Jump to content

Sicherheit mobiler Arbeitsplätze (Notebooks)


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo,

 

immer wieder denke ich über die Sicherheit mobiler Arbeitsplätze nach. Sorgen macht mir immer wieder die Tatsache, dass diese Notebooks in irgendwelche Netze eingebucht werden, die ich gar nicht kenne und nicht weiß was darin so alles steckt.

  • Notebooks sind natürlich immer aktuell
  • User haben keine Adminrechte
  • Bitlocker (um z. B. die Sache mit utilman zu verhindern)
  • Verbindung in das Netzwerk per VPN mit MFA.
  • Windows Firewall ist aktiv
  • Notebooks bieten keine Dienste aktiv an
  • lokaler Admin hat ein kompliziertes Passwort
  • Virenscanner
  • Im Defender Portal registriert (so bekommen wir auch Sachen mit, wenn keine VPN-Verbindung besteht)
  • RDP (leider notwendig) ist nur im Domänenprofil (Firewall) aktiv.

 

Somit sollte doch eigentlich die Windows-Firewall allem standhalten.

 

Am liebsten wäre mir natürlich es gäbe das nicht, aber das ist unrealistisch.

 

Mich würde interessieren, ob ihr darüberhinaus noch speziellere Einstellungen an der Windows-Firewall oder sonstiges vornimmt? Out of the box gibt es doch einige aktive Regeln die eingehenden Traffic erlauben, alle deaktivieren?

 

Die Erkennung welches Firewall-Profil genommen werden soll, scheint gut zu funktionieren, nur die Abfrage, ob der Computer im Netzwerk gefunden werden soll, ist da etwas hinderlich.

 

Über ein paar Anregungen würde ich mich freuen.

 

 

Link zu diesem Kommentar

Hi

 

Wie oft kommen diese Notebooks denn zurück ins Haus (wegen Meetings, Raports usw.)? Wenn die entsprechenden Ressourcen vorhanden sind, böte sich noch die Möglichkeit, den Geräten bei jedem Hausbesuch automatisch ein sauberes Image überzubügeln. Sollten sich die Notebooks irgendwo irgendwas eingefangen haben, sind sie danach wieder clean.

 

VG

Damian

Link zu diesem Kommentar
vor 22 Stunden schrieb Damian:

Wie oft kommen diese Notebooks denn zurück ins Haus (wegen Meetings, Raports usw.)? Wenn die entsprechenden Ressourcen vorhanden sind, böte sich noch die Möglichkeit, den Geräten bei jedem Hausbesuch automatisch ein sauberes Image überzubügeln.

Manche Geräte sind kaum außer Haus, während ich andere nur 1x im Jahr sehe. Es handelt sich um Vertriebler und Supporter mit recht viel individuellen Einrichtungen. Wenn ich das regelmäßig lösche muss ich an der nächsten Weihnachtsfeier alleine im Eck mit dem Gesicht zur Wand sitzen :shock2:.

vor 18 Stunden schrieb daabm:

Firewall outbound auch weitestgehend zu im Public Profile? Dann kann zumindest keiner "einfach so" nach Hause telefonieren...

Daran hatte ich bisher nicht gedacht. Im Prinzip alles zu, das nicht für Internet (80, 443) und das VPN verwendet wird :thumb1:.

Edit: Auch an das AD / Virenscanner / Voip-Client denken.

vor 14 Stunden schrieb MurdocX:

Ich kann noch die Microsoft-recommended security configuration baselines (SCT) empfehlen. Das ist schon fast gebetsmühlenartig :D 

:thumb1: Muss ich vielleicht später noch eine Frage stellen.

vor 3 Stunden schrieb testperson:

Ein anderer Ansatz wäre ggfs. im Detail über "Verbindung in das Netzwerk per VPN mit MFA." zu sprechen. Bei VPN trifft man halt immer mal wieder auf ANY <-> ANY bzw. sehr grob gefilterten Traffic.

Das habe ich tatsächlich so fein aufgegliedert, dass ich mit einiger Sicherheit sagen kann, dass das was erlaubt ist, auch notwendig ist.

 

Vielen Dank für die Anregungen. Man kann dann aber doch sagen, dass es schon so etwas wie damals Blaster oder Sasser braucht um einen Windows PC zu kompromitieren, wenn der User nicht *mithilft*.

bearbeitet von wznutzer
Link zu diesem Kommentar
vor 7 Stunden schrieb wznutzer:

Daran hatte ich bisher nicht gedacht. Im Prinzip alles zu, das nicht für Internet (80, 443) und das VPN verwendet wird :thumb1:.

Edit: Auch an das AD / Virenscanner / Voip-Client denken.

 

Bei uns hat jemand ein Goodie programmiert, nennt sich "Hotelfunktion". Per Default ist 80/443 zu, und wenn Du mal wo bist, wo der Internetzugang hinter nem Captive-Portal hängt, kannst Du damit für 5 Minuten 80/443 aufmachen. "Früher" hatten wir das trivialer gelöst - unser Proxy kommt per PAC, und per GPO wurde zusätzlich ein Dummy-Proxy verteilt. Der wird nur angezogen, wenn das PAC nicht heruntergeladen werden kann - also wenn keine Verbindung per VPN vorhanden ist. Hilft natürlich nix gegen Agenten, denen der Proxy egal ist.

 

Und an AD mußt Du natürlich denken, die Domänenerkennung muß im Public Profile funktionieren. Aber mir fällt spontan keine Malware ein, die auf Port 135 oder 389 nach Hause telefoniert. Und für die Domänenerkennung braucht's auch keine Portausnahmen, sondern Dienstausnahmen. AFAIK - müsste nachschauen, wie genau wir das gemacht haben :-)

Link zu diesem Kommentar
vor 15 Stunden schrieb daabm:

Und an AD mußt Du natürlich denken, die Domänenerkennung muß im Public Profile funktionieren. Aber mir fällt spontan keine Malware ein, die auf Port 135 oder 389 nach Hause telefoniert. Und für die Domänenerkennung braucht's auch keine Portausnahmen, sondern Dienstausnahmen. AFAIK - müsste nachschauen, wie genau wir das gemacht haben :-)

Ich bin mir nicht sicher, ob ich das verstanden habe => Domänenerkennung im Public Profile.

1.

Das Notebook wird verbunden und aktiviert das Public Profile, weil es "irgendwo" ist.

2.

User wählt sich im VPN ein und kann alles machen was er so darf

3.

Bei mir steht das Firewal-Profil aber noch immer auf Public. Schaltet das nach der VPN-Verbindung bei Dir tatsächlich auf Domäne um? Dann wären meine Bemühungen im Public Profile außer Kraft. Das würde man ja nicht wollen. Wo ist hier mein Denkfehler?

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...