FISI Projektantrag GPO

Mitglied: Jenzoo

Jenzoo (Level 1) - Jetzt verbinden

28.02.2021 um 11:30 Uhr, 750 Aufrufe, 12 Kommentare

Moin, leider wurde mein Projektantrag abgelehnt mit folgender Begründung abgelehnt "Antrag kann so nicht genehmigt werden. Uns fehlt hier die Tiefe und der entsprechende Umfang für ein Abschlussprojekt. Bitte Tiefe nachweisen oder ein anderes Thema aufgreifen. Zusätzlich PSP mit einreichen."

Leider verstehe ich nicht ganz warumer abgelehnt wurde, weil ich eher dachte, dass der Umfang meines Projektes eher zu groß als zu klein wäre.

Das ist mein Projektantrag:


Einrichtung von Richtlinien für Softwareeinschränkungen (Group Policies)

1.1*
Kurzform der Aufgabenstellung

Beschreiben Sie kurz Ihr Projekt.
Die * ist ein Dienstleister in der Automotive-Branche und übernimmt unter anderem die Lagerhaltung und das Leerguthandling für die * an ihrem Standort in Bremen. Im Lager werden zudem Stapler eingesetzt, welche über ein Computerterminal verfügen. Da das Terminal zwar schon über einen Schreibschutz verfügt, kann der Benutzer jedoch uneingeschränkt Software am Terminal ausführen. Dies kann im Betrieb zu Sicherheitslücken, Störungen und Ablenkung führen. Im Rahmen des Projektes soll nun die Sicherheit und Produktivität der Staplerfahrer mit Hilfe von Softwareeinschränkungen verbessert werden.
]
1.2*
Ist-Analyse
9
Die derzeit genutzten ADStec Staplerterminals haben keine Softwareeinschränkungen. Somit kann der User Stapler einen Großteil der installierten Software nutzen. Er kann zwar Änderungen am Gerät vornehmen, diese werden durch einen Neustart wieder zurückgesetzt. Die Terminals verfügen über eine Schreibschutzfunktion, die wenn sie aktiviert ist keine Änderungen zulässt. Wir möchten zukünftig das Ausführen von z.B. ausführbaren Dateien (executables), die im sogenannten Portable-Format vorliegen, verhindern . Das sind Programme, die auch ohne den Windows-Installer lauffähig sind und dementsprechend keine Administratorrechte voraussetzen. Die Mitarbeiter/-innen können somit unbeabsichtigt Schadsoftware ausführen, dies kann zu potenziellen Sicherheitsrisiken führen.

2.
Zielsetzung entwickeln / Soll-Konzept
2.1*
Was soll am Ende des Projektes erreicht sein?

Nach der Fertigstellung des Projektes und der Integration in das Produktivsystem soll das System so konfiguriert sein, dass jedes Ausführen einer nicht zugelassenen Software oder Datei unterbunden wird. Nach Rücksprache mit meinem Ausbilder habe ich entschieden, dass die Software Restriction Policies mit einer sogenannten Whitelist arbeiten sollen. Eine Alternative wäre eine Blacklist, die an dieser Stelle nicht sinnvoll ist, da sie nur bekannte Programme und Dateien blockiert und somit unbekannte Programme trotzdem ausführbar sind. Zukünftig sollen alle Programme, Dateien oder Verknüpfungen, die nicht in der Whitelist aufgelistet sind, nach der Integration gesperrt werden. Dies soll dafür sorgen, dass die Staplerterminals der sicherer gegen Schadprogramme aller Art werden. Zudem soll es noch ein Skript geben welches Log-Fehler notiert, denn anschließend kann diese Skript-Datei von einem Administrator analysiert werden, dadurch kann das System in Zukunft weiter verbessert werden.

2.2*
Welche Anforderungen müssen erfüllt sein?

