Dayworker 10 Geschrieben 21. Juli 2022 Melden Teilen Geschrieben 21. Juli 2022 Hallo zusammen, wir setzen gerade in der AD die BSI Vorgaben durch. Dadurch sind wir in einem Punkt auf den Neustarts der DC´s gestoßen. APP.2.2: Active Directory (bund.de) hier unter APP 2.2.A5 zum Nachlesen. Jemand eine Idee, wie man den Neustarts der DC´s absichern kann. Freue mich über eure Ideen. Gruß Day Zitieren Link zu diesem Kommentar
cj_berlin 1.306 Geschrieben 21. Juli 2022 Melden Teilen Geschrieben 21. Juli 2022 Das Recht "Herunterfahren des Systems" verbindlich regeln. Zitieren Link zu diesem Kommentar
NilsK 2.930 Geschrieben 21. Juli 2022 Melden Teilen Geschrieben 21. Juli 2022 Moin, vor allem aber: den physischen Zugang zum DC sowie bei VMs den Zugang zur VM-Verwaltungskonsole einschränken. Bei einem unautorisierten Neustart geht es primär darum, dass man den DC nicht mit einem anderen OS oder mit dem Recovery-OS starten kann. Darüber wären nämlich sehr einfache und sehr weitreichende Angriffe möglich. Übrigens darf (und sollte) man die BSI-Empfehlungen durchaus kritisch sehen. Die sind zwar heute viel besser als vor einigen Jahren, aber es stehen immer noch bisweilen unsinnige Dinge darin. In der Nähe des zitierten Absatzes etwa die Empfehlung, Images von DCs vorzuhalten - sowas tut man nicht. Gruß, Nils Zitieren Link zu diesem Kommentar
Dayworker 10 Geschrieben 21. Juli 2022 Autor Melden Teilen Geschrieben 21. Juli 2022 ok soweit vielen Dank. @NilsK haben Sie mir evtl. eine andere Quelle, die etwas genauer ist, als BSI? An was orientieren Sie sich? @cj_berlin vielen Dank, die Einträge habe ich geprüft, die sehen soweit ganz gut aus. Danke für den Input. Zitieren Link zu diesem Kommentar
MurdocX 949 Geschrieben 21. Juli 2022 Melden Teilen Geschrieben 21. Juli 2022 Und da wir uns im Sicherheitsbereich des Forum befinden, hier noch ein kleiner Hinweis auf das SCT. Microsoft Security Compliance Toolkit 1.0 –Leitfaden - Windows security | Microsoft Docs Download Microsoft Security Compliance Toolkit 1.0 from Official Microsoft Download Center Dort findest du Sicherheits-Gruppenrichtlinien die du auf deine Server, Clients und Domaincontroller anwenden kannst. Als Guddi sehe ich die weiteren Sicherheitsrichtlinien für den Defender, Windows Update, Office und den Edge. Wendest du alle an, dann wird ein Mindestmaß an Sicherheit auf deinen System erfüllt. 2 1 Zitieren Link zu diesem Kommentar
NilsK 2.930 Geschrieben 21. Juli 2022 Melden Teilen Geschrieben 21. Juli 2022 (bearbeitet) Moin, wie gesagt, die BSI-Bausteine sind aktuell gut und insgesamt viel besser als die ersten Würfe vor einigen Jahren. Man sollte sie aber a) nicht absolut setzen und b) nicht für vollständig halten. Früher hat das BSI mal von "Grundschutz" gesprochen und damit ausgedrückt, dass man damit eine Basis legt, aber eben nicht fertig ist. "Weitere Quellen" sind alles Mögliche. Vor allem lasse ich z.B. das Argument nicht gelten, dass man etwas genau so-und-so tun müsse, weil das ja schließlich "das BSI" so vorgebe. Gruß, Nils bearbeitet 21. Juli 2022 von NilsK 5 1 Zitieren Link zu diesem Kommentar
Pitti259 15 Geschrieben 25. Juli 2022 Melden Teilen Geschrieben 25. Juli 2022 Am 21.7.2022 um 16:47 schrieb NilsK: dass man etwas genau so-und-so tun müsse, weil das ja schließlich "das BSI" so vorgebe Das kommt jetzt ein bisschen drauf an, was das Ziel der Kompendium-Umsetzung ist. Die Anforderung APP.2.2.A5 ist eine Basis-Anforderung, d.h. die in der Anforderung mit MÜSSEN angeführten Punkte, müssen für eine Zertifizierung umgesetzt werden. Sonst darf ich als Auditor die Zertifizierung nicht empfehlen. Bei der Erfüllung der Anforderung sind wir frei, die Umsetzungsempfehlungen des BSI sind nur Empfehlungen. Worauf will ich hinaus? Für eine Steigerung der Sicherheit meiner Systeme kann ich das Grundschutzkompendium als Katalog hernehmen und mir raussuchen was mir sinnvoll erscheint. Ist das Ziel aber eine Zertifizierung nach ISO 27001 auf Basis IT-Grundschutz, dann fehlt mir diese Freiheit. Die Anforderungen, vor allem die Basis-Anforderungen müssen bedient werden. Ach ja, handelt es sich um eine Bundes- oder Landesbehörde, so ist die Umsetzung des GS-Kompendiums für die eingesetzte IT gesetzlich vorgeschrieben. Da befinden wir uns dann in einer Zwittersituation, weil zwar die Anforderungen stringent beachtet werden müssen, aber die Umsetzung der Anforderung auch für, na sagen wir mal übernächstes Jahr eingeplant werden kann. Ciao Pitti Zitieren Link zu diesem Kommentar
Dayworker 10 Geschrieben 25. Juli 2022 Autor Melden Teilen Geschrieben 25. Juli 2022 OK...hier erstmal vielen Dank an Eure Antworten. Hier haben das aufgenommen und besprechen uns, wie wir weiter machen. @MurdocX eben, diese Sammlung haben wir schon teilweise im Einsatz. @Pitti259 um eine Zertifizierung handelt es sich nicht. Des Weiteren sind nun auch schon Vorbereitungen wegen Tier Modell getroffen worden. @NilsK find ich gut Deine Meinung. Danke an alle Zitieren Link zu diesem Kommentar
cj_berlin 1.306 Geschrieben 25. Juli 2022 Melden Teilen Geschrieben 25. Juli 2022 vor 19 Minuten schrieb Pitti259: Ach ja, handelt es sich um eine Bundes- oder Landesbehörde, so ist die Umsetzung des GS-Kompendiums für die eingesetzte IT gesetzlich vorgeschrieben. Von welchem Gesetz? Zitieren Link zu diesem Kommentar
Pitti259 15 Geschrieben 25. Juli 2022 Melden Teilen Geschrieben 25. Juli 2022 vor 3 Minuten schrieb cj_berlin: Von welchem Gesetz? Unterschiedlich, je nach Bundesland oder Bund. Beim Bund ist es der UP-Bund. Bei den Ländern z.B. Bayerisches-eGovernment-Gesetz, Baden-Württemberg, E-Government-Gesetz NRW ... Zitieren Link zu diesem Kommentar
NilsK 2.930 Geschrieben 25. Juli 2022 Melden Teilen Geschrieben 25. Juli 2022 Moin, also ... ich lese das anders. Aber wir sollten uns hier nicht mit Haarspaltereien befassen. Von einer Zertifizierung hat der TO nichts geschrieben. Er wollte Hinweise zur Umsetzung haben, und seinen Antworten nach zu urteilen, ist er an Praxishinweisen auch interessiert. Was er davon dann umsetzt, ist allein seine Sache. Gruß, Nils 3 Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.