Wohin geht es? Windows 10 Defender oder Drittanbieter-Lösung
Hallo zusammen,
derzeit überdenke ich mein Firewall-Konzept. Es soll sich in Richtung Endpoint/Zero-Trust bewegen - wobei reines und sauberes Zero-Trust wegen den Unzulänglichkeiten der Anwendungssoftware nicht realisiserbar sein wird. Momentan setze ich ESET Endpoint auf den Clients ein. Die Router sind OPNSenses mit aktiviertem IDS und sagen wir groben Firewallregeln. ESET wertet die Windows-Firewallregeln aus und ergänzt diese um weitere Regeln und diverse IDS Features.
Für die Windows-Clients habe ich jetzt begonnen, die Windows-Firewallregeln auf Regeln mit Verwendung von Verbindungssicherheitsregeln umzustellen, so dass ich für jeden Dienst über Sicherheitsgruppen steuern kann, wer von wo drauf zugreifen kann. Allerdings verkompliziert das auch die Fehlersuche. Eine Verbindung muss letztlich von beiden Verbindungspartnern (dort jeweils Defender-Firewall & ESET = 2x2 Fehlerquellen) sowie von der OPNSense Firewall erlaubt sein.
Jetzt stellt sich die Frage - wohin geht es weiter. Microsoft erhöht die Preise, hat aber gerade im Bereich Defender erheblich aufgerüstet. In Verbindung mit Azure ist da einiges machbar. Preislich ist ESET da allerdings eindeutig überlegen (billiger ). Ich sehe hier verschiedene Optionen und würde gerne Eure Meinung hören:
Und nein, ich möchte nicht wissen, dass Microsoft kein Deutsches Unternehmen ist... Azure ist für mich OK. Ich muss mich aber irgenwann für eine Richtung entscheiden. Im Antivirusbereich steht Defender ja schon länger gar nicht so schlecht da.
Grüße
lcer
derzeit überdenke ich mein Firewall-Konzept. Es soll sich in Richtung Endpoint/Zero-Trust bewegen - wobei reines und sauberes Zero-Trust wegen den Unzulänglichkeiten der Anwendungssoftware nicht realisiserbar sein wird. Momentan setze ich ESET Endpoint auf den Clients ein. Die Router sind OPNSenses mit aktiviertem IDS und sagen wir groben Firewallregeln. ESET wertet die Windows-Firewallregeln aus und ergänzt diese um weitere Regeln und diverse IDS Features.
Für die Windows-Clients habe ich jetzt begonnen, die Windows-Firewallregeln auf Regeln mit Verwendung von Verbindungssicherheitsregeln umzustellen, so dass ich für jeden Dienst über Sicherheitsgruppen steuern kann, wer von wo drauf zugreifen kann. Allerdings verkompliziert das auch die Fehlersuche. Eine Verbindung muss letztlich von beiden Verbindungspartnern (dort jeweils Defender-Firewall & ESET = 2x2 Fehlerquellen) sowie von der OPNSense Firewall erlaubt sein.
Jetzt stellt sich die Frage - wohin geht es weiter. Microsoft erhöht die Preise, hat aber gerade im Bereich Defender erheblich aufgerüstet. In Verbindung mit Azure ist da einiges machbar. Preislich ist ESET da allerdings eindeutig überlegen (billiger ). Ich sehe hier verschiedene Optionen und würde gerne Eure Meinung hören:
- weiter bei (ESET) Endpoint-AV+Firewall bleiben.
- ESET AV weiter verwenden, den Endpunkt-Schutz aber über die eingebaute Windows-Firewall regeln, ergänzt um Defender-Funktionen
- komplett auf Defender umsteigen, ggf. auch alle Kisten auf Windows 10 Enterprise und Azure basiertes ATP
- auf so ein UTMdings umsteigen, z.B. Sophos mit Sophos Endpoint-Firewall
Und nein, ich möchte nicht wissen, dass Microsoft kein Deutsches Unternehmen ist... Azure ist für mich OK. Ich muss mich aber irgenwann für eine Richtung entscheiden. Im Antivirusbereich steht Defender ja schon länger gar nicht so schlecht da.
