maweko
Goto Top

Windows Defender Firewall per GPO deaktiviert

Hallo zusammen,

vor kurzem habe ich als Junior Systemadministrator in ein neues Unternehmen gewechselt. In diesem Zuge wurde die gesamte IT-Abteilung neu besetzt. Schon bald fiel mir auf, dass die Windows-Firewall auf allen Geräten deaktiviert ist – sowohl auf den Servern als auch auf den Notebooks der Mitarbeiter. Eine kurze Untersuchung zeigte, dass eine GPO für die Deaktivierung der Windows Defender-Firewall in der gesamten Domäne verantwortlich ist.

Diese Entdeckung hat bei mir große Bedenken ausgelöst, da interner Traffic nicht über die Netzwerkfirewall läuft und Schadsoftware sich somit besonders leicht auf den Clients verbreiten könnte. Klar sind die verschiedenen Abteilung in unterschiedlichen getrennten VLANs aber das macht es nicht wirklich besser. Als ich das Thema bei meinem Chef ansprach, erhielt ich folgende Antwort: "Das passt schon so. Dadurch müssen wir keine lästigen Ports freigeben, falls eine Software diese benötigt. Außerdem ist die Firewall nur im Unternehmensnetzwerk deaktiviert. Hier läuft sowieso alles über die interne Netzwerkfirewall. Wenn die Kollegen ihre Geräte mit nach Hause ins Home Office nehmen, ist die Windows Firewall ganz normal aktiv."

Diese Erklärung hat mich stutzig gemacht, da interner Traffic definitiv nicht über die Netzwerkfirewall läuft. Meiner Meinung nach stellt dies eine unnötige Sicherheitslücke dar, die nur kurzfristig Arbeit erspart. Dass sich die Firewall im Heimnetzwerk aktiviert, erscheint mir ebenfalls fragwürdig. Mir ist keine Konfiguration bekannt, die zuverlässig erkennt, ob ein Gerät im Heimnetzwerk oder im Firmennetzwerk ist. Und selbst wenn das der Fall wäre, welchen Sinn macht es, die Firewall im Firmennetzwerk zu deaktivieren, aber im Heimnetzwerk aktiviert zu lassen?

Meine Bedenken stießen bei meinem Chef auf taube Ohren. Die Firewall soll weiterhin deaktiviert bleiben, um lästige Portfreigaben zu vermeiden.

Was meint ihr? Übertreibe ich hier oder sind meine Sorgen berechtigt? Und falls nicht, welchen Sinn könnte eine domänenweite Deaktivierung der Firewall haben? Meine Erklärung ist pure Faulheit und Rücksichtslosigkeit.


Liebe Grüße

Content-ID: 31829972038

Url: https://administrator.de/imho/windows-defender-firewall-per-gpo-deaktiviert-31829972038.html

Ausgedruckt am: 25.12.2024 um 14:12 Uhr

Spirit-of-Eli
Spirit-of-Eli 20.05.2024 um 21:39:23 Uhr
Goto Top
Moin,

du hast nicht viele Optionen.

Entweder erträgst du solche Missstände oder gehst. Denn gerade als jemand, der neu im Unternehmen ist, wird es schwer etwas zu ändern.

Im blödesten Fall setzen sie dich vor die Tür weil du ihre Arbeit "verkomplizierst".

Gruß
Spirit
maretz
maretz 20.05.2024 um 22:36:27 Uhr
Goto Top
Ich würde mir mal die Frage umgekehrt stellen - was bringt die Firewall bei Windows _intern_? Denn die lässt ja erstmal "von innen nach aussen" eh alles zu - und hier sollte eure Firmenfirewall ja dann alarm machen (und hoffentlich guckt auch jemand drauf).

Damit bleibt also nur noch "von aussen nach innen". Und da hast du jetzt idR. eher die Probleme das Daten per Mail, USB-Stick oder sonstwie in die Firma kommen und der Anwender eh wild drauf losklickt. Hier hilft dir die Firewall jetzt nicht wirklich viel wenn erstmal damit dann div. Daten auf dem Server verschlüsselt wurden und/oder irgendwelcher Müll da liegt (bzw. es dann an die Kollegen eben per Mail geht - da "interne" Mails ja gerne ungefiltert durch den Mailserver gehen, is ja intern, der Virenscanner war ja schon da...).

Dasselbe gilt bei mobilen Geräten die mal "aussen" und mal im internen Netzwerk verwendet werden. Da ist die interne Windows-Firewall jetzt nicht soooo der riesen Schutz, selbst wenn du (ausgehende) Ports festgelegt hast dann hast du ja trotzdem bestimmte Freigaben bereits erteilt (zB. eben den Fileserver,...). Und wenn die zuhause genutzt werden stellt sich die Frage wie du das da mit ner Freigabe machst - oder darf der Anwender dann selbst auf "is mir egal, mach halt und nerv nicht mit 20 Popups das es ne blöde Idee is was ich grad will" sagen? Dann is die Firewall so oder so nur Zeitverschwendung, ich glaube die wenigsten Anwender werden wirklich lesen was da steht. Solang da nen OK, Ja oder "Accept" Button is -> hau rauf und fertig... wenns schief geht wars eh die IT die das Gerät nicht gesichert hatte...

Welchen Sinn kann es dagegen machen die im Firmennetzwerk zu deaktivieren und privat aktiv zu lassen? Erster Punkt wäre mal spontan die Remote-Verwaltung -> damit du per RDP auf die Kisten kannst wenn nötig (oder je nachdem was ihr für ne SW nutzt). Dann ggf. Inventarisierungs-Software, Auto-Install-Software,... Praktisch alles was ein Remote-Management der Arbeitsplätze erzeugt und mit nem Agent arbeitet... Und natürlich würde man in einer perfekten Umgebung da entsprechende Regelwerke definieren, ... -> die meisten arbeiten aber nich in einer perfekten Umgebung und es muss zwischen Kosten und Sicherheit nen Mittelweg gefunden werden (immerhin arbeitest du auch nicht umsonst - und wenn da nen Fehler mal 1-2h Debugging erfordert is das eben auch nen Betrag x). Und zumindest ich für meinen Teil würde durch die Win-Firewall jetzt nicht den riesigen Gewinn sehen. Die Zeit würde ich eher Aufwenden dafür zu sorgen das die Rechner generell gesichert sind (z.B. eben keine Admin-Rechte, vernünftige Backups, Berechtigungen auf den Netzlaufwerken, Firmen-Firewall vernünftig überwachen,...). Natürlich KANN da immer noch was schief gehen - aber solang der Tag nicht endlos lang ist (als real, nicht nur gefühlt ;) ) muss man halt auch entscheiden...
C.R.S.
C.R.S. 21.05.2024 um 03:13:45 Uhr
Goto Top
Würde mir Sorgen machen, weniger wegen der Windows-Firewall:

100% kann man bei der IT-Sicherheit nicht erreichen. Deshalb sehen sich alle bei 80%, aber es gibt darin zwei Strömungen:
Die einen erklären dir, welche Hindernisse sie von den anspruchsvollsten 20% möglicher Maßnahmen abhalten. Die anderen erklären dir, aus welchen guten Gründen sie die einfachsten 20% bewusst nicht umsetzen.
Nicht schwer zu erraten, welche Selbsteinschätzung die realistischere ist.

Grüße
Richard
MysticFoxDE
MysticFoxDE 21.05.2024 um 07:19:14 Uhr
Goto Top
Moin @Maweko,

Diese Erklärung hat mich stutzig gemacht, da interner Traffic definitiv nicht über die Netzwerkfirewall läuft.

das hört sich für mich eher danach an, als ob bei euch das interne Netz nicht wirklich segmentiert ist.
Wenn das wirklich der Fall ist, dann würde ich die Energie lieber in diese Thema reinstecken und eine anständiges SGW zwischen den Segmenten und dem WAN dazwischen hängen. Denn das bringt definitiv mehr als die Windows eigene FireWall, die man eh mit ein paar Reg-Keys, ratz fatz komplett deaktivieren kann.

