Whitelisting, EMET, Sandboxie - Sicherheit für KMU's

[Weingeist 159]

Hallo Leute,

 

Aufgrund aktueller Ereignisse bei diversen Foren-Teilnehmer, immer besser verfassten Mails die auf meinen Server eintrudeln, gehackte Seiten von beliebten Webportalen, ein Vorfall bei nem Kunden der auf ne perfekt verfasste Offertenanfrage doppelklickte bin ich daran meine Standardkonfigs zu überdenken/überarbeiten. Irgendwie werden mir die Meldungen über verschlüsselte Server einfach etwas zu viel.

 

Aufwändige und teure Proxy-Lösungen, Live-Überwachungen, Auswertungen usw. fallen ja bei KMU's raus. A zu teuer, B kein Personal, C kein Fachwissen. Daher muss es etwas sein, dass möglichst nur das zulässt, was erlaubt ist und alles andere verbietet und granular freigegeben werden muss. Auch wenn der Startaufwand evtl. deutlich grösser ist. Vieles dürfte aber standardisierbar sein.

 

 

Was bei mir grad auf dem Radar steht zur näheren Prüfung bezüglich Aufwand, Nutzen, Kosten, Benutzerfreundlichkeit folgendes

- Konsequentes Whitelisting mit Safer, AppLocker etc.

- Nutzung von EMET

- Whitelisting für die Windows-Firewall

- Sandboxie

- Getrennte Arbeitsplätze Internet/Local

- Deinstallieren von nichtgebrauchten Packages, Deaktivieren von Diensten etc.

 

 

Ein paar Fragen dazu:

 

Whitelisting für ausführbare Files: Theoretisch sagt MS, dass dazu nur noch AppLocker gebraucht wird. Wenn man aber das Netz ein wenig durchforscht, dann gibt es einige Seiten die behaupten, AppLocker sei weniger sicher als Safer und es wird teilweise auf einen (bereits geschlossenen?) Exploit verwiesen. SAFER sei dagegen nach wie vor besser.

Was stimmt nun?

 

EMET: Setzt das jemand standardmässig ein? Erfahrungen?

 

Windows-Firewall: Bin ich in ner Testumgebung schon relativ weit mit vollständig unabhänigen und expliziten Regeln.

 

Sandboxie: Ist das so gut wie es klingt? So wie ich das nach einiger Recherche verstehe habe, ist das eine ziemlich sichere Sache fürs Surfen oder allgemein für Programme die ins Internet müssen.

Falls das jemand professionell einsetzt, wie nutzt ihr das? Ist es Anwenderfreundlich --> Favoriten in IE, Speichern von Files, usw.?

 

Getrennte Arbeitsplätze: Macht das jemand?

- Reine Internetkisten

- Zugriff mit nem möglichst sicheren Protokoll von intern auf die Internetkiste

- Transfer-Shares wo Internet und local-Kiste Zugriff haben

 

Wäre sicher nicht so benutzerfreundlich, aber mit VDI einigermassen einfach machbar. ERP und andere Geschichten die Internet brauchen, wären dann etwas die Showstopper oder aber bräuchten auch nen beschränkten Internetzugang z.B. mit Whitelisting für entsprechende IP's, Programme etc.

 

Windows strippen: Also alles unnötige bzw. nichtgebrauchte aus dem Component-Store raushauen. Was nicht da ist, kann nicht missbraucht werden. Dienste deaktivieren, auf Dienstkonten umbiegen etc. Enormer Testaufwand, mitunter mühsam wieder instand zu stellen. Unter Umständen nicht supported von MS etc. Mache ich teilweise bereis in beschränktem Masse.

 

Grüsse und vielen Dank für eure Inputs

[ks78 0]

was ist denn dein aktueller Stand bei Whitelisting, EMET, Sandboxie?

[Weingeist 159]

So gut wie keine Erfahrung, weil mir bis dato der Aufwand schlicht zu gross war für kleinere Umgebungen. Sonst würde ich nicht nachfragen.

 

Da wäre es eben sehr interessant ob solche Massnahmen tatsächlich schon schlimmeres verhindert haben oder ob es die aktuell übliche Malware genauso so wenig stört wie allfällige Virenscanner.

[Sunny61 806]

Bei uns sind Software Restriction Policies im Einsatz. Funktioniert auch mit den Pro Versionen. Da kann es schon vorkommen, dass 'komisch geschriebenen SW' anschließend nicht mehr funktioniert.

Applocker zieht nur auf Enterprise, das wirst du in kleinen Umgebungen vermutlich nicht finden.

 

SRP sind schnell eingerichtet und greifen nach einem Neustart des Client sofort. Auf Computerebene ist dann auch der Admin betroffen. Der Benutzer wird normalerweise nicht eingeschränkt.