Grüße
lcer
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 1518692442
Url: https://administrator.de/contentid/1518692442
Ausgedruckt am: 04.11.2024 um 18:11 Uhr
16 Kommentare
Neuester Kommentar
Moin,
es kommt ganz auf das Szenario an. Wenn Du mit der derzeitigen Lösung auch mittel- bis langfristig noch klarkommst (gerade im Hinblick auf administrativen Aufwand), würde ich die Lösung so weiter betreiben und ggf. die OPNSense noch verfeinern (Regelwerk noch feiner einstellen).
Wir betreiben unser System ähnlich, jedoch mit einer UTM und TrendMicro WFBS.
Gruß
Looser
es kommt ganz auf das Szenario an. Wenn Du mit der derzeitigen Lösung auch mittel- bis langfristig noch klarkommst (gerade im Hinblick auf administrativen Aufwand), würde ich die Lösung so weiter betreiben und ggf. die OPNSense noch verfeinern (Regelwerk noch feiner einstellen).
Wir betreiben unser System ähnlich, jedoch mit einer UTM und TrendMicro WFBS.
Gruß
Looser
Moin,
wenn Du eh schon ins obere Regal greifst, der Standardvirenscanner ist so ziemlich out, da idR keine Verhaltensanalyse erfolgt.
Wir sind gerade von Sophos Endpoint auf Intercept X gewechselt und bereuen das bisher nicht. Klar, Preis ist nicht ohne, aber wenn Du auch überlegst, eine Sophos UTM anzuschaffen, lassen sich beide Produkte bestens vernetzen.
Grüße
wenn Du eh schon ins obere Regal greifst, der Standardvirenscanner ist so ziemlich out, da idR keine Verhaltensanalyse erfolgt.
Wir sind gerade von Sophos Endpoint auf Intercept X gewechselt und bereuen das bisher nicht. Klar, Preis ist nicht ohne, aber wenn Du auch überlegst, eine Sophos UTM anzuschaffen, lassen sich beide Produkte bestens vernetzen.
Grüße
Moin,
Das ist auch gerade unsere Überlegung.
Das Zusammenspiel zwischen Endgerät und Firewall ist ziemlich attraktiv. Wobei man ehrlicherweise auch sagen muss: Ist die Firewall (UTM-Appliance) kompromittiert, ist der Client sicherlich auch als "nicht mehr sicher" zu betrachten, was bei getrennten Lösungen anders aussähe...
Zitat von @Coreknabe:
Wir sind gerade von Sophos Endpoint auf Intercept X gewechselt und bereuen das bisher nicht. Klar, Preis ist nicht ohne, aber wenn Du auch überlegst, eine Sophos UTM anzuschaffen, lassen sich beide Produkte bestens vernetzen.
Wir sind gerade von Sophos Endpoint auf Intercept X gewechselt und bereuen das bisher nicht. Klar, Preis ist nicht ohne, aber wenn Du auch überlegst, eine Sophos UTM anzuschaffen, lassen sich beide Produkte bestens vernetzen.
Das ist auch gerade unsere Überlegung.
Das Zusammenspiel zwischen Endgerät und Firewall ist ziemlich attraktiv. Wobei man ehrlicherweise auch sagen muss: Ist die Firewall (UTM-Appliance) kompromittiert, ist der Client sicherlich auch als "nicht mehr sicher" zu betrachten, was bei getrennten Lösungen anders aussähe...
Mahlzeit!
Ich mag selbstgebautes sehr, vor allem Opensource. Allerdings setze ich an unserer "Haustür zum Internet" eine Sophos UTM9 ein und bin echt zufrieden damit.
Die Windows-Firewall wird bei mir im Standard konfiguriert. Domänen-Profil aus, alles andere an.
