Checkliste Security
Auf der Seite versuche ich mal ein paar Stichpunkte für einen sicheren Betrieb zu pflegen. Feedback und Verbesserungen werden gerne.
Wir unterstützen Sie in allen Belangen der
Security in ihrem OnPremises und Cloud-Umgebungen
https://www.netatwork.de/security-assessment/
On-Premises Checkliste
Wir bei Net at Work pflegen dazu eine Checkliste, die wir bei Kunden im Dialog bearbeiten und damit die Reihenfolge festlegen. Die Herausforderung ist nicht, ein System sicher zu machen, sondern kontinuierlich "sicherer" zu konfigurieren und zu betreiben. Oft sind es Kleinigkeiten, die den Schutz deutlich verbessern.
Unterstützung durch
Net at Work:
Diese Liste ist nicht tagesaktuell. Eine qualifizierte Security-Betrachtung im Rahmen eines Workshops kann diese Liste nicht ersetzen.
Maßnahmenkatalog Ransomware
https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Cyber-Sicherheit/Themen/Ransomware_Massnahmenkatalog.html
https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Cyber-Sicherheit/Themen/Ransomware_Massnahmenkatalog.pdf?__blob=publicationFile&v=2
Kapitel 7 enthält ebenfalls eine Checkliste
Die Tabelle ist nicht nach Prioritäten sortiert.
Bereich | Thema | Gewichtung | Betriebs- kosten |
Arbeits- aufwand |
Umsetzung (Zeitplan) |
---|---|---|---|---|---|
Mensch |
MenschSicherheitslücken sind zwar ein Einfallstor aber viel mehr Angriffe erfolgen mit abgephishten Zugangsdaten oder vom Anwender selbst gestarteter Malware. Daher ist hier eine regelmäßige Sensibilisierung, Training und vielleicht auch ein Test ratsam. Leben Sie eine "offene Fehlerkultur". Oft fällt dem Anwender sein Fehler selbst auf. Er sollte dann die Eskalationswege kennen und nicht aus Angst untätig bleiben. |
|
|
|
|
Client |
Antivirus/Endpoint ProtectionAuch wenn Virenscanner nicht alles verhinder, so können Sie "gängige" Malware einfacherer Angriffe verhindern oder schneller einen Überblick über betroffene Systeme liefern. |
|
|||
Software |
AppLockerAus meiner Sicht der beste Schutz, um zumindest auf "Durchschnittsclients" und Terminal Servern die Ausführung nicht zugelassender Programme zu verhindern. |
|
|||
Software |
CodesignaturMalware ist Code und wen Sie signierten Code erzwingen und dann ihre eigenen Skripte natürlich auch signieren, sind viele bösen Programme schon ausgeschaltet |
|
|||
Accounts |
Separate Admin AccountsEin Admin sollte nie mit seinem normalen Benutzerkonto auch Admin-Funktionen ausführen. |
|
|||
Accounts |
Kennwortrichtlinie, MFAIdeal wäre, wenn alle Konten eine starke Anmeldung nutzen. Auf jeden Fall müssen externe Zugriffe so abgesichert werden. |
|
|||
Accounts |
Conditional AccessMuss denn jeder Anwender von jedem Client arbeiten können. Sicherer ist es, wenn z.B. normale Anwender nur entsprechend ausgezeichnete Endgeräte nutzen dürfen. Das reduziert die Angriffsmöglichkeiten. |
|
|||
Systeme |
Patch-Management/Firmware/SoftwarestandEs versteht sich von selbst, dass Updates für Produkte auch zeitnah eingespielt werden. Dazu gehört aber auch die Inventarisierung von Komponenten und Migration zu alter Produkte. |
|
|||
Netzwerk |
Verbindungen / Patchdosen / 802.1xWie einfach ist es, sich mit ihrem Netzwerk zu verbinden? Sind ihre Dosen und das WLAN entsprechend abgesichert? |
|
|||
Netzwerk |
SegmentierungNicht jeder Server muss mit jedem anderen Server kommunizieren können. Das macht die Server weniger angreifbar. Ein Outlook Client muss den Exchange Server auch nur auf Port 443 erreichen. Warum sollte ich aus dem unsicheren Client-Netzwerk daher auf Port 135 u.a. des Servers kommen? Zeit über Interne Firewalls oder vielleicht IPSec nachzudenken |
