Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Frage zur allgemeinen Netzwerksicherheit

Mitglied: AbstrackterSystemimperator

AbstrackterSystemimperator (Level 1) - Jetzt verbinden

22.02.2020 um 11:55 Uhr, 2325 Aufrufe, 16 Kommentare, 5 Danke

Guten Tag zusammen,

in letzter Zeit beschäftige ich mich, auch wenn ich "nur" Azubi bin, mit diversen Themen der IT-Sicherheit. Ich denke, auch wenn ich tatsächlich "nur" Azubi bin, sollte man sich so früh wie möglich mit solchen, auch wenn sie recht komplex sind, damit beschäftigen.

Folgender Sachstand:

Ich arbeite in einem KMU ca 70 Mann Bude und sehe, wenn ich mich nicht irre, dass hier ein "Sicherheitsproblem" eventuell vorliegen könnte.

Mit meinem Firmennotebook, welches in der Domäne "Hier ihre Domäne eintragen", habe ich nur eingeschränkte Rechte, was soweit auch vollkommen richtig ist. Das heißt, angenommen mein Rechner ist

mit einem Verschlüsselungstrojaner infiziert, verschlüsselt der Trojaner doch nur "alle" Netzlaufwerke die für mich freigegeben sind, richtig?

Ordner "Azubi" wird verschlüsselt, jedoch nicht Freigabe "ich Chef, du nix" oder?


Wie sieht das eigentlich aus, wenn ich mit meinem privaten Notebook, welches in der klassischen Workgroup ist, infiziert ist und ich das Gerät ans Netz hänge? Ich frage deshalb, weil ich festgestellt habe,

das ich mit meinem privaten Notebook ins Netz komme. Was wird dann verschlüsselt?

Des weiteren ist mir ebenfalls aufgefallen, wenn ich mich mit meinen Windows Benutzernamen, an meinem privaten Notebook mit dem Firmen-WLAN verbinde, komme ich ebenfalls ins Netz.

Mit dem Handy klappt das nicht. Das ist abgesichert.

Auf Nachfrage erhielt ich nur die blöde Antwort, ich dürfte nicht ans Netz, weil wegen ist so. Könnte ja was passieren, aber WAS und in wie weit, blieb für mich ungeklärt.

Gruß
AS
Mitglied: tikayevent
22.02.2020 um 12:04 Uhr
Wenn du dein privates Notebook ans Netzwerk hängst, wird noch weniger passieren, da du ja erstmal mit Gastrechten arbeitest. Also nur Laufwerke, die explizit für Gäste freigegeben sind, wären gefährdet. In dem Moment, in dem du dich mit deinen Zugangsdaten an einem Dateiserver anmeldest, wären die Freigaben, für die du berechtigt bist, auf diesem Fileserver gefährdet.

Ransomware ist aber mittlerweile so schlau, dass diese sich auch über andere Benutzer verbreiten kann. Also wenn ein höherberechtigter Benutzer was von deinem Azubilaufwerk öffnet und sich damit ebenfalls infiziert, wären auch die Ressourcen dieses Nutzers in Gefahr.

Wenn du dich mit IT-Sicherheit beschäftigst, wird dir sicher klar sein, dass das Einspielen von Updates, sobald diese verfügbar sind, das beste Mittel gegen Schadsoftware sind. Dabei nicht nur Windows sondern alle Programme bedenken, dann hast du für sehr lange Zeit Ruhe. Etwas brain.exe schadet aber auch nicht.
Bitte warten ..
Mitglied: certifiedit.net
22.02.2020 um 12:20 Uhr
Hallo AS,

hier muss ich tika..widersprechen
Wenn du dein privates Notebook ans Netzwerk hängst, wird noch weniger passieren, da du ja erstmal mit Gastrechten arbeitest. Also nur
Laufwerke, die explizit für Gäste freigegeben sind, wären gefährdet. In dem Moment, in dem du dich mit deinen Zugangsdaten an einem Dateiserver
anmeldest, wären die Freigaben, für die du berechtigt bist, auf diesem Fileserver gefährdet.

