Technische Lsungen und Empfehlungen Andreas Blohm ablohmnetik de
Technische Lösungen und Empfehlungen Andreas Blohm ablohm@netik. de 04. 03. 2021 30. 1. 2018 1
Überblick • Emailsicherheit • Benutzer- und Ressourcenmanagement • Berechtigungen • Passwortmanagement • Softwareausführungsrichtlinien • Clientmanagement / -sicherheit 2 04. 03. 2021
Emailsicherheit 3 04. 03. 2021
Emailsicherheit 4 04. 03. 2021
Emailsicherheit Unsere Lösung für Email On. Premise-Lösungen : • Sonicwall Firewall mit Gateway-Antivirus, Intrusion Prevention, Anti-Spyware und Capture ATP • Sonciwall Emailsecurity mit Spam-, Spoofing-, Phishing-, Virenschutz und Capture ATP • Mailserver (MS Exchange) mit Antivirenlösung • Definierter externer Zugriff erfolgt ausschließlich über Citrix Netscaler und verschlüsselte SSL-Verbindung 5 04. 03. 2021
Emailsicherheit Unsere Lösung für Email Cloudlösungen (O 365+Exchange. Online): • Office 365 besitzt bereits im Standard einen Virenschutz dieser ist durch „Office 365 Advanced Threat Protection”erweitertbar • Exchange. Online kann mit zusätzlich mit der “Exchange Online Protection” geschützt werden 6 04. 03. 2021
Emailsicherheit • Benutzer sensibilisieren ! • Sicherheit vs. Komfort • „Privates“ Mailhosting unterbinden • Alerting und Reporting nutzen 7 04. 03. 2021
Benutzer- und Ressourcenmanagement Konsequente Trennung der Rollen von Anmeldekonten! • Benutzerkonten -> ablohm • Hat die Berechtigungen, welche notwendig sind um seine Aufgaben zu erfüllen -> aber nicht mehr • Kein lokaler Admin! 8 04. 03. 2021
Benutzer- und Ressourcenmanagement 9 04. 03. 2021
Benutzer- und Ressourcenmanagement • Administratorkonten -> adminab • Rollenbasierte Administratoren -> z. B. niemand muss ständig Schema-Admin sein! • Trennung nach Aufgaben • Monitoring der „kritischen“ Gruppen 10 04. 03. 2021
Benutzer- und Ressourcenmanagement • Dienstkonten -> sqlservice • Zum von Diensten, Ausführen von geplanten Task, LDAP-Abfragen, Datenbankanbindungen usw…. • Dedizierte Rechtevergabe für die geforderte Aufgabe • Dienstkonten entsprechend einschränken! • Wie sollte ein Servicekonto konfiguriert sein: - Sollte kein Administrator oder sonstiger genutzter User. Account sein. - Sollte langes und komplexes Passwort haben und darf sein Kennwort nicht ändern! (BSI mind. 14 Zeichen!) - Einschränken, auf welchen Computern sich Service. Accounts anmelden dürfen. 11 04. 03. 2021
Berechtigungen • Berechtigungen auf das Dateisystem 12 04. 03. 2021
Berechtigungen • Berechtigungen auf das Dateisystem -> Freigabeberechtigungen 13 04. 03. 2021
Berechtigungen • Berechtigungen auf das Dateisystem -> NTFS-Berechtigungen • „Root“-Ordner: • „Arbeitsordner“: • Änderungen überwachen! 14 04. 03. 2021
Berechtigungen 15 04. 03. 2021
Berechtigungen …und was noch? -> Dateizugriffe kontrollieren • Clientlaufwerke und USB-Geräte in Citrixumgebungen • USB-Sticks an lokalen Rechnern • Dropbox & Co. 16 04. 03. 2021
Passwortmanagement Kennwortrichtlinien, Kontosperrungsrichtlinien, Kerberosrichtlinien Diese 3 Richtlinien können nur an der Domäne festgemacht werden. Alle anderen Richtlinien, z. B. an OUs, gelten nur für lokale Benutzer. Ab 2008/2012 auch granulare Passwortrichtlinien (Fine Grained Password Policies). Wichtig! - Domain Level nach Abschaltung der 2003 Server hochsetzen! 17 04. 03. 2021
