Technische Lösungen und Empfehlungen Andreas Blohm 30.1.2018 ablohm@netik.de

Überblick Emailsicherheit Benutzer- und Ressourcenmanagement Berechtigungen Passwortmanagement Softwareausführungsrichtlinien Clientmanagement / -sicherheit

Emailsicherheit

Emailsicherheit

Emailsicherheit Unsere Lösung für Email OnPremise-Lösungen : Sonicwall Firewall mit Gateway-Antivirus, Intrusion Prevention, Anti-Spyware und Capture ATP Sonciwall Emailsecurity mit Spam-, Spoofing-, Phishing-, Virenschutz und Capture ATP Mailserver (MS Exchange) mit Antivirenlösung Definierter externer Zugriff erfolgt ausschließlich über Citrix Netscaler und verschlüsselte SSL-Verbindung

Emailsicherheit Unsere Lösung für Email Cloudlösungen (O365+ExchangeOnline): Office365 besitzt bereits im Standard einen Virenschutz dieser ist durch „Office 365 Advanced Threat Protection”erweitertbar ExchangeOnline kann mit zusätzlich mit der “Exchange Online Protection” geschützt werden

Emailsicherheit Benutzer sensibilisieren ! Sicherheit vs. Komfort „Privates“ Mailhosting unterbinden Alerting und Reporting nutzen

Benutzer- und Ressourcenmanagement Konsequente Trennung der Rollen von Anmeldekonten! Benutzerkonten -> ablohm Hat die Berechtigungen, welche notwendig sind um seine Aufgaben zu erfüllen -> aber nicht mehr Kein lokaler Admin!

Benutzer- und Ressourcenmanagement

Benutzer- und Ressourcenmanagement Administratorkonten -> adminab Rollenbasierte Administratoren -> z.B. niemand muss ständig Schema-Admin sein! Trennung nach Aufgaben Monitoring der „kritischen“ Gruppen

Benutzer- und Ressourcenmanagement Dienstkonten -> sqlservice Zum von Diensten, Ausführen von geplanten Task, LDAP-Abfragen, Datenbankanbindungen usw…. Dedizierte Rechtevergabe für die geforderte Aufgabe Dienstkonten entsprechend einschränken! Wie sollte ein Servicekonto konfiguriert sein: Sollte kein Administrator oder sonstiger genutzter UserAccount sein. Sollte langes und komplexes Passwort haben und darf sein Kennwort nicht ändern! (BSI mind. 14 Zeichen!) Einschränken, auf welchen Computern sich ServiceAccounts anmelden dürfen.

Berechtigungen Berechtigungen auf das Dateisystem

Berechtigungen Berechtigungen auf das Dateisystem -> Freigabeberechtigungen

Berechtigungen Berechtigungen auf das Dateisystem -> NTFS-Berechtigungen „Root“-Ordner: „Arbeitsordner“: Änderungen überwachen!

Berechtigungen

Berechtigungen …und was noch? -> Dateizugriffe kontrollieren Clientlaufwerke und USB-Geräte in Citrixumgebungen USB-Sticks an lokalen Rechnern Dropbox & Co.

Passwortmanagement Kennwortrichtlinien, Kontosperrungsrichtlinien, Kerberosrichtlinien Diese 3 Richtlinien können nur an der Domäne festgemacht werden. Alle anderen Richtlinien, z.B. an OUs, gelten nur für lokale Benutzer. Ab 2008/2012 auch granulare Passwortrichtlinien (Fine Grained Password Policies). Wichtig! - Domain Level nach Abschaltung der 2003 Server hochsetzen!