Ich benutze an den Clients zwei Dinge:
Gruß
bdmvg
Zitat von @lcer00:
derzeit überdenke ich mein Firewall-Konzept. Es soll sich in Richtung Endpoint/Zero-Trust bewegen - wobei reines und sauberes Zero-Trust wegen den Unzulänglichkeiten der Anwendungssoftware nicht realisiserbar sein wird. Momentan setze ich ESET Endpoint auf den Clients ein. Die Router sind OPNSenses mit aktiviertem IDS und sagen wir groben Firewallregeln. ESET wertet die Windows-Firewallregeln aus und ergänzt diese um weitere Regeln und diverse IDS Features.
derzeit überdenke ich mein Firewall-Konzept. Es soll sich in Richtung Endpoint/Zero-Trust bewegen - wobei reines und sauberes Zero-Trust wegen den Unzulänglichkeiten der Anwendungssoftware nicht realisiserbar sein wird. Momentan setze ich ESET Endpoint auf den Clients ein. Die Router sind OPNSenses mit aktiviertem IDS und sagen wir groben Firewallregeln. ESET wertet die Windows-Firewallregeln aus und ergänzt diese um weitere Regeln und diverse IDS Features.
Ich mag selbstgebautes sehr, vor allem Opensource. Allerdings setze ich an unserer "Haustür zum Internet" eine Sophos UTM9 ein und bin echt zufrieden damit.
Zitat von @lcer00:
Für die Windows-Clients habe ich jetzt begonnen, die Windows-Firewallregeln auf Regeln mit Verwendung von Verbindungssicherheitsregeln umzustellen, so dass ich für jeden Dienst über Sicherheitsgruppen steuern kann, wer von wo drauf zugreifen kann. Allerdings verkompliziert das auch die Fehlersuche. Eine Verbindung muss letztlich von beiden Verbindungspartnern (dort jeweils Defender-Firewall & ESET = 2x2 Fehlerquellen) sowie von der OPNSense Firewall erlaubt sein.
Für die Windows-Clients habe ich jetzt begonnen, die Windows-Firewallregeln auf Regeln mit Verwendung von Verbindungssicherheitsregeln umzustellen, so dass ich für jeden Dienst über Sicherheitsgruppen steuern kann, wer von wo drauf zugreifen kann. Allerdings verkompliziert das auch die Fehlersuche. Eine Verbindung muss letztlich von beiden Verbindungspartnern (dort jeweils Defender-Firewall & ESET = 2x2 Fehlerquellen) sowie von der OPNSense Firewall erlaubt sein.
Die Windows-Firewall wird bei mir im Standard konfiguriert. Domänen-Profil aus, alles andere an.
Zitat von @lcer00:
Jetzt stellt sich die Frage - wohin geht es weiter. Microsoft erhöht die Preise, hat aber gerade im Bereich Defender erheblich aufgerüstet. In Verbindung mit Azure ist da einiges machbar. Preislich ist ESET da allerdings eindeutig überlegen (billiger ). Ich sehe hier verschiedene Optionen und würde gerne Eure Meinung hören:
Und nein, ich möchte nicht wissen, dass Microsoft kein Deutsches Unternehmen ist... Azure ist für mich OK. Ich muss mich aber irgenwann für eine Richtung entscheiden. Im Antivirusbereich steht Defender ja schon länger gar nicht so schlecht da.
Jetzt stellt sich die Frage - wohin geht es weiter. Microsoft erhöht die Preise, hat aber gerade im Bereich Defender erheblich aufgerüstet. In Verbindung mit Azure ist da einiges machbar. Preislich ist ESET da allerdings eindeutig überlegen (billiger ). Ich sehe hier verschiedene Optionen und würde gerne Eure Meinung hören:
- weiter bei (ESET) Endpoint-AV+Firewall bleiben.
- ESET AV weiter verwenden, den Endpunkt-Schutz aber über die eingebaute Windows-Firewall regeln, ergänzt um Defender-Funktionen
- komplett auf Defender umsteigen, ggf. auch alle Kisten auf Windows 10 Enterprise und Azure basiertes ATP
- auf so ein UTMdings umsteigen, z.B. Sophos mit Sophos Endpoint-Firewall
Und nein, ich möchte nicht wissen, dass Microsoft kein Deutsches Unternehmen ist... Azure ist für mich OK. Ich muss mich aber irgenwann für eine Richtung entscheiden. Im Antivirusbereich steht Defender ja schon länger gar nicht so schlecht da.
