celiko
Goto Top

Win10,11 Isolierung nach Infizierung

Moin,

in unserer Firma ist das Thema Sicherheit dieses Jahr stark im Fokus. Thema Client Isolierung ist jetzt präsent. Bedeutet: Client hat einen Virus und soll isoliert werden von der gesamten Infrastruktur.

Nach einigen Überlegungen meinerseits wollte ich euch fragen ob ihr euch schon mal über folgende Themen Gedanken gemacht habt / bereits eine Lösung einsetzt:
1. Client ist infiziert. Wie kann der isoliert werden?
Beispiel powershell Aktion: Firewall dicht machen, vpn löschen, host Datei nur noch dedizierte dns erlauben, nur noch gewisse routen erlauben, dns proxy? , Windows anmeldeinformationen löschen, Browser Daten löschen, cached Kerberos Tickets löschen, Laufwerke trennen, Unternehmens Programme schließen und starten von Programmen verbieten...? Wie wird das script getriggered. Gibt es alternative Lösungen? Evtl. Weitere Punkte die wichtig sein könnten?

2. Wir haben bspw webapps. Theoretisch könnte lediglich diese Adresse in der host Datei und Firewall freigegeben sein, um weiterhin in einer sauberen Umgebung zu arbeiten. Macht das Sinn? Mir fällt zumindest nichts ein was dagegen spricht.

3. Client isoliert. Und jetzt?
Remote powershell geht ja nicht mehr wenn der Client vollständig isoliert ist. Viele unserer Kollegen arbeiten von zuhause. Wie kann der Client analysiert und bereinigt werden?
Sollte in jedem Fall eine Neuinstallation erfolgen?

Wir nutzen den arctic wolf agent der viele Schädlinge erkennt und selbst eine light Isolierung vornimmt. Aber um ganz sicher zu gehen wollen wir eine eigene Lösung haben um das genauer steuern zu können. Vertrauen ist gut, Kontrolle ist besser.

Wäre happy über eure Erfahrungen / Gedanken über dieses Thema.

Vg
Celiko

Content-ID: 6857023374

Url: https://administrator.de/forum/win10-11-isolierung-nach-infizierung-6857023374.html

Ausgedruckt am: 22.12.2024 um 07:12 Uhr

maretz
maretz 21.04.2023 um 05:06:01 Uhr
Goto Top
Moin,

zum 2ten Punkt: Wenn auf dem Client irgendwas drauf ist was da nich hingehört (und du das eben bereits bemerkt hast) willst du dem Rechner trotzdem irgendwelche Webapps erlauben? Was also bedeutet das die Person davor fröhlich munter alle Passwörter zum Login ggf. direkt in nen Keylogger gibt? Das ggf. Kundendaten, Konto-Infos, ... (also Stammdaten der Kunden) ggf. direkt mitgespeichert werden?

Also ich wüsste schon was dagegen spricht...
magicteddy
magicteddy 21.04.2023 aktualisiert um 06:46:42 Uhr
Goto Top
Moin,

einer Kiste die kompromittiert ist kann man nicht mal mehr die angezeigte Uhrzeit glauben, sie ist nicht mehr vertrauenswürdig! Netzwerkport im Switch deaktivieren und Kiste neu aufsetzen, Netzwerk reaktivieren.

Imho kannst du dir jede Aktion auf der verseuchten Kiste schenken, Du weißt ja nicht ob Deine Aktionen greifen oder ob nur angezeigt wird das sie greifen...

Ob Du dir, zu Beweiszwecken, vorher noch ein Abbild der HD ziehst oder die HD mit Warnaufkleber in den Tresor legst musst Du bzw. die Geschäftsleitung entscheiden.
MysticFoxDE
MysticFoxDE 21.04.2023 aktualisiert um 06:46:26 Uhr
Goto Top
Moin @Celiko,

Nach einigen Überlegungen meinerseits wollte ich euch fragen ob ihr euch schon mal über folgende Themen Gedanken gemacht habt / bereits eine Lösung einsetzt.

Ja / Ja.

Schau dir mal zu dem Thema das folgende mal an ...

https://www.sophos.com/de-de/content/synchronized-security
https://techvids.sophos.com/watch/1oPK5h5UNY3D9XvpwMJDLX

funktioniert ganz gut und vor allem absolut vollautomatisch (wenn es korrekt eingerichtet wurde). 😁

Beste Grüsse aus BaWü
Alex
chiefteddy
chiefteddy 21.04.2023 um 06:53:39 Uhr
Goto Top
Hallo,
habe ich auch im Einsatz: Sophos XGS als Firewall mit Endpoint Security und Hardbeat.
Tut was es soll, bin zufrieden.