|
|||
Netzwerk |
IP/MAC Adressen Tracking/Flow-AnalyseWenn was passiert ist, dann sind Protokolle wichtig zur Analyse und Bestimmung der Reichweite. Welcher Client war wann wo verbunden, Welche IP-Adresse hatte er und womit hat er kommuniziert? z.B. über Windows Firewall Logs. |
|
|||
Netzwerk |
VPN Zertifikate statt KennwortIst ein externer Zugang nur mit Benutzername und Kennwort möglich? Eigentlich unverantwortlich. Wie wäre ein Client Zertifikat, wie auch bei 802.1x. |
|
|||
SIEM |
Tracking der Anmeldungen (Desktop, Server, Postfach, VPN)Eigentlich alle Systeme protokollieren Aktivitäten in ihrem eigenen Format und oft auf dem lokalen System. Werden diese Logs in einem zentralen System zusammengeführt, dann können nicht nur Zusammenhänge erkant werden. Die Logs sind auch eher gegen Verlust durch Angreifer oder Defekte gesichert. |
|
|||
Accounts |
Tier 0/1/2 SecurityEigentlich sollte es selbstverständlich sein, dass auch Administratoren ihr Konto schützen und z.B. sich damit nicht auf einem unbekannten Client anmelden, auf dem ein Keylogger wartet. Das Konzept geht aber weiter. |
|
|||
Accounts |
Dedizierte Dienstkonten mit minimale RechtenJeder Service sollte ein eigenes Konto mit expliziten Rechten benutzen. Ganz kritisch sind z.B. Software-Verteil-Progamme, die als DomainAdmin auf allen Clients Software installieren. |
|
|||
Accounts |
Hardened Forest (EAE)Auch AD Forests können "gesichert" werden. |
|
|||
Server |
Dedizierte DCs (Keine anderen Dienste)Small Business Server sind nicht nur aus Lizenzsicht schon länger Geschichte.. Wenn sie zu klein für getrennte Server sind, dann sollten sie Cloud-Dienste in Erwägung ziehen. Aber zumindest ein DC sollte sich rein um Infrastrukturdienste kümmern und nicht noch Druckserver, Dateiserver o.ä. sein. |
|
|||
SpamfilterAuch wenn kein Spamfilter immer zu 100% arbeitet, so ist jede dem Anwender vorenthaltene "Bad Mail" ein Gewinn |
|
||||
Attachment Filter (EXE, Makros u.a.)Legeln Sie Regeln fest, wie ausführbare Bestandteile ihre Firma erreichen dürfen. Mail gehört in der Regel nicht dazu |
|
||||
Anonyme Annahme per SMTP von intern beschränkenInterne Systeme sind nicht automatisch sicher. Malware kann über den Weg von innen "Vertrauen" vortäuschen. Intern sollten Sie nur Mail von legitimen Absender-Systemen annehmen. |
|
||||
Client |
Windows LAPS (Local Admin)Jeder Client hat heute eine eigene Benutzerverwaltung und damit einen lokalen Administrator. Einheitskennworte können Sie z.B. mit LAPS abschaffen. |
|
|||
Service |
HTTPS-Zwang mit gültigen Zertifikaten für interne WebseitenEine eigene private CA für Computerzertifikate ist einfach aufzubauen und kann die "Self Signed"-Zertifikate für RDP, interne Webseiten u.a. ersetzen. |
|
|||
Server/Client |
TLS 1.2-Zwang (Abschalten SSL/TLS 1.0), SMB1 Abschaltung, SMB SigningWenn Sie schon verschlüsseln, dann bitte auch sicher. Aber nicht nur für HTTPS sondern auch für IMAP, POP, LDAP etc. |
|
|||
Server |
Bitlocker auf ServerDie Verschlüsselung auf Servern sichert ihre Daten auch, wenn die Festplatten "defekt" sind. Einfach entsorgen und nicht erst lange über ein "Leeren" nachdenken. |
|
|||
und |
viele |
weitere |
Punkte |
|
|
Zu jedem Punkt ist eine Erklärung zum Risiko, der Schutzfunktion und der Umsetzung erforderlich. Bitte haben Sie aber Verständnis, dass ich hier keine fertige Excel-Liste bereitstelle. Dazu steckt zu viel Arbeit in diesen Unterlagen und letztlich gehört das Gespräch dazu.
