» Home » Verschiedenes » Endpoint Security

Endpoint Security

Exchange und OCS stellen Dienste und Funktionen bereit, die nicht mehr nur aus dem internen "bekannten" Netzwerk erreicht werden können, sondern auch über unsichere Verbindungen wie das Internet oder von fremden Clients z.B. zuhause oder Internet Cafes genutzt werden. Damit ergibt sich ein ganz neues Gefahrenpotential, welches nicht unberücksichtigt bleiben darf.

Sicher können Sie auf und dem Weg zum Server verschiedene Schutzmechanismen einrichten (z.B. Firewall, HTTP-Inspection, Virenscanner auf dem Store und Transport, starke Authentifizierung mit Tokens oder Zertifikaten etc.). Aber dennoch ist es legitimen Benutzern damit möglich, auf ihr Postfach zuzugreifen und über den Weg Daten extrahieren oder einstellen oder dritte Personen Zugriff erlangen.

Frage der Endgeräte

Zuerst müssen wir zwischen den verschiedenen Endgeräten unterscheiden. Ich teile diese in vier Gruppen auf:

• Webbrowser
  Darunter fallen alle Clients, die mit einem beliebigen Browser z.B. OWA nutzen und ansonsten keinerlei Verbindung zum Netzwerk haben. Damit entfallen auch alle Möglichkeiten einer zentralen Kontrolle oder Steuerung. Nur der Zugang durch die Anmeldung kann besser gesichert werden (z.B. Tokens etc.) und der Funktionsumfang von OWA kann eingeschränkt werden, z.B. dass Anlagen nicht mehr herunter geladen werden sondern nur angezeigt werden können (WebView).
• Mobile Clients
  Die zweite Gruppe sind die PDA wie Windows Mobile, iPhone, Android, Symbian etc., welche per ActiveSync oder andere Mechanismen auf das Postfach zugreifen können. Hier greifen je nach Protokoll (z.B. ActiveSync, Blackberry) einstellbare und je Gerät durchsetzbare Richtlinien. Als Firma müssen Sie sich überlegen, wie die mit Geräten umgehen, die ihren Mindestrichtlinien nicht entsprechen. Bei mobilen Geräten ist es noch relativ einfach, nur erwünschte Geräte passieren zu lassen (z.B. anhand der IMEI, Versionsstände) und andere "unsicherer Geräte" zu blocken.
• Nicht verwaltete PCs
  Dazu zähle ich PCs, die Anwender privat beschafft haben und mit Outlook installiert haben. Über RPC/HTTP oder teilweise auch über VPNs können die Mitarbeiter in wenig gesicherten Netzwerken einfach mit ihrem Benutzernamen und Kennwort eine sicherer Verbindung zum Server aufbauen. Über RPC/HTTP funktioniert Outlook einfach so. Wird sogar ein VPN möglich, dann ist der Privat-PC auf einmal "Teil" ihres Netzwerks. Da das einfache Windows PPTP/IPSec-VPN keinerlei Richtlinien unterstützt, ist dies sicher der unangenehmere Weg für Firmen. Ein Grund mehr auf solch einfache VPNs zu verzichten und Zugänge per SSL, Terminaldienste oder leistungsfähigere VPN-Lösungen zu schalten.
  Hierunter fallen auch fremde Clients (z.B. Consultants wie ich), die sich in ihrem Haus-LAN oder per WIFI verbinden dürfen und damit auch "drin" sind. Hier wäre dann 802.1x mit Gast-Netzwerken etc. ein möglicher Weg.
• Verwaltete PCs
  Viel einfacher stellt sich die Absicherung von Systemen dar, die sie aktiv verwalten können. In der einfachsten Version helfen schon Gruppenrichtlinien bei der Kontrolle weiter. Eine zentrale Softwareverteilung/Patchmanagement erlaubt das Durchsetzen bestimmter Softwarestände, Patches, Virenscannern und weiteren Schutzprodukten. Diese PCs sind meist auch deutlich kritischer, da sie als Notebook auch außerhalb des halbwegs gesicherten Firmengelände unterwegs sind und danke Replikation (OST-Datei, Offline-Folder, OneNote-Cache etc.) auch viele und sensitive Datenbestände lokal mit führen