Meiner Meinung nach stellt dies eine unnötige Sicherheitslücke dar, die nur kurzfristig Arbeit erspart.

Du hast praktisch glaube ich eher noch zu wenig Erfahrung mit dem Ding, vor allem in einem Unternehmensnetzwerk.

Wie möchtest du z.B. die ganzen Windows-FireWall's auf den duzenden oder vielleicht sogar hunderten von Clients und oder Server den überhaupt überwachen, sprich, ob die alles richtig machen oder eventuell zu viel wegblocken?

Gruss Alex
kpunkt
kpunkt 21.05.2024 aktualisiert um 07:38:10 Uhr
Goto Top
Die Sache ist halt die: die Windows-Firewall schafft in der Regel mehr arbeit, als sie nützt. Du musst sie ja für die einzelnen Clients pflegen. Und auch wenn man das per GPO macht, muss man dennoch zusätzliche Arbeit zur Konfiguration und Pflege der "tatsächlichen" Firewall machen.
Und seien wir uns ehrlich, wenn Malware schon im Netzwerk ist, dann verlässt sich kein Mensch auf die Windows Firewall. Klar, kann mal helfen, aber verlassen würd ich mich nicht drauf.
Wenn das Thema so wichtig ist, wäre wohl XDR oder ähnliches eher ein Lösungsweg.

Ja, wenn man neu ist, will man gleich mal Spuren hnterlassen. Aber das kann mächtig ins Auge gehen. Hört sich für mich jetzt auch eher so an, als wärst du nicht nur neu im Unternehmen, sondern auch neu im Beruf.
Vor allem Unternehmen ticken (zu Recht) oftmals ganz anders, als die Schulbücher es beschreiben. Jede Umgebung ist anders. Und im realen Leben musst du fast immer Kompromisse eingehen.
Du kannst zum einen die Kollegen nicht ständig in ihren Arbeitsabläufen stören. Zum anderen ist das bereitgestellte Budget dein begrenzender Faktor.
Schau dir das erst mal an und versuch zu verstehen, wie das Unternehmen (und somit auch die IT) tickt. Es dauert oft sehr lange, bis man da alle Eigenheiten gefunden und dann auch aktiv auf dem Schirm hat.

Ruhe bewahren du musst, junger Padawan.
maretz
maretz 21.05.2024 um 07:47:15 Uhr
Goto Top
Um das mal aufzunehmen:
---qoute---
Was meint ihr? Übertreibe ich hier oder sind meine Sorgen berechtigt? Und falls nicht, welchen Sinn könnte eine domänenweite Deaktivierung der Firewall haben? Meine Erklärung ist pure Faulheit und Rücksichtslosigkeit.
---/qoute---

Warum ist es eigentlich heute so das alles gleich "Rücksichtslos" ist wenn nicht jeder Wunsch der "neuen" erfüllt wird? Zum einen wäre die Frage warum du glaubst das es rücksichtslos ist wenn deine Idee nicht gleich jubelnd aufgenommen wird -> ist es DEINE IT? Ansonsten finde dich halt damit ab - du ARBEITEST dort und als "Einsteiger" bist du eben derjenige der nicht entscheidet. Das ist nicht Rücksichtslos, das nennt sich Erfahrung... Ich zB. mache es idR so das neue ne klare Ansage haben: Die ersten 4 Wochen dürfen die sich alles angucken - und alle Verbesserungsvorschläge sich Abends ins Notizbuch schreiben. Ich will die nich mal hören -> Es ist "Augen und Ohren auf, Mund zu". Nach 4 Wochen sollen die sich ihre Liste schnappen - und wenn die dann weniger als 50% davon wegstreichen mit "Ach so, jetzt weiss ich warum es so gemacht wird" dann gehen wir durch. Wenns mehr als 50% sind -> dann nochmal 4 Wochen gucken warum denn DAS so gemacht wurde...

Was DANN am Ende noch von der Liste übrig ist - da kann man gerne drüber reden. Ich bin nicht pauschal gegen Verbesserungsvorschläge, aber irgendwie sagt jeder der Anfängt immer gleich "ich erfinde mal kurz die Welt neu" und "Das was vorher war ist eh alles falsch, Sch... und würde man so nie machen"... Diese Diskussionen erspart man sich durch die 4 Wochen problemlos ;)
11020714020
11020714020 21.05.2024 um 07:49:41 Uhr
Goto Top
Ist mE alles eine Frage, welches Sicherheitsbedürfnis ein Unternehmen hat (oder gar aufgrund Gesetzen, Verträgen etc. dazu gezwungen ist), welches Risiko es bereit ist einzugehen und wieviel Ressourcen es dafür aufwenden möchte.

Bei uns ist es so, dass wir konsequent Zero Trust umsetzen, da gilt auch für die "internen" Systeme, dass diese umfangreich abgesichert sind, egal ob Client oder Server, inclusive Firewalls und noch vielem mehr.
commodity
commodity 21.05.2024 aktualisiert um 12:02:32 Uhr
Goto Top
dass die Windows-Firewall auf allen Geräten deaktiviert ist
Das ist IMO inakzeptabel. Auch wenn die PC-Firewall nicht der bedeutsamste Baustein in einem Sicherheitskonzept ist, ist sie ein wichtiger Schutzfaktor gegen die Verbreitung von Schadsoftware innerhalb des Netzes. Ohne diese Firewall sind alle aktiven Netzwerkdienste des jeweiligen PC zum internen Netzwerk hin offen, d.h. ein darauf ausgerichteter Schädling kann sich, wenn er darauf zielt, dort vorzüglich verbreiten. Mit aktivierter Firewall wird dieser Zugriff auf die freigegebenen Dienste beschränkt.

Neben etwaiger Clientsoftware lauscht Windows mit diversen Diensten bereitss systemseitig an der Netzwerkschnittstelle, d.h. ohne aktive PC-Firewall verlässt man sich auf die sichere Implementierung der Dienste durch Microsoft.
Warum man das besser nicht tut.
Hier liegt aber zugleich das von den Kollegen bereits angesprochene "praktische" Problem: MS schaltet für bestimmte (eigene) Dienste die Firewall automatisch frei und beeinflusst individuelle Änderungen u.U. mit Updates oder systeminternen Reparaturtools. Dies kann man ggf. mit (viel Umsicht/Kenntnissen und) zentraler Steuerung verhindern. Ob man "schlauer" sein kann, als der OS-Hersteller, muss jeder für sich befinden.

Jedenfalls aber verhindert die aktive Firewall die willkürliche Erreichbarkeit von sonstigen Diensten am Netzwerk, die durch (oftmals nicht auf Netzwerksicherheit hin programmierte) Clientsoftware angeboten werden. Hierbei ist auch zu berücksichtigen, dass Clientsoftware oftmals nicht so verlässlich gepatcht wird, wie das System selbst.
Es bleibt stets eine gute Idee, die Zahl der Angriffsmöglichkeiten auf ein Minimum zu beschränken und nicht aus pragmatischen Gründen mal eben jeden Dienst an der Schnittstelle offen zu halten.

Schlaumeier sagen jetzt vielleicht, die Defender-Firewall ist doch auch von Microsoft...
Das ist hier IMO kein Problem, denn die Firewall ist hier ein vergleichsweise einfacher Paketfilter als zusätzlicher Schutzlayer. Hinter einem offenen Dienst hingegen kann hingegen eine ungleich komplexere (=fehleranfällige) Software stecken.