Folgende Anforderungen sollen durch die Group Policies erreicht werden:
- Unterbindung der Ausführung von ungewollten Dateien
- Das Staplerterminal muss über ein Windows Betriebssystem verfügen
- Es soll eine Log-Datei geben aus der man Daten auslesen kann
- Programme aus der Whitelist müssen ohne Probleme funktionieren
- Es darf keine Möglichkeiten für den User geben die Group Policies zu deaktivieren/umgehen

2.3*
Welche Einschränkungen müssen berücksichtigt werden?

- Es muss darauf geachtet werden das notwendige Windows Funktionen nicht unterbunden werden
- Konfiguration und Tests müssen auf einem Testgerät stattfinden, da sonst der Betrieb gestört wird

3.
Projektstrukturplan entwickeln
3.1*
Was ist zur Erfüllung der Zielsetzung erforderlich?

Zur Erfüllung der Zielsetzung ist es erforderlich, dass die benötigte Hardware, sowie die benötigte Software vorhanden sind und ordnungsgemäß installiert werden. Es wird in kurzen Zyklen Rücksprache mit dem Fachbereich gehalten um Feedback einzuholen. Dieses Feedback ermöglicht dem Projektleiter schnell und gezielt auf Wünsche einzugehen.

3.2*
Hauptaufgaben auflisten

- Ist-Analyse und Beschreibung der derzeitigen Situation
- Soll-Konzept erstellen
- Anforderungen definieren
- Auflistung der derzeitigen Probleme und Einschränkungen
- Evaluation des erarbeiteten Lösungswegs
- Konfiguration des Terminals
- Erstellen der Software Richtlinien
- Testen der Softwarerichtlinien
- Erstellen des Log-Skriptes
- Erreichen der Zielsetzung überprüfen
- Erstellung der Projektdokumentation
- Übergabe des Projektes

3.3*
Teilaufgaben auflisten

- Information der Anforderungen aus dem Fachbereich einholen
- Whitelist erstellen
- Testen des Log-Skriptes

3.4*
Grafische oder tabellarische Darstellung

Laden Sie Ihre grafische oder tabellarische Projektdarstellung hoch.
(siehe Anhang)

4.*
Projektphasen mit Zeitplanung in Stunden

- Darstellung des Projektablaufes - Geplanter Zeitaufwand in Stunden
Phasenname Aufwand in Std.
1. Projektplanung¬______________________________________7
1.1 Ermittlung des Ist-Zustandes 2
1.2 Ermittlung des Soll-Konzeptes 2
1.3 Anforderungen definieren 2
1.4 Verschiedene Lösungswege erarbeiten 1
2. Projektdurchführung__________________________________19
2.1 OS-Image Installation 1
2.2 Konfiguration der Windowsgruppenrichtlinien 9
2.3 Funktionalitätsprüfungen der Gruppenrichtlinien 6
2.4 Implementierung in das Produktivsystem 2
2.5 Test mit einem Mitarbeiter 1
4. Projektabschluss______________________________________ 8
4.1 Erreichen der Zielsetzung überprüfen 1
4.2 Projekt Dokumentation erstellen 7
Gesamtbedarf _______________________________________34


Ich würde mich über Verbesserungen/Erweiterungen freuen.
Mitglied: aqui
28.02.2021, aktualisiert um 12:19 Uhr
Völlig unberücksichtig bleibt die Infrastruktur Sicherheit ! Staplerfahrer_Klaus guckt sich in seinem Terminal die Zugangsdaten des Lager WLANs an und verät das im Suff allen seinen Freunden und Kollegen die dann mit ihren Smartphones illegal Musik und Videos über das Lagernetz up- und downloaden. Die verraten das dann weiter an die Hackerclique im Ort die wiederum flugs ein paar Emotet Trojaner ins Lagernetz bringen und sich einen feixen das am nächsten Tag die ganze Firma stillsteht für Wochen. Das liesse sich beliebig fortsetzen.
Soviel zum Thema Tiefe.
Windows GPOs macht gefühlt jeder 2te FiSi was bei den Prüfern vermutlich nur ein gelangweiltes Gähnen hervorruft.
Bitte warten ..
Mitglied: em-pie
28.02.2021 um 12:34 Uhr
Moin,

ähnlich wie die IHK sowie Kollege @aqui halte ich das auch etwas dünn...
Das Thema hat man vermutlich binnen 4-6h umgesetzt und 29h für die Doku ist dann auch etwas viel...

