumgebung schon relativ weit mit vollständig unabhänigen und expliziten Regeln. Sandboxie: Ist das so gut wie es klingt? So wie ich das nach einiger Recherche verstehe habe, ist das eine ziemlich sichere Sache fürs Surfen oder allgemein für Programme die ins Internet müssen. Falls das jemand professionell einsetzt, wie nutzt ihr das? Ist es Anwenderfreundlich --> Favoriten in IE, Speichern von Files, usw.? Getrennte Arbeitsplätze: Macht das jemand? - Reine Internetkisten - Zugriff mit nem möglichst sicheren Protokoll von intern auf die Internetkiste - Transfer-Shares wo Internet und local-Kiste Zugriff haben Wäre sicher nicht so benutzerfreundlich, aber mit VDI einigermassen einfach machbar. ERP und andere Geschichten die Internet brauchen, wären dann etwas die Showstopper oder aber bräuchten auch nen beschränkten Internetzugang z.B. mit Whitelisting für entsprechende IP's, Programme etc. Windows strippen: Also alles unnötige bzw. nichtgebrauchte aus dem Component-Store raushauen. Was nicht da ist, kann nicht missbraucht werden. Dienste deaktivieren, auf Dienstkonten umbiegen etc. Enormer Testaufwand, mitunter mühsam wieder instand zu stellen. Unter Umständen nicht supported von MS etc. Mache ich teilweise bereis in beschränktem Masse. Grüsse und vielen Dank für eure Inputs Zitieren Link zu diesem Kommentar
ks78 0 Geschrieben 12. Juli 2016 Melden Teilen Geschrieben 12. Juli 2016 was ist denn dein aktueller Stand bei Whitelisting, EMET, Sandboxie? Zitieren Link zu diesem Kommentar
Weingeist 159 Geschrieben 13. Juli 2016 Autor Melden Teilen Geschrieben 13. Juli 2016 So gut wie keine Erfahrung, weil mir bis dato der Aufwand schlicht zu gross war für kleinere Umgebungen. Sonst würde ich nicht nachfragen. Da wäre es eben sehr interessant ob solche Massnahmen tatsächlich schon schlimmeres verhindert haben oder ob es die aktuell übliche Malware genauso so wenig stört wie allfällige Virenscanner. Zitieren Link zu diesem Kommentar
Sunny61 807 Geschrieben 13. Juli 2016 Melden Teilen Geschrieben 13. Juli 2016 Bei uns sind Software Restriction Policies im Einsatz. Funktioniert auch mit den Pro Versionen. Da kann es schon vorkommen, dass 'komisch geschriebenen SW' anschließend nicht mehr funktioniert. Applocker zieht nur auf Enterprise, das wirst du in kleinen Umgebungen vermutlich nicht finden. SRP sind schnell eingerichtet und greifen nach einem Neustart des Client sofort. Auf Computerebene ist dann auch der Admin betroffen. Der Benutzer wird normalerweise nicht eingeschränkt. Zitieren Link zu diesem Kommentar
blub 115 Geschrieben 13. Juli 2016 Melden Teilen Geschrieben 13. Juli 2016 - Konsequentes Whitelisting mit Safer, AppLocker etc. - Nutzung von EMET - Whitelisting für die Windows-Firewall - Sandboxie - Getrennte Arbeitsplätze Internet/Local - Deinstallieren von nichtgebrauchten Packages, Deaktivieren von Diensten etc. - Die Möglichkeiten zum Whitelisting hängt stark von deiner Umgebung ab - Emet ist ein Muss. Etliche Attack-Vektoren werden damit unbrauchbar für Malware - Sandboxie: Kenn ich nicht. Wir haben Bromium - Getrennte Arbeitsplätze: Wirst du glaub ich nicht durchsetzen können. Für APs, an denen vertrauliche Dokumente prozessiert werden, kannst du dir diese MS-Empfehlung für PAWs ansehen : https://blogs.msdn.microsoft.com/azuresecurity/2015/12/15/secure-high-privilege-credentials-with-privileged-access-workstations/ https://technet.microsoft.com/en-us/library/mt634654.aspx - Nicht benötigte Komponenten deinstallieren ist m.E. absolut zu empfehlen. Aber such mal hier nach den Diskussionen über die Deaktivierung von IPv6 oder Wins.. - Windows Firewall: Das ist die letzte Schutzwand vor deinem Rechner. Default ist die Regel ja schon so, dass alles geblockt wird, was nicht explizit erlaubt ist. Am besten per GPO konfigurieren, da besonders Admins und Helpdeskler gerne auf ihren Clients any/any-Durchzug einstellen, sobald es ein Problem gibt. Zitieren Link zu diesem Kommentar
Dukel 455 Geschrieben 13. Juli 2016 Melden Teilen Geschrieben 13. Juli 2016 - Windows Firewall: Das ist die letzte Schutzwand vor deinem Rechner. Default ist die Regel ja schon so, dass alles geblockt wird, was nicht explizit erlaubt ist. Eingehend, ja. Ausgehend ist der Default, dass alles erlaubt ist, was nicht verboten ist. Zitieren Link zu diesem Kommentar
MurdocX 953 Geschrieben 13. Juli 2016 Melden Teilen Geschrieben 13. Juli 2016 (bearbeitet) - Konsequentes Whitelisting mit AppLocker etc. - Nutzung von EMET - Whitelisting für die Windows-Firewall - Deinstallieren von nichtgebrauchten Packages, Deaktivieren von Diensten etc. Applocker Setzen wir bei uns mit den Default-Regeln ein. Bis auf eine Ausnahme gibt es keine Probleme. Kein einziges Ticket welches auf dem Applocker hinausgelaufen wäre. "VisualStudio...." funktioniert damit nicht, da die Anwendungen im TEMP-Verzeichnis erstellt werden. Eine Ausnahme für TEMP ist nicht drin. EMET Keine Probleme bisher! Es geht leicht auf die Performance, jedoch bei dem Benefit vernachlässigbar. EMET wird bei mir im Image mit verteilt. Windows Firewall Bei uns wird die lokalen Einstellungen, sowie die Gruppenrichtlinien übernommen. Leider ist das bei einem Anwendungsjungel schwer einheitlich zu konfigurieren. Deinstallieren von nichtgebrauchten Packages Halte ich für essentiell. Dank Powershell sind so Remote-Abfragen recht problemlos und einfach. EDIT: Überlegenswert wäre noch die Wechselmedien zu sperren und per Whitelist freizugeben. https://msdn.microsoft.com/en-us/library/bb530324.aspx bearbeitet 13. Juli 2016 von MurdocX Zitieren Link zu diesem Kommentar
Weingeist 159 Geschrieben 15. Juli 2016 Autor Melden Teilen Geschrieben 15. Juli 2016 Vielen Dank für die Inputs! Whitelisting mit SAFER: Habt ihr hierfür ein Logging eingerichtet um zu sehen ob es tatsächlich Schrott gibt, der gestartet werden möchte? Von E-Mail anhängen z.B.? Whitelisting mit Applocker: Hmm ok, eigentlich eher weniger, da viele Pro unterwegs. Auch wenn schon einige kleinere auch VDI haben. Wäre etwas granularer einzustellen da unterschiedliche Rechte für unterschiedliche Gruppen und wohl einfacher zu administrieren soweit ich das beurteilen kann. EMET: Alles klar, Pflichtprogramm ist eine Ansage =) Firewall Windows: Yep, Standard Out ist alles erlaubt. Bin ich eh drann an nem Stanardprofil für granulares freigeben. Zitieren Link zu diesem Kommentar
Sunny61 807 Geschrieben 16. Juli 2016 Melden Teilen Geschrieben 16. Juli 2016 Whitelisting mit SAFER: Habt ihr hierfür ein Logging eingerichtet um zu sehen ob es tatsächlich Schrott gibt, der gestartet werden möchte? Von E-Mail anhängen z.B.? Nein, wir haben kein Logging eingerichtet. Wenn ein Programm aufgrund von SRP nicht funktioniert, kriegst Du das sehr deutlich mit. Die Fehlermeldung ist eindeutig. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.