Microsoft hat selbst eine entsprechende "Risk Assessment"-Liste, die ich im Rahmen eines Kundeneinsatzes mal gesehen habe. Sie ist aber nach meinem Kenntnisstand nicht öffentlich und wird von Microsoft Consulting Services eingesetzt.
-
Checkliste Active Directory Absicherung
Keine Liste ist komplett aber fangen Sie heute an und hören sie nie auf
Checkliste Cloud
Da immer mehr Firmen auch Dienste aus der Cloud nutzen, sollten Sie natürlich auch dort auf "Sicherheit" wert legen. Bei Office 365 und Microsoft 365 sind viele Sicherheitsfunktionen schon eingebaut aber einige Funktionen erfordern auch Zusatzlizenzen z.B.
- AzureAD Plan 1
z.B. für Conditional-Access, erweiterte Multi-Faktor-Einstellungen - EMS E3
Enthält neben AzureAD P1 auch Intune zur Verwaltung - Microsoft 365 E3
Enthält neben EMS E3 auch Windows E3 um z.B. On-Premises mit Bitlocker, Applocker etc. arbeiten zu können. - Microsoft 365 E5 Security Addon
Bringt neben besserem Spamfilter (mit Sandbox) auch Defender und Endpoint Protection mit
Wir kommen aber wieder auf die Kostensituation zurück, denn Sicherheit kostet Geld und die verfügbaren Mittel sind immer beschränkt. Sie können daher nicht alles haben und Sie wollen vielleicht auch nicht alles haben, was ihnen der Autoverkäufer gerne hinein konfigurieren möchte. Es geht dabei nicht nur um die direkt bezifferbaren Kosten für Lizenzen und Server. Auch der Betrieb, die Konfiguration, die Reaktion auf nun überhaupt erkannte Vorfälle etc. erfordert Arbeitszeit, die letztlich immer auf einen Betrag umgerechnet werden kann. Da Sie nie alle Funktionen umsetzen können, müssen sie priorisieren, selektieren, bewerten und am Ende ihre Argumentation und Empfehlung durch die Unternehmensleitung absegnen lassen.
Microsoft bietet in der Cloud z.B. einen "Secure Score" an, mit der Office 365 und Azure ihre Cloud-Umgebung bewertet und ihnen Hinweise auf Optimierungen gibt.
- Microsoft Secure Score
https://www.microsoft.com/en-us/security/business/microsoft-secure-score
https://docs.microsoft.com/en-us/microsoft-365/security/mtp/microsoft-secure-score?view=o365-worldwide
https://security.microsoft.com/securescore - Neues in Microsoft Secure Score
https://docs.microsoft.com/de-de/microsoft-365/security/defender/microsoft-secure-score-whats-new?view=o365-worldwide
Hier ein Beispiel eines Demo-Tenant. Microsoft hat im Mai 2021 viele "Prüfpunkte" umgesetzt, die hier bis zu 134 "Punkte" ergeben. Davon habe ich nur 38,11 Punkte und damit 28,44% von maximal 100% möglichen Punkten erreicht. Es werden auch die Punkte aufgeführt, die nach Einschätzung von Microsoft umsetzen sollte, um besser zu werden.
Diese Liste ist eigentlich schon eine ganz gute Checkliste für Office 365/Microsoft 365
Azure Security Center
Neben den "Shared Services" wie Exchange, SharePoint, OneDrive, Teams etc. können Sie in Azure auch eigene Ressourcen, d.h. Server, VMs, Datenbanken etc. betreiben. Passend dafür gibt es auch in Azure ein "Security Center"
- Azure Security Center
https://azure.microsoft.com/de-de/services/security-center/
Auch hier sehen Sie "Empfehlungen", wie sie ihre Azure-Dienste besser absichern können.
