lcer00
Goto Top

Wohin geht es? Windows 10 Defender oder Drittanbieter-Lösung

Hallo zusammen,

derzeit überdenke ich mein Firewall-Konzept. Es soll sich in Richtung Endpoint/Zero-Trust bewegen - wobei reines und sauberes Zero-Trust wegen den Unzulänglichkeiten der Anwendungssoftware nicht realisiserbar sein wird. Momentan setze ich ESET Endpoint auf den Clients ein. Die Router sind OPNSenses mit aktiviertem IDS und sagen wir groben Firewallregeln. ESET wertet die Windows-Firewallregeln aus und ergänzt diese um weitere Regeln und diverse IDS Features.

Für die Windows-Clients habe ich jetzt begonnen, die Windows-Firewallregeln auf Regeln mit Verwendung von Verbindungssicherheitsregeln umzustellen, so dass ich für jeden Dienst über Sicherheitsgruppen steuern kann, wer von wo drauf zugreifen kann. Allerdings verkompliziert das auch die Fehlersuche. Eine Verbindung muss letztlich von beiden Verbindungspartnern (dort jeweils Defender-Firewall & ESET = 2x2 Fehlerquellen) sowie von der OPNSense Firewall erlaubt sein.

Jetzt stellt sich die Frage - wohin geht es weiter. Microsoft erhöht die Preise, hat aber gerade im Bereich Defender erheblich aufgerüstet. In Verbindung mit Azure ist da einiges machbar. Preislich ist ESET da allerdings eindeutig überlegen (billiger face-smile ). Ich sehe hier verschiedene Optionen und würde gerne Eure Meinung hören:
  • weiter bei (ESET) Endpoint-AV+Firewall bleiben.
  • ESET AV weiter verwenden, den Endpunkt-Schutz aber über die eingebaute Windows-Firewall regeln, ergänzt um Defender-Funktionen
  • komplett auf Defender umsteigen, ggf. auch alle Kisten auf Windows 10 Enterprise und Azure basiertes ATP
  • auf so ein UTMdings umsteigen, z.B. Sophos mit Sophos Endpoint-Firewall

Und nein, ich möchte nicht wissen, dass Microsoft kein Deutsches Unternehmen ist... Azure ist für mich OK. Ich muss mich aber irgenwann für eine Richtung entscheiden. Im Antivirusbereich steht Defender ja schon länger gar nicht so schlecht da.

Grüße

lcer

Content-ID: 1518692442

Url: https://administrator.de/contentid/1518692442

Ausgedruckt am: 04.11.2024 um 18:11 Uhr

Looser27
Looser27 17.11.2021 um 10:56:54 Uhr
Goto Top
Moin,

es kommt ganz auf das Szenario an. Wenn Du mit der derzeitigen Lösung auch mittel- bis langfristig noch klarkommst (gerade im Hinblick auf administrativen Aufwand), würde ich die Lösung so weiter betreiben und ggf. die OPNSense noch verfeinern (Regelwerk noch feiner einstellen).

Wir betreiben unser System ähnlich, jedoch mit einer UTM und TrendMicro WFBS.

Gruß

Looser
aqui
aqui 17.11.2021 um 10:58:08 Uhr
Goto Top
lcer00
lcer00 17.11.2021 um 11:07:07 Uhr
Goto Top
Hallo,
... in Bezug auf Antivirussoftware. Wobei da auch die Argumente "Defender als attraktives Expoilt-Ziel" und Supply-Chain-Angriffe bei Drittanbietern kommen.

Mich interessiert aber auch vor allem der Firewall-Aspekt - also Endpoint-Solution mit Antivirus-Scanner und Endpoint Firewall/IDS.

Grüße

lcer
Coreknabe
Coreknabe 17.11.2021 um 14:04:37 Uhr
Goto Top
Moin,

wenn Du eh schon ins obere Regal greifst, der Standardvirenscanner ist so ziemlich out, da idR keine Verhaltensanalyse erfolgt.