Ich würde das Thema "Absicherung von Endgeräten in der Produktion" aufgreifen, in dem dein obiges Vorhaben ein Teilbereich ist.
Hinzu kommt dann Endpoint-Protection im allgemeinen wie USB-Port-Sperren, WLAN per Zertifikat (802.1x) etc...
Also quasi das Terminal härten...

Denn in Summe fließen dann verschiedene Disziplinen mit ein:
  • Netzwerke
  • Authentifizierung
  • App-/ Device-Protection
  • ...

Gruß
em-pie
Bitte warten ..
Mitglied: Jenzoo
28.02.2021 um 13:44 Uhr
Vielen Dank schon einmal
Bitte warten ..
Mitglied: Jenzoo
28.02.2021 um 13:48 Uhr
Zu den obirigen Ideen, das WLAN Symbol wird zudem in den GPO's ausgeblendet, eine Netzwerkauthentifizierung gibt es bereits und eine App-/ Device-Protection ebenfalls...
Also sollte ich diese "Schritte" alle zu dem Thema "Absicherung von Endgeräten in der Produktion" zusammenfügen?
Bitte warten ..
Mitglied: aqui
28.02.2021, aktualisiert um 14:31 Uhr
Was sind "obirige" Ideen und was soll ein "WLAN Symbol" sein ??
eine Netzwerkauthentifizierung gibt es bereits
So so...welche denn ? Mit statischen PSKs die Klaus wieder an die Kumpels und Kollegen weitergibt ?!
Bitte warten ..
Mitglied: Jenzoo
28.02.2021 um 19:21 Uhr
Ich meinte das wir bereits einen RADIUS Server für die Authentifizierung haben, ich bin der Meinung, dass man das Netzwerksymbol per GPO deaktivieren kann. Zudem kommt mit den Terminal auch eien Software für Schreibschutz und USB Port deaktivierung, das sind halt 3 Klicks zum einrichten.
Bitte warten ..
Mitglied: aqui
LÖSUNG 28.02.2021 um 19:22 Uhr
Das wäre dann die perfekte Lösung !
Bitte warten ..
Mitglied: Jenzoo
28.02.2021 um 19:52 Uhr
Also soll ich das mit dem ausblenden und der Software noch mit reinnehmen, obwohl das kaum Aufwand ist? Danke für deine Hilfe!
Bitte warten ..
Mitglied: Daemmerung
28.02.2021 um 22:07 Uhr
Kaum Aufwand musst du ja nicht verraten. Es sorgt aber dafür, dass du tiefer ins Thema einsteigen musst.
GPOs erstellst du innerhalb einer Windows-Domäne. Geh noch bisschen auf die Server-Infrastruktur ein und beschreib auch wie du vor hast die logs zu erstellen.. Bring also ein paar Fachbegriffe mit rein.

Viel Erfolg!
Daemmerung
Bitte warten ..
Mitglied: aqui
01.03.2021 um 10:40 Uhr
Radius und 802.1x Port Security nicht vergessen. Idealerweise mit einem Zertifikats Infrastruktur. Security ist heute immens wichtig. Da kann man sich dann richtig auslassen.
Bitte warten ..
Mitglied: Doskias
02.03.2021 um 08:06 Uhr
Moin,

noch ein kleiner Hinweis, da das oft falsch gemacht wird von den Azubis/Ausbildern:
4.2 Projekt Dokumentation erstellen 7
Mit der Zeit, die du hier für die Projektdokumentation planst ist die Projektdokumentation gemeint, die du erstellst, damit dein Auftraggeber (intern oder extern) anschließend ohne dich zu Fragen selbstständig mit der Lösung arbeiten kann. Das beinhaltet zum Beispiel Rechte- und Kennwortdokumentation. Damit istnicht deine Dokumentation gemeint, die du bei der IHK abgibst.