Wir haben hier also eine völlig andere Schutzrichtung als am Perimeter. Auch Netzwerksegmentierung/-überwachung hilft gegen die weitere Verbreitung, nicht aber gegen die innerhalb des betroffenen Netzes. Je nach Schutzkonzept und Größe des betroffenen Netzes kann man damit vielleicht leben. "Egal" ist die Defender-Firewall aber eben nicht und man kann sie bei Bedarf auch zentral steuern.

Die Defender-Firewall abzuschalten ist damit natürlich "rücksichtslos" gegen das eigene Unternehmen, noch mehr aber deutet diese Maßnahme auf schlampige Arbeitsweise und nachlässiges Sicherheitsverständnis hin. Du wirst in der Zukunft dort wahrscheinlich noch einigen anderen fragwürdigen Konfigurationen begegnen.

Die Position, dass die Firewall im Betrieb "Probleme" macht, oder aufwendig zu warten ist, teile ich nicht. Jedenfalls, wenn man nicht die MS-Dienste sperren möchte, ohne dort alle Zusammenhänge zu verstehen. Ich kann aber bestätigen, dass die Firewall ganz vielen Kollegen offenbar tatsächlich Probleme bereitet, denn zuweilen sieht man (neben solchen Abschaltungen, die ich auch schon häufiger hatte) die unglaublichsten Regelversuche. Wer aber schon am Regelwerk für den Paketfilter des Defenders scheitert, wird kaum auf einer Firewall am Perimeter Erfolg haben. Und das ist dann ein Problem (oder auch nicht, "NAT sei Dank" face-wink).

Der Kollege @maretz als erfahrener Systemhäusler hat ja beschrieben, wie er mit konstruktiver Kritik umgeht und das ist ein wertvoller Rat. Bei mir würden die Firewalls auch nach 4 Wochen noch auf dem Zettel stehen. Und auch nach 4 Jahren. Ich würde mich aber für die Diskussion mit Lektüre und Gehirnschmalz - und praktischen Erfahrungen - wappnen - falls es überhaupt eine Diskussion gibt. Ansonsten kannst Du versuchen, dem Laden behutsam Schubse in die richtige Richtung zu geben. Erwarten würde ich da aber nicht zuviel. Meist steckt der Schlendrian schon zu tief drin, wenn man solch einen Fall vorfindet.

Viele Grüße, commodity
Lochkartenstanzer
Lochkartenstanzer 21.05.2024 um 12:35:32 Uhr
Goto Top
Zitat von @commodity:

dass die Windows-Firewall auf allen Geräten deaktiviert ist
Das ist IMO inakzeptabel.

Für Dich mag das so sein, wie für viele andere hier auch, aber der AG des TO hat sich nun mal entschieden, daß er das so will. Mag sein, daß die Bequemlichkeit gesiegt hat, mag sein, daß die tatsächlich Kosten gegen Nutzen abgewogen haben, wir wissen es nicht.

Anstelle des TO würde ich nicht nicht direkt einen Aufstand machen, aber durchaus die "Mißstände" dokumentieren und sofern man es in den ersten Wochen nciht versteht, sich von den verantwortlichen Erklären lassen, warum die Risiken in Kauf genommen werden. Manchmal gibt es gute Gründe, manchmal ist es nur Zockerei (Zeit und Geldersparnis gegen das Risiko Schaden zu erleiden).

Man darf nicht vergessen, daß in edn meisten Formen Security unter "Kosten und Behinderungsfaktor" läuft, das einen vom "efektiven Arbeiten" abhält. face-sad Nur die Firmen, die mal wirklich richtige Schäden davongetragen haben, nehmen das (für eine Weile) ernst.

lks
ThePinky777
ThePinky777 21.05.2024 aktualisiert um 15:53:37 Uhr
Goto Top
Also als neuer Mitarbeiter solltest du das erstmal so akzeptieren.
Nach der Probezeit kannst du es ja nochmal wehementer ansprechen.

Weil mit der Windows Firewall seh ich das schon so wie du kritisch.
Bedeutet wo ist das Problem per GPO Firewall Rule dann zu sagen
unser internes Netz z.B. 10.200.15.0/24 und 10.200.16.0/24 bekommt ne Rule spendiert
nach dem motto allow all IN und allow all out. somit ist in dem segment halt die firewall offen.
aber zu hause im WLAN im Homeoffice sofern das nicht zufällig den selben range hat ist es aber secure und vor allem im Hotel auch und sonstwo auch... die chance ist gering das man nochmal auf das selbe private netz trifft, vor allem
wenn man nicht gerade 192.168.0.0/24 als firmen LAN verwendet....

Und nein zu den leuten die oben behaupte bringt eh nix.
doch es bringt folgendes:
Zu hause im Privaten LAN das nicht dem Subnet entspricht kann man nicht remote auf c$ zugreifen vom privat PC aus. man kann auch nicht remote registry und auch nicht remote SMB Protokoll auf den client kommen.
und solche punkte sind nun mal die haupteinfallstore... das der client raus wählen verbindungsprotokolle erlaubt hat ist ne andere geschichte... kann man aber auch einschränken, mehr wie http/https/ftp und so zeug braucht es nicht und VPN einwahl die man auf die firmen VPN einwahl IP beschränken kann.... somit kann der user zumindest nur standard sachen machen....

Das ganze dauert max. 20 minuten per GPO aufzusetzen und schliesst schonmal die angriffsfläche zu 90% mindestens....

Aber die diskussion würde ich nicht in der ersten woche der probezeit führen... sofern man dort bleiben will face-smile

und der aufwand ist echt überschaubar, ne liste der firmen internen subnetze erstellen und als rule definieren wie lange dauert das ? mal im ernst wenns mehr als 5 minunte dauert liegts an mangelhafter netzwerk doku das die subnetze in keiner liste gepflegt sind....
MysticFoxDE
MysticFoxDE 21.05.2024 um 23:51:18 Uhr
Goto Top
Moin @commodity,

Das ist IMO inakzeptabel. Auch wenn die PC-Firewall nicht der bedeutsamste Baustein in einem Sicherheitskonzept ist, ist sie ein wichtiger Schutzfaktor gegen die Verbreitung von Schadsoftware innerhalb des Netzes. Ohne diese Firewall sind alle aktiven Netzwerkdienste des jeweiligen PC zum internen Netzwerk hin offen, d.h. ein darauf ausgerichteter Schädling kann sich, wenn er darauf zielt, dort vorzüglich verbreiten. Mit aktivierter Firewall wird dieser Zugriff auf die freigegebenen Dienste beschränkt.

Warum sollte das den inakzeptabel?

Per default sind auf einem Windows nicht wirklich viele Dienste aktiviert, ausser RPC und SMB, kannst ja einfach mit „netstat -a“ prüfen. Die meisten Dienste die Laufen, benötigst du eh intern und nach aussen, wirst du mindestens TCP und UDP 443 und auch 80 öffnen müssen. Also was und wie genau möchtest du mit dem Ding schützen, vor allem wenn du diese nur auf Layer 3-4 betreiben möchtest.

Neben etwaiger Clientsoftware lauscht Windows mit diversen Diensten bereitss systemseitig an der Netzwerkschnittstelle, d.h. ohne aktive PC-Firewall verlässt man sich auf die sichere Implementierung der Dienste durch Microsoft.

Bitte nicht übertreiben, per Default sind es wie schon oben erwähnt, nicht wirklich viele.

Und wenn dir irgendwelche Dienste nicht passen, sprich deiner Ansicht nach unnötig sind, dann ist es meiner Ansicht nach eher sinnvoller, diese komplett zu deaktivieren, alleine schon der Ressourcen zuliebe.


Na ich hoffe doch inständig, dass MS seine Systeme nicht nur mit der Windows-FireWall schützt … andererseits würde das den einen oder anderen Schlamassel, wiederum auch etwas besser erklären. 🤪

Hier liegt aber zugleich das von den Kollegen bereits angesprochene "praktische" Problem: MS schaltet für bestimmte (eigene) Dienste die Firewall automatisch frei und beeinflusst individuelle Änderungen u.U. mit Updates oder systeminternen Reparaturtools. Dies kann man ggf. mit (viel Umsicht/Kenntnissen und) zentraler Steuerung verhindern.