Natürlich sind nicht alle Tipps "Kostenfrei". Die Aktivierung von "Azure Defender" ist sicher ratsam aber mit zusätzlichen Kosten verbunden. Aber ehe Sie die virtuelle Kreditkarte über die Kasse ziehen, bedarf es einer Bewertung der Risiken und Möglichkeiten, eine Auflistung der Kosten und erforderlichen Personentage, so dass Sie fundierte Daten für eine Abschätzung der Zeit und des Umfangs haben.
Andere Tools
Neben meiner manuellen Checkliste am Anfang und den Ratschlägen von Microsoft 365 und Azure gibt es weitere Tools, die speziell "On-Premises" ihr Netzwerk hinsichtlich der Sicherheit untersuchen.
Microsoft Security Assessment Tool
4.0
https://www.microsoft.com/en-us/download/details.aspx?id=12273
Das Tool ist leider von 2009 und bedürfte wohl einer
Überarbeitung
Natürlich gibt es Unmengen an White-Papers, Dokumentationen etc.
- Purple Knight
- Ping Castle
-
QS Solutions CSAT
https://qssolutions.de/produkte/cyber-security-assessment-tool/ -
Adalanche Open Source - In Go geschriebener
AD Schwachstellen Scanner
https://github.com/lkarlslund/Adalanche -
Prowler
"Prowler is an Open Source security tool to perform AWS, GCP and Azure security best practices assessments, audits, incident response, continuous monitoring, hardening and forensics readiness."
https://github.com/prowler-cloud/prowler -
Security baselines
https://learn.microsoft.com/en-us/windows/security/operating-system-security/device-management/windows-security-configuration-framework/windows-security-baselines - SiSyPHuS Win10:
Gruppenrichtlinienobjekte zur Härtung
von Windows 10 mit Bordmitteln
https://www.bsi.bund.de/DE/Service-Navi/Publikationen/Studien/SiSyPHuS_Win10/AP12/SiSyPHuS_AP12_node.html - Basistipps zur IT-Sicherheit
https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Informationen-und-Empfehlungen/Cyber-Sicherheitsempfehlungen/cyber-sicherheitsempfehlungen_node.html - c't-Sicherheits-Checklisten 2021:
Sicherheit einfach erklärt
https://www.heise.de/ct/artikel/c-t-Sicherheits-Checklisten-2021-Sicherheit-einfach-erklaert-4884913.html
Primär für Privatanwender aber sind das nicht alle Home Office Arbeitnehmer? - 18 CIS Controls
https://www.cisecurity.org/controls/cis-controls-list/ - Sicherheitskontrollen: die 20 Critical
Security Controls for Effective Cyber
Defense des CIS
https://blog.netwrix.de/2020/07/25/sicherheitskontrollen-die-20-critical-security-controls-for-effective-cyber-defense-des-cis/
Es gibt sicher noch weitere, insbesondere kommerzielle, Werkzeuge.
Weitere Dokumente
Natürlich gibt es noch viel weiteren Lesestoff.
- Securing Domain Controllers Against
Attack
https://docs.microsoft.com/en-us/windows-server/identity/ad-ds/plan/security-best-practices/securing-domain-controllers-against-attack - Data Protection Resources
https://servicetrust.microsoft.com/ViewPage/TrustDocumentsV3 - Plan zur schnellen Modernisierung der Sicherheit
http://aka.ms/privsec
https://docs.microsoft.com/de-de/security/compass/security-rapid-modernization-plan - IT Grundschutz Kompendium
https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/IT-Grundschutz-Kompendium/it-grundschutz-kompendium_node.html - Checklisten zum IT-Grundschutz-Kompendium (Edition 2021)
https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Kompendium/checklisten_2021.html - Technische Uni München: Risk Analysis Tool (RAT)
https://www.bgu.tum.de/era/software/risk-analysis-tool-rat/ - Free Microsoft 365 Security Assessment
Tool based on CIS Controls
https://www.itpromentor.com/cis-controls-4m365/
Weitere Links
- Firmen werden gehackt
- AdminSDHolder
- Cloud Security
- Pass-Through Authentifizierung (PTA)
- Azure ATP
- Endpoint Security
- LAPS - Local Admin Password Solution
