Präsentation herunterladen
Die Präsentation wird geladen. Bitte warten
1
Technische Lösungen und Empfehlungen
Andreas Blohm
2
Überblick Emailsicherheit Benutzer- und Ressourcenmanagement
Berechtigungen Passwortmanagement Softwareausführungsrichtlinien Clientmanagement / -sicherheit
3
sicherheit
4
sicherheit
5
Emailsicherheit Unsere Lösung für Email OnPremise-Lösungen :
Sonicwall Firewall mit Gateway-Antivirus, Intrusion Prevention, Anti-Spyware und Capture ATP Sonciwall security mit Spam-, Spoofing-, Phishing-, Virenschutz und Capture ATP Mailserver (MS Exchange) mit Antivirenlösung Definierter externer Zugriff erfolgt ausschließlich über Citrix Netscaler und verschlüsselte SSL-Verbindung
6
sicherheit Unsere Lösung für Cloudlösungen (O365+ExchangeOnline): Office365 besitzt bereits im Standard einen Virenschutz dieser ist durch „Office 365 Advanced Threat Protection”erweitertbar ExchangeOnline kann mit zusätzlich mit der “Exchange Online Protection” geschützt werden
7
Emailsicherheit Benutzer sensibilisieren ! Sicherheit vs. Komfort
„Privates“ Mailhosting unterbinden Alerting und Reporting nutzen
8
Benutzer- und Ressourcenmanagement
Konsequente Trennung der Rollen von Anmeldekonten! Benutzerkonten -> ablohm Hat die Berechtigungen, welche notwendig sind um seine Aufgaben zu erfüllen -> aber nicht mehr Kein lokaler Admin!
9
Benutzer- und Ressourcenmanagement
10
Benutzer- und Ressourcenmanagement
Administratorkonten -> adminab Rollenbasierte Administratoren -> z.B. niemand muss ständig Schema-Admin sein! Trennung nach Aufgaben Monitoring der „kritischen“ Gruppen
11
Benutzer- und Ressourcenmanagement
Dienstkonten -> sqlservice Zum von Diensten, Ausführen von geplanten Task, LDAP-Abfragen, Datenbankanbindungen usw…. Dedizierte Rechtevergabe für die geforderte Aufgabe Dienstkonten entsprechend einschränken! Wie sollte ein Servicekonto konfiguriert sein: Sollte kein Administrator oder sonstiger genutzter UserAccount sein. Sollte langes und komplexes Passwort haben und darf sein Kennwort nicht ändern! (BSI mind Zeichen!) Einschränken, auf welchen Computern sich ServiceAccounts anmelden dürfen.
12
Berechtigungen Berechtigungen auf das Dateisystem
13
Berechtigungen Berechtigungen auf das Dateisystem -> Freigabeberechtigungen
14
Berechtigungen Berechtigungen auf das Dateisystem -> NTFS-Berechtigungen „Root“-Ordner: „Arbeitsordner“: Änderungen überwachen!
15
Berechtigungen
16
Berechtigungen …und was noch? -> Dateizugriffe kontrollieren
Clientlaufwerke und USB-Geräte in Citrixumgebungen USB-Sticks an lokalen Rechnern Dropbox & Co.
17
Passwortmanagement Kennwortrichtlinien, Kontosperrungsrichtlinien, Kerberosrichtlinien Diese 3 Richtlinien können nur an der Domäne festgemacht werden. Alle anderen Richtlinien, z.B. an OUs, gelten nur für lokale Benutzer. Ab 2008/2012 auch granulare Passwortrichtlinien (Fine Grained Password Policies). Wichtig! - Domain Level nach Abschaltung der 2003 Server hochsetzen!
