Endpoint Security

Exchange und OCS stellen Dienste und Funktionen bereit, die nicht mehr nur aus dem internen "bekannten" Netzwerk erreicht werden können, sondern auch über unsichere Verbindungen wie das Internet oder von fremden Clients z.B. zuhause oder Internet Cafes genutzt werden. Damit ergibt sich ein ganz neues Gefahrenpotential, welches nicht unberücksichtigt bleiben darf.

Sicher können Sie auf und dem Weg zum Server verschiedene Schutzmechanismen einrichten (z.B. Firewall, HTTP-Inspection, Virenscanner auf dem Store und Transport, starke Authentifizierung mit Tokens oder Zertifikaten etc.). Aber dennoch ist es legitimen Benutzern damit möglich, auf ihr Postfach zuzugreifen und über den Weg Daten extrahieren oder einstellen oder dritte Personen Zugriff erlangen.

Microsoft hat hier durchaus einige Antworten im Bereich des Betriebssystems, die ihr System besser schützen können.

  • Grundlagen
    Was bedeutet überhaupt Endpoint Protection?
  • Client Management
    Eine Komponente ist die generelle Verwaltung des Clients
  • Office-Doc und Sicherheit
    Office-Dokumente - das große Einfallstor neben PDF
  • AMSI - Antimalware Scan Interface
    Über AMSI können Programme empfangene Daten einen Malwarescan unterziehen. Auch Exchange schützt sich damit.
  • Bitlocker
    Verschlüsseln der Festplatten ist eine wichtige Komponenten gegen "Seitenangriffe" wenn das Betriebssystem aus ist
  • Get-Bitlockerreport
    PowerShell-Skript um Bitlocker Clients zu listen
  • Devicelock
    Unter Windows können Sie auch USB-Geräte beschränken, die an den Computer angesteckt werde.
  • Applocker
    Bestimmte Windows-Versionen erlauben die Konfiguration von "Allowlists" für zugelassene Programme, DLLs und Skripte
  • Smartcard
    Wer mit Zertifikaten arbeitet, ist gut damit beraten, diese nicht als PFX-Datei auf dem Computer zu lassen (Cloning) sondern in einer SmartCard abzulegen
  • Smartcard-Anmeldung
    Anmelden per Smartcard mit Kennwortupdate und Cloud
  • Virtual Smartcard
    Auch der lokale TPM-Chip kann eine Smartcard bereitstellen
  • Password Security
    Kennwörter müssen gut sein aber nicht regelmäßig geändert werden
  • Client Security
    Netzwerk, Patch, Startmedium u.a.
  • LAPS - Local Admin Password Solution
    Management lokaler Admin Kennworte
  • Microsoft Edge Secure Network
    Kann ein Browser auch zur Sicherheit beitragen, z.B. per "Browser VPN?"
  • Windows Consentstore
    Hier speichert Windows, welche Applikation welches Gerät nutzen darf und wann es zuletzt genutzt wurde

Weitere Links