Grundsätzlich kommt das auf eure Konfiguration an. Ich durfte/musste erst letzten Monat ein frisch übernommenes KMU (ca die Größe) von durchgängigen "jeder" Berechtigungen befreien. In dem Fall hättest du auf 100% verschlüsselungsrate kommen können.

Würde dies auf jeden Fall prüfen und eskalieren lassen. Genau das ist (mit) dein Job!

Viele Grüße,

Christian
certifiedit.net
Bitte warten ..
Mitglied: AbstrackterSystemimperator
22.02.2020 um 12:22 Uhr
Zitat von tikayevent:

Wenn du dein privates Notebook ans Netzwerk hängst, wird noch weniger passieren, da du ja erstmal mit Gastrechten arbeitest. Also nur Laufwerke, die explizit für Gäste freigegeben sind, wären gefährdet. In dem Moment, in dem du dich mit deinen Zugangsdaten an einem Dateiserver anmeldest, wären die Freigaben, für die du berechtigt bist, auf diesem Fileserver gefährdet.
Ransomware ist aber mittlerweile so schlau, dass diese sich auch über andere Benutzer verbreiten kann. Also wenn ein höherberechtigter Benutzer was von deinem Azubilaufwerk öffnet und sich damit ebenfalls infiziert, wären auch die Ressourcen dieses Nutzers in Gefahr.


Das verstehe ich. Kann ich nachvollziehen. Abgesehen davon, das ich "nur" Gastrechte habe und ggf. trotzdem durch höher Berechtigte weitere Schäden verursachen kann, nochmal eine weitere Frage dazu.

Um das ganze weiter abzusichern, wäre es nicht besser Geräte die nichts mit dem Unternehmen zu tun haben, aus dem Netz zu nehmen bzw. diese direkt in ein "Sicheren" Bereich zu "bannen" in dem die Geräte höchstens nur surfen könnten?

Das müsste sich doch an Hand der MAC-Adressen eines Gerätes realisieren oder bin ich hier auf dem Holzweg? Wenn ich mich in die Lage meines Chefs versetze, würde ich z.B nicht wollen, das private Geräte einfach so ans Netz geklemmt werden können.

Wenn du dich mit IT-Sicherheit beschäftigst, wird dir sicher klar sein, dass das Einspielen von Updates, sobald diese verfügbar sind, das beste Mittel gegen Schadsoftware sind. Dabei nicht nur Windows sondern alle Programme bedenken, dann hast du für sehr lange Zeit Ruhe. Etwas brain.exe schadet aber auch nicht.

"Beschäftigen" im Sinne, dass ich mir von diversen Zeitschriften alla CT oder die Best Of IP-Insider / Security Insider belese oder z.B. mir Vorträge auf Youtube anhöre die z.B. Live Hacking - In 45 Minuten ein Unternehmen verlieren, anschaue.

Brain.exe rate ich unseren Kunden immer. Es gibt kein besten Schutz.

Sobald diese Updates verfügbar sind, direkt einspielen? Uns wird "geraten" erstmal abzuwarten, da wie man gerade bei MS sieht, es teilweise verbuggte Updates verteilt werden, die eine verschlimmbesserung hervorufen.

LG
AS
Bitte warten ..
Mitglied: AbstrackterSystemimperator
22.02.2020 um 12:28 Uhr
Zitat von certifiedit.net:

Hallo AS,
Hallo,

Grundsätzlich kommt das auf eure Konfiguration an. Ich durfte/musste erst letzten Monat ein frisch übernommenes KMU (ca die Größe) von durchgängigen "jeder" Berechtigungen befreien. In dem Fall hättest du auf 100% verschlüsselungsrate kommen können.

Würde dies auf jeden Fall prüfen und eskalieren lassen. Genau das ist (mit) dein Job!

Danke für den Hinweis, genau das habe ich mir nämlich gedacht. Zwar habe ich nicht volle Adminrechte, sondern nur die klassischen Adminrechte, wie z.B. Einstellungen vornehmen, Geräte, Treiber etc installieren, aber auch hier fängt das schon an. Z.b konnte ich trotz deaktivierter Updates, dennoch eigenständig Updates durchführen etc.

Eine Mail habe ich schon geschrieben, aber da wird bestimmt auch nur das dabei herauskommen, was ich oben schrieb.