Genau so ist das und das ist nur eine der Krankheiten, die die Windows-FireWall mit sich bringt. 😔

Ob man "schlauer" sein kann, als der OS-Hersteller, muss jeder für sich befinden.

Ich würde eher sagen, dass nach all dem was MS sich in der letzten Zeit geleistet hat, es eher nicht sehr schlau ist, sich auch noch auf seine Sicherheitsprodukte (blind) zu verlassen.

Jedenfalls aber verhindert die aktive Firewall die willkürliche Erreichbarkeit von sonstigen Diensten am Netzwerk, die durch (oftmals nicht auf Netzwerksicherheit hin programmierte) Clientsoftware angeboten werden. Hierbei ist auch zu berücksichtigen, dass Clientsoftware oftmals nicht so verlässlich gepatcht wird, wie das System selbst.

Einfach die Windows FireWall zu aktivieren und dann zu glauben, dass man nicht mehr so sehr patchen muss, ist aber auch nicht gerade der richtige Weg.

Verner versucht so gut wie jeder professionelle Angreifer, zuerst das AD des Opfers zu kapern und sobald er das geschafft hat, kann man vor allem die Windows-FireWall, sicherheitstechnisch komplett den Hasen zum fressen geben. Den er muss lediglich eine einzige GPO anlegen und schon ist das Ding unternehmensweit offline. 😔

Es bleibt stets eine gute Idee, die Zahl der Angriffsmöglichkeiten auf ein Minimum zu beschränken und nicht aus pragmatischen Gründen mal eben jeden Dienst an der Schnittstelle offen zu halten.

Vor allem in der heutigen Zeit, muss man aber auch sinnvoll mit den Ressourcen umgehen!
Und bevor ich meine Energie in irgend eine Windows-FireWall reinstecke, die man zum einen wie schon mehrfach erwähnt, sehr einfach aushebeln und noch nicht mal anständig überwachen kann, packe ich die lieber in eine anständige Unternehmens-Firewall, sprich in ein SGW rein.

Schlaumeier sagen jetzt vielleicht, die Defender-Firewall ist doch auch von Microsoft...

Uppsala … 🤪

Das ist hier IMO kein Problem, denn die Firewall ist hier ein vergleichsweise einfacher Paketfilter als zusätzlicher Schutzlayer. Hinter einem offenen Dienst hingegen kann hingegen eine ungleich komplexere (=fehleranfällige) Software stecken.

Nur zur Info, die Windows-FireWall kann mittlerweile von Layer 3 bis 7, sprich auch auf Applikationsebene filtern und sie kann sogar VPN‘s aufbauen.

Wir haben hier also eine völlig andere Schutzrichtung als am Perimeter. Auch Netzwerksegmentierung/-überwachung hilft gegen die weitere Verbreitung, nicht aber gegen die innerhalb des betroffenen Netzes.

Ähm, eine Netzsegmentierung mit „Private-VLAN“, hilft sehr wohl gegen die Ausbreitung eines Schädlings innerhalb des gleichen Netzsegments. 😉

Je nach Schutzkonzept und Größe des betroffenen Netzes kann man damit vielleicht leben. "Egal" ist die Defender-Firewall aber eben nicht

Aber sehr wohl kann die Windows-FireWall komplett Wurst sein und sogar stören, vor allem wenn man ein ähnliches oder gar besseres Sicherheitskonzept fährt, was nicht wirklich sehr schwer ist.

und man kann sie bei Bedarf auch zentral steuern.

Ähm, sorry, aber eine FW per GPO zu konfigurieren ist im Jahr 2024 meiner Ansicht nach nicht mehr wirklich so sexy und vor allem auch nicht sehr effektiv und auch nicht übersichtlich.

Die Defender-Firewall abzuschalten ist damit natürlich "rücksichtslos" gegen das eigene Unternehmen, noch mehr aber deutet diese Maßnahme auf schlampige Arbeitsweise und nachlässiges Sicherheitsverständnis hin. Du wirst in der Zukunft dort wahrscheinlich noch einigen anderen fragwürdigen Konfigurationen begegnen.

Höre bitte auf solche wilden Behauptungen aufzustellen, vor allem ohne weitere Details über die anderen Sicherheitsmassnahmen des entsprechenden Unternehmens zu kennen, danke.

Die Position, dass die Firewall im Betrieb "Probleme" macht, oder aufwendig zu warten ist, teile ich nicht. Jedenfalls, wenn man nicht die MS-Dienste sperren möchte, ohne dort alle Zusammenhänge zu verstehen. Ich kann aber bestätigen, dass die Firewall ganz vielen Kollegen offenbar tatsächlich Probleme bereitet, denn zuweilen sieht man (neben solchen Abschaltungen, die ich auch schon häufiger hatte) die unglaublichsten Regelversuche. Wer aber schon am Regelwerk für den Paketfilter des Defenders scheitert, wird kaum auf einer Firewall am Perimeter Erfolg haben. Und das ist dann ein Problem (oder auch nicht, "NAT sei Dank" face-wink).

Also nochmals, jeder halbwegs versierte Angreifer, versucht meistens als erstes das entsprechende AD zu kapern und sobald er das geschafft hat, wogegen deine Windows-FireWall übrigens nicht wirklich viel unternehmen kann, da jeder AD-Rechner zwangsweise eine Verbindung zum AD benötigt, ist die Windows-FireWall schneller tot als dir lieb ist und zwar AD-weit. 😔

Daher sollte man meiner Ansicht und Erfahrung nach, seine heilige Umgebung auch nicht mit MS-Mitteln sichern, sondern eher mit welchen, die mit MS und dem AD am besten überhaupt nichts, respektive, so wenig wie möglich zu tun haben.

Gruss Alex
Lochkartenstanzer
Lochkartenstanzer 21.05.2024 um 23:54:56 Uhr
Goto Top
Zitat von @MysticFoxDE:

Daher sollte man meiner Ansicht und Erfahrung nach, seine heilige Umgebung auch nicht mit MS-Mitteln sichern, sondern eher mit welchen, die mit MS und dem AD am besten überhaupt nichts, respektive, so wenig wie möglich zu tun haben.



Noch besser ist es, solche Zonen frei von MS-Produkten zu halten. face-smile

lks
kpunkt
kpunkt 22.05.2024 um 06:29:52 Uhr
Goto Top
Zitat von @commodity:

Die Defender-Firewall abzuschalten ist damit natürlich "rücksichtslos" gegen das eigene Unternehmen, noch mehr aber deutet diese Maßnahme auf schlampige Arbeitsweise und nachlässiges Sicherheitsverständnis hin. Du wirst in der Zukunft dort wahrscheinlich noch einigen anderen fragwürdigen Konfigurationen begegnen.
Sorry, aber das ist hanebüchen.
Du kennst weder das Unternehmen, noch was die da so alles am Laufen haben und wie das Netzwerk aufgebaut ist.

Ich frage mch, was Unternehmen machen, die gar nicht erst auf Windows setzen. Haben die eine VM mit einer Defender-Firewall laufen?
Ich sag mal so, wenn eine deaktivierte Windows-Firewall den Krieg entscheidet, liegt das Problem wo ganz anders.
ThePinky777
ThePinky777 22.05.2024 aktualisiert um 11:21:03 Uhr
Goto Top
Sorry Leute aber mir scheint viele hier haben das Konzept Letheral Movement nicht verstanden hier.

