Freitag, 17. November 2017
Twitter Facebook Mister Wong Delicious stumbleupon digg Yahoo

Neueste Technologie für Administratoren

Systembetreuer im Windows-Umfeld brauchen Know-how über die neuesten Entwicklungen. Einsatzbeispiele und Tipps aus der Praxis führen zu mehr Effizienz im täglichen Betrieb. Wir bieten Skript-basierte Lösungen von Windows IT Pro exklusiv im deutschsprachigen Raum für unsere Abonnenten.

Checkliste für die IT-Security

Die IT-Beauftragen, Systembetreuer und Entscheider in den Unternehmen müssen Hand in Hand zusammenarbeiten, um die Sicherheit der Server, Clients und Netzwerkkomponenten sicherzustellen. Eine Einhundertprozentige Sicherheit lässt sich erfahrungsgemäß (selbst bei größtmöglichen Anstrengungen) nicht erreichen, allerdings kommen hochentwickelte und mehrstufige Sicherheitskonzepte dem „100-Prozent-Ideal“ sehr nahe.  Dazu müssen allerdings einige Punkte beachtet werden.

Die Mitarbeiter und „normalen“ Benutzer in den Fachabteilungen sollten entsprechend geschult werden, um typische Social-Engeneering-Attacken zu erkennen. Telefonanrufe oder E-Mails von vermeintlichen Systembetreuern sollten jeden Benutzer stutzig werden lassen. Selbst bei detaillierter Kenntnis von internen Arbeitsprozessen sollten die Mitarbeiter unübliche Anfragen nach persönlichen Daten, Detailinformationen zu den Systemen und Benutzerkonten sowie E-Mail-Adressen von anderen Mitarbeitern oder Vorgesetzten sollten über einen anderen Kommunikationsweg auf Authentizität geprüft werden. Am besten geschieht dies persönlich. Das Antworten auf eine E-Mail (mit eventuell gefälschter Absende Adresse) zählt dabei ausdrücklich nicht als „sicherer“ Kommunikationskanal. Auch dürfen die Mitarbeiter nicht auf Links in den E-Mail-Nachrichten klicken oder Dateianhänge herunterladen oder öffnen.

Alle Systeme sollten sich immer auf den aktuellen Update-Stand befinden. Das betrifft sowohl das Betriebssystem als auch die Anwendungsprogramme.

Systeme, auf die vom Internet aus zugegriffen werden kann (etwa VPN-Server) sollten von den Administratoren mit besonderer Sorgfalt abgesichert werden. Daher sind mehrstufige Firewall-Systeme an dieser Stelle Pflicht, hier greifen die Systembetreuer am besten zu Hardware-Appliances. Zugriffe aus dem Internet sollten zudem auf bestimmte IP-Adressbereiche eingegrenzt werden, etwa auf die öffentliche IP einer Unternehmenszweigstelle.

Zudem muss sichergestellt werden, dass die Benutzeranmeldedaten mit starken und regelmäßig wechselnden Kennwörtern abgesichert sind.

Standard-Benutzernamen (und Kennwörter) müssen unter allem Umständen geändert werden, die typischen Benutzerkonten mit der Bezeichnung „Admin“ oder „Administrator“ sollten sicherheitshalber deaktiviert werden – sowohl bei den lokalen als auch bei den Active-Directory-Konten.

Anti-Virenschutzsoftware sollte auf allen Servern und Endgeräten installiert werden, und sich zu jedem Zeitpunkt auf den aktuellen Software-Stand befinden.

Nicht immer ist eine Server-Installation mit Benutzeroberfläche (GUI) die Beste Wahl. Falls möglich, sollten die Unternehmen auf Core-Installationen setzen, diese bieten eine deutlich geringere Angriffsfläche. Die Verwaltung können die Systembetreuer „bequem“ mit der Powershell  (PS) angehen, dies wird oftmals mit PS-Remote-Sessions „erledigt“. Auch wichtig auf der server-Seite: Mit diesen Systeme dürfen keine „unwichtigen“ Aufgaben erledigt werden, die das System angreifbar machen könnten – sprich das Surfen im Web mit einem Serversystem ist keine gute Idee.