Gruß
AS
Bitte warten ..
Mitglied: tikayevent
22.02.2020, aktualisiert um 12:51 Uhr
Das müsste sich doch an Hand der MAC-Adressen eines Gerätes realisieren oder bin ich hier auf dem Holzweg? Wenn ich mich in die Lage meines Chefs versetze, würde ich z.B nicht wollen, das private Geräte einfach so ans Netz geklemmt werden können.

MAC-Adressen sind auf so ziemlich jedem Betriebssystem mit Bordmitteln fälschbar und zum Teil nicht eindeutig. Dafür gibt es EAPoL oder 802.1X.

Sobald diese Updates verfügbar sind, direkt einspielen? Uns wird "geraten" erstmal abzuwarten, da wie man gerade bei MS sieht, es teilweise verbuggte Updates verteilt werden, die eine verschlimmbesserung hervorufen.

Eine Betriebsstörung durch ein schlechtes Update ist besser und weit angenehmer zu erklären, als ein Betriebsstillstand und Datenverlust durch Schadsoftware. Bei Letzterem spielen nämlich sehr schnell Behörden mit (Finanzamt, Datenschutz, BSI als Beispiel) und bei fehlendem, fehlerhaftem oder beschädigtem Backup, wird es für Geschäftsführer oder Inhaber sehr schnell unangenehm teuer.
Nur Updates können Sicherheitslücken schließen. Und nur eine geschlossene Lücke lässt keinen Angriff zu. Gibt doch den Spruch "Lieber die Waffe entladen, als auf eine Schutzweste zu schießen", denn auch eine Schutzweste kann fehlerhaft sein oder durchschlagen werden, zumindest gibt es aber blaue Flecken.

Bei uns wird sogar während des Jahresabschlusses durch den Wirtschaftsprüfer die Updateversorgung unserer Rechner geprüft. Zu viele Negativtreffer, also nicht aktuelle Systeme und das Testat ist in Gefahr.
Bitte warten ..
Mitglied: IT-Prof
LÖSUNG 22.02.2020 um 13:26 Uhr
Schon Mal was von Exploits gehört?
Bitte warten ..
Mitglied: lcer00
LÖSUNG 22.02.2020 um 13:57 Uhr
Hallo,

IEEE 802.1X ist Dein nächstes Selbststudiumsthema.

Grüße

lcer
Bitte warten ..
Mitglied: DerWoWusste
LÖSUNG 22.02.2020, aktualisiert um 15:24 Uhr
Moin.

Ich finde es immer schwierig, wenn ein Fragender viele verschiedene Dinge anspricht. Bei den Antworten kommt dann meist eine verquirlte Mischung raus, die alles anreißt, aber nichts abschließend beantwortet.

Lass uns mal ordnen:
Du machst Dir Sorgen, wieweit man Privatgeräte aus dem Netz fernhalten kann und Du bist unsicher, was Ransomware anrichten könnte, die auf einem Privatgerät oder einem Firmengerät läuft.

Das betitelst Du dann als "Frage zur allgemeinen Netzwerksicherheit" und schon kannst Du dir sicher sein, dass es erstmal jeder liest, der auch nur ansatzweise Lust hat, sein Sicherheitswissen zu teilen Nimm lieber einen Aspekt zur Zeit in eine Frage und dann kannst Du auch einen besseren Titel finden.

Ein sicheres Netz sollte so eingerichtet werden, dass Privatgeräte nicht zum Netzwerkzugriff genutzt werden können.
Wenn Du den Domänennutzern erlaubst, sich überall zu authentifizieren, dann ist das nicht gewährleistet.
->Finde raus, wie Du sicherstellst, dass es eine Rolle spielt, wo sich jemand authentifiziert. Die Grundeinstellungen der Anmeldeberechtigungen für Domänenbenutzer ("jeder darf sich überall anmelden") sind nicht die sicherste Option.