Ganz einfaches Beispiel.

hast du ein Server VLAN mit eigenem Subnet, und ein Client VLAN mit eigenem Subnet kannst du zum Thema letheral Movement folgendes in der lokalen Firewall konfigurieren, was zumindest komplett den weg:
Client zu Cleint infektion unterbindet!

und zwar wenn man ganz ganz faul ist macht man auf der Client Firewall:
Client >> Server VLAN alle Ports erlaubt
Server VLAN >> Client VLAN alles erlaubt
Client << Incoming Client VLAN alles geblockt

somit kann kein Client den anderen angreifen und clients untereinander haben auch nix zu kommunizieren.
Vor allem SMB Protokoll also quasi der Freigabe Dienst ist von MS tradiditionel anfällig auf Zero Day Bugs...
Aber eben auch Remote Registry usw...

Und als Admin kannst dich auch auf nen Server einloggen und von dort dann aber die Clients Managen.

Dann noch eine rechte konzept das man sich mit keinem Server Admin an Clients anmeldet, dann gibts auch keine Credentials zum sniffen auf Clients die weiterreichende Rechte auf Server hätten um angriffe auszuführen >> auf Server.

Und wenn man nicht faul ist kann man hier natürlich noch viel detailierter den Traffic regeln um die hürde zumindest soweit oben wie möglich zu halten.

Und nochmal komplett keine Client Firewall zu haben, auch auf Laptops die ausserhalb des Netzwerks betrieben werden, das würde ich klar als fahrlässig bezeichnen. Weil er schützt deinen client im unbekannten Hotel WLAN oder Flughafen WLAN oder sonst wo.... (siehe beitrag weiter oben von mir).
Daher wenn die Firewall wirklich komplett deaktiviert ist, und auch keine Antiviren Hersteller Firewall aktiv ist, ist das echt nicht mehr feierlich... und schönzureden gibts da auch nix.
commodity
commodity 22.05.2024 um 12:56:25 Uhr
Goto Top
Sorry, aber das ist hanebüchen.
Macht nichts, wir sind ja hier, um uns auszutauschen. face-smile
Ich gebe Dir und auch dem lieben Kollegen Alex total Recht, dass es Konstellationen geben mag, wo das weniger bedeutsam ist und die Defender-FW ist ohnehin nur ein nachrangiger Baustein im Sicherheitskonzept.

Aber:
Die Realität, jedenfalls in meiner KU-Welt, spricht eine völlig andere Sprache. Dort gibt es meist nicht einmal ein Sicherheitskonzept - und dort wo die Firewalls durch Dienstleister(*) abgeschaltet wurden, sah auch der Rest des Systems entsprechend aus. Dort hingegen, wo das System eher ordentlich organisiert war, waren dann auch auch die Defender-Firewalls aktiv. Ein Umkehrschluss funktioniert da aber nicht face-wink.

Zufall? Mag sein. Mag nicht sein. Mache sich jeder gern seinen Reim.

(*)
Gerne machen das auch mal die externen PVS-Dienstleister von Arztpraxen, weil sie mit der TI nicht klarkommen.

Viele Grüße, commodity
maretz
maretz 22.05.2024 um 17:01:51 Uhr
Goto Top
Ganz ehrlich - ich finde es faszinierend wie sehr hier auf persönliche Art die Leute angegangen werden als würde es genau EINE Lösung geben und natürlich diese auch auf jede Anforderung passen. Und jeder der diese Lösung nicht nimmt ist eh unfähig - und natürlich Rücksichtslos gegenüber allen anderen...

Blöd nur das eben die Lösung nicht immer passt -> der TO hat hier ja u.a. nix über den Betrieb gesagt. Eine Entwicklerbude hat eben ggf. andere Anforderungen als eine 08/15-Arztpraxis. Is halt nur blöd wenn man nen Listener programmieren will/muss der aber dann nich listen kann weil die Firewall da mal wieder im Weg ist (und wenn jeder Anwender die eh nach Lust und Laune abschalten kann dürfte es wohl relativ naheliegend sein das die eh nich lange an ist oder der Anwender eh nur auf den "Mir egal, mach hin"-Button drückt). Oder wenn der Sysadmin eben grad mal mittels nmap nen Scan machen will aber die lokale Firewall eh erstmal die hälfte der Ports wegblockt...

WENN es denn nämlich wirklich sicher sein sollte würde ich eben auch auf ne Art "Zero-Trust" setzen und einfach alles über die reguläre Firewall leiten. Denn was bringt es mir wenn ich zwar lokal auf 10.000 Rechnern die Win-Firewall (oder lokale iptables, nftables oder was auch immer) aktiv habe -> wer von euch setzt sich denn hin und guckt bei den 10.000 Rechnern grad mal in die Log-File rein ob da irgendwas komisches ist? Da wäre es dann ja irgendwie schon sinnvoller das über die zentrale FW zu machen und dort über die Logs zu gucken -> wenn der Rechner 10.10.10.10 da jede Sekunde auftaucht könnte man ja schauen ob man da was machen sollte... Umgekehrt dürfte dieses Konzept aber sowohl finanziell als auch Fachlich ne kleine 3-Personen-Butze mit reiner Office-Anwendung geringfügig überfordern (und da guckt auch eh eher keiner in die FW-Logs, das ding steht in der Ecke, das Regelwerk wurde anno 1522 mal erstellt und ist bestimmt auch genau so heute noch sinnvoll und gut...).

Dasselbe gilt für Rechner die überall in der Welt unterwegs sind gilt für mich was ähnliches. Klar kann man die Firewall da sinnvoll nutzen (überraschung, deshalb kennt Windows ja mehrere Zonen...). Aber selbst mit aktiver Firewall würde ich überlegen ob ich die so ins Firmennetz lassen will oder ob da nen anderes Segment ggf. mehr Sinn macht. Denn schön das die Firewall aktiv ist, nur das Herr Meyer und Frau Müller im Aussendienst abends im Hotelzimmer trotzdem die Hoppelwestern angucken wollten und diese Seiten sind natürlich immer völlig Virenfrei... Und die 17 USB-Sticks die irgendwo ins System gelangt sind - hey, die sind doch sauber, hat man ja vorher extra nochmal mit nem Desi-Tuch abgewischt... (und wenn USB geblockt ist dann halt dasselbe für Datenübertragung via Bluetooth, Netzwerk,... weil ja Kunde XYZ die Powerpoint mit aktiven Macros unbedingt rübergeben sollte). Und spätestens wenns dann die GL-Ebene ist dann haben ja doch eher wenige ITler den Ar... in der Hose zu sagen "nö, du auch nich" (und am Ende auch nicht die Autorität dafür). Hier würde ich (eben entsprechendes Budget und Firmengrösse vorausgesetzt) überlegen ob ich die Rechner nicht soweit isoliere das die nur auf ner RDP-Ebene arbeiten (und von aussen halt via VPN) wenn das möglich ist... Und auch hier kommts eben dann drauf an - ich hab auch schon Vertriebler gesehen die leider die Präsi nich halten konnten weil die eben keine Berechtigung hatten in fremde Netze zu gehen -> doof wenn der Beamer/Display/... dann per Wifi angebunden ist... Macht nen sehr guten Eindruck wenn die Präsi dann übers Notebook-Display stattfindet (gibt nen schönes 90er Feeling), nur das man sich dann schon überlegt wie dann wohl die Techniker beim Support vor Ort den Job erledigen sollten...
ThePinky777
ThePinky777 22.05.2024 um 17:48:03 Uhr
Goto Top
Zitat von @maretz:

Blöd nur das eben die Lösung nicht immer passt -> der TO hat hier ja u.a. nix über den Betrieb gesagt. Eine Entwicklerbude hat eben ggf. andere Anforderungen als eine 08/15-Arztpraxis. Is halt nur blöd wenn man nen Listener programmieren will/muss der aber dann nich listen kann weil die Firewall da mal wieder im Weg ist (und wenn jeder Anwender die eh nach Lust und Laune abschalten kann dürfte es wohl relativ naheliegend sein das die eh nich lange an ist oder der Anwender eh nur auf den "Mir egal, mach hin"-Button drückt). Oder wenn der Sysadmin eben grad mal mittels nmap nen Scan machen will aber die lokale Firewall eh erstmal die hälfte der Ports wegblockt...