- Tier 0/1/2 Security ist nicht alles
- Ping Castle
-
Checkliste
Active Directory Absicherung
Keine Liste ist komplett aber fangen Sie heute an und hören sie nie auf -
QS Solutions CSAT
https://qssolutions.de/produkte/cyber-security-assessment-tool/ - Active Directory-Verwaltungsebenenmodell
https://docs.microsoft.com/de-de/windows-server/identity/securing-privileged-access/securing-privileged-access-reference-material -
CIS
https://docs.microsoft.com/de-de/compliance/regulatory/offering-cis-benchmark -
Securing Privileged Access for the AD Admin
Part 1 https://techcommunity.microsoft.com/t5/core-infrastructure-and-security/securing-privileged-access-for-the-ad-admin-part-1/ba-p/259166 - Einfache Maßnahmen für mehr Sicherheit im AD
Teil1: Grundlagen: https://www.frankysweb.de/active-directory-einfache-manahmen-fr-mehr-sicherheit-teil-1/
Teil2: Admin Host https://www.frankysweb.de/einfache-massnahmen-fuer-mehr-sicherheit-admin-host/
Teil3: Admin Tiers https://www.frankysweb.de/einfache-massnahmen-fuer-mehr-sicherheit-im-ad-teil-3-admin-tiers/ - Securing Privileged Access (SPA)
http://aka.ms/privsec - Privileged Access Management für Active
Directory-Domänendienste
https://docs.microsoft.com/de-de/microsoft-identity-manager/pam/privileged-identity-management-for-active-directory-domain-services - Microsoft Secure Score
https://docs.microsoft.com/en-us/microsoft-365/security/mtp/microsoft-secure-score?view=o365-worldwide
https://security.microsoft.com/securescore - Privileged Access Workstations/Administrative Tier Model
http://aka.ms/tiermodel - Tools and Weapons: The Promise and the Peril of the Digital
Age
https://news.microsoft.com/on-the-issues/tools-and-weapons/ - ESAE Modell - PAW (Privileged Access Workstation) - SCAMA
(Authentication Mechanism Assurance) - Bastion Forest - PIM
Trust - msDS-ShadowPrincipal
https://www.ntsystems.de/asai.html - Das ESAE-Modell im Einsatz
Teil 1: Basics & Architekturplanung https://www.fb-pro.com/esae-modell-im-einsatz-teil-1-basics-architektur/
Teil 2: Privileged Access Management & Shadow Principals https://www.fb-pro.com/esae-modell-im-einsatz-teil-2-privileged-access-management-shadow-principals/
Teil 3: Schutzmaßnahmen für die Umgebung https://www.fb-pro.com/das-esae-modell-im-einsatz-teil-3-schutzmassnahmen-fuer-die-umgebung/
Teil 4: Windows IPSec im Detail erklärt https://www.fb-pro.com/das-esae-modell-im-einsatz-teil-4-windows-ipsec-im-detail-erklaert/
Teil 5: Die ESAE-Architektur von Microsoft https://www.fb-pro.com/das-esae-modell-im-einsatz-teil-5-esae-architektur-von-microsoft/ - Why You Should Use Microsoft's Active Directory Tier
Administrative Model
https://petri.com/use-microsofts-active-directory-tier-administrative-model - How Shadow Principals works in Active Directory 2016
https://secureidentity.se/msds-shadowprincipal/ - Adalanche Open Source - In Go geschriebener AD
Schwachstellen Scanner
https://github.com/lkarlslund/Adalanche - Just In Time Admin Access
https://secureidentity.se/just-in-time-admin-access/ - Ransomware Erste Hilfe IT Sicherheitsvorfall
https://www.allianz-fuer-cybersicherheit.de/SharedDocs/Downloads/DE/BSI/Cyber-Sicherheit/Themen/Ransomware_Erste-Hilfe-IT-Sicherheitsvorfall.pdf - Studie: Sicherheit ist Entscheidungsträgern zu komplex
https://www.heise.de/news/Studie-Sicherheit-ist-Entscheidungstraegern-zu-komplex-4923416.html - Phishing for SYSTEM on Microsoft Exchange (CVE-2020-0688)
https://blog.rapid7.com/2020/04/06/phishing-for-system-on-microsoft-exchange-cve-2020-0688/ - Cyberien im Winterschlaf Teil 3 | Windows Server 2008 R2 EOL
https://zero.bs/cyberien-im-winterschlaf-teil-3-windows-server-2008-r2-eol.html