Du fragst weiter "angenommen mein Rechner ist mit einem Verschlüsselungstrojaner infiziert, verschlüsselt der Trojaner doch nur "alle" Netzlaufwerke die für mich freigegeben sind, richtig?"
Der Schädling läuft mit den Rechten des Benutzers, der ihn gestartet hat. Wenn Du mit "für mich freigegeben" Freigaben meinst, auf die Du Schreibrechte hast - klar, dann kann er dort verschlüsseln, wenn Du selbst ihn gestartet hast - sonst nicht. Hast Du auf den Freigaben nur Leserechte, dann auch nicht und auf das Cheflaufwerk hast Du eh keine Rechte.

Wenn jemand mit seinem verseuchten Privatgerät kommt, und es einfach nur einstöpselt, bzw. nur das WLAN nutzt, würde zunächst überhaupt nichts passieren. Ein dort aktiver Schädling würde vielleicht versuchen, Freigaben zu finden, auf die anonym geschrieben werden kann, aber solche gibt es in einer Domäne per se gar nicht, es sei denn, das Netzwerk ist bewusst so eingestellt worden (wozu sollte es?). Der Zugriff für Gruppe "jeder" bedeutet in einer Domäne eben nicht, "jeder weltweit".

Auch können Schädlinge Serverdienste auf Schwachstellen prüfen. Beispiel: Du hast einen Windows-Fileserver und dein Schädling hofft, dass dessen Serverdienst ungepatcht ist und er sich so Rechte auf dem Server verschaffen kann. Das wird unnötig begünstigt, wenn Du am Fileserver zulässt, dass der Zugriff auf den Port des Dienstes für alle IPs möglich ist - sollte man nicht tun. Die Windowsfirewall macht es möglich, da nur (Kerberos-) authentifizierte Geräte ranzulassen, also z.B. nur Domännrechner oder gar nur Domänenrechner aus Gruppe "Zugriff Fileserver X".
Bitte warten ..
Mitglied: aqui
22.02.2020, aktualisiert um 15:27 Uhr
Sehr richtiger und fundierter Einwand zu diesem vielschichtigen Thema. Man kann es eben nicht einfach nur auf "Azubi Ebene" betrachten...
Ein dort aktiver Schädling würde vielleicht versuchen, Freigaben zu finden, auf die anonym geschrieben werden kann
Aber das machen doch ausnahmslos alle diese Trojaner um sich aktiv zu verbreiten !
aber solche gibt es in einer Domäne per se gar nicht
Aber wenn andere ihre Privatrechner oder Endgeräte mitbringen sind die dann in jedem Falle Opfer. Auch falsch oder fehlerhaft konfigurierte Server.
Die Zugriffs Steuerung muss also de facto schon am Netzwerk Port passieren und dabei führt heutzutage kein Weg an 802.1x vorbei. Ob man das mit Zertifikaten, User/Pass oder Mac Passthrough nutzt ist erstmal zweitrangig. Nur das man es tut ist essentiell um eine erste sehr hohe Hürde zu errichten !
Na ja die Apple Und Linux Nutzer im Netz feixen sich so oder so einen über die immerwährenden Winblows Opfer bei sowas...
Bitte warten ..
Mitglied: Penny.Cilin
22.02.2020 um 15:40 Uhr
Hallo AbstrackterSystemimperator,

um es kurz zusammenzufassen, das nennt man NAP (Microsoft Network Access Protection basierend auf NPS (Network Policcy Services)) bzw. NAC (Network Acess Control).

Gruss Penny.
Bitte warten ..
Mitglied: tikayevent
22.02.2020 um 15:45 Uhr
Zitat von Penny.Cilin:

Hallo AbstrackterSystemimperator,

um es kurz zusammenzufassen, das nennt man NAP (Microsoft Network Access Protection basierend auf NPS (Network Policcy Services)) bzw. NAC (Network Acess Control).

Gruss Penny.

Wobei man erwähnen sollte, dass NAP mit Server 2016 rausgeflogen ist.
Bitte warten ..
Mitglied: focus100
22.02.2020 um 15:58 Uhr
Die sicherheit finde ich auch immer sehr wichtig. Bin da auch immer sehr vorsichtig, wie man das so umstellen kann.
Und sich ins wifi netz anmelden.
Bitte warten ..
Mitglied: tikayevent
22.02.2020 um 16:17 Uhr
Im WLAN wird ja laut dem TO ja eine WPA-Enterprise-Variante genutzt. Nur bringt die nichts, wenn man auf Benutzerebene autentifiziert und der Benutzer entsprechend berechtigt ist. Daher läuft es bei uns bei den meisten Geräten auf Computerebene.
Bitte warten ..
Mitglied: AbstrackterSystemimperator
07.03.2020 um 12:59 Uhr
Hallo zusammen,

pardon für die verspäteten Rückmeldungen meinerseits.