Hab ich oben geschrieben:

und zwar wenn man ganz ganz faul ist macht man auf der Client Firewall:
Client >> Server VLAN alle Ports erlaubt
Server VLAN >> Client VLAN alles erlaubt
Client << Incoming Client VLAN alles geblockt

somit kann kein Client den anderen angreifen und clients untereinander haben auch nix zu kommunizieren.
Vor allem SMB Protokoll also quasi der Freigabe Dienst ist von MS tradiditionel anfällig auf Zero Day Bugs...
Aber eben auch Remote Registry usw...

Und als Admin kannst dich auch auf nen Server einloggen und von dort dann aber die Clients Managen.
in dem fall deinen nmap Scan machen.

und wenns wirklich entwickler sind, und du die im LAN duldest, kannst immernoch überlegen im AD seperate OUs für normale Clients und Entwickler clients zu erstellen und dann halt 2 verschiedene GPOs machen was firewall settings betrifft... kein mega aufwand... dann haste halt die entwickler PCs noch client to client mässig erlaubt...
aber ich würde sowas bei mir im LAN nicht dulden... am besten auch noch network bridges dulden oder wie?
Und weils ja so wichtige entwickler sind können sie gleich nen eigenen accesspoint reinstellen der auch alle sicherheitschecks umgeht am besten mit WLAN Aktiviert und passwort Firmenname1234....

(sorry falls ich ironisch klinge)
kpunkt
kpunkt 22.05.2024 um 18:38:31 Uhr
Goto Top
Zitat von @commodity:
Dort gibt es meist nicht einmal ein Sicherheitskonzept
Ja, wenn da gar nix ist, dann ists immer Käse. Aber dann ists auch egal, was da läuft oder was nicht. Besser noch auf die Windows-Firewall setzen. Da hast du recht.
Kenn ich auch, solche Läden. Haben leider selbst so einen aufgekauft und ich muss mich jetzt nach drei Jahren immer noch mit rumärgern, weil man dann immer wieder etwas findet.
Ohne Doku ist alles nichts.
Andererseits kenn ich da halt auch andere, die da schon alles mitmeißeln, was die da verunstalten. Und da kann mans nachvollziehen.
maretz
maretz 22.05.2024 aktualisiert um 20:28:30 Uhr
Goto Top
Zitat von @ThePinky777:

und wenns wirklich entwickler sind, und du die im LAN duldest, kannst immernoch überlegen im AD seperate OUs für normale Clients und Entwickler clients zu erstellen und dann halt 2 verschiedene GPOs machen was firewall settings betrifft... kein mega aufwand... dann haste halt die entwickler PCs noch client to client mässig erlaubt...
aber ich würde sowas bei mir im LAN nicht dulden... am besten auch noch network bridges dulden oder wie?
Und weils ja so wichtige entwickler sind können sie gleich nen eigenen accesspoint reinstellen der auch alle sicherheitschecks umgeht am besten mit WLAN Aktiviert und passwort Firmenname1234....

(sorry falls ich ironisch klinge)

Moin,

darf ich mal fragen wie oft du schon wirklich Software entwickelt hast (also nich den 3zeiler oder das copy und paste power-shell-script)ˋ? Denn ich kann dir versichern, die Entwickler wären oft gar nicht traurig zu sagen "sorry, geht nich, die IT verbietet das". Denn grad listener sind oft nervig zu programmieren - weil man ja jeden Müll abfangn muss wenn da doch mal wieder irgendwer einfach stumpf in die Schnittstelle kübelt. Das dumme nur: Oft sagt dir der Kunde wie das zu laufen hat - und schon hast du es irgendwie zum laufen zu bekommen.

Und du wirst dich wundern was da oft benötigt ist - zB. Datenbank-Serverzugänge (oder würdest du als Kunde wollen das der Entwickler seine Software gegen deine Prod-DB testet? Ich wäre jetzt irgendwie nich sooo begeistert). Schon hast du da aber die Frage was und wo gespeichert werden darf - nicht jeder Kunde will zB. seine Kundendaten beim Entwickler einfach mal so ins Netz gestellt haben. Oder den Zugriff auf repositorys (sei es GIT, CVS, SVN - oder eben zB. interne Repositorys wie Maven weil nicht jede Firma plötzlich mal deren Software irgendwo in öffentliche Repos kippen will - und ganz sicher will weder der Admin noch der Entwickler die Daten per USB-Stick von Rechner zu Rechner tragen bzw. auf Fileshares arbeiten und sich mit Versionierung rumprügeln).

Und Entwickler sind nur EIN Beispiel von Rechnern die ggf eh besonders behandelt werden ... Und ganz ehrlich - das gute ist was du in dem Moment in "deinem" Netzwerk dulden möchtest spielt idR. nur dann eine Rolle wenns deine Firma ist. Ansonsten solltest auch dir dir darüber klar sein das es nicht DEIN Netzwerk ist und das nicht der Admin entscheidet was geht oder nicht - sondern die Firmeninteressen. Leider glauben viele ITler die leben im Elfenbeinturm und nur was durch deren gnädige Güte erlaubt wird darf passieren (sorry wenns ironisch klingt) - und vergessen dabei das die FIRMENINTERESSEN entscheiden (und die legt idR. der Inhaber/Vorstand/GL/.. fest). Ob die IT damit immer glücklich ist spielt dabei keine Rolle (und auch ich kann nicht immer jede Entscheidung nachvollziehen oder gut finden!). Am Ende gilt aber die alte Weisheit: Wer zahlt bestimmt was gespielt wird - gilt für die nächste Feier genauso wie im Office. Und keine Ahnung wie es dir geht - ICH werde am Ende des Monats bezahlt. Und die Summe die unten steht ist jetzt nicht sonderlich davon abhängig ob alles immer läuft wie ich es will oder nicht, auch bei DER Summe gab es eben nen Mittelweg zwischen dem was ich und was der chef wollte ... ;)
commodity
commodity 22.05.2024 um 23:23:34 Uhr
Goto Top
Also ich finde, wir haben das ganz gut rausgearbeitet.
Es gibt solche Fälle und andere. Und es gibt den Regelfall. Und Abweichungen von der Regel.

Am Ende ist die PC-Firewall also verzichtbar, wenn man spezifische Anforderungen hat und die in ein ebenso spezifisches Sicherheitskonzept verpackt, welches man auch aktiv umsetzt. Ansonsten bleibt die Firewall aktiv.

Es sei denn, man hat das nicht zu entscheiden face-big-smile

Viele Grüße, commodity
11020714020
11020714020 23.05.2024 um 06:47:26 Uhr
Goto Top
Die Aussagen zur Softwareentwicklung finde ich persönlich schon etwas verwunderlich.

Ich frage mich hier ja des Öfteren, ob überhaupt ein common sense darüber besteht, was in der heutigen Zeit die "Minimalanforderungen" an Sicherheit sind.

Um das mal am Beispiel Softwareentwicklung:

Was genau sollte denn der Grund sein, dass diese nicht in einer eigenen Umgebung läuft, für die eigene Sicherheitsrichtlinien gelten? Und was genau muss der Softwareentwickler den "Administratoren" dieser Umgebung vorschreiben, wie deren Netzwerk auszusehen hat? Gibt es einen einzigen Grund, dass ein Listener auf einem fixen Port lauschen muss? Wieso sollte eine Entwicklungsumgebung nicht getrennt von Test und Produktion sein? Was genau sind denn dafür die jeweils harten Facts?