Diese Seite behandelt die "Managed PCs" und deren Möglichkeiten einer Absicherung, da diese im direkten Einflussbereich einer Firmen-IT sind und alle andere Geräte nicht einfach verwaltet werden können. Sicher können die ActiveSync-Policies für Mobilgeräte, die Einstellungen des Blackberry Enterprise Servers und verschiedene Einstellmöglichkeiten von VPN-Clients anderer Hersteller hier helfen aber diese sind nie so weitreichend wie die Einstellmöglichkeiten eines vollständig verwalteten Clients.

Für diese Clients gibt es mehrere Faktoren zu bedenken:

• Festplatten
  Die Gefahr eines Diebstahl oder Verlust (z.B. Vergessen) ist nicht von der Hand zu weisen. Statistiken zeigen gut, dass pro Jahr allein tausende von Mobiltelefone in Taxis vergessen werden. Neben dem materiellen Wertverlust sind die Daten auf dem System oder der Zugriff über das Geräte auf weitere Daten das viel größere Risiko. Wird der Zugang zum System per Kennwort gesichert und die Daten auf dem Gerät verschlüsselt, dann hat ein Finder oder Dieb maximal die Hardware für den Eigenbedarf oder Weiterverkauf. Und selbst hier kann ein Kennwort das System so unbrauchbar machen, dass bei Notebooks dann nur noch Der Akku, Netzteil, Display etc. verwertet werden können., weil die Festplatte und das Motherboard sich jeder weiteren Nutzung entziehen.
• Schnittstellen
  Zwar gibt es kaum noch PCs mit seriellen und parallelen Schnittstellen, aber dafür erlauben WiFi, USB, Bluetooth, PCMCIA und andere Optionen eine sehr viel schnellerer und bei Funk auch eventuell "unbemerkte" Zugänge zu einem System. Nun kann man nicht alles per Default abschalten, da WiFi durchaus sinnvoll ist und auch der Anschluss von USB-Headsets (OCS) oder Bluetooth-Partnerschaften für Mobiltelefone durchaus erwünscht sind. Selbst USB-Speichermedien können in Grenzen erwünscht sein. Hierzu muss es entsprechende Einstellmöglichkeiten oder Zusatzprodukte geben, deren Sperrfunktion zentral gesteuert aber eventuell auch ohne Netzwerkbindung auf "Zuruf" gelockert werden kann.
• Virenschutz
  Selbst wenn alle Schnittstellen deaktiviert wären, so bleibt immer noch das Risiko, dass Schadcode erst auf dem Client aktiv wird und nicht auf dem Weg dorthin erkannt wird (z.B. in verschlüsselten Nachrichten). Damit ist es unumgänglich, auf jedem Client entsprechend Schutzmaßnamen zu etablieren und deren Funktion und Aktualität zu überprüfen. Es ist unbestritten, dass jeder Client heute mit einem entsprechenden Schutzmodul ausgestattet sein muss.
• Anmeldung
  Reicht ihnen Benutzername und Kennwort noch aus, oder sollten mobile Clients sich nicht etwas "strenger" Anmelden. Eine Anmeldung per Smartcard o.ä. ist nicht so selten, wie viele Administratoren denken und seit Windows 2000 recht einfach möglich. Alternativen wie Fingerprint-Sensoren, USB-Tokens etc. sind eventuell auch ausreichend.
  Dazu gehört aber auch eine Funktion, bei Inaktivität das System wieder zu sperren.
• Verbindung (VPN, 802.1x, DirectAccess)
  Mitarbeiter, die unterwegs sind, können oft trotzdem auf Ressourcen in der Firma zugreifen oder Daten abgleichen. Der Zugriff erfolgt dazu fast immer über den Aufbau einer verschlüsselten Verbindung zwischen dem Client und dem Zugangspunkt bzw. dem Server selbst. Auch hier muss der Client sicher sein, dass die Verbindung tatsächlich verschlüsselt zum richtigen Partner besteht. Aber auch die Gegenstelle, also die Firma, muss sicher sein, dass sich es um einen vertrauenswürdigen authentifizierten Client handelt. Einige VPN-Lösungen unterstützen sogar zusätzliche Filter, damit ein authentifizierte Client nicht den gleichen Status wie ein interner Client hat.
  Das gilt aber auch für interne Anschlüsse. Firmen stellen keine geschlossen Netzwerke dar, da Besucher etc. durchaus eine Verbindung zum drahtgebundenen LAN oder WIFI-Knoten herstellen können. Auch hier sollte eine Authentifizierung erfolgen, wenngleich eine Verschlüsselung dann oft optional angesehen wird