18
Passwortmanagement Empfehlung lt. BSI Grundschutzkatalog "M 4.48 Passwortschutz unter Windows-Systemen“ Die minimale Passwortlänge für besonders schützenswerte Konten (z. B.Dienstekonten, Admins) sollte mehr als 14 Zeichen betragen! OS = Windows 7..10/2008/2012 BSI Empfehlung Maximales Kennwortalter 90 Tage Minimales Kennwortalter 1 Tag Minimale Kennwortlänge 8 Zeichen Kennwortchronik erzwingen 6 Kennwörter Kontosperrungsschwelle 3 Versuchen Zurücksetzungsdauer des Kontosperrungszählers 30 Minuten Kontosperrdauer 60 Minuten Kennwort muss Komplexitätsvoraussetzungen entsprechen Aktiviert Kennwörter mit umkehrbarer Verschlüsselung speichern Deaktiviert
19
Passwortmanagement Länge oder Komplexität? Ich trinke gern Bier. - %45!rtT - 27 Tage Die Passwortlänge ist wichtiger als die Komplexität! Idealerweise mehr als 20 Zeichen. Kontosperrdauer: 3 Versuche sind meist zu wenig, kann einfach vergessliche User treffen. Besser Versuche pro Zeitraum Vorsicht bei manueller Entsperrung! AD-Konten sperren, DoS Atacke für Jedermann Arbeitsplätze sperren! Arbeitsplätze bei Inaktivität sperren (Bildschirmschoner). OS = Windows 7..10/2008/2012 BSI Empfehlung Maximales Kennwortalter 90 Tage Minimales Kennwortalter 1 Tag Minimale Kennwortlänge 8 Zeichen Kennwortchronik erzwingen 6 Kennwörter Kontosperrungsschwelle 3 Versuchen Zurücksetzungsdauer des Kontosperrungszählers 30 Minuten Kontosperrdauer 60 Minuten Kennwort muss Komplexitätsvoraussetzungen entsprechen Aktiviert Kennwörter mit umkehrbarer Verschlüsselung speichern Deaktiviert
20
Passwortmanagement LM (LANManager) / NTLM
Eingeführt mit Windows 3.1/3.11 Max Passwortlänge 14 Zeichen Konfiguration per Group Policy Nur Refuse LM & NTLM Optionen sind sicher.
21
Passwortmanagement
22
Passwortmanagement Externer Zugriff (außerhalb des gesicherten Firmennetzwerkes) erfolgt nur mit einer 2-Faktorauthentifizierung!
23
Softwareausführungsrichtlinien
Nur zugelassene Software darf durch den Benutzer ausgeführt werden!
24
Softwareausführungsrichtlinien
Festlegen der Pfade, Programme usw. welche gestartet werden dürfen oder auch nicht!
25
Softwareausführungsrichtlinien
App-Locker nutzen! Virenscanner konfigurieren Windowsfirewall per GPO konfigurieren
26
Clientmanagement / -sicherheit
Windowsrechner in meiner Domäne: - Verwalten per GPO, MS SystemCenter, Drittanbieterprogrammen (McAfee EPO), WSUS-Konsole - Reporting und Dokumentation -> AD Manager, Docusnap, Systemcenter Und Rechner die sich außerhalb meines Netzwerkes befinden? - Windows Intune on Azure -> Verwaltung von klassischen „FatClients“ und mobilen Geräten
27
Clientmanagement / -sicherheit
Windowsupdates steuern mit Intune!
28
Clientmanagement / -sicherheit
Verwalten der Antivirenlösung durch Cloudmanagement Absichern der Rechner durch Zertifikate usw. Nutzung eines Rechenzentrums mit Citrix XenApp/XenDesktop
29
Clientmanagement / -sicherheit
Mobile Geräte: BYOD vs. Firmengeräte -> Citrix XenMobile Enterprise Verwalten der Geräte Verteilen von Applikationen Bereitstellen von Secureapps und „Micro-VPN“
30
Clientmanagement / -sicherheit
…und was noch? Bitlocker aktivieren! Ausschließlich HTTPS-Zugriffe nutzen -> öffentliches Zertifikat Zugriff auf „MEIN“ Netzwerk absichern und kontrollieren (WLAN, VPN, LAN, HTTP(S) ….) Kollegen mitnehmen
31
Das Ende… Was heute nicht thematisiert wurde:
Backupkonzepte und Restore Netzwerktechonlogien (Firewall, VPN, Filtering, VLAN...) PKI (Zertifikatsinfrastruktur) aufbauen Servermanagement
32
Fragen, Meinungen, Einwände….
Das Ende… Danke! Fragen, Meinungen, Einwände….
Ähnliche Präsentationen
© 2024 SlidePlayer.org Inc.
All rights reserved.