In den meisten Fällen ist es eher Bequemlichkeit oder da in der Softwareentwicklung nicht selten Security erst hinterher bedacht wird, da die "plötzlich" bei Kunden nicht läuft, da deren Netze eben anders aufgebaut sind, die Ports ggf. schon belegt sind, tatsächlich Security umgesetzt ist. usw. usf.

Zu guter Letzt nochmal die Frage: Gibt es überhaupt einen common sense über "minimale Sicherheit" in den Unternehmen oder steht die auch schon zu Disposition?
ThePinky777
ThePinky777 23.05.2024 aktualisiert um 10:58:46 Uhr
Goto Top
Zitat von @maretz:

Leider glauben viele ITler die leben im Elfenbeinturm und nur was durch deren gnädige Güte erlaubt wird darf passieren (sorry wenns ironisch klingt) - und vergessen dabei das die FIRMENINTERESSEN entscheiden (und die legt idR. der Inhaber/Vorstand/GL/.. fest). Ob die IT damit immer glücklich ist spielt dabei keine Rolle (und auch ich kann nicht immer jede Entscheidung nachvollziehen oder gut finden!). Am Ende gilt aber die alte Weisheit: Wer zahlt bestimmt was gespielt wird - gilt für die nächste Feier genauso wie im Office. Und keine Ahnung wie es dir geht - ICH werde am Ende des Monats bezahlt. Und die Summe die unten steht ist jetzt nicht sonderlich davon abhängig ob alles immer läuft wie ich es will oder nicht, auch bei DER Summe gab es eben nen Mittelweg zwischen dem was ich und was der chef wollte ... ;)

ajajaj sehr überheblich... ist kein problem ich werde dem Geschäftsführer einfach aufzeigen wie die letzten 3 grossen firmen in der nachbarschaft hops gegenagen sind und ihn schriftlich die bestätigung geben lassen das er gerne riskieren möchte der nächste zu sein. du glaubst garnicht wie schnell dein wunsch dann in der mülltonne verschwindet. weil heutzutage darf man sich keinerlei fehler mehr erlauben, was security angeht.
ich weiss das das den entwicklern wurst ist, aber "wünsch dir was" ist schon längst abgelaufen, seit 3 jahren...
ausserdem wollen ja die chefs meist das man ISO 27001 erfüllt, das bekommst du mit deiner methode nicht hin.
da reicht dann auch der wink mit dem zaunpfahl das er sich dann die nächste zertifizierung in hintern stecken kann.

langer rede kurzer sinn, es gibt immer eine lösung und nur weil es etwas komplexer wird bedeutet es nicht das man es nicht machen sollte.

und zu deiner info ich hab schon in unternehmen gearbeitet wo eben 9000 clients im netzwerk waren, aber auch high security bereiche mit banken schnittstellen und aber auch aktuell elektronik dienstleister und betreue hier die entwickler... komisch die können alle arbeiten....
somit netzwerk listener, ich hab selbst schon so software programmiert und wie oben erwähnt kann man gewisse exceptions erstellen, aber warum soll ich so unflexibel sein und alles aufmachen auch für die produktions rechner, auch für die office mitarbeiter und alle eben, nur weil der 1 entwickler ne sonderlocke braucht, dann bekommt er die eben auch, ABER NUR ER. Und hier muss man als IT ein konzept haben was dies auch ermöglicht. Wenn deine IT sowas nicht hat, tja ist wohl dein Pech. Ich hab es oben erläutert.

Und wenn die Entwickler eben mega unsecuren müll durchziehen wollen, dann sponsort die IT ihnen eben entwicklungs PCs, die können sie in ihrem extra Netzwerk vergewaltigen wie sie wollen, neben dran bekommen sie einen Office client mit dem sie ihre Office sachen erledigen. Meist waren die Entwickler skeptisch, aber anschliessend gott froh, weil sie konnten sich IMMER drauf verlassen das ihr Office PC funktionierte, und der Preis dafür Daten per USB zu transferieren, ist gering...

wenn man natürlich sämtliche security nicht beachtet und auch nicht in seine entwicklungen einbaut, daraus resultierend entsprechend den flickenteppich an unsecurem zeug hat aufm markt... ja dann kann man natürlich auf sowas pfeifen... Aber erzähl das besser nicht den Kunden für die du entwickelst, ansonsten könnte schon bald der laden auch dicht sein...
kpunkt
kpunkt 23.05.2024 um 11:10:12 Uhr
Goto Top
Zitat von @ThePinky777:

ausserdem wollen ja die chefs meist das man ISO 27001 erfüllt, das bekommst du mit deiner methode nicht hin.
[...]
und zu deiner info ich hab schon in unternehmen gearbeitet wo eben 9000 clients im netzwerk waren, aber auch high security bereiche mit banken schnittstellen und aber auch aktuell elektronik dienstleister und betreue hier die entwickler... komisch die können alle arbeiten....

Und genau das versteh ich persönlich unter "Elfenbeinturm".
Die Realität sieht meiner Erfahrung nach komplett anders aus.
Der Hauptaugenmerk bei so ziemlich allen Unternehmen, die ich kenne, liegt nicht auf dem Funktionieren einer 27001-IT. Wenn überhaupt, dann orientieren die sich an 9001. IT soll im besten Fall nix kosten und die "wirklichen" Angestellten sollen in ihrer Arbeit nicht gestört werden.

Abr das entwickelt sich wohl leider wieder zu einem Hätschel-das-Ego-Thread...
ThePinky777
ThePinky777 23.05.2024 aktualisiert um 11:25:52 Uhr
Goto Top
versteh mich nicht falsch ISO 27001 kannste als Tioletten papier benutzen genauso wie ISO 9001
das hat NULL mit Security zu tun, ist aufgenwischerei, wenn man umgehen will wird man wege finden.
ich habe einige unternehmen gesehen und weiss wovon ihr rede.
Und es kommt nicht von der IT das man ISO 27001 will, wer will sich schon bei jedem furz kontrollieren lassen?
Das kommt IMMER von der Geschäftleitung.
Weil es kommt von den Kunden, die es als Anforderung bei ausschreibungen haben.
Erfüllt man das nicht bekommt man den Auftrag nicht.

ABER es gibt nun mal mindest basics was sicherheit angeht, und die sollte man einhalten, heutzutage gibts keinen spielraum mehr.
Bedeutet kurz und knapp:
Ein PC besucht ne webseite, Torjaner im RAM weil User zu doof...
Remote session durch Hacker diese installieren sich permanent.
Verschaffen sich dann langsam, haben dann ja die Zeit der welt zugriff auf alle systeme, Letheral Movement.
Ziehen alle Daten der Firma ab komplett.
Und warten 6 monate, anschliessend verschlüsselung der kompletten firma.
Admin denkt ich bin schlau und hab ein Backup... tja was bringt dir ein Backup das älter als 6 Monate ist????
Build from the scratch, UND keine Ahnung über die aktuellen daten wie offene rechnungen oder sonstiges die dein unternehmen noch hat, und ziemlich hohe wahrscheinlichkeit für insolvenz dann... wenn du nicht mehr weist was deine verpflichtungen sind, oder deine forderungen....
Aber angenommen man bekommts hin, wird die firma mit dann anschliessend erpresst mit den abgezogenen daten, die konkurrenz interessiert sich immer für kostenkalkulation der konkurenz... bedeutet dein geschäftsmodell ist hinfällig da die konkurzenz deine angebote auskontern kann... usw... ggf. verlust von know how das die konkurenz dann gerne aufgreift... und somit bist du nicht mehr unantastbar... und somit insolvent.

so sieht die sachlage aktuell aus, wer gehackt wurde - ist schon mit einem bein im Grab.
klar kann einem das wurst sein... gesunde und langfristige einstellung ist das aber nicht.
maretz
maretz 23.05.2024 um 13:02:57 Uhr
Goto Top
Zitat von @11020714020:

Die Aussagen zur Softwareentwicklung finde ich persönlich schon etwas verwunderlich.