Der Begriff "Endpoint Security" ist daher schon etwas weiter gefasst, auch wenn unterschiedliche Anbieter dies immer so auslegen, wie die eigenen Produkte dies am besten abdecken können.

Schutz mit Microsoft Mitteln

Für nahezu jeden Anwendungsfall gibt es entsprechende Produkte von verschiedenen Herstellern. Neben den Kosten schreckt viele Administratoren aber die zusätzliche Verwaltung, Abhängigkeiten von Windows Versionen und manchmal eine nicht gerade "gewohnte" Oberfläche für Anwender und Administratoren ab. Da stellt sich doch die Frage, welche Bordmittel Windows schon mitbringt, die vielleicht sogar schon ausreichen.

Thema	Bordmittel	Bemerkungen
Festplattenverschlüsselung	Bitlocker	Erst ab Vista und höher Nur in Ultimate/Enterprise/Server nicht für Home/Premium
Schnittstellen	Devicelock mit Gruppenrichtlinien	Erst ab Vista und höher Frühere Bastellösungen per RegEdit und ACLs auf Dienste und Devices.
Virenscan	Windows Security Essentials (Kostenfrei)	Nur Windows XP, Vista, Windows 7 Nicht für Windows Server, leider nicht mal Home Server kein zentrales Management. (Pattern können per WSUS verteilt werden) Forefront Client Security könnte hier hinzu kommen.
Anmeldung	Windows Smartcard	Smartcard Leser + Karten mit CSP erforderlich Zertifikatsstelle erforderlich
Verbindungen	802.1x mit passendem Switch Windows VPN Optional mit NAP Direct Access	802.1x Infrastruktur muss geschaffen und betrieben werden VPN/NAP Absicherung erfordert Windows 2008 Server Install the DirectAccess Feature http://technet.microsoft.com/en-us/library/ee649180(WS.10).aspx
Netzwerk	Desktopfirewall IPSec Richtlinien	Windows Firewall ist erst ab Vista entsprechend leistungsfähig.

Schauen wir uns die einzelnen Komponenten einfach mal genauer an

Virenscanner

Seit 30 Sep 2009 verschenkt Microsoft einen kostenfreien Virenscanner, welcher laut Microsoft für all die Windows Anwender sein soll, die bislang keinen Virenscanner installiert hatten und auch kein Geld hierfür ausgeben wollten und damit indirekt Windows Clients als bevorzugte Ziele für Schadsoftware gemacht haben. Sicher gibt es auch von Avira, AVG und anderen Virenscanner, die für den Privatgebrauch kostenfrei sind, aber Oft nerven diese durch Popups, jährliche Neuregistrierung etc.

Microsoft Security Essentials ist für Privatpersonen auf jeden Fall eine interessant Option, da die Windows Firewalls durchaus ihre Funktion erfüllen und ein Update aus dem Internet über Windows Update keine Einschränkung darstellt.

Für Firmen hingegen zählen anderen Faktoren, die MSE nicht erfüllen kann:

• keine Zentrale Verteilung von Updates
  d.h. jeder PC muss sich Pattern Updates selbst per Windows Update aus dem Internet holen
• Zentrales Reporting von Warnungen
  Es gibt keine zentrale Konsole, in der eine Administrator einen Überblick über Virenausbrüche hat, z.B. wo ein Schädling zeitlich zuerst aufgetreten ist.
• Zentrale Verwaltung
  Sie haben keine Übersicht, welche Clients den Virenscanner in welcher Version verwenden, also auch nicht welche Clients sich schon länger nicht aktualisieren oder vielleicht gar keinen Scanner haben.
• Spynet nicht abschaltbar
  MSE sendet erkannte Viren bzw. verdächtige Dinge online an "SpyNET". Dies kann nicht auf dem Client blockiert werden. Da der Weg der gleiche wie ein Download des Patternupdate, ist auch eine Filterung auf dem Proxy nicht einfach.

