wznutzer 35 Geschrieben 17. Oktober Melden Teilen Geschrieben 17. Oktober Guten Tag, evtl. habe ich den Begriff falsch gewählt. Während es üblich ist ganze Netzwerke voneinander zu treffen (VLANs), lese ich kaum etwas darüber die Windows-Firewall zu nutzen. Macht Ihr das auch? Ich mache das ziemlich extensiv mit RDP, WinRM, sogar die VeeamDienste schränke ich auf die nötigen Endpunkte ein. Ist das über das Ziel hinaus? Ich meine, man versucht sich ja so vor jemandem zu schützen der ohnehin schon im Netzwerk ist, andererseits gibt es ja die Sache mit lateral movement. Der kürzlich veröffentlichte Fall, bei dem über die Veeam-Dienste ein Konto angelegt worden war, wäre ja dadurch verhindert worden. Oder ist das in großen Netzwerken einfach nicht zu handeln? Grüße und einen schönen Tag Zitieren Link zu diesem Kommentar
NorbertFe 2.034 Geschrieben 17. Oktober Melden Teilen Geschrieben 17. Oktober (bearbeitet) vor 32 Minuten schrieb wznutzer: Ich mache das ziemlich extensiv mit RDP, WinRM, sogar die VeeamDienste schränke ich auf die nötigen Endpunkte ein. Also machst du es eher gar nicht? Oder exzessiv/intensiv? Grundsätzlich kann man sagen, alles was die Sicherheit erhöht ist nicht übers Ziel hinaus. ;) bearbeitet 17. Oktober von NorbertFe 1 Zitieren Link zu diesem Kommentar
testperson 1.675 Geschrieben 17. Oktober Melden Teilen Geschrieben 17. Oktober Je nachdem wie du es machst, ist da ja auch noch Luft nach oben: Part 3, 4, 5: Windows Firewall: The Series – AJ's Tech Chatter (anthonyfontanez.com) Endpoint Isolation with the Windows Firewall | by Dane Stuckey | Medium 1 Zitieren Link zu diesem Kommentar
wznutzer 35 Geschrieben 17. Oktober Autor Melden Teilen Geschrieben 17. Oktober vor 31 Minuten schrieb NorbertFe: Also machst du es eher gar nicht? Oder exzessiv/intensiv? Extensiv, ausgedehnt / umfassend, ob ich es auch exzessiv (maßlos) mache, weiß ich nicht. Aber lt. @testperson ist es noch ausbaubar . Zitieren Link zu diesem Kommentar
NorbertFe 2.034 Geschrieben 17. Oktober Melden Teilen Geschrieben 17. Oktober Lustig ich hatte die zweite Bedeutung im Hirn: Zitat auf großen Flächen, aber mit verhältnismäßig geringem Aufwand betrieben Zitieren Link zu diesem Kommentar
daabm 1.354 Geschrieben 17. Oktober Melden Teilen Geschrieben 17. Oktober Da fällt mir spontan immer das hier ein: https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-r2-and-2012/jj721517(v=ws.11) Wird natürlich mehr als anstrengend in heterogenen Umgebungen - aber wenn alles unter Windows läuft und in der Domäne ist, ist das einfacher als hunderte von FW-Freigaben. 1 Zitieren Link zu diesem Kommentar
cj_berlin 1.313 Geschrieben 17. Oktober Melden Teilen Geschrieben 17. Oktober Moin, da würde ich doch gern meinen Vorrat an 2-Cent-Münzen hier ausschütten Re Overkill: Ich predige seit Jahren, vermutlich inzwischen Jahrzehnten: In Sachen Security ist alles, was mit vorhandenem Know-How und mit den vorhandenen Resourcen managebar ist, einfach zu tun. Alles, was sich gut anhört, aber nicht managebar ist, ist einer Risikobewertung zu unterziehen - ist es riskanter, XYZ nicht zu machen, oder mit einem nicht beherrschbaren Konstrukt zu leben? In meinen Augen gehört der Fall "Alles ist im AD, hört auf GPOs und hat eine Windows-Firewall am Start, also machen wir granulare Firewall-Regeln per GPO" in die Kategorie "managebar". Re Mikrosegmentierung: Ich wünsche mir seit Jahren, wir hätten zwei Begriffe dafür. Und dann wäre in meiner Welt "Mikrosegmentierung" genau NICHT das, was die Windows-Firewall tut, sondern Distributed Firewalls egal welcher Art, die den Traffic auch innerhalb eines Subnetzes zwar granular steuern, den einzelnen Hosts aber verborgen bleiben. Aber wir haben soweit ich weiß nur den einen Begriff, also deckt er auch die Windows-Firewall ab. Warum hier unterscheiden? Eine Host-Firewall ist ein anderthalbschneidiges Schwert - einerseits schützt sie direkt an der Quelle, andererseits muss dafür die Konfiguration lokal vorgehalten werden. Und bei der Windows-Firewall ist sie noch nicht einmal obfuskiert. Somit erschwert man zwar im ersten Moment Lateral Movement eines potentiellen Angreifers, erleichtert ihm dafür jedoch zumindest in einem Punkt die Reconnaissance. Besonders viel schenkt man den Kolleginnnen dann, wenn man nicht nur eingehende, sondern auch ausgehende Regeln pflegt. Da ist der von @daabm zitierte Ansatz schon deutlich sparsamer in Bezug darauf, was durch die lokale Registry preisgegeben wird. 1 1 Zitieren Link zu diesem Kommentar
wznutzer 35 Geschrieben 21. Oktober Autor Melden Teilen Geschrieben 21. Oktober Am 17.10.2024 um 23:13 schrieb cj_berlin: Reconnaissance Ich musste erstmal den Begriff googeln . Den Vorschlag von @daabm verwende ich derzeit nicht. Ich habe zwar immer die Registerkarten gesehen, aber nie verwendet. Weiß zufällig jemand, ob das auf die Performance geht (die Authentifizierung ohne Verschlüsselung). Ich das einigermaßen gängig oder baue ich da was, was kaum jemand kennt und/oder nutzt? Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.