Ich benutze an den Clients zwei Dinge:
- Windows Defender
- gut und regelmäßig geschulte und gebriefte Nutzer
Gruß
bdmvg
Zitat von @em-pie:
Moin,
Das ist auch gerade unsere Überlegung.
Das Zusammenspiel zwischen Endgerät und Firewall ist ziemlich attraktiv. Wobei man ehrlicherweise auch sagen muss: Ist die Firewall (UTM-Appliance) kompromittiert, ist der Client sicherlich auch als "nicht mehr sicher" zu betrachten, was bei getrennten Lösungen anders aussähe...
Moin,
Zitat von @Coreknabe:
Wir sind gerade von Sophos Endpoint auf Intercept X gewechselt und bereuen das bisher nicht. Klar, Preis ist nicht ohne, aber wenn Du auch überlegst, eine Sophos UTM anzuschaffen, lassen sich beide Produkte bestens vernetzen.
Wir sind gerade von Sophos Endpoint auf Intercept X gewechselt und bereuen das bisher nicht. Klar, Preis ist nicht ohne, aber wenn Du auch überlegst, eine Sophos UTM anzuschaffen, lassen sich beide Produkte bestens vernetzen.
Das ist auch gerade unsere Überlegung.
Das Zusammenspiel zwischen Endgerät und Firewall ist ziemlich attraktiv. Wobei man ehrlicherweise auch sagen muss: Ist die Firewall (UTM-Appliance) kompromittiert, ist der Client sicherlich auch als "nicht mehr sicher" zu betrachten, was bei getrennten Lösungen anders aussähe...
Korrekt, aber letztlich ist das kein Argument, da der Angriffsvektor eher selten Sophos sein dürfte, wenn es sich nicht um einen maßgeschneiderten Angriff handelt. Insofern könnte ich auch sagen: Wenn Dein Domänencontroller / Exchange kompromittiert ist, nützt Dir die Firewall auch nur noch begrenzt.
Zitat von @St-Andreas:
Der Support bei Sophos ist inzwischen eine totale Katastrophe. Support über die Distribution ist auch nur begrenzt in der Lage zu reagieren und wenn die das an Sophos selbst eskalieren, dann ist Feierabend.
Bei getrennten Lösungen hast Du aber auch wesentlich mehr Angriffsvektoren.
Der Support bei Sophos ist inzwischen eine totale Katastrophe. Support über die Distribution ist auch nur begrenzt in der Lage zu reagieren und wenn die das an Sophos selbst eskalieren, dann ist Feierabend.
Bei getrennten Lösungen hast Du aber auch wesentlich mehr Angriffsvektoren.
Kommt drauf an, was Du beim Support erwartest Die Pillepalle-Probleme, die wir bisher hatten, hat der Support schnell und ordentlich erledigt. Aufgrund der Komplexität sollte man aber bei größeren Problemen keine all zu schnelle / kompetente Hilfe erwarten, da kriegste wahrscheinlich nur die Standard-Supporter in der ersten Frontlinie. Ich kann hier nur für die AV-Lösung sprechen, aber nicht umsonst propagieren die ihr Incident Response-Team, das höchstwahrscheinlich entsprechend Löcher in Dein Budget reißt.
Was die Angriffsvektoren angeht, wiederhole ich mich gern, in der Regel sind Läden wie wir Opfer von Streubomben, da werden Lücken genutzt, die entsprechend verbreitet sind --> Monokultur. Für gezielte Angriffe mit Ausspähen der Umgebung bedarf es mehr Vorbereitung und Arbeit. Und wenn es so weit ist, hast Du eh keine Chance mehr: Wenn die unbedingt bei Dir rein wollen, kommen die auch rein...