Es ist allerdings absehbar, dass diese Funktion in "Forefront Client Security" gegen Ende 2010 als Produkt verfügbar sein wird. Dennoch wird es Firmen geben, denen all diese Zusatzfunktionen nicht wichtig sind und ein Download der Update von jedem Client aus dem Internet kein Problem darstellt. Schade nur, dass Essentials aktuell nicht für Windows Server (nicht einmal den Windows Home Server genutzt werden kann.

• Security_Essentials Homepage
  http://www.microsoft.com/Security_Essentials/
• Install the latest Microsoft Security Essentials definition updates
  http://www.microsoft.com/security/portal/Definitions/HowToMSE.aspx
• 971606 How to manually download the latest definition updates for Microsoft Security Essentials
• Wikipedia zu Security Essentials
  http://en.wikipedia.org/wiki/Microsoft_Security_Essentials

Netzwerk, NAP 802.1x, Direct Access

Windows 2008 ist der erste Server, der als VPN-Gegenstelle auf den Clients eine weitergehende Überprüfung der Konformität anfordern kann. Kompatible Clients sind Windows Vista und höher, welche einen entsprechenden Client schon mitbringen. Windows XP SP3 enthält ebenfalls einen NAP-Client, der aber einige Einschränkungen unterliegt (z.B. keine GUI, nur NetSh). Dritthersteller bieten entsprechende Clients sogar für Linux und MacOS an.

Diese Funktion ist an sich nicht neu, da viele andere Anbieter von VPNs neben dem Server auch immer eine passende Clientkomponente auf die PCs verteilen mussten, und diese entsprechende Richtlinien umsetzen konnten. Allerdings waren diese Produkte immer mit Mehrkosten verbunden. Je mehr Firmen im Rahmen ihrer Updates auf Windows 2008 oder höher wechseln, desto häufiger kann davon ausgegangen werden, dass die Funktion einfach "da" ist.

Die Nutzung eines kontrollierten Zugangs zum LAN nur für authentifizierte Clients ist per 802.1x relativ einfach und schnell möglich. Aus heutiger Sicht kann jeder halbwegs moderne Switch die Client pro Port authentifizieren, so dass es schon als fahrlässig bezeichnet werden kann, wenn frei zugängliche Netzwerkdosen, z.B.: in Besprechungsräumen etc. nicht abgesichert sind.

Der Weg zu einer NAP-Richtlinien, d.h. damit nur Clients sich verbinden dürfen, die auch einen gewissen Versionsstand z.B. bezüglich Firewall und Virenscanner erfüllen, ist für viele Firmen noch etwas länger.

• 802.1x
• 921070 Support Webcast: Introduction to Network Access Protection
• Microsoft NAP Blog
  http://blogs.technet.com/NAP/
• Security and Policy Enforcement
  http://www.microsoft.com/windowsserver2008/en/us/security-policy.aspx
• Wikipedia NAP
  http://en.wikipedia.org/wiki/Network_Access_Protection
• Microsoft's DirectAccess Getting Started page
  http://www.microsoft.com/servers/directaccess.mspx
• Microsoft's DirectAccess TechNet page
  http://technet.microsoft.com/en-us/network/dd420463.aspx
• MS-IPHTTPS on MSDN
  http://msdn.microsoft.com/en-us/library/dd358571(PROT.13).aspx
• Blogger's posting on DirectAccess
  http://refraction.co.uk/blog/2009/07/23/directaccess-ipv6-and-ipv4-networks/
• Integrating Windows 7 DirectAccess with UNIX and Linux Systems
  http://www.centrify.com/directsecure/window-7-directaccess-integration-for-unix-linux.asp

