Checkliste Security

Auf der Seite versuche ich mal ein paar Stichpunkte für einen sicheren Betrieb zu pflegen. Feedback und Verbesserungen werden gerne.

Wir unterstützen Sie in allen Belangen der Security in ihrem OnPremises und Cloud-Umgebungen
https://www.netatwork.de/security-assessment/

On-Premises Checkliste

Wir bei Net at Work pflegen dazu eine Checkliste, die wir bei Kunden im Dialog bearbeiten und damit die Reihenfolge festlegen. Die Herausforderung ist nicht, ein System sicher zu machen, sondern kontinuierlich "sicherer" zu konfigurieren und zu betreiben. Oft sind es Kleinigkeiten, die den Schutz deutlich verbessern.

Unterstützung durch Net at Work:
Diese Liste ist nicht tagesaktuell. Eine qualifizierte Security-Betrachtung im Rahmen eines Workshops kann diese Liste nicht ersetzen.

Maßnahmenkatalog Ransomware
https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Cyber-Sicherheit/Themen/Ransomware_Massnahmenkatalog.html
https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Cyber-Sicherheit/Themen/Ransomware_Massnahmenkatalog.pdf?__blob=publicationFile&v=2
Kapitel 7 enthält ebenfalls eine Checkliste

Die Tabelle ist nicht nach Prioritäten sortiert.