Ich frage mich hier ja des Öfteren, ob überhaupt ein common sense darüber besteht, was in der heutigen Zeit die "Minimalanforderungen" an Sicherheit sind.

Um das mal am Beispiel Softwareentwicklung:

Was genau sollte denn der Grund sein, dass diese nicht in einer eigenen Umgebung läuft, für die eigene Sicherheitsrichtlinien gelten? Und was genau muss der Softwareentwickler den "Administratoren" dieser Umgebung vorschreiben, wie deren Netzwerk auszusehen hat? Gibt es einen einzigen Grund, dass ein Listener auf einem fixen Port lauschen muss? Wieso sollte eine Entwicklungsumgebung nicht getrennt von Test und Produktion sein? Was genau sind denn dafür die jeweils harten Facts?

Einen Grund - ganz einfach -> Vorgabe vom Kunden, Standards,... gibts viele. Nehmen wir an deine Software will (im einfachen Fall) Mails empfangen die dann verarbeitet werden. Klar KANNST du jetzt wahrlos irgendeinen Port wählen -> du musst nur dann im dümmsten Fall den weltweiten Servern erklären warum du deinen Dienst auf Port 26 statt 25 (nehmen wir mal an ohne SSL) laufen lässt. Viel Spass... Ganz davon ab ist es doch unabhängig ob du nun Port 25, 10025 oder sonstwas nimmst - wenn die Firewall erstmal alles blockt (was ja generell Sinn macht wenn man ne FW schon nutzt) ist das geblockt.


In den meisten Fällen ist es eher Bequemlichkeit oder da in der Softwareentwicklung nicht selten Security erst hinterher bedacht wird, da die "plötzlich" bei Kunden nicht läuft, da deren Netze eben anders aufgebaut sind, die Ports ggf. schon belegt sind, tatsächlich Security umgesetzt ist. usw. usf.

DAS halte ich mal für ne gewagte Aussage. Zumal - wie oben angemerkt - oft dies die Anforderungen sind. Ob du den Port jetzt konfigurierbar machst - über nen Frontend, ne Ini-File oder wie auch immer - ist davon unabhängig. Grade Schnittstellen laufen nunmal idR. auf Servern die irgendwoher Daten bekommen, da sagt dir der Kunde (oder der Standard) schon was du tun sollst..


Zu guter Letzt nochmal die Frage: Gibt es überhaupt einen common sense über "minimale Sicherheit" in den Unternehmen oder steht die auch schon zu Disposition?

Himmel - nen bisserl pathetischer und du kannst in Hollywood anfangen... Ich könnte das ganz aber ja auch mal umkehren: Wenn du nur auf Sicherheit gehst und damit aber die Firma / die Mitarbeiter den Job nicht mehr sauber erledigen können und die hälfte der Zeit sich mit dem System rumschlagen -> wer glaubst du eigentlich bezahlt dich? Deshalb sind halbwegs kluge Leute immer darauf bedacht einen Mittelweg zu finden... Is ganz einfach: Du kannst dir auch draussen nen (geschützlosen) Panzer als Alltagswagen hinstellen - damit bist du bei jedem Auffahrunfall auf der sicheren Seite... wenn du dann aber Parkplatzsuche, Treibstoffkosten usw. dagegen rechnest wirst du ggf. auf die Idee kommen das es zwar nen guter Schutz wäre aber trotzdem nicht sinnvoll...
ThePinky777
ThePinky777 23.05.2024 um 15:25:54 Uhr
Goto Top
Zitat von @maretz:


um es mal kurz zu machen, was hindert dich deiner IT mitzuteilen was deine anforderungen sind?
z.B. mein Client muss auf Port 25 Listenen können.
Oder ich muss Server mit der IP XYZ auf Port 25 erreichen können (selbst im Internet) weil ... bla bla bla....

Ich bezweifel das ein IT Mitarbeiter damit dann ein Problem haben wird eine Exeption zu machen.
Obs in der Infrastruktur Firewall oder Client Firewall wäre...
Aber die bequemlichkeit es überhaupt beantragen zu müssen... das ist ja der wahre grund für die diskussion hier.
Deiner meinung nach muss es so laufen:
- Client alles erlaubt
- Internes LAN ins Internet allow any Rule
Den nur dann ist der Entwickler glücklich, und admin rechte am client sowieso...
Bitte auch den virenscanner lokal deaktivieren weil schluckt performance... "ich weiss was ich tu"

Und woran liegt das verhalten genau? das man seine aufgaben nicht zeitlich planen kann? keine zeit hat 5 minuten ne email zu schreiben?

sorry ich hab da kein verständnis für...
Ich war IT Leiter und bin IT Security/Infrastruktur Spezialist, würde ein Geschäftsführer mit solchen geschichten zu mir kommen, bekommt er als erstes eine Email wo er mir schriftlich bestätigt das er über die risiken informiert wurde und die volle verantwortung übernimmt. wenn er das dann immernoch so haben will mach ich es, und wenns knallt drück ich ihm nett die tastatur und maus in die hand und wünsch ihm viel spass beim beheben des problems.... ich muss erstaml 2 wochen überstunden abbauen gehen.... und nebenbei nen neuen job suchen weil die firma wirds ja dann nicht mehr geben...
maretz
maretz 23.05.2024 um 16:20:47 Uhr
Goto Top
Ok, ich sehe du hast die oberen Kommentare entweder nicht gelesen oder nicht verstanden, aber es zeigt ggf warum du it-leiter WARST. Ggf da auch nur die ersten 3 Wörter gehört und dann schon alles gewusst. Und der Rest- jap, wieder einer der ganz grossen Hardliner die natürlich dann den dicken vorm Chef machen und dem die Tastatur in die Hand drücken... sorry, eine Diskussion auf dem Level macht keinen Sinn, mit solchen mega-super vips ist das Zeitverschwendung, denn du hast eh die einzig wahre Wahrheit gefunden und bist der Prophet im verlorenem Lande...
ThePinky777
ThePinky777 23.05.2024 aktualisiert um 18:27:44 Uhr
Goto Top
getroffene Hunde bellen... ist mir schon klar...
Und du glaubst mir nicht das ich ihm die tastatur in die hand drücken würde, frag mal die letzte firma wo ich war.
nachdem ich dort angefangen hab und gesehen hab bin ich einfach wieder gegangen und tschüss, sind mir meine nerven zu wertvoll. lasse mich ungern verarschen, und habs nicht nötig.
hab dann 10 bewerbungen geschickt und aus 8 stellen mir dann die ausgesucht die ich wollte, zu dem gehalt das mir passte...
liegt wohl daran das ich eben kein studierter vollhonk IT Leiter war der von tuten und blase keine ahnung hat, sondern
weil ich es von der pieke her gelernt habe und mich hochgearbeitet habe, also egal welchen job in der IT schon selbst gemacht habe. daher kann mir auch kein entwickler hanebüchen erzählen wie du es hier versuchst.
hatte ne liste geschrieben welche programmier und script sprachen ich kann aber dann dacht ich mir, will mich ja nicht bei dir bewerben, daher lasse ich das mal, aber die letzten skills die ich mir noch angeeignet habe sind eigenentwicklungen im bereich forensischer datenerfassung, und automatisierter auswertung dieser, sogenannte SOA systeme...
systementwicklung und sämtliche formen der manipulation von computersystemen zum zwecke der optimalen laufumgebung in grosse netzwerken grösser als 40k Clients, hatte ich schon vor 20 Jahren gemacht...
maretz
maretz 23.05.2024 um 20:07:06 Uhr
Goto Top
Ja ja vor 20 Jahren schon der pro gewesen... dir ist schon klar