Checkliste Security

Auf der Seite versuche ich mal ein paar Stichpunkte für einen sicheren Betrieb zu pflegen. Feedback und Verbesserungen werden gerne.

OnPremises Checkliste

Wir bei Net at Work pflegen dazu eine Checkliste, die wir bei Kunden im Dialog bearbeiten und damit die Reihenfolge festlegen. Die Herausforderung ist nicht, ein System sicher zu machen, sondern kontinuierlich "sicherer" zu konfigurieren und zu betreiben. Oft sind es Kleinigkeiten, die den Schutz deutlich verbessern.

Diese Liste ist nicht tagesaktuell. Eine qualifizierte Security-Betrachtung im Rahmen eines Workshops kann diese Liste nicht ersetzen.

Die Tabelle ist nicht nach Prioritäten sortiert.

Bereich Thema Gewichtung Betriebs-
kosten
Arbeits-
aufwand
Umsetzung (Zeitplan)

Mensch

Mensch

Sicherheitslücken sind zwar ein Einfallstor aber viel mehr Angriffe erfolgen mit abgephishten Zugangsdaten oder vom Anwender selbst gestarteter Malware. Daher ist hier eine regelmäßige Sensibilisierung, Training und vielleicht auch ein Test ratsam.

Leben Sie eine "offene Fehlerkultur". Oft fällt dem Anwender sein Fehler selbst auf. Er sollte dann die Eskalationswege kennen und nicht aus Angst untätig bleiben.

 

 

 

Client

Antivirus/Endpoint Protection

Auch wenn Virenscanner nicht alles verhinder, so können Sie "gängige" Malware einfacherer Angriffe verhindern oder schneller einen Überblick über betroffene Systeme liefern.

Software

AppLocker

Aus meiner Sicht der beste Schutz, um zumindest auf "Durchschnittsclients" und Terminal Servern die Ausführung nicht zugelassender Programme zu verhindern.

Software

Codesignatur

Malware ist Code und wen Sie signierten Code erzwingen und dann ihre eigenen Skripte natürlich auch signieren, sind viele bösen Programme schon ausgeschaltet

Accounts

Separate Admin Accounts

Ein Admin sollte nie mit seinem normalen Benutzerkonto auch Admin-Funktionen ausführen.

Accounts

Kennwortrichtlinie, MFA

Ideal wäre, wenn alle Konten eine starke Anmeldung nutzen. Auf jeden Fall müssen externe Zugriffe so abgesichert werden.

Accounts

Conditional Access

Muss denn jeder Anwender von jedem Client arbeiten können. Sicherer ist es, wenn z.B. normale Anwender nur entsprechend ausgezeichnete Endgeräte nutzen dürfen. Das reduziert die Angriffsmöglichkeiten.

Systeme

Patch-Management/Firmware/Softwarestand

Es versteht sich von selbst, dass Updates für Produkte auch zeitnah eingespielt werden. Dazu gehört aber auch die Inventarisierung von Komponenten und Migration zu alter Produkte.

Netzwerk

Verbindungen / Patchdosen / 802.1x

Wie einfach ist es, sich mit ihrem Netzwerk zu verbinden? Sind ihre Dosen und das WLAN entsprechend abgesichert?

Netzwerk

Segmentierung

Nicht jeder Server muss mit jedem anderen Server kommunizieren können. Das macht die Server weniger angreifbar. Ein Outlook Client muss den Exchange Server auch nur auf Port 443 erreichen. Warum sollte ich aus dem unsicheren Client-Netzwerk daher auf Port 135 u.a. des Servers kommen? Zeit über Interne Firewalls oder vielleicht IPSec nachzudenken

Netzwerk

IP/MAC Adressen Tracking/Flow-Analyse

Wenn was passiert ist, dann sind Protokolle wichtig zur Analyse und Bestimmung der Reichweite. Welcher Client war wann wo verbunden, Welche IP-Adresse hatte er und womit hat er kommuniziert? z.B. über Windows Firewall Logs.

Netzwerk

VPN Zertifikate statt Kennwort

Ist ein externer Zugang nur mit Benutzername und Kennwort möglich? Eigentlich unverantwortlich. Wie wäre ein Client Zertifikat, wie auch bei 802.1x.