Die zeit wird Erfahrungsgemäß immer mit etwa 20% der Gesamtdauer angegeben, da dies aus der realen Projektwelt abgeleitet wird. Du solltest dir also immer die Frage stellen: Brauche ich wirklich 7 Stunden um das zu dokumentieren was ich gemacht habe? Wenn nein, dann ist das Projekt wohl zu wenig.

Bei der Dokumentation für die IHK ist dann nicht nur das was, sondern auch das wie und warum interessant.

Gruß
Doskias
Bitte warten ..
Mitglied: Jenzoo
02.03.2021 um 11:14 Uhr
Das wären jetzt die Dinge die ich mit einbringen würde, ich weiß nicht was ich da zu dem Radius-Server noch schreiben soll, somal man auch nur 1000 *Zeichen* im Antrag zur Verfügung hat.

1.1 Kurzform der Aufgabenstellung
Die ... ist ein Dienstleister in der Automotive-Branche und übernimmt unter anderem die Lagerhaltung und das Leerguthandling für die ... an ihrem Standort in Bremen. Im Lager werden zudem Stapler eingesetzt, welche über ein Computerterminal verfügen. Im Rahmen des Projektes soll für die IT-Sicherheit der Stapler gesorgt werden. Es soll über GPO’s festgelegt werden welche Programme die Staplerfahrer ausführen dürfen und welche Symbole auf dem Desktop, der Taskleiste, angezeigt werden. Es soll zudem ein Log-Skript geben, welches die Aktivitäten der Staplerfahrer aufzeichnet. Zudem sollen die ungenutzten USB Ports gesperrt werden und ein Schreibfilter soll eingerichtet werden.

1.2 Ist-Analyse
Derzeit bestehen auf den Staplerterminals keine Softwareeinschränkungen. Da nach der Windows Installation der Benutzer Stapler eingerichtet wird, hat er schon alle vorinstallierten Dateien zur Verfügung und somit das Recht diese auf dem PC ohne Einschränkungen auszuführen. Bisher werden nur Downloads aus dem Internet durch eine Firewall beschränkt und Programminstallationen auf den Stapler-Benutzer-Accounts bei fehlenden Administratorrechten verhindert. Der jetzige Stand verhindert jedoch nicht das Ausführen von z.B. ausführbaren Dateien (executables), die im sogenannten Portable-Format vorliegen. Zudem können die Mitarbeiter einen USB Stick am seitlichen USB-Port einzustecken, da Mitarbeiter/-innen somit unbeabsichtigt Schadsoftware verbreiten könnten, entstehen potenzielle Sicherheitsrisiken. Da es im Moment keinen Schreibschutz auf den Terminals gibt, kann der Benutzer beliebige Veränderungen vornehmen und der nächste der den Stapler benutzt, kann nicht vernünftig arbeiten.

2.1 Was soll am Ende des Projekts erreicht sein?
Nach der Fertigstellung des Projektes und der Integration in das Produktivsystem, sollen die Staplerterminals sicherer gegen Schadsoftware jeglicher Art werden.
Zudem sollen alle Programme, Dateien oder Verknüpfungen, die nicht in der Whitelist aufgelistet sind, nach der Integration gesperrt werden. Nach Rücksprache mit meinem Ausbilder habe ich entschieden, dass die Software Restriction Policies mit einer sogenannten Whitelist arbeiten sollen, somit sind alle unbekannten Dateien nicht ausführbar. Es soll dem Staplerfahrer nicht möglich sein, einen USB Stick am Terminal anzuschließen um somit Schadsoftware zu verbreiten. Sollte der Stapler-Benutzer am Terminal Veränderungen vornehmen, so sollen diese nach einem Neustart per Schreibschutz wieder rückgängig gemacht werden. Zudem soll es ein Skript geben welches Fehler der GPO's notiert, anschließend kann diese Skript-Datei von einem Administrator analysiert werden, dadurch kann das System in Zukunft noch weiter verbessert werden.