Grüße
Ich erwarte, dass nachvollziehbare Probleme gefixt werden und mir nicht 4 Wochen lang immer wieder andere Supporter die selben Anweisungen schicken. Krünung sind dann Aussagen "das wird nicht behoben, das läuft in der XG stellen Sie also um"
Wir haben (noch) Sophos in einigen nicht ganz trivialen Umgebungen laufen.
Grundsätzlich ist Sophos genauso sicher/unsicher wie jedes andere Produkt.
https://www.cvedetails.com/cve/CVE-2020-25223/
Wir haben (noch) Sophos in einigen nicht ganz trivialen Umgebungen laufen.
Grundsätzlich ist Sophos genauso sicher/unsicher wie jedes andere Produkt.
https://www.cvedetails.com/cve/CVE-2020-25223/
Interessante Diskussion.
Wir hatten heute eine Demo der Palo Alto mit Panorama zur zentralen Verwaltung unserer 3 Standorte. Bei Palo gibt es auch den Cortex XDR Endpoint Schutz.
Sophos hat mich prinzipiell bei der Vorstellung und der synchronized Security auch abgeholt, aber sie Sophos XG Home zerstört gerade wieder alles.
Jetzt schauen wir uns noch Fortigate an.
Als Endpoint Schutz testen wir parallel gerade noch Emsisoft in der Enterprise Version.
Aktuell im Einsatz sind ein paar pfSense und als Endpoint TrendMicro Smart Complete.
Wir hatten heute eine Demo der Palo Alto mit Panorama zur zentralen Verwaltung unserer 3 Standorte. Bei Palo gibt es auch den Cortex XDR Endpoint Schutz.
Sophos hat mich prinzipiell bei der Vorstellung und der synchronized Security auch abgeholt, aber sie Sophos XG Home zerstört gerade wieder alles.
Jetzt schauen wir uns noch Fortigate an.
Als Endpoint Schutz testen wir parallel gerade noch Emsisoft in der Enterprise Version.
Aktuell im Einsatz sind ein paar pfSense und als Endpoint TrendMicro Smart Complete.
Moin,
wir setzen mit der Umstellung auf Windows 10 im Clientbereich vollumfänglich auf die Windows Defender Serie (Malware, Antivirus, Firewall, etc.) Das Ganze wird über Aaagon ACMP entsprechend konfiguriert, überwacht. So auch ab kommendes Jahr im Serverbereich. Alle notwendigen Regeln werden für mehrere oder einzelnen Clients seitens IT konfiguriert. Manuelle Änderungen an den Richtlinien, lokal ist nicht mehr möglich. Evtl. Standardregeln werden gehärtet und für unser Netzwerk angepasst. Bestes Beispiel sind SMB und RDP Standardregeln.
Die Übergänge zwischen Subnetzen und Sicherheitszonen setzen wir natürlich zwei verschiedene Firewall Produkte mit unterschiedlichen Engines ein. Einfach klassisch wie es seit Jahren empfohlen wird.
Gruß,
Dani
wir setzen mit der Umstellung auf Windows 10 im Clientbereich vollumfänglich auf die Windows Defender Serie (Malware, Antivirus, Firewall, etc.) Das Ganze wird über Aaagon ACMP entsprechend konfiguriert, überwacht. So auch ab kommendes Jahr im Serverbereich. Alle notwendigen Regeln werden für mehrere oder einzelnen Clients seitens IT konfiguriert. Manuelle Änderungen an den Richtlinien, lokal ist nicht mehr möglich. Evtl. Standardregeln werden gehärtet und für unser Netzwerk angepasst. Bestes Beispiel sind SMB und RDP Standardregeln.
Die Übergänge zwischen Subnetzen und Sicherheitszonen setzen wir natürlich zwei verschiedene Firewall Produkte mit unterschiedlichen Engines ein. Einfach klassisch wie es seit Jahren empfohlen wird.