Intel Active Management Technologie (AMT)

Und dann gibt es da eine Funktion, die den meisten Administratoren noch gar nicht aufgefallen ist. In bestimmten Chipsätzen von Intel, bevorzugt in der "Business Serie", ist die Möglichkeit einer Fernsteuerung und Konfiguration enthalten. Diese auch AMT genannte Funktion ist ein einigen PCs ausgeschaltet und muss erst eingeschaltet und mit Kennwort gesichert werden. Dann hingegen kann der PC aus der Ferne nicht nur eingeschaltet sondern komplett auch "Ferngesteuert" werden. Die Fernsteuerung betrifft nicht nur das BIOS während der Boot-Phase, sondern auch später das laufende System. Wer also Kenntnis über die AMT-Zugangsdaten hat, kann das System ohne weitere Kontrolle durch das Betriebssystem fernsteuern. Insofern ist AMT für standortfeste Desktopsysteme ein sehr interessantes Mittel zum Management. Wenn aber ein Notebook unterwegs erreichbar ist, sollte sich ein gutes Kennwort überlegen. Denn die AMT-Komponenten nehmen die Verbindung schon direkt auf der Netzwerkkarte auf. Die Firewall in Windows oder anderen Systemen kann diese Pakete nicht abblocken.

Insofern sind auch hier noch mal genauere Einstellungen erforderlich, nicht dass ein PC in einer Flughafenlounge von einem Nachbar über diese Funktion "ferngesteuert" wird. Die Aktivierung für statische "Desktop-PCs" ist sicher weniger kritisch, wobei natürlich auch hier eine starke Authentifizierung erforderlich sein muss

• Intel® Active Management Technology
  http://www.intel.com/technology/platform-technology/intel-amt/
• http://en.wikipedia.org/wiki/Intel_Active_Management_Technology
• http://de.wikipedia.org/wiki/Intel_vPro

Weitere Links

• Business Ready Sdecurity
  http://www.microsoft.com/forefront/en/us/business-ready-security.aspx
• 802.1x
• Firmen CA

Keywords:

Endpoint Security CA 802.1x Virenscanner

Impressum und Datenschutzerklärung. Anmerkungen, Anregungen oder Fragen siehe "Kontakt". Alle Angaben ohne Gewähr! Namen und Produktbezeichnungen können Eigentum der jeweiligen Hersteller sein. (c) 2000-heute Frank Carius, Jede weitere Veröffentlichung nur mit meinem vorherigen Einverständnis.

• NOTFALL
• Grundlagen
• Konzepte
• Signieren und Verschlüsseln
• Verfügbarkeit
• Admin und Betrieb
• Ex 2000/2003
• Ex 2007/2010
• Unified Communication
• Mobile Clients
• Clients
• Connectoren
• Internet
• Spam und UCE
• Migration/Koexistenz
• Tools
• How-To
• Programmieren
• Produkte
• Events
• Buch
• Verschiedenes
  • Infofilm
  • NTFS Intern
  • Timesync/NTP
  • Gruppenrichtlinien
  • Windows Gruppen
  • NLB
  • Datenhaltung
  • Vererbung
  • Kerberos
  • Schattenkopien
  • Imagebackup
  • Update/Patch
  • Bluescreen
  • WSUS
  • RPC
  • RIS und PXE
  • WDS/WAIK
  • Endpoint Security
    • Client Management
    • Bitlocker
    • Devicelock
    • Smartcard
    • Security
    • 802.1x
  • NIS und NFS
  • WPad
  • SQL-Server
  • Cityhosting
  • Podcast
  • MSBlaster
  • Privat PC Sicherheit
  • IBM R40 Praxisbericht
  • Windows Home Server
  • Maus8000
  • Wiki
  • Blog
  • Wurmmails
  • Filesync
  • Contoso
  • GUIDAccess
  • ISDNTechnik
  • Meine erste Facharbeit
  • 6h Lader
  • Bluefritz! Umbau
  • 220V Adapterstecker
  • Hauptschalter
• Ideen
• Sonstiges
• Net at Work
• Newsletter
• Archiv
• English pages