Falls möglich sollten ältere Server-Betriebssysteme auf die aktuelle Variante „Microsoft Server 2016“ gewechselt werden, besonders ältere Systeme (etwa ein Server 2008 R2) ver5fügen über (bekannte) Sicherheitslücken. Bei Server 2016 sind zudem noch Funktionen wie etwa „Device Guard“ oder „Credential Guard“ verfügbar, um die Systemsicherheit zu erhöhen, zudem ist schon direkt bei der Installation der aktuellen Server-Betriebssystemgeneration ein Virenschutz aktiv – der Windows Defender.

Auch auf den „normalen“ Clients sollten die Systembetreuer eine entsprechende Firewall vorschalten. Falls dies nicht als Hardware-Appliance verfügbar sein sollte (etwa aus Kostengründen), dann ist auch eine Softwarelösung denkbar. Bei den Firewall-Regeln müssen die Systembetreuer darauf achten, dass nach dem Whitelisting-Prinzip verfahren wird – alles ist verboten, bis auf im Vorfeld freigegebene Ports, die dringend benötigt werden.

Gastkonten“ bei den Clients, Servern oder auch  Netzwerkkomponenten müssen deaktiviert werden, Anmeldemethoden wie WPS bei WLAN-Komponenten werden von den Systembetreuern deaktiviert, Netzwerknamen werden so gewählt, dass keinerlei Rückschlüsse über die eingesetzten Komponenten gezogen werden können.

Alle Aktionen im System sollte immer protokolliert werden, und die jeweiligen Logfiles können die Systembetreuer mit den passenden Tools ebenfalls überwachen. Auf diese Weise können Änderungen in den Logfiles –die Aktivitäten von Hackern verschleiern sollen – aufgedeckt werden. Auch fehlgeschlagene Anmeldeversuche sollten sich im Fokus der Administratoren befinden.

Anstatt für jeden Mitarbeiter einen eigenen Account bei Cloud-Anbietern oder Online-Apps anzulegen, sollte wenn möglich die Cloud-Ressourcen zentral verwaltet und bereitgestellt werden. An dieser Stelle sind entweder Firmen-Accounts beim jeweiligen Cloud-Provider zu buchen, oder die Unternehmen stellen die benötigten Online-Ressourcen selbst bereit – etwa mit Hilfe einer Hybrid-Cloud-Lösung. Hier können die Administratoren beispielsweise einen „Federation-Account“ bei Azure anlegen, oder bestimmte Funktionen im Firmeninternen Rechenzentrum mit „Azure Stack“ bereitstellen.

Neuere Betriebssysteme (etwa Windows 10) bieten neben dem „klassischen“ Benutzerkennwort noch weitere Möglichkeiten für den Anmeldevorgang. Dabei werden zur Erhöhung der Sicherheit Methoden wie etwa „Multi-Faktor-Identifizierung“ eingesetzt, auf diese Weise müssen potentielle Angreifer mehrere Systeme für einen erfolgreichen „Hack“ kompromittieren.

Auch der ausgehende Datenverkehr sollte unter die Lupe genommen werden, etwa wenn plötzlich der Netzwerkdrucker Daten in das Internet sendet, deutet dies auf ein Problem mit der Systemsicherheit hin. Auch unübliche Anmeldezeiten (etwa in der Nacht) oder VPN-Zugriffe von „seltsamen“ Orten – sprich unüblichen IP-Adressen – sollten analysiert werden, und gegebenenfalls „Alarm“ auslösen.

Auch Mobilgeräte sollten sich immer auf den neuesten Stand befinden – zumindest Software-mäßig. Besonders wichtig bei dieser Art von Gerät ist außerdem, dass eine zuverlässige Verschlüsselung zum Schutz der Daten eingesetzt werden muss. Auf diese Weise werden verloren gegangene Smartphones, Tablets oder Notebooks nicht zum Problem.

Die Backup-Strategie sollte neben Online-Backup (etwa auf dem Backup-Server oder einer Netzwerkfestplatte) auch Offline-Backups beinhalten. Denn das gute, alte Backup auf Band oder einem ähnlichen externen Speichermedium bietet deutlich mehr Schutz gegen Ransomware-Angriffe. Denn Erpressungstrojaner erlangen oftmals Zugriff auf Netzwerkressourcen, die an den betroffenen Client verbunden (gemappt) sind. Wird das Backupmedium nach dem Sicherungsvorgang dagegen „ausgeworfen“, wird der Zugriff physikalisch getrennt, Malware hat nun keine Chance, die Backup-Datensätze ebenfalls zu verschlüsseln

Florian Huttenloher

Diesen Artikel bewerten
  
 4.38 (8 Bewertungen)
Kommentare
Anmelden
Anmelden