2.2 Welche Anforderungen müssen erfüllt sein?
Folgende Anforderungen sollen durch das Projekt erfüllt werden:
- Unterbindung der Ausführung von ungewollten Dateien
- Aktivieren eines Schreibschutzes
- Sperrung der unbenutzten USB-Ports
- Erstellung eines Log-Skriptes aus dem man Informationen über mögliche Fehler auslesen kann
- Ausblendung von nicht benötigten Symbolen und Programmen auf dem Staplerterminal
- Programme aus der Whitelist müssen ohne Probleme funktionieren
- Es darf keine Möglichkeiten für den User geben die Group Policies zu deaktivieren/umgehen
Bitte warten ..
Heiß diskutierte Inhalte
Festplatten, SSD, Raid
Festplatte aus defekten Notebook ausgebaut - wird nicht erkannt - Wie gelange ich an meine Daten?
gelöst 1nCoreVor 1 TagFrageFestplatten, SSD, Raid15 Kommentare

Hallo liebe Community, nach 7 Jahren hat mein XMG Notebook seinen Geist aufgegeben In dem Notebook waren zwei Festplatten verbaut (eine für System und ...

Erkennung und -Abwehr
Wie geschickt sich Malware verstecken kann - Ein Beispiel aus der Praxis eines Security Experts
colinardoVor 19 StundenTippErkennung und -Abwehr4 Kommentare

Servus Kollegen und Mitstreiter, da ja in letzter Zeit die Exchange-Lücken die Admin-Landschaft ziemlich aufgewirbelt haben und dabei auch immer mal wieder "sogenannte" Admins ...

Internet
Woher holt sich Android die Kontaktdaten von unbekannten Rufnummern?
gelöst anteNopeVor 1 TagFrageInternet8 Kommentare

Hallo zusammen, seit einiger Zeit merke ich, dass mir mein Android Gerät Namen und Informationen zu mir unbekannten Teilnehmern präsentiert. Soll heißen eine nicht ...

Windows Netzwerk
MS Lizenzierung - externe Scandienstleistung
monstermaniaVor 1 TagFrageWindows Netzwerk9 Kommentare

Hallo Allerseits, ich habe da mal eine Frage an die MS Lizenzspeziallisten. Eine externe Firma soll Scandienstleistungen für uns erledigen. Dazu ist angedacht, dass ...

Exchange Server
Exchange Update CU19 auf CU20 Fehler - Eine weitere Version dieses Produkts ist bereits installiert
gelöst StefanKittelVor 1 TagFrageExchange Server6 Kommentare

Hallo, ich habe hier einen Exchange 2016 mit CU19 (15.1.2176.2). Darauf wollte ich nun CU20 installiert. Download Es erscheint Eine weitere Version dieses Produkts ...

Exchange Server
April 2021 Microsoft Exchange Server Security Updates
FrankVor 1 TagInformationExchange Server2 Kommentare

Microsoft has released security updates for vulnerabilities found in: Exchange Server 2013 Exchange Server 2016 Exchange Server 2019 These updates are available for the ...

Drucker und Scanner
Epson WF-6590 druckt nur cyan und gelb
gelöst ITCrowdSupporterVor 1 TagFrageDrucker und Scanner15 Kommentare

Guten Tag :-) Es geht um einen Epson Workforce Pro WF-6590. Er druckt nur cyan und gelb obwohl neue Originalpatronen für schwarz und magenta ...

Windows Server
Hat Microsoft die WindowsServerSicherung oder diskpart zerpatcht?
anteNopeVor 14 StundenFrageWindows Server3 Kommentare

Hallo, kann es eventuell sein, dass Microsoft mit seinen letzten Updates die WindowsServerSicherung bzw. diskpart zerschossen hat? Es häufen sich bei mir seit gestern ...