Bereich	Thema	Gewichtung	Betriebs- kosten	Arbeits- aufwand	Umsetzung (Zeitplan)
Mensch	Mensch Sicherheitslücken sind zwar ein Einfallstor aber viel mehr Angriffe erfolgen mit abgephishten Zugangsdaten oder vom Anwender selbst gestarteter Malware. Daher ist hier eine regelmäßige Sensibilisierung, Training und vielleicht auch ein Test ratsam. Leben Sie eine "offene Fehlerkultur". Oft fällt dem Anwender sein Fehler selbst auf. Er sollte dann die Eskalationswege kennen und nicht aus Angst untätig bleiben.
Client	Antivirus/Endpoint Protection Auch wenn Virenscanner nicht alles verhinder, so können Sie "gängige" Malware einfacherer Angriffe verhindern oder schneller einen Überblick über betroffene Systeme liefern.
Software	AppLocker Aus meiner Sicht der beste Schutz, um zumindest auf "Durchschnittsclients" und Terminal Servern die Ausführung nicht zugelassender Programme zu verhindern.
Software	Codesignatur Malware ist Code und wen Sie signierten Code erzwingen und dann ihre eigenen Skripte natürlich auch signieren, sind viele bösen Programme schon ausgeschaltet
Accounts	Separate Admin Accounts Ein Admin sollte nie mit seinem normalen Benutzerkonto auch Admin-Funktionen ausführen.
Accounts	Kennwortrichtlinie, MFA Ideal wäre, wenn alle Konten eine starke Anmeldung nutzen. Auf jeden Fall müssen externe Zugriffe so abgesichert werden.
Accounts	Conditional Access Muss denn jeder Anwender von jedem Client arbeiten können. Sicherer ist es, wenn z.B. normale Anwender nur entsprechend ausgezeichnete Endgeräte nutzen dürfen. Das reduziert die Angriffsmöglichkeiten.
Systeme	Patch-Management/Firmware/Softwarestand Es versteht sich von selbst, dass Updates für Produkte auch zeitnah eingespielt werden. Dazu gehört aber auch die Inventarisierung von Komponenten und Migration zu alter Produkte.
Netzwerk	Verbindungen / Patchdosen / 802.1x Wie einfach ist es, sich mit ihrem Netzwerk zu verbinden? Sind ihre Dosen und das WLAN entsprechend abgesichert?
Netzwerk	Segmentierung Nicht jeder Server muss mit jedem anderen Server kommunizieren können. Das macht die Server weniger angreifbar. Ein Outlook Client muss den Exchange Server auch nur auf Port 443 erreichen. Warum sollte ich aus dem unsicheren Client-Netzwerk daher auf Port 135 u.a. des Servers kommen? Zeit über Interne Firewalls oder vielleicht IPSec nachzudenken
Netzwerk	IP/MAC Adressen Tracking/Flow-Analyse Wenn was passiert ist, dann sind Protokolle wichtig zur Analyse und Bestimmung der Reichweite. Welcher Client war wann wo verbunden, Welche IP-Adresse hatte er und womit hat er kommuniziert? z.B. über Windows Firewall Logs.
Netzwerk	VPN Zertifikate statt Kennwort Ist ein externer Zugang nur mit Benutzername und Kennwort möglich? Eigentlich unverantwortlich. Wie wäre ein Client Zertifikat, wie auch bei 802.1x.
SIEM	Tracking der Anmeldungen (Desktop, Server, Postfach, VPN) Eigentlich alle Systeme protokollieren Aktivitäten in ihrem eigenen Format und oft auf dem lokalen System. Werden diese Logs in einem zentralen System zusammengeführt, dann können nicht nur Zusammenhänge erkant werden. Die Logs sind auch eher gegen Verlust durch Angreifer oder Defekte gesichert.
Accounts	Tier 0/1/2 Security Eigentlich sollte es selbstverständlich sein, dass auch Administratoren ihr Konto schützen und z.B. sich damit nicht auf einem unbekannten Client anmelden, auf dem ein Keylogger wartet. Das Konzept geht aber weiter.
Accounts	Dedizierte Dienstkonten mit minimale Rechten Jeder Service sollte ein eigenes Konto mit expliziten Rechten benutzen. Ganz kritisch sind z.B. Software-Verteil-Progamme, die als DomainAdmin auf allen Clients Software installieren.
Accounts	Hardened Forest (EAE) Auch AD Forests können "gesichert" werden.
Server	Dedizierte DCs (Keine anderen Dienste) Small Business Server sind nicht nur aus Lizenzsicht schon länger Geschichte.. Wenn sie zu klein für getrennte Server sind, dann sollten sie Cloud-Dienste in Erwägung ziehen. Aber zumindest ein DC sollte sich rein um Infrastrukturdienste kümmern und nicht noch Druckserver, Dateiserver o.ä. sein.
Mail	Spamfilter Auch wenn kein Spamfilter immer zu 100% arbeitet, so ist jede dem Anwender vorenthaltene "Bad Mail" ein Gewinn
Mail	Attachment Filter (EXE, Makros u.a.) Legeln Sie Regeln fest, wie ausführbare Bestandteile ihre Firma erreichen dürfen. Mail gehört in der Regel nicht dazu
Mail	Anonyme Annahme per SMTP von intern beschränken Interne Systeme sind nicht automatisch sicher. Malware kann über den Weg von innen "Vertrauen" vortäuschen. Intern sollten Sie nur Mail von legitimen Absender-Systemen annehmen.
Client	Windows LAPS (Local Admin) Jeder Client hat heute eine eigene Benutzerverwaltung und damit einen lokalen Administrator. Einheitskennworte können Sie z.B. mit LAPS abschaffen.
Service	HTTPS-Zwang mit gültigen Zertifikaten für interne Webseiten Eine eigene private CA für Computerzertifikate ist einfach aufzubauen und kann die "Self Signed"-Zertifikate für RDP, interne Webseiten u.a. ersetzen.
Server/Client	TLS 1.2-Zwang (Abschalten SSL/TLS 1.0), SMB1 Abschaltung, SMB Signing Wenn Sie schon verschlüsseln, dann bitte auch sicher. Aber nicht nur für HTTPS sondern auch für IMAP, POP, LDAP etc.
Server	Bitlocker auf Server Die Verschlüsselung auf Servern sichert ihre Daten auch, wenn die Festplatten "defekt" sind. Einfach entsorgen und nicht erst lange über ein "Leeren" nachdenken.
und	viele	weitere	Punkte

Zu jedem Punkt ist eine Erklärung zum Risiko, der Schutzfunktion und der Umsetzung erforderlich. Bitte haben Sie aber Verständnis, dass ich hier keine fertige Excel-Liste bereitstelle. Dazu steckt zu viel Arbeit in diesen Unterlagen und letztlich gehört das Gespräch dazu.

