Endpoint Security

Exchange und OCS stellen Dienste und Funktionen bereit, die nicht mehr nur aus dem internen "bekannten" Netzwerk erreicht werden können, sondern auch über unsichere Verbindungen wie das Internet oder von fremden Clients z.B. zuhause oder Internet Cafes genutzt werden. Damit ergibt sich ein ganz neues Gefahrenpotential, welches nicht unberücksichtigt bleiben darf.

Sicher können Sie auf und dem Weg zum Server verschiedene Schutzmechanismen einrichten (z.B. Firewall, HTTP-Inspection, Virenscanner auf dem Store und Transport, starke Authentifizierung mit Tokens oder Zertifikaten etc.). Aber dennoch ist es legitimen Benutzern damit möglich, auf ihr Postfach zuzugreifen und über den Weg Daten extrahieren oder einstellen oder dritte Personen Zugriff erlangen.

Informationen zu mobilen Endgeräten finden Sie auf DeviceEncryption.

Frage der Endgeräte

Zuerst müssen wir zwischen den verschiedenen Endgeräten unterscheiden. Ich teile diese in vier Gruppen auf:

  • Webbrowser
    Darunter fallen alle Clients, die mit einem beliebigen Browser z.B. OWA nutzen und ansonsten keinerlei Verbindung zum Netzwerk haben. Damit entfallen auch alle Möglichkeiten einer zentralen Kontrolle oder Steuerung. Nur der Zugang durch die Anmeldung kann besser gesichert werden (z.B. Tokens etc.) und der Funktionsumfang von OWA kann eingeschränkt werden, z.B. dass Anlagen nicht mehr herunter geladen werden sondern nur angezeigt werden können (WebView).
  • Mobile Clients
    Die zweite Gruppe sind die PDA wie Windows Mobile, iPhone, Android, Symbian etc., welche per ActiveSync oder andere Mechanismen auf das Postfach zugreifen können. Hier greifen je nach Protokoll (z.B. ActiveSync, Blackberry) einstellbare und je Gerät durchsetzbare Richtlinien. Als Firma müssen Sie sich überlegen, wie die mit Geräten umgehen, die ihren Mindestrichtlinien nicht entsprechen. Bei mobilen Geräten ist es noch relativ einfach, nur erwünschte Geräte passieren zu lassen (z.B. anhand der IMEI, Versionsstände) und andere "unsicherer Geräte" zu blocken.
  • Nicht verwaltete PCs
    Dazu zähle ich PCs, die Anwender privat beschafft haben und mit Outlook installiert haben. Über RPC/HTTP oder teilweise auch über VPNs können die Mitarbeiter in wenig gesicherten Netzwerken einfach mit ihrem Benutzernamen und Kennwort eine sicherer Verbindung zum Server aufbauen. Über RPC/HTTP funktioniert Outlook einfach so. Wird sogar ein VPN möglich, dann ist der Privat-PC auf einmal "Teil" ihres Netzwerks. Da das einfache Windows PPTP/IPSec-VPN keinerlei Richtlinien unterstützt, ist dies sicher der unangenehmere Weg für Firmen. Ein Grund mehr auf solch einfache VPNs zu verzichten und Zugänge per SSL, Terminaldienste oder leistungsfähigere VPN-Lösungen zu schalten.
    Hierunter fallen auch fremde Clients (z.B. Consultants wie ich), die sich in ihrem Haus-LAN oder per WIFI verbinden dürfen und damit auch "drin" sind. Hier wäre dann 802.1x mit Gast-Netzwerken etc. ein möglicher Weg.
  • Verwaltete PCs
    Viel einfacher stellt sich die Absicherung von Systemen dar, die sie aktiv verwalten können. In der einfachsten Version helfen schon Gruppenrichtlinien bei der Kontrolle weiter. Eine zentrale Softwareverteilung/Patchmanagement erlaubt das Durchsetzen bestimmter Softwarestände, Patches, Virenscannern und weiteren Schutzprodukten. Diese PCs sind meist auch deutlich kritischer, da sie als Notebook auch außerhalb des halbwegs gesicherten Firmengelände unterwegs sind und danke Replikation (OST-Datei, Offline-Folder, OneNote-Cache etc.) auch viele und sensitive Datenbestände lokal mit führen

Diese Seite behandelt die "Managed PCs" und deren Möglichkeiten einer Absicherung, da diese im direkten Einflussbereich einer Firmen-IT sind und alle andere Geräte nicht einfach verwaltet werden können. Sicher können die ActiveSync-Policies für Mobilgeräte, die Einstellungen des Blackberry Enterprise Servers und verschiedene EinstellMöglichkeiten von VPN-Clients anderer Hersteller hier helfen aber diese sind nie so weitreichend wie die EinstellMöglichkeiten eines vollständig verwalteten Clients.