Vielen Dank für die starken Info's. Nach meinen Abschlussprüfungen werde ich das ganze Thema mit meinem Betrieb nochmal in Ruhe angehen

Das Thema hat sich also erledigt.

LG
AS
Bitte warten ..
Ähnliche Inhalte
Netzwerkmanagement
GPO ändern (Netzwerksicherheit)
Frage von alexlazaNetzwerkmanagement4 Kommentare

Hallo, die Gpo`s wurden von unseren ehemaligen Mitarbeiter erstellt und mir ist nicht ganz ersichtlich wo er die Einschränkung ...

Sicherheit
Allgemein VPN Fragen
gelöst Frage von Michel94Sicherheit3 Kommentare

Hallo, ich habe mich schon bei Google und auch hier in der Suche umgeschaut konnte aber nicht so richtig ...

Datenschutz

Handysuche zurückverfolgen Datenschutz allgemein

Frage von 129463Datenschutz6 Kommentare

Hi, ich habe vor ca. vier Jahren eine Suche per iPhone auf Google gemacht - diese Eingabe war leider ...

Windows Server

Infrastrukturrobustheit: NTP in domain + allgemein

gelöst Frage von NetzwerkDudeWindows Server6 Kommentare

Moin, Der klassiche Aufbau von einer Domain zeitsync ist wohl das der PDC / FSMO zu einer (bzw. mehreren) ...

Neue Wissensbeiträge
Microsoft

Support of DANE and DNSSEC in Office 365 Exchange Online

Information von Dani vor 4 StundenMicrosoft

Guten Abend zusammen, Microsoft is committed to providing world-class email security solutions and the support for the latest Internet ...

Off Topic

5G und Corona - schwachsinnige Verschwörungstheroretiker

Information von brammer vor 15 StundenOff Topic6 Kommentare

Hallo, das man Verschwörungstheoretikern nicht mit Logik und stichhaltigen Argumenten beikomme kann ist ja leider ein weit verbreitetes Phänomen. ...

Informationsdienste

Leistungsschutzrecht: Ein neuer Diskussionsentwurf liegt vor

Information von Frank vor 2 TagenInformationsdienste12 Kommentare

Anfang April (leider kein Scherz) hat das Bundesjustizministerium den nächsten ausformulierten Referentenentwurf für ein "erstes Gesetz zur Anpassung des ...

Instant Messaging

Videokonferenz oder Chatsystem für das Homeoffice

Information von Frank vor 3 TagenInstant Messaging6 Kommentare

Ich hatte es bereits in einem Kommentar gepostet, da ich aber viele Nachfragen dazu bekam, hier noch mal meine ...

Heiß diskutierte Inhalte
Schulung & Training
IT-Bedarf ermitteln
Frage von malikaSchulung & Training17 Kommentare

Hallo zusammen, ich würde gerne Eure Kritik oder Ratschläge zum Ermitteln des IT-Bedarfs für ein Steuerbüro (2 Steuerberater, 1 ...

Netzwerke
Frage zu VoIP-VLAN und
Frage von darkness08Netzwerke11 Kommentare

Hallo, in einem anderen Beitrag hatte ich gefragt, wie ich UDP bzw. RTP in ein anderes VLAN Route. Dazu ...

Windows Server
RDS CAL Device CAL vs User CAL
gelöst Frage von ImmenburgWindows Server10 Kommentare

Hallo zusammen, wir wollen einen neuen Windows Terminalserver aufsetzen (lassen) und stellen uns nun die Frage, welche RDS Cals ...

Windows Server
SBS2003 Migrieren auf MS W2K16 DC - ohne SBS nicht lauffähig!
Frage von kaineanungWindows Server9 Kommentare

Hallo Leute, ich habe da mal wieder ein Problem: Ich habe die Aufgabe bekommen von unserem kleinen Tochterunternehmen die ...