Wir sind gerade von Sophos Endpoint auf Intercept X gewechselt und bereuen das bisher nicht. Klar, Preis ist nicht ohne, aber wenn Du auch überlegst, eine Sophos UTM anzuschaffen, lassen sich beide Produkte bestens vernetzen.

Grüße
St-Andreas
St-Andreas 17.11.2021 um 14:08:46 Uhr
Goto Top
Ich finde das Management in ESET wesentlich besser als im Defender, ausserdem kann ich den ESET tatsächlich noch auf relativ alten Kisten mitlaufen lassen.
Der Support von ESET ist um längen besser als der von MS und ich bin im Betrieb unabhängig von MS.
em-pie
Lösung em-pie 17.11.2021 um 14:31:26 Uhr
Goto Top
Moin,

Zitat von @Coreknabe:
Wir sind gerade von Sophos Endpoint auf Intercept X gewechselt und bereuen das bisher nicht. Klar, Preis ist nicht ohne, aber wenn Du auch überlegst, eine Sophos UTM anzuschaffen, lassen sich beide Produkte bestens vernetzen.

Das ist auch gerade unsere Überlegung.
Das Zusammenspiel zwischen Endgerät und Firewall ist ziemlich attraktiv. Wobei man ehrlicherweise auch sagen muss: Ist die Firewall (UTM-Appliance) kompromittiert, ist der Client sicherlich auch als "nicht mehr sicher" zu betrachten, was bei getrennten Lösungen anders aussähe...
St-Andreas
St-Andreas 17.11.2021 um 14:35:18 Uhr
Goto Top
Der Support bei Sophos ist inzwischen eine totale Katastrophe. Support über die Distribution ist auch nur begrenzt in der Lage zu reagieren und wenn die das an Sophos selbst eskalieren, dann ist Feierabend.

Bei getrennten Lösungen hast Du aber auch wesentlich mehr Angriffsvektoren.
beidermachtvongreyscull
beidermachtvongreyscull 17.11.2021 um 14:53:52 Uhr
Goto Top
Zitat von @lcer00:
Hallo zusammen,
Mahlzeit!

Zitat von @lcer00:
derzeit überdenke ich mein Firewall-Konzept. Es soll sich in Richtung Endpoint/Zero-Trust bewegen - wobei reines und sauberes Zero-Trust wegen den Unzulänglichkeiten der Anwendungssoftware nicht realisiserbar sein wird. Momentan setze ich ESET Endpoint auf den Clients ein. Die Router sind OPNSenses mit aktiviertem IDS und sagen wir groben Firewallregeln. ESET wertet die Windows-Firewallregeln aus und ergänzt diese um weitere Regeln und diverse IDS Features.

Ich mag selbstgebautes sehr, vor allem Opensource. Allerdings setze ich an unserer "Haustür zum Internet" eine Sophos UTM9 ein und bin echt zufrieden damit.

Zitat von @lcer00:
Für die Windows-Clients habe ich jetzt begonnen, die Windows-Firewallregeln auf Regeln mit Verwendung von Verbindungssicherheitsregeln umzustellen, so dass ich für jeden Dienst über Sicherheitsgruppen steuern kann, wer von wo drauf zugreifen kann. Allerdings verkompliziert das auch die Fehlersuche. Eine Verbindung muss letztlich von beiden Verbindungspartnern (dort jeweils Defender-Firewall & ESET = 2x2 Fehlerquellen) sowie von der OPNSense Firewall erlaubt sein.

Die Windows-Firewall wird bei mir im Standard konfiguriert. Domänen-Profil aus, alles andere an.