Passwortmanagement Empfehlung lt. BSI Grundschutzkatalog "M 4. 48 Passwortschutz unter Windows-Systemen“ OS = Windows 7. . 10/2008/2012 BSI Empfehlung Maximales Kennwortalter 90 Tage Minimales Kennwortalter 1 Tag Minimale Kennwortlänge 8 Zeichen Kennwortchronik erzwingen 6 Kennwörter Kontosperrungsschwelle 3 Versuchen Zurücksetzungsdauer des Kontosperrungszählers 30 Minuten Kontosperrdauer 60 Minuten Kennwort muss Komplexitätsvoraussetzungen entsprechen Aktiviert Kennwörter mit umkehrbarer Verschlüsselung speichern Deaktiviert Die minimale Passwortlänge für besonders schützenswerte Konten (z. B. Dienstekonten, Admins) sollte mehr als 14 Zeichen betragen! 04. 03. 2021 18
Passwortmanagement Länge oder Komplexität? Ich trinke gern Bier. %45!rt. T - 27 Tage OS = Windows 7. . 10/2008/2012 Maximales Kennwortalter Minimale Kennwortlänge Kennwortchronik erzwingen Kontosperrungsschwelle Zurücksetzungsdauer des Kontosperrungszählers Kontosperrdauer Kennwort muss Komplexitätsvoraussetzungen entsprechen Kennwörter mit umkehrbarer Verschlüsselung speichern Die Passwortlänge ist wichtiger als die Komplexität! Idealerweise mehr als 20 Zeichen. Kontosperrdauer: 3 Versuche sind meist zu wenig, kann einfach vergessliche User treffen. Besser 20. . 50 Versuche pro Zeitraum Vorsicht bei manueller Entsperrung! AD-Konten sperren, Do. S Atacke für Jedermann http: //www. faq-o-matic. net/2013/08/07/dos-angriff-fr-jedermann-ad-konten-sperren/ Arbeitsplätze sperren! Arbeitsplätze bei Inaktivität sperren (Bildschirmschoner). 04. 03. 2021 BSI Empfehlung 90 Tage 1 Tag 8 Zeichen 6 Kennwörter 3 Versuchen 30 Minuten 60 Minuten Aktiviert Deaktiviert 19
Passwortmanagement LM (LANManager) / NTLM - Eingeführt mit Windows 3. 1/3. 11 - Max Passwortlänge 14 Zeichen Konfiguration per Group Policy - Nur Refuse LM & NTLM Optionen sind sicher. 20 04. 03. 2021
Passwortmanagement 21 04. 03. 2021
Passwortmanagement Externer Zugriff (außerhalb des gesicherten Firmennetzwerkes) erfolgt nur mit einer 2 -Faktorauthentifizierung! 22 04. 03. 2021
Softwareausführungsrichtlinien • Nur zugelassene Software darf durch den Benutzer ausgeführt werden! 23 04. 03. 2021
Softwareausführungsrichtlinien • Festlegen der Pfade, Programme usw. welche gestartet werden dürfen oder auch nicht! 24 04. 03. 2021
Softwareausführungsrichtlinien • App-Locker nutzen! • Virenscanner konfigurieren • Windowsfirewall per GPO konfigurieren 25 04. 03. 2021
Clientmanagement / -sicherheit Windowsrechner in meiner Domäne: - Verwalten per GPO, MS System. Center, Drittanbieterprogrammen (Mc. Afee EPO), WSUS-Konsole - Reporting und Dokumentation -> AD Manager, Docusnap, Systemcenter Und Rechner die sich außerhalb meines Netzwerkes befinden? - Windows Intune on Azure -> Verwaltung von klassischen „Fat. Clients“ und mobilen Geräten 26 04. 03. 2021
Clientmanagement / -sicherheit Windowsupdates steuern mit Intune! 27 04. 03. 2021
Clientmanagement / -sicherheit • Verwalten der Antivirenlösung durch Cloudmanagement • Absichern der Rechner durch Zertifikate usw. • Nutzung eines Rechenzentrums mit Citrix Xen. App/Xen. Desktop 28 04. 03. 2021
Clientmanagement / -sicherheit • Mobile Geräte: BYOD vs. Firmengeräte -> Citrix Xen. Mobile Enterprise • Verwalten der Geräte • Verteilen von Applikationen • Bereitstellen von Secureapps und „Micro-VPN“ 29 04. 03. 2021
Clientmanagement / -sicherheit …und was noch? • Bitlocker aktivieren! • Ausschließlich HTTPS-Zugriffe nutzen -> öffentliches Zertifikat • Zugriff auf „MEIN“ Netzwerk absichern und kontrollieren (WLAN, VPN, LAN, HTTP(S) …. ) • Kollegen mitnehmen 30 04. 03. 2021
Das Ende… Was heute nicht thematisiert wurde: • Backupkonzepte und Restore • Netzwerktechonlogien (Firewall, VPN, Filtering, VLAN. . . ) • PKI (Zertifikatsinfrastruktur) aufbauen • Servermanagement 31 04. 03. 2021
Das Ende… Danke! Einwände…. Fragen, Meinungen, 32 04. 03. 2021
- Slides: 32