Passwortmanagement Empfehlung lt. BSI Grundschutzkatalog "M 4.48 Passwortschutz unter Windows-Systemen“ Die minimale Passwortlänge für besonders schützenswerte Konten (z. B.Dienstekonten, Admins) sollte mehr als 14 Zeichen betragen! OS = Windows 7..10/2008/2012 BSI Empfehlung Maximales Kennwortalter 90 Tage Minimales Kennwortalter 1 Tag Minimale Kennwortlänge 8 Zeichen Kennwortchronik erzwingen 6 Kennwörter Kontosperrungsschwelle 3 Versuchen Zurücksetzungsdauer des Kontosperrungszählers 30 Minuten Kontosperrdauer 60 Minuten Kennwort muss Komplexitätsvoraussetzungen entsprechen Aktiviert Kennwörter mit umkehrbarer Verschlüsselung speichern Deaktiviert

Passwortmanagement Länge oder Komplexität? Ich trinke gern Bier. - %45!rtT - 27 Tage Die Passwortlänge ist wichtiger als die Komplexität! Idealerweise mehr als 20 Zeichen. Kontosperrdauer: 3 Versuche sind meist zu wenig, kann einfach vergessliche User treffen. Besser 20..50 Versuche pro Zeitraum Vorsicht bei manueller Entsperrung! AD-Konten sperren, DoS Atacke für Jedermann  http://www.faq-o-matic.net/2013/08/07/dos-angriff-fr-jedermann-ad-konten-sperren/ Arbeitsplätze sperren! Arbeitsplätze bei Inaktivität sperren (Bildschirmschoner). OS = Windows 7..10/2008/2012 BSI Empfehlung Maximales Kennwortalter 90 Tage Minimales Kennwortalter 1 Tag Minimale Kennwortlänge 8 Zeichen Kennwortchronik erzwingen 6 Kennwörter Kontosperrungsschwelle 3 Versuchen Zurücksetzungsdauer des Kontosperrungszählers 30 Minuten Kontosperrdauer 60 Minuten Kennwort muss Komplexitätsvoraussetzungen entsprechen Aktiviert Kennwörter mit umkehrbarer Verschlüsselung speichern Deaktiviert

Passwortmanagement LM (LANManager) / NTLM Eingeführt mit Windows 3.1/3.11 Max Passwortlänge 14 Zeichen Konfiguration per Group Policy Nur Refuse LM & NTLM Optionen sind sicher.

Passwortmanagement

Passwortmanagement Externer Zugriff (außerhalb des gesicherten Firmennetzwerkes) erfolgt nur mit einer 2-Faktorauthentifizierung!

Softwareausführungsrichtlinien Nur zugelassene Software darf durch den Benutzer ausgeführt werden!

Softwareausführungsrichtlinien Festlegen der Pfade, Programme usw. welche gestartet werden dürfen oder auch nicht!

Softwareausführungsrichtlinien App-Locker nutzen! Virenscanner konfigurieren Windowsfirewall per GPO konfigurieren

Clientmanagement / -sicherheit Windowsrechner in meiner Domäne: - Verwalten per GPO, MS SystemCenter, Drittanbieterprogrammen (McAfee EPO), WSUS-Konsole - Reporting und Dokumentation -> AD Manager, Docusnap, Systemcenter Und Rechner die sich außerhalb meines Netzwerkes befinden? - Windows Intune on Azure -> Verwaltung von klassischen „FatClients“ und mobilen Geräten

Clientmanagement / -sicherheit Windowsupdates steuern mit Intune!

Clientmanagement / -sicherheit Verwalten der Antivirenlösung durch Cloudmanagement Absichern der Rechner durch Zertifikate usw. Nutzung eines Rechenzentrums mit Citrix XenApp/XenDesktop 

Clientmanagement / -sicherheit Mobile Geräte: BYOD vs. Firmengeräte -> Citrix XenMobile Enterprise Verwalten der Geräte Verteilen von Applikationen Bereitstellen von Secureapps und „Micro-VPN“

Clientmanagement / -sicherheit …und was noch? Bitlocker aktivieren! Ausschließlich HTTPS-Zugriffe nutzen -> öffentliches Zertifikat Zugriff auf „MEIN“ Netzwerk absichern und kontrollieren (WLAN, VPN, LAN, HTTP(S) ….) Kollegen mitnehmen 

Das Ende… Was heute nicht thematisiert wurde: Backupkonzepte und Restore Netzwerktechonlogien (Firewall, VPN, Filtering, VLAN...) PKI (Zertifikatsinfrastruktur) aufbauen Servermanagement

Fragen, Meinungen, Einwände…. Das Ende… Danke! Fragen, Meinungen, Einwände….