Zitat von @lcer00:
Jetzt stellt sich die Frage - wohin geht es weiter. Microsoft erhöht die Preise, hat aber gerade im Bereich Defender erheblich aufgerüstet. In Verbindung mit Azure ist da einiges machbar. Preislich ist ESET da allerdings eindeutig überlegen (billiger face-smile ). Ich sehe hier verschiedene Optionen und würde gerne Eure Meinung hören:
  • weiter bei (ESET) Endpoint-AV+Firewall bleiben.
  • ESET AV weiter verwenden, den Endpunkt-Schutz aber über die eingebaute Windows-Firewall regeln, ergänzt um Defender-Funktionen
  • komplett auf Defender umsteigen, ggf. auch alle Kisten auf Windows 10 Enterprise und Azure basiertes ATP
  • auf so ein UTMdings umsteigen, z.B. Sophos mit Sophos Endpoint-Firewall

Und nein, ich möchte nicht wissen, dass Microsoft kein Deutsches Unternehmen ist... Azure ist für mich OK. Ich muss mich aber irgenwann für eine Richtung entscheiden. Im Antivirusbereich steht Defender ja schon länger gar nicht so schlecht da.

Ich benutze an den Clients zwei Dinge:
  • Windows Defender
  • gut und regelmäßig geschulte und gebriefte Nutzer


Zitat von @lcer00:
Grüße
lcer

Gruß
bdmvg
Coreknabe
Coreknabe 17.11.2021 um 14:56:27 Uhr
Goto Top
Zitat von @em-pie:

Moin,

Zitat von @Coreknabe:
Wir sind gerade von Sophos Endpoint auf Intercept X gewechselt und bereuen das bisher nicht. Klar, Preis ist nicht ohne, aber wenn Du auch überlegst, eine Sophos UTM anzuschaffen, lassen sich beide Produkte bestens vernetzen.

Das ist auch gerade unsere Überlegung.
Das Zusammenspiel zwischen Endgerät und Firewall ist ziemlich attraktiv. Wobei man ehrlicherweise auch sagen muss: Ist die Firewall (UTM-Appliance) kompromittiert, ist der Client sicherlich auch als "nicht mehr sicher" zu betrachten, was bei getrennten Lösungen anders aussähe...

Korrekt, aber letztlich ist das kein Argument, da der Angriffsvektor eher selten Sophos sein dürfte, wenn es sich nicht um einen maßgeschneiderten Angriff handelt. Insofern könnte ich auch sagen: Wenn Dein Domänencontroller / Exchange kompromittiert ist, nützt Dir die Firewall auch nur noch begrenzt.


Zitat von @St-Andreas:

Der Support bei Sophos ist inzwischen eine totale Katastrophe. Support über die Distribution ist auch nur begrenzt in der Lage zu reagieren und wenn die das an Sophos selbst eskalieren, dann ist Feierabend.

Bei getrennten Lösungen hast Du aber auch wesentlich mehr Angriffsvektoren.

Kommt drauf an, was Du beim Support erwartest face-smile Die Pillepalle-Probleme, die wir bisher hatten, hat der Support schnell und ordentlich erledigt. Aufgrund der Komplexität sollte man aber bei größeren Problemen keine all zu schnelle / kompetente Hilfe erwarten, da kriegste wahrscheinlich nur die Standard-Supporter in der ersten Frontlinie. Ich kann hier nur für die AV-Lösung sprechen, aber nicht umsonst propagieren die ihr Incident Response-Team, das höchstwahrscheinlich entsprechend Löcher in Dein Budget reißt.

Was die Angriffsvektoren angeht, wiederhole ich mich gern, in der Regel sind Läden wie wir Opfer von Streubomben, da werden Lücken genutzt, die entsprechend verbreitet sind --> Monokultur. Für gezielte Angriffe mit Ausspähen der Umgebung bedarf es mehr Vorbereitung und Arbeit. Und wenn es so weit ist, hast Du eh keine Chance mehr: Wenn die unbedingt bei Dir rein wollen, kommen die auch rein...

Grüße
St-Andreas
Lösung St-Andreas 17.11.2021 um 15:11:16 Uhr
Goto Top
Ich erwarte, dass nachvollziehbare Probleme gefixt werden und mir nicht 4 Wochen lang immer wieder andere Supporter die selben Anweisungen schicken. Krünung sind dann Aussagen "das wird nicht behoben, das läuft in der XG stellen Sie also um"
Wir haben (noch) Sophos in einigen nicht ganz trivialen Umgebungen laufen.