Jürgen
Starmanager
Starmanager 21.04.2023 um 08:28:21 Uhr
Goto Top
Bei Virenbefall die Kiste auf jedem Fall vom Netzwerk und Strom trennen. USB Sticks und FunkTastaturen und Maeuse gleich wegnehmen. Keine Uebungen mit irgendwelchen Tools durchfuehren. Wenn es dumm laeuft ist auch das Bios kompromitiert und eine Neuinstallation kann unter Umstaenden auch nicht die Sicherheit wieder zurueckbringen.
Lochkartenstanzer
Lochkartenstanzer 21.04.2023 um 09:39:18 Uhr
Goto Top
Moin,

Bei Feststellen einer Infektion sofort "Stecker" ziehen, d.h. heißt am switch oder AP trennen/deaktivieren. Image für forensische Zwecke ziehen und Kiste neu aufsetzen alles andere ist Quatsch, bzw. erhöht das Risiko, eine Epidemie zu starten.

Wenn Mitarbeiter weiterarbeiten müssen, muß man halt Ersatzrechner vorhalten, die man auf die Schnelle anwerfen kann.

lks
mayho33
mayho33 21.04.2023 um 10:16:45 Uhr
Goto Top
Hi,

Egal welche Bedrohung es ist, isolieren bedeutet komplett abschotten. Also eine Gefängnis-OU in die der Client geschoben wird. Man kennt die Bedrohung ja nicht und was schon alles betroffen ist.

Den User noch online lassen würde ich auch nicht. Der hätte sicher Sendepause und müsste in die Niederlassung kommen.

Ich würde das Gerät komplett bügeln (löschen und neu aufsetzen) und nur eine vorige Datensicherung einspielen. PDF, Docx usw. sind prädestiniert dafür Teile von "Parasiten" unterzujubeln die sich dann selbst wieder zusammenbauen.

Grüße
Doskias
Doskias 21.04.2023 um 11:52:09 Uhr
Goto Top
Moin

Ich bin fast zu 100% bei dir.

Zitat von @mayho33:
Egal welche Bedrohung es ist, isolieren bedeutet komplett abschotten. Also eine Gefängnis-OU in die der Client geschoben wird. Man kennt die Bedrohung ja nicht und was schon alles betroffen ist.
Wir nutzen an der Stell Sophos InterceptX. Der sperrt den kompletten Netzwerkverkehr. Es gibt dann wirklich nur noch eine einzige Verbindung, die funktioniert, wenn der Rechner isoliert ist und das ist der Port zwischen dem InterceptX und seinem Kontrollzentrum. nur über das Kontrollzentrum kann die Isolierung aufgehoben werden, daher braucht es diese Verbindung. Dennoch gilt bei uns: Wird der Rechner von Sophos isoliert, dann wird das Netzwerkkabel sofort entfernt. Wir Admins bekommen eine Mail, dann laufen wir los face-wink

Den User noch online lassen würde ich auch nicht. Der hätte sicher Sendepause und müsste in die Niederlassung kommen.
Sehe ich auch so, wobei hier meiner Meinung nach ein Designfehler vorliegen kann. Wir erlauben unseren Rechnern fürs Homeoffice genau 2 Dinge:
1. VPN-Verbindung aufbauen
2. RDP-Verbindung aufbauen

Mehr kann der Rechner nicht. Nicht mal zuhause drucken. Keine Daten kopieren, etc. sämtlicher anderer Verkehr wird auch nach Aufbau der VPN-Verbindung von der Firewall (Watchguard) geschluckt und blockiert. Und ja das Konzept Watchguard HW mit Sophos SW ist bewusst gewählt. Wird ein Homeoffice-Rechner isoliert, gibt es einen neuen.

Ich würde das Gerät komplett bügeln (löschen und neu aufsetzen) und nur eine vorige Datensicherung einspielen. PDF, Docx usw. sind prädestiniert dafür Teile von "Parasiten" unterzujubeln die sich dann selbst wieder zusammenbauen.
Da ist der Punkt, wo ich dir widerspreche. Wir reden hier von Windows 10/11 Clients. Da wird kein Backup eingespielt, die werden sauber neu installiert. Du weißt nicht seit wann das Backup kompromittiert ist. Auf dem Client gehört nichts wichtiges. Das liegt alles auf den Servern. Also Client löschen, neu installieren. Wenn HW-Kompromittierung zu erwarten ist, gleich wegwerfen. Keine Experimente im Punkto Sicherheit.

Gruß
Doskias
Kraemer
Kraemer 21.04.2023 um 12:20:41 Uhr
Goto Top
Zitat von @Lochkartenstanzer:

Moin,

Bei Feststellen einer Infektion sofort "Stecker" ziehen, d.h. heißt am switch oder AP trennen/deaktivieren. Image für forensische Zwecke ziehen und Kiste neu aufsetzen alles andere ist Quatsch, bzw. erhöht das Risiko, eine Epidemie zu starten.