Für diese Clients gibt es mehrere Faktoren zu bedenken:

  • Festplatten
    Die Gefahr eines Diebstahl oder Verlust (z.B. Vergessen) ist nicht von der Hand zu weisen. Statistiken zeigen gut, dass pro Jahr allein tausende von Mobiltelefone in Taxis vergessen werden. Neben dem materiellen Wertverlust sind die Daten auf dem System oder der Zugriff über das Geräte auf weitere Daten das viel größere Risiko. Wird der Zugang zum System per Kennwort gesichert und die Daten auf dem Gerät verschlüsselt, dann hat ein Finder oder Dieb maximal die Hardware für den Eigenbedarf oder Weiterverkauf. Und selbst hier kann ein Kennwort das System so unbrauchbar machen, dass bei Notebooks dann nur noch Der Akku, Netzteil, Display etc. verwertet werden können., weil die Festplatte und das Motherboard sich jeder weiteren Nutzung entziehen.
  • Schnittstellen
    Zwar gibt es kaum noch PCs mit seriellen und parallelen Schnittstellen, aber dafür erlauben WiFi, USB, Bluetooth, PCMCIA und andere Optionen eine sehr viel schnellerer und bei Funk auch eventuell "unbemerkte" Zugänge zu einem System. Nun kann man nicht alles per Default abschalten, da WiFi durchaus sinnvoll ist und auch der Anschluss von USB-Headsets (OCS) oder Bluetooth-Partnerschaften für Mobiltelefone durchaus erwünscht sind. Selbst USB-Speichermedien können in Grenzen erwünscht sein. Hierzu muss es entsprechende EinstellMöglichkeiten oder Zusatzprodukte geben, deren Sperrfunktion zentral gesteuert aber eventuell auch ohne Netzwerkbindung auf "Zuruf" gelockert werden kann.
  • Virenschutz
    Selbst wenn alle Schnittstellen deaktiviert wären, so bleibt immer noch das Risiko, dass Schadcode erst auf dem Client aktiv wird und nicht auf dem Weg dorthin erkannt wird (z.B. in verschlüsselten Nachrichten). Damit ist es unumgänglich, auf jedem Client entsprechend Schutzmaßnamen zu etablieren und deren Funktion und Aktualität zu überprüfen. Es ist unbestritten, dass jeder Client heute mit einem entsprechenden Schutzmodul ausgestattet sein muss.
  • Anmeldung
    Reicht ihnen Benutzername und Kennwort noch aus, oder sollten mobile Clients sich nicht etwas "strenger" Anmelden. Eine Anmeldung per Smartcard o.ä. ist nicht so selten, wie viele Administratoren denken und seit Windows 2000 recht einfach möglich. Alternativen wie Fingerprint-Sensoren, USB-Tokens etc. sind eventuell auch ausreichend.
    Dazu gehört aber auch eine Funktion, bei Inaktivität das System wieder zu sperren.
  • Verbindung (VPN, 802.1x, Direct Access)
    Mitarbeiter, die unterwegs sind, können oft trotzdem auf Ressourcen in der Firma zugreifen oder Daten abgleichen. Der Zugriff erfolgt dazu fast immer über den Aufbau einer verschlüsselten Verbindung zwischen dem Client und dem Zugangspunkt bzw. dem Server selbst. Auch hier muss der Client sicher sein, dass die Verbindung tatsächlich verschlüsselt zum richtigen Partner besteht. Aber auch die Gegenstelle, also die Firma, muss sicher sein, dass sich es um einen vertrauenswürdigen authentifizierten Client handelt. Einige VPN-Lösungen unterstützen sogar zusätzliche Filter, damit ein authentifizierte Client nicht den gleichen Status wie ein interner Client hat.
    Das gilt aber auch für interne Anschlüsse. Firmen stellen keine geschlossen Netzwerke dar, da Besucher etc. durchaus eine Verbindung zum drahtgebundenen LAN oder WIFI-Knoten herstellen können. Auch hier sollte eine Authentifizierung erfolgen, wenngleich eine Verschlüsselung dann oft optional angesehen wird