Microsoft hat selbst eine entsprechende "Risk Assessment"-Liste, die ich im Rahmen eines Kundeneinsatzes mal gesehen habe. Sie ist aber nach meinem Kenntnisstand nicht öffentlich und wird von Microsoft Consulting Services eingesetzt.

Checkliste Cloud

Da immer mehr Firmen auch Dienste aus der Cloud nutzen, sollten Sie natürlich auch dort auf "Sicherheit" wert legen. Bei Office 365 und Microsoft 365 sind viele Sicherheitsfunktionen schon eingebaut aber einige Funktionen erfordern auch Zusatzlizenzen z.B.

• AzureAD Plan 1
  z.B. für Conditional-Access, erweiterte Multi-Faktor-Einstellungen
• EMS E3
  Enthält neben AzureAD P1 auch Intune zur Verwaltung
• Microsoft 365 E3
  Enthält neben EMS E3 auch Windows E3 um z.B. On-Premises mit Bitlocker, Applocker etc. arbeiten zu können.
• Microsoft 365 E5 Security Addon
  Bringt neben besserem Spamfilter (mit Sandbox) auch Defender und Endpoint Protection mit

Wir kommen aber wieder auf die Kostensituation zurück, denn Sicherheit kostet Geld und die verfügbaren Mittel sind immer beschränkt. Sie können daher nicht alles haben und Sie wollen vielleicht auch nicht alles haben, was ihnen der Autoverkäufer gerne hinein konfigurieren möchte. Es geht dabei nicht nur um die direkt bezifferbaren Kosten für Lizenzen und Server. Auch der Betrieb, die Konfiguration, die Reaktion auf nun überhaupt erkannte Vorfälle etc. erfordert Arbeitszeit, die letztlich immer auf einen Betrag umgerechnet werden kann. Da Sie nie alle Funktionen umsetzen können, müssen sie priorisieren, selektieren, bewerten und am Ende ihre Argumentation und Empfehlung durch die Unternehmensleitung absegnen lassen.

Microsoft bietet in der Cloud z.B. einen "Secure Score" an, mit der Office 365 und Azure ihre Cloud-Umgebung bewertet und ihnen Hinweise auf Optimierungen gibt.

• Microsoft Secure Score
  https://www.microsoft.com/en-us/security/business/microsoft-secure-score
  https://docs.microsoft.com/en-us/microsoft-365/security/mtp/microsoft-secure-score?view=o365-worldwide
  https://security.microsoft.com/securescore
• Neues in Microsoft Secure Score
  https://docs.microsoft.com/de-de/microsoft-365/security/defender/microsoft-secure-score-whats-new?view=o365-worldwide

Hier ein Beispiel eines Demo-Tenant. Microsoft hat im Mai 2021 viele "Prüfpunkte" umgesetzt, die hier bis zu 134 "Punkte" ergeben. Davon habe ich nur 38,11 Punkte und damit 28,44% von maximal 100% möglichen Punkten erreicht. Es werden auch die Punkte aufgeführt, die nach Einschätzung von Microsoft umsetzen sollte, um besser zu werden.

Diese Liste ist eigentlich schon eine ganz gute Checkliste für Office 365/Microsoft 365

Azure Security Center

Neben den "Shared Services" wie Exchange, SharePoint, OneDrive, Teams etc. können Sie in Azure auch eigene Ressourcen, d.h. Server, VMs, Datenbanken etc. betreiben. Passend dafür gibt es auch in Azure ein "Security Center"

• Azure Security Center
  https://azure.microsoft.com/de-de/services/security-center/

Auch hier sehen Sie "Empfehlungen", wie sie ihre Azure-Dienste besser absichern können.

Natürlich sind nicht alle Tipps "Kostenfrei". Die Aktivierung von "Azure Defender" ist sicher ratsam aber mit zusätzlichen Kosten verbunden. Aber ehe Sie die virtuelle Kreditkarte über die Kasse ziehen, bedarf es einer Bewertung der Risiken und Möglichkeiten, eine Auflistung der Kosten und erforderlichen Personentage, so dass Sie fundierte Daten für eine Abschätzung der Zeit und des Umfangs haben.