Wenn Mitarbeiter weiterarbeiten müssen, muß man halt Ersatzrechner vorhalten, die man auf die Schnelle anwerfen kann.

lks

so isses richtig
Mr-Gustav
Mr-Gustav 21.04.2023 um 16:20:45 Uhr
Goto Top
Sehe ich genau so. Am Besten irgendwie mit einen NAC Koppeln was dann den LAN Port auf deaktiviert setzt und oder dann noch zusätzlich Benutzerkonto und Computerkonto sperren. Benutzerkonto sperren ja nach dem was es für Software war.
Client würde ich dann nicht mehr ins Netz lassen bis bereinigt.

Ich würde aber aus Forensischen Gründen die Platte nicht ÜBERSCHREIBEN sondern direkt tauschen. Dadurch werden dann keine Daten verändert oder sonstwas. So ist es die Orginale Platte face-smile Und ne SSD kostet auch nicht die Welt.

Das Orginal zu haben ist immer besser als eine Kopie des Orginals
DerMaddin
DerMaddin 21.04.2023 um 16:23:15 Uhr
Goto Top
Ich kann auch nur bisher gute Erfahrungen mit Sophos Firewall (XGS) und Endpoint Security berichten. Hatten schon einige Fälle wo der Client vom Rest des Netzwerks isoliert wurde bis auf eine Verbindung zum Sophos Central Server von wo man aus dann weitere Maßnahmen ergreifen kann. Ein physisches Trennen war nicht nötig. Das Schöne dabei ist, dass es auch mobil (Zuhause, auf Reisen etc.) funktioniert, solange eine Verbindung zum Internet besteht.

Dieses Feature möchte ich nicht mehr missen.
Celiko
Celiko 21.04.2023 um 19:54:16 Uhr
Goto Top
Vielen Dank an alle für eure feedbacks. Das hat schon mal mein Verständnis bzgl. Maßnahmen bei einer Infizierung bekräftigt die Platte auszutauschen und wirklich komplett zu isolieren und isoliert zu lassen.

Bzgl Sophos mache ich mich nochmal schlau. Ggfs bieten unsere on prem sonicwalls in unseren Standorten ähnliche Funktionen.

Unsere vpn Server stehen in Azure. Wir werden eine Software basierte Firewall von sonicwall aufbauen. Mal schauen was da möglich ist.

Ggfs mache ich mich noch schlau über weitere Software / scripte / Methoden um effektiv solche clients aus dem Verkehr zu ziehen.

Vielen dank an alle, hat mir sehr geholfen und mir gezeigt dass eine radikale Maßnahme notwendig ist um den Betrieb möglichst sicher zu halten.

Vg
Celiko
mayho33
mayho33 21.04.2023 um 23:31:03 Uhr
Goto Top
Zitat von @Doskias:
Da ist der Punkt, wo ich dir widerspreche. Wir reden hier von Windows 10/11 Clients. Da wird kein Backup eingespielt, die werden sauber neu installiert.
Das meinte ich mit "komplett bügeln".

Du weißt nicht seit wann das Backup kompromittiert ist. Auf dem Client gehört nichts wichtiges.
Na umso besser! Aber wie die Realität zeigt, hat der Oberboss immer das letzte Wort ...auf die eine oder andere Art. Ich habe es leider noch nie erlebt, dass nicht irgendjemand eine Ausnahme gebacken bekommt. 🤷‍♂️
MysticFoxDE
MysticFoxDE 22.04.2023 aktualisiert um 07:11:45 Uhr
Goto Top
Moin Zusammen,

wenn ein Rechner infiziert ist, dann muss dieser so schnell es geht vom Netz getrennt werden!
Ob das per NAC oder Sophos (Intercept + XGS) oder per Turnschuh geschieht, ist dabei recht irrelevant, hauptsächlich es geschieht ASAP.

Danach würde ich empfehlen, die Kiste mit einem "Win to GO" isoliert hochzufahren und mit FTK Imager ein forensisches Image von dieser zu erstellen.

Ein "Win to GO" Stick ist ratz fatz mit Rufus erstellt.
https://rufus.ie/de/

Und den FTK Imager bekommt man hier.
https://www.exterro.com/ftk-imager

Anschliessend sollte der Rechner (ohne jegliche Ausnahme) vollständig plattgemacht und neu installiert werden.

Wer sich forensisch an dem Image im Nachgang gerne austoben möchte, sollte mal ein Auge auf AUTOPSY werfen. 😉
https://www.autopsy.com/download/

Beste Grüsse aus BaWü
Alex