SIEM

Tracking der Anmeldungen (Desktop, Server, Postfach, VPN)

Eigentlich alle Systeme protokollieren Aktivitäten in ihrem eigenen Format und oft auf dem lokalen System. Werden diese Logs in einem zentralen System zusammengeführt, dann können nicht nur Zusammenhänge erkant werden. Die Logs sind auch eher gegen Verlust durch Angreifer oder Defekte gesichert.

Accounts

Tier 0/1/2 Security

Eigentlich sollte es selbstverständlich sein, dass auch Administratoren ihr Konto schützen und z.B. sich damit nicht auf einem unbekannten Client anmelden, auf dem ein Keylogger wartet. Das Konzept geht aber weiter.

Accounts

Dedizierte Dienstkonten mit minimale Rechten

Jeder Service sollte ein eigenes Konto mit expliziten Rechten benutzen. Ganz kritisch sind z.B. Software-Verteil-Progamme, die als DomainAdmin auf allen Clients Software installieren.

Accounts

Hardened Forest (EAE)

Auch AD Forests können "gesichert" werden.

Server

Dedizierte DCs (Keine anderen Dienste)

Small Business Server war gestern. Wenn sie zu klein für getrennte Server sind, dann sollten sie Cloud-Dienste betrachten. Aber zumindest ein DC sollte sich rein um Infrastrukturdienste kümmern und noch Druckserver, Dateiserver o.ä. sein

Mail

Spamfilter

Auch wenn kein Spamfilter immer zu 100% arbeitet, so ist jede dem Anwender vorenthaltene "Bad Mail" ein Gewinn

Mail

Attachment Filter (EXE, Makros u.a.)

Legeln Sie Regeln fest, wie ausführbare Bestandteile ihre Firma erreichen dürfen. Mail gehört in der Regel nicht dazu

Mail

Anonyme Annahme per SMTP von intern beschränken

Interne Systeme sind nicht automatisch sicher. Malware kann über den Weg von innen "Vertrauen" vortäuschen. Intern sollten Sie nur Mail von legitimen Absender-Systemen annehmen.

Client

Windows LAPS (Local Admin)

Jeder Client hat heute eine eigene Benutzerverwaltung und damit einen lokalen Administrator. Einheitskennworte können Sie z.B. mit LAPS abschaffen.

Service

HTTPS-Zwang mit gültigen Zertifikaten für interne Webseiten

Eine eigene private CA für Computerzertifikate ist einfach aufzubauen und kann die "Self Signed"-Zertifikate für RDP, interne Webseiten u.a. ersetzen.

Server/Client

TLS 1.2-Zwang (Abschalten SSL/TLS 1.0), SMB1 Abschaltung, SMB Signing

Wenn Sie schon verschlüsseln, dann bitte auch sicher. Aber nicht nur für HTTPS sondern auch für IMAP, POP, LDAP etc.

Server

Bitlocker auf Server

Die Verschlüsselung auf Servern sichert ihre Daten auch, wenn die Festplatten "defekt" sind. Einfach entsorgen und nicht erst lange über ein "Leeren" nachdenken.

und

viele

weitere

Punkte

 

 

Zu jedem Punkt ist eine Erklärung zum Risiko, der Schutzfunktion und der Umsetzung erforderlich. Bitte haben Sie aber Verständnis, dass ich hier keine fertige Excel-Liste bereitstelle. Dazu steckt zu viel Arbeit in diesen Unterlagen und letztlich gehört das Gespräch dazu.

Microsoft hat selbst eine entsprechende "Risk Assessment"-Liste, die ich im Rahmen eines Kundeneinsatzes mal gesehen habe. Sie ist aber nach meinem Kenntnisstand nicht öffentlich und wird von Microsoft Consulting Services eingesetzt.

Checkliste Cloud

Da immer mehr Firmen auch Dienste aus der Cloud nutzen, sollten Sie natürlich auch dort auf "Sicherheit" wert legen. Bei Office 365 und Microsoft 365 sind viele Sicherheitsfunktionen schon eingebaut aber einige Funktionen erfordern auch Zusatzlizenzen z.B.