Grundsätzlich ist Sophos genauso sicher/unsicher wie jedes andere Produkt.
https://www.cvedetails.com/cve/CVE-2020-25223/
farddwalling
Lösung farddwalling 17.11.2021 um 20:08:08 Uhr
Goto Top
Interessante Diskussion.

Wir hatten heute eine Demo der Palo Alto mit Panorama zur zentralen Verwaltung unserer 3 Standorte. Bei Palo gibt es auch den Cortex XDR Endpoint Schutz.

Sophos hat mich prinzipiell bei der Vorstellung und der synchronized Security auch abgeholt, aber sie Sophos XG Home zerstört gerade wieder alles.

Jetzt schauen wir uns noch Fortigate an.

Als Endpoint Schutz testen wir parallel gerade noch Emsisoft in der Enterprise Version.

Aktuell im Einsatz sind ein paar pfSense und als Endpoint TrendMicro Smart Complete.
Dani
Lösung Dani 17.11.2021 um 20:17:11 Uhr
Goto Top
Moin,
wir setzen mit der Umstellung auf Windows 10 im Clientbereich vollumfänglich auf die Windows Defender Serie (Malware, Antivirus, Firewall, etc.) Das Ganze wird über Aaagon ACMP entsprechend konfiguriert, überwacht. So auch ab kommendes Jahr im Serverbereich. Alle notwendigen Regeln werden für mehrere oder einzelnen Clients seitens IT konfiguriert. Manuelle Änderungen an den Richtlinien, lokal ist nicht mehr möglich. Evtl. Standardregeln werden gehärtet und für unser Netzwerk angepasst. Bestes Beispiel sind SMB und RDP Standardregeln.

Die Übergänge zwischen Subnetzen und Sicherheitszonen setzen wir natürlich zwei verschiedene Firewall Produkte mit unterschiedlichen Engines ein. Einfach klassisch wie es seit Jahren empfohlen wird.


Gruß,
Dani
Coreknabe
Lösung Coreknabe 18.11.2021 um 08:55:56 Uhr
Goto Top
@St-Andreas
@farddwalling

Mag sein, dass die Firewall aktuell eine Sache für sich ist. Ich habe mit einem unserer Dienstleister gesprochen, nachdem Sophos uns vor einigen Monaten mit Lockangeboten bombardiert hat (kostenlose Hardware, Extrarabatte für die Lizenz). Wir sind aktuell bei Barracuda und dort auch sehr zufrieden. Jedenfalls hat der Dienstleister mir hinter vorgehaltener Hand erzählt, dass es da gerade einige Probleme im Firewall-Bereich bei Sophos gibt. Neue Modelle, Funktionen sind versprochen, aber noch nicht verfügbar, Bugproblematik. Hinzu käme der Umsatzdruck, was auch die sophoseigenen Techniker verzweifeln lässt. Aber dies nur vom Hörensagen, ich habe nie ernsthaft einen Umstieg erwogen.
Mit der Intercept X-Lösung sind wir absolut zufrieden. Bei Defender wäre ein Knackpunkt für mich die zentrale Verwaltung. Wie @Dani schon schreibt, gibt es da die Lösung von Aagon. Aber dafür wieder ein Extraprodukt, nun ja...

Grüße
lcer00
lcer00 18.11.2021 um 09:44:53 Uhr
Goto Top
Hallo,

erst mal danke an alle. Es gibt offenbar ganz verschiedene Ansätze.

@Dani Danke für den Hinweis mit der zentralen Verwaltung. Klingt interessant. SCCM ist für uns immer etwas überdimenensioniert gewesen. Vielleicht passt das. Die alternativen Ansätze von Microsoft (Azure und Windows Admin Center) haben mich jedenfalls bisher nicht überzeugt.