[blub 115]

 

- Konsequentes Whitelisting mit Safer, AppLocker etc.

- Nutzung von EMET

- Whitelisting für die Windows-Firewall

- Sandboxie

- Getrennte Arbeitsplätze Internet/Local

- Deinstallieren von nichtgebrauchten Packages, Deaktivieren von Diensten etc.

 

- Die Möglichkeiten zum Whitelisting hängt stark von deiner Umgebung ab

- Emet ist ein Muss. Etliche Attack-Vektoren werden damit unbrauchbar für Malware

- Sandboxie: Kenn ich nicht. Wir haben Bromium

- Getrennte Arbeitsplätze: Wirst du glaub ich nicht durchsetzen können. Für APs, an denen vertrauliche Dokumente prozessiert werden, kannst du dir diese MS-Empfehlung für PAWs ansehen :

https://blogs.msdn.microsoft.com/azuresecurity/2015/12/15/secure-high-privilege-credentials-with-privileged-access-workstations/

https://technet.microsoft.com/en-us/library/mt634654.aspx

- Nicht benötigte Komponenten deinstallieren ist m.E. absolut zu empfehlen. Aber such mal hier nach den Diskussionen über die Deaktivierung von IPv6 oder Wins..

- Windows Firewall: Das ist die letzte Schutzwand vor deinem Rechner. Default ist die Regel ja schon so, dass alles geblockt wird, was nicht explizit erlaubt ist. Am besten per GPO konfigurieren, da besonders Admins und Helpdeskler gerne auf ihren Clients any/any-Durchzug einstellen, sobald es ein Problem gibt.

[Dukel 454]

- Windows Firewall: Das ist die letzte Schutzwand vor deinem Rechner. Default ist die Regel ja schon so, dass alles geblockt wird, was nicht explizit erlaubt ist.

 

Eingehend, ja. Ausgehend ist der Default, dass alles erlaubt ist, was nicht verboten ist.

[MurdocX 949]

 

- Konsequentes Whitelisting mit  AppLocker etc.

- Nutzung von EMET

- Whitelisting für die Windows-Firewall

- Deinstallieren von nichtgebrauchten Packages, Deaktivieren von Diensten etc.

 

Applocker

Setzen wir bei uns mit den Default-Regeln ein. Bis auf eine Ausnahme gibt es keine Probleme. Kein einziges Ticket welches auf dem Applocker hinausgelaufen wäre. "VisualStudio...." funktioniert damit nicht, da die Anwendungen im TEMP-Verzeichnis erstellt werden. Eine Ausnahme für TEMP ist nicht drin. 

 

EMET

Keine Probleme bisher! Es geht leicht auf die Performance, jedoch bei dem Benefit vernachlässigbar. EMET wird bei mir im Image mit verteilt.

 

Windows Firewall

Bei uns wird die lokalen Einstellungen, sowie die Gruppenrichtlinien übernommen. Leider ist das bei einem Anwendungsjungel schwer einheitlich zu konfigurieren. 

 

Deinstallieren von nichtgebrauchten Packages

Halte ich für essentiell. Dank Powershell sind so Remote-Abfragen recht problemlos und einfach.

 

EDIT:

Überlegenswert wäre noch die Wechselmedien zu sperren und per Whitelist freizugeben. https://msdn.microsoft.com/en-us/library/bb530324.aspx

bearbeitet 13. Juli 2016 von MurdocX

[Weingeist 159]

Vielen Dank für die Inputs!

 

Whitelisting mit SAFER: Habt ihr hierfür ein Logging eingerichtet um zu sehen ob es tatsächlich Schrott gibt, der gestartet werden möchte? Von E-Mail anhängen z.B.?

 

Whitelisting mit Applocker: Hmm ok, eigentlich eher weniger, da viele Pro unterwegs. Auch wenn schon einige kleinere auch VDI haben. Wäre etwas granularer einzustellen da unterschiedliche Rechte für unterschiedliche Gruppen und wohl einfacher zu administrieren soweit ich das beurteilen kann.

 

EMET: Alles klar, Pflichtprogramm ist eine Ansage =)

 

Firewall Windows: Yep, Standard Out ist alles erlaubt. Bin ich eh drann an nem Stanardprofil für granulares freigeben.

[Sunny61 806]

Whitelisting mit SAFER: Habt ihr hierfür ein Logging eingerichtet um zu sehen ob es tatsächlich Schrott gibt, der gestartet werden möchte? Von E-Mail anhängen z.B.?

Nein, wir haben kein Logging eingerichtet. Wenn ein Programm aufgrund von SRP nicht funktioniert, kriegst Du das sehr deutlich mit. Die Fehlermeldung ist eindeutig.