  • AzureAD Plan 1
    z.B. für Conditional-Access, erweiterte Multi-Faktor-Einstellungen
  • EMS E3
    Enthält neben AzureAD P1 auch Intune zur Verwaltung
  • Microsoft 365 E3
    Enthält neben EMS E3 auch Windows E3 um z.B. OnPremises mit Bitlocker, Applocker etc. arbeiten zu können.
  • Microsoft 365 E5 Security Addon
    Bringt neben besserem Spamfilter (mit Sandbox) auch Defender und Endpoint Protection mit

Wir kommen aber wieder auf die Kostensituation zurück, denn Sicherheit kostet Geld und die verfügbaren Mittel sind immer beschränkt. Sie können daher nicht alles haben und Sie wollen vielleicht auch nicht alles haben, was ihnen der Autoverkäufer gerne hinein konfigurieren möchte. Es geht dabei nicht nur um die direkt bezifferbaren Kosten für Lizenzen und Server. Auch der Betrieb, die Konfiguration, die Reaktion auf nun überhaupt erkannte Vorfälle etc. erfordert Arbeitszeit, die letztlich immer auf einen Betrag umgerechnet werden kann. Da Sie nie alle Funktionen umsetzen können, müssen sie priorisieren, selektieren, bewerten und am Ende ihre Argumentation und Empfehlung durch die Unternehmensleitung absegnen lassen.

Microsoft bietet in der Cloud z.B. einen "Secure Score" an, mit der Office 365 und Azure ihre Cloud-Umgebung bewertet und ihnen Hinweise auf Optimierungen gibt.

Hier ein Beispiel eines Demo-Tenant. Microsoft hat im Mai 2021 viele "Prüfpunkte" umgesetzt, die hier bis zu 134 "Punkte" ergeben. Davon habe ich nur 38,11 Punkte und damit 28,44% von maximal 100% möglichen Punkten erreicht. Es werden auch die Punkte aufgeführt, die nach Einschätzung von Microsoft umsetzen sollte, um besser zu werden.

Diese Liste ist eigentlich schon eine ganz gute Checkliste für Office 365/Microsoft 365

Azure Security Center

Neben den "Shared Services" wie Exchange, SharePoint, OneDrive, Teams etc. können Sie in Azure auch eigene Ressourcen, d.h. Server, VMs, Datenbanken etc. betreiben. Passend dafür gibt es auch in Azure ein "Security Center"

Auch hier sehen Sie "Empfehlungen", wie sie ihre Azure-Dienste besser absichern können.

Natürlich sind nicht alle Tipps "Kostenfrei". Die Aktivierung von "Azure Defender" ist sicher ratsam aber mit zusätzlichen Kosten verbunden. Aber ehe Sie die virtuelle Kreditkarte über die Kasse ziehen, bedarf es einer Bewertung der Risiken und Möglichkeiten, eine Auflistung der Kosten und erforderlichen Personentage, so dass Sie fundierte Daten für eine Abschätzung der Zeit und des Umfangs haben.

Andere Tools

Neben meiner manuellen Checkliste am Anfang und den Ratschlägen von Microsoft 365 und Azure gibt es weitere Tools, die speziell "OnPremises" ihr Netzwerk hinsichtlich der Sicherheit untersuchen. Hier zwei "kostenfreie" Optionen.

Microsoft Security Assessment Tool 4.0
https://www.microsoft.com/en-us/download/details.aspx?id=12273
Das Tool ist leider von 2009 und bedürfte wohl einer Überarbeitung

Ping Castle
https://www.pingcastle.com/
Sehr nette Sammlung von Analysen und für den Eigenbedarf sogar Kostenfrei. (Non-Profit Open Software License (“Non-Profit OSL”) 3.0)

Natürlich gibt es Unmengen an White-Papers, Dokumentationen etc.

Es gibt sicher noch weitere, insbesondere kommerzielle, Werkzeuge.

Weitere Dokumente

Natürlich gibt es noch viel weiteren Lesestoff.

Weitere Links