Gruß,
Dani
@St-Andreas
@farddwalling
Mag sein, dass die Firewall aktuell eine Sache für sich ist. Ich habe mit einem unserer Dienstleister gesprochen, nachdem Sophos uns vor einigen Monaten mit Lockangeboten bombardiert hat (kostenlose Hardware, Extrarabatte für die Lizenz). Wir sind aktuell bei Barracuda und dort auch sehr zufrieden. Jedenfalls hat der Dienstleister mir hinter vorgehaltener Hand erzählt, dass es da gerade einige Probleme im Firewall-Bereich bei Sophos gibt. Neue Modelle, Funktionen sind versprochen, aber noch nicht verfügbar, Bugproblematik. Hinzu käme der Umsatzdruck, was auch die sophoseigenen Techniker verzweifeln lässt. Aber dies nur vom Hörensagen, ich habe nie ernsthaft einen Umstieg erwogen.
Mit der Intercept X-Lösung sind wir absolut zufrieden. Bei Defender wäre ein Knackpunkt für mich die zentrale Verwaltung. Wie @Dani schon schreibt, gibt es da die Lösung von Aagon. Aber dafür wieder ein Extraprodukt, nun ja...
Grüße
@farddwalling
Mag sein, dass die Firewall aktuell eine Sache für sich ist. Ich habe mit einem unserer Dienstleister gesprochen, nachdem Sophos uns vor einigen Monaten mit Lockangeboten bombardiert hat (kostenlose Hardware, Extrarabatte für die Lizenz). Wir sind aktuell bei Barracuda und dort auch sehr zufrieden. Jedenfalls hat der Dienstleister mir hinter vorgehaltener Hand erzählt, dass es da gerade einige Probleme im Firewall-Bereich bei Sophos gibt. Neue Modelle, Funktionen sind versprochen, aber noch nicht verfügbar, Bugproblematik. Hinzu käme der Umsatzdruck, was auch die sophoseigenen Techniker verzweifeln lässt. Aber dies nur vom Hörensagen, ich habe nie ernsthaft einen Umstieg erwogen.
Mit der Intercept X-Lösung sind wir absolut zufrieden. Bei Defender wäre ein Knackpunkt für mich die zentrale Verwaltung. Wie @Dani schon schreibt, gibt es da die Lösung von Aagon. Aber dafür wieder ein Extraprodukt, nun ja...
Grüße
@Coreknabe
@lcer00
Gruß,
Dani
Wie @Dani schon schreibt, gibt es da die Lösung von Aagon. Aber dafür wieder ein Extraprodukt, nun ja...
Das hängt davon ab, was für UEM eingesetzt wird. Wir nutzen bereits andere Module von Aaagon und ist daher ein Synergieeffekt für uns. Was ich damit sagen möchte, man muss eben auch über den Tellerrand schauen.@lcer00
Klingt interessant. SCCM ist für uns immer etwas überdimenensioniert gewesen. Vielleicht passt das. Die alternativen Ansätze von Microsoft (Azure und Windows Admin Center) haben mich jedenfalls bisher nicht überzeugt.
In der Tat hat löst ACMP bei uns SCCM, Intune und Matrix42 ab. Ist schlussendlich bei uns nicht eine Funktionsentscheidung sondern ein Preis/Leistungsthema. Die Kollegen aus dem Client Management haben am Anfang die Hände über dem Kopf zusammengeschlagen. Aber wir sind auf der Zielgeraden und inzwischen sind alle Happy. Nebenbei: Die Frage, ob man besser alle Server in eine Domäne einbindet und zentral verwaltet, oder ob man aus Sicherheitsgründen besser bestimmte Server außerhalb der Domäne belässt, um einer "Komplettübernahme" vorzubeugen, ist ja ähnlich gelagert
Ist aus meiner Sicht ein schlechter Vergleich. Denn die Domäne darf und soll heute kein Argument sein. Es sind doch alle grundlegenden Tools (Bitlocker, AppLocker, Windows Defender, PAW/SAW, etc.) enthalten. Es darf eben einer sicheren Konfiguration. Da führt kein Weg mehr an einer Härtung von Server, unabhängig von Diensten/Services und Anwendungen vorbei. Wobei es nicht immer gleich ein Enhanced Security Admin Environment sein muss.Gruß,
Dani