Der Begriff "Endpoint Security" ist daher schon etwas weiter gefasst, auch wenn unterschiedliche Anbieter dies immer so auslegen, wie die eigenen Produkte dies am besten abdecken können.

Schutz mit Microsoft Mitteln

Für nahezu jeden Anwendungsfall gibt es entsprechende Produkte von verschiedenen Herstellern. Neben den Kosten schreckt viele Administratoren aber die zusätzliche Verwaltung, Abhängigkeiten von Windows Versionen und manchmal eine nicht gerade "gewohnte" Oberfläche für Anwender und Administratoren ab. Da stellt sich doch die Frage, welche Bordmittel Windows schon mitbringt, die vielleicht sogar schon ausreichen.

Thema Bordmittel Bemerkungen

Festplattenverschlüsselung
  • Erst ab Vista und höher
  • Nur in ultimate/Enterprise/Server
    nicht für Home/Premium

Schnittstellen
  • Erst ab Vista und höher
  • Frühere Bastellösungen per RegEdit und ACLs auf Dienste und Devices.

Virenscan
  • Windows Security Essentials
    (Kostenfrei)
  • Nur Windows XP, Vista, Windows 7
  • Nicht für Windows Server, leider nicht mal Home Server
  • kein zentrales Management. (Pattern können per WSUS verteilt werden)
  • Forefront Client Security könnte hier hinzu kommen.

Anmeldung
  • Smartcard Leser + Karten mit CSP erforderlich
  • Zertifikatsstelle erforderlich

Verbindungen

Netzwerk
  • Desktopfirewall
  • IPSec Richtlinien
  • Windows Firewall ist erst ab Vista entsprechend leistungsfähig.

Schauen wir uns die einzelnen Komponenten einfach mal genauer an.

Virenscanner

Seit 30 Sep 2009 verschenkt Microsoft einen kostenfreien Virenscanner, welcher laut Microsoft für all die Windows Anwender sein soll, die bislang keinen Virenscanner installiert hatten und auch kein Geld hierfür ausgeben wollten und damit indirekt Windows Clients als bevorzugte Ziele für Schadsoftware gemacht haben. Sicher gibt es auch von Avira, AVG und anderen Virenscanner, die für den Privatgebrauch kostenfrei sind, aber Oft nerven diese durch Popups, jährliche Neuregistrierung etc.

Microsoft Security Essentials ist für Privatpersonen auf jeden Fall eine interessant Option, da die Windows Firewalls durchaus ihre Funktion erfüllen und ein Update aus dem Internet über Windows Update keine Einschränkung darstellt.

Für Firmen hingegen zählen anderen Faktoren, die MSE nicht erfüllen kann:

  • keine Zentrale Verteilung von Updates
    d.h. jeder PC muss sich Pattern Updates selbst per Windows Update aus dem Internet holen
  • Zentrales Reporting von Warnungen
    Es gibt keine zentrale Konsole, in der eine Administrator einen Überblick über VirenAusbrüche hat, z.B. wo ein Schädling zeitlich zuerst aufgetreten ist.
  • Zentrale Verwaltung
    Sie haben keine Übersicht, welche Clients den Virenscanner in welcher Version verwenden, also auch nicht welche Clients sich schon länger nicht aktualisieren oder vielleicht gar keinen Scanner haben.
  • Spynet nicht abschaltbar
    MSE sendet erkannte Viren bzw. verdächtige Dinge online an "SpyNET". Dies kann nicht auf dem Client blockiert werden. Da der Weg der gleiche wie ein Download des Pattern-update, ist auch eine Filterung auf dem Proxy nicht einfach.

Es ist allerdings absehbar, dass diese Funktion in "Forefront Client Security" gegen Ende 2010 als Produkt verfügbar sein wird. Dennoch wird es Firmen geben, denen all diese Zusatzfunktionen nicht wichtig sind und ein Download der Update von jedem Client aus dem Internet kein Problem darstellt. Schade nur, dass Essentials aktuell nicht für Windows Server (nicht einmal den Windows Home Server genutzt werden kann. Selbst der Schalter zum Abschalten einiger Überprüfungen wirkt hier nicht:

mseinstall /DisableOSLimit

Auf Windows 2012R2 kann man MSE mit dieser Option installieren, wenn man vorher noch die Kompatibilität auf Windows 7 stellt und das Setup als Admin ausführt.

Dennoch ist MSE für private PCs natürlich eine interessante Alternative zu den den anderen "kostenfreien" Virenscannern, die meist mit Werbung nerven.

Netzwerk, NAP 802.1x, Direct Access, IPSec

Windows 2008 ist der erste Server, der als VPN-Gegenstelle auf den Clients eine weitergehende Überprüfung der Konformität anfordern kann. Kompatible Clients sind Windows Vista und höher, welche einen entsprechenden Client schon mitbringen. Windows XP SP3 enthält ebenfalls einen NAP-Client, der aber einige Einschränkungen unterliegt (z.B. keine GuI, nur NetSh). Dritthersteller bieten entsprechende Clients sogar für Linux und MacOS an.

Diese Funktion ist an sich nicht neu, da viele andere Anbieter von VPNs neben dem Server auch immer eine passende Clientkomponente auf die PCs verteilen mussten, und diese entsprechende Richtlinien umsetzen konnten. Allerdings waren diese Produkte immer mit Mehrkosten verbunden. Je mehr Firmen im Rahmen ihrer Updates auf Windows 2008 oder höher wechseln, desto häufiger kann davon ausgegangen werden, dass die Funktion einfach "da" ist.

Die Nutzung eines kontrollierten Zugangs zum LAN nur für authentifizierte Clients ist per 802.1x relativ einfach und schnell möglich. Aus heutiger Sicht kann jeder halbwegs moderne Switch die Client pro Port authentifizieren, so dass es schon als fahrlässig bezeichnet werden kann, wenn frei zugängliche Netzwerkdosen, z.B.: in Besprechungsräumen etc. nicht abgesichert sind.

Der Weg zu einer NAP-Richtlinien, d.h. damit nur Clients sich verbinden dürfen, die auch einen gewissen Versionsstand z.B. bezüglich Firewall und Virenscanner erfüllen, ist für viele Firmen noch etwas länger.

Intel Active Management Technologie (AMT)

Und dann gibt es da eine Funktion, die den meisten Administratoren noch gar nicht aufgefallen ist. In bestimmten Chipsätzen von Intel, bevorzugt in der "Business Serie", ist die Möglichkeit einer Fernsteuerung und Konfiguration enthalten. Diese auch AMT genannte Funktion ist ein einigen PCs ausgeschaltet und muss erst eingeschaltet und mit Kennwort gesichert werden. Dann hingegen kann der PC aus der Ferne nicht nur eingeschaltet sondern komplett auch "Ferngesteuert" werden. Die Fernsteuerung betrifft nicht nur das BIOS während der Boot-Phase, sondern auch später das laufende System. Wer also Kenntnis über die AMT-Zugangsdaten hat, kann das System ohne weitere Kontrolle durch das Betriebssystem fernsteuern. Insofern ist AMT für standortfeste Desktopsysteme ein sehr interessantes Mittel zum Management. Wenn aber ein Notebook unterwegs erreichbar ist, sollte sich ein gutes Kennwort überlegen. Denn die AMT-Komponenten nehmen die Verbindung schon direkt auf der Netzwerkkarte auf. Die Firewall in Windows oder anderen Systemen kann diese Pakete nicht abblocken.

Insofern sind auch hier noch mal genauere Einstellungen erforderlich, nicht dass ein PC in einer Flughafenlounge von einem Nachbar über diese Funktion "ferngesteuert" wird. Die Aktivierung für statische "Desktop-PCs" ist sicher weniger kritisch, wobei natürlich auch hier eine starke Authentifizierung erforderlich sein muss

Weitere Links