Das Zusammenführen von Daten zur Mustererkennung ist halt eine attraktive Sache. Die Frage, ob man Perimeterfirewall und Endpoint-Firewall direkt zusammenführen sollte (wie bspw. bei Sophos) habe ich mir auch schon länger gestellt. Momentan sehe ich ich für unseren Einsatz die relevante Sicherheitsbarriere eher am Endpoint (PC bzw. Server) - auch in Anbetracht von Mobilen Geräten und wechselnden Benutzern und Rollen.

Nebenbei: Die Frage, ob man besser alle Server in eine Domäne einbindet und zentral verwaltet, oder ob man aus Sicherheitsgründen besser bestimmte Server außerhalb der Domäne belässt, um einer "Komplettübernahme" vorzubeugen, ist ja ähnlich gelagert. Microsoft beantwortet das ja schon länger so, dass bei zentral verwalteten System weniger Konfigurationsfehler entstehen - und das den Sicherheitsgewinn durch entkoppelte Systeme in den Hintergrund treten lässt.

@Coreknabe zum Extraprodukt: Momentan habe ich
  • ESET, zentral verwaltet
  • Defender Firewall + AV ist eh dabei
  • Perimeterfirewall

dann hätte man:
  • Verwaltungssoftware
  • Defender Firewall + AV
  • Perimeterfirewall

Damit könnte ich leben. Na mal sehen wie das weiter geht.

Grüße

lcer
Dani
Dani 23.11.2021 aktualisiert um 20:14:19 Uhr
Goto Top
@Coreknabe
Wie @Dani schon schreibt, gibt es da die Lösung von Aagon. Aber dafür wieder ein Extraprodukt, nun ja...
Das hängt davon ab, was für UEM eingesetzt wird. Wir nutzen bereits andere Module von Aaagon und ist daher ein Synergieeffekt für uns. Was ich damit sagen möchte, man muss eben auch über den Tellerrand schauen.

@lcer00
Klingt interessant. SCCM ist für uns immer etwas überdimenensioniert gewesen. Vielleicht passt das. Die alternativen Ansätze von Microsoft (Azure und Windows Admin Center) haben mich jedenfalls bisher nicht überzeugt.
In der Tat hat löst ACMP bei uns SCCM, Intune und Matrix42 ab. Ist schlussendlich bei uns nicht eine Funktionsentscheidung sondern ein Preis/Leistungsthema. Die Kollegen aus dem Client Management haben am Anfang die Hände über dem Kopf zusammengeschlagen. Aber wir sind auf der Zielgeraden und inzwischen sind alle Happy. face-smile

Nebenbei: Die Frage, ob man besser alle Server in eine Domäne einbindet und zentral verwaltet, oder ob man aus Sicherheitsgründen besser bestimmte Server außerhalb der Domäne belässt, um einer "Komplettübernahme" vorzubeugen, ist ja ähnlich gelagert
Ist aus meiner Sicht ein schlechter Vergleich. Denn die Domäne darf und soll heute kein Argument sein. Es sind doch alle grundlegenden Tools (Bitlocker, AppLocker, Windows Defender, PAW/SAW, etc.) enthalten. Es darf eben einer sicheren Konfiguration. Da führt kein Weg mehr an einer Härtung von Server, unabhängig von Diensten/Services und Anwendungen vorbei. Wobei es nicht immer gleich ein Enhanced Security Admin Environment sein muss.


Gruß,
Dani
lcer00
lcer00 13.01.2022 um 11:49:52 Uhr
Goto Top
Hallo zusammen,

kurzes Feedback:

Wir haben ACMP erfolgreich getestet und implementieren es jetzt. Allerdings hauptsächlich für Clientverwaltung und Updatemanagement.

Die Umstellung auf Microsoft Defender erfolgt eventuell später, momentan laufen unsere ESET-Lizenzen noch.

Acronis setze ich weiter zur Sicherung ein, wenn die ihren Schwerpunkt aber noch mehr in Richtung Cloud, Clientverwaltung und Malwareabwehr verändern, stehen die auf der Abschußliste.

Grüße

lcer