Andere Tools

Neben meiner manuellen Checkliste am Anfang und den Ratschlägen von Microsoft 365 und Azure gibt es weitere Tools, die speziell "On-Premises" ihr Netzwerk hinsichtlich der Sicherheit untersuchen.

Microsoft Security Assessment Tool 4.0
https://www.microsoft.com/en-us/download/details.aspx?id=12273
Das Tool ist leider von 2009 und bedürfte wohl einer Überarbeitung

Natürlich gibt es Unmengen an White-Papers, Dokumentationen etc.

• Purple Knight
• Ping Castle
• QS Solutions CSAT
  https://qssolutions.de/produkte/cyber-security-assessment-tool/
• Adalanche Open Source - In Go geschriebener AD Schwachstellen Scanner
  https://github.com/lkarlslund/Adalanche
• Prowler
  "Prowler is an Open Source security tool to perform AWS, GCP and Azure security best practices assessments, audits, incident response, continuous monitoring, hardening and forensics readiness."
  https://github.com/prowler-cloud/prowler
• Security baselines
  https://learn.microsoft.com/en-us/windows/security/operating-system-security/device-management/windows-security-configuration-framework/windows-security-baselines
• SiSyPHuS Win10: Gruppenrichtlinienobjekte zur Härtung von Windows 10 mit Bordmitteln
  https://www.bsi.bund.de/DE/Service-Navi/Publikationen/Studien/SiSyPHuS_Win10/AP12/SiSyPHuS_AP12_node.html
• Basistipps zur IT-Sicherheit
  https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Informationen-und-Empfehlungen/Cyber-Sicherheitsempfehlungen/cyber-sicherheitsempfehlungen_node.html
• c't-Sicherheits-Checklisten 2021: Sicherheit einfach erklärt
  https://www.heise.de/ct/artikel/c-t-Sicherheits-Checklisten-2021-Sicherheit-einfach-erklaert-4884913.html
  Primär für Privatanwender aber sind das nicht alle Home Office Arbeitnehmer?
• 18 CIS Controls
  https://www.cisecurity.org/controls/cis-controls-list/
• Sicherheitskontrollen: die 20 Critical Security Controls for Effective Cyber Defense des CIS
  https://blog.netwrix.de/2020/07/25/sicherheitskontrollen-die-20-critical-security-controls-for-effective-cyber-defense-des-cis/

Es gibt sicher noch weitere, insbesondere kommerzielle, Werkzeuge.

Weitere Dokumente

Natürlich gibt es noch viel weiteren Lesestoff.

• Securing Domain Controllers Against Attack
  https://docs.microsoft.com/en-us/windows-server/identity/ad-ds/plan/security-best-practices/securing-domain-controllers-against-attack
• Data Protection Resources
  https://servicetrust.microsoft.com/ViewPage/TrustDocumentsV3
• Plan zur schnellen Modernisierung der Sicherheit
  http://aka.ms/privsec
  https://docs.microsoft.com/de-de/security/compass/security-rapid-modernization-plan 
• IT Grundschutz Kompendium
  https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/IT-Grundschutz-Kompendium/it-grundschutz-kompendium_node.html
• Checklisten zum IT-Grundschutz-Kompendium (Edition 2021)
  https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Kompendium/checklisten_2021.html
• Technische Uni München: Risk Analysis Tool (RAT)
  https://www.bgu.tum.de/era/software/risk-analysis-tool-rat/
• Free Microsoft 365 Security Assessment Tool based on CIS Controls
  https://www.itpromentor.com/cis-controls-4m365/

Weitere Links

• Firmen werden gehackt
• AdminSDHolder
• Cloud Security
• Pass-Through Authentifizierung (PTA)
• Azure ATP
• Endpoint Security
• LAPS - Local Admin Password Solution
• Tier 0/1/2 Security ist nicht alles
• Ping Castle
• QS Solutions CSAT
  https://qssolutions.de/produkte/cyber-security-assessment-tool/
• Active Directory-Verwaltungsebenenmodell
  https://docs.microsoft.com/de-de/windows-server/identity/securing-privileged-access/securing-privileged-access-reference-material
• CIS
  https://docs.microsoft.com/de-de/compliance/regulatory/offering-cis-benchmark
• Securing Privileged Access for the AD Admin
  Part 1 https://techcommunity.microsoft.com/t5/core-infrastructure-and-security/securing-privileged-access-for-the-ad-admin-part-1/ba-p/259166
• Einfache Maßnahmen für mehr Sicherheit im AD
  Teil1: Grundlagen: https://www.frankysweb.de/active-directory-einfache-manahmen-fr-mehr-sicherheit-teil-1/
  Teil2: Admin Host https://www.frankysweb.de/einfache-massnahmen-fuer-mehr-sicherheit-admin-host/
  Teil3: Admin Tiers  https://www.frankysweb.de/einfache-massnahmen-fuer-mehr-sicherheit-im-ad-teil-3-admin-tiers/
• Securing Privileged Access (SPA)
  http://aka.ms/privsec
• Privileged Access Management für Active Directory-Domänendienste
  https://docs.microsoft.com/de-de/microsoft-identity-manager/pam/privileged-identity-management-for-active-directory-domain-services
• Microsoft Secure Score
  https://docs.microsoft.com/en-us/microsoft-365/security/mtp/microsoft-secure-score?view=o365-worldwide
   https://security.microsoft.com/securescore
• Privileged Access Workstations/Administrative Tier Model
  http://aka.ms/tiermodel
• Tools and Weapons: The Promise and the Peril of the Digital Age
  https://news.microsoft.com/on-the-issues/tools-and-weapons/
• ESAE Modell - PAW (Privileged Access Workstation) - SCAMA (Authentication Mechanism Assurance) - Bastion Forest - PIM Trust - msDS-ShadowPrincipal
  https://www.ntsystems.de/asai.html
• Das ESAE-Modell im Einsatz
  Teil 1: Basics & Architekturplanung https://www.fb-pro.com/esae-modell-im-einsatz-teil-1-basics-architektur/
  Teil 2: Privileged Access Management & Shadow Principals https://www.fb-pro.com/esae-modell-im-einsatz-teil-2-privileged-access-management-shadow-principals/
  Teil 3: Schutzmaßnahmen für die Umgebung https://www.fb-pro.com/das-esae-modell-im-einsatz-teil-3-schutzmassnahmen-fuer-die-umgebung/
  Teil 4: Windows IPSec im Detail erklärt https://www.fb-pro.com/das-esae-modell-im-einsatz-teil-4-windows-ipsec-im-detail-erklaert/
  Teil 5: Die ESAE-Architektur von Microsoft  https://www.fb-pro.com/das-esae-modell-im-einsatz-teil-5-esae-architektur-von-microsoft/
• Why You Should Use Microsoft's Active Directory Tier Administrative Model
  https://petri.com/use-microsofts-active-directory-tier-administrative-model
• How Shadow Principals works in Active Directory 2016
  https://secureidentity.se/msds-shadowprincipal/
• Adalanche Open Source - In Go geschriebener AD Schwachstellen Scanner
  https://github.com/lkarlslund/Adalanche
• Just In Time Admin Access
  https://secureidentity.se/just-in-time-admin-access/
• Ransomware Erste Hilfe IT Sicherheitsvorfall
  https://www.allianz-fuer-cybersicherheit.de/SharedDocs/Downloads/DE/BSI/Cyber-Sicherheit/Themen/Ransomware_Erste-Hilfe-IT-Sicherheitsvorfall.pdf
• Studie: Sicherheit ist Entscheidungsträgern zu komplex
  https://www.heise.de/news/Studie-Sicherheit-ist-Entscheidungstraegern-zu-komplex-4923416.html
• Phishing for SYSTEM on Microsoft Exchange (CVE-2020-0688)
  https://blog.rapid7.com/2020/04/06/phishing-for-system-on-microsoft-exchange-cve-2020-0688/
• Cyberien im Winterschlaf Teil 3 | Windows Server 2008 R2 EOL
  https://zero.bs/cyberien-im-winterschlaf-teil-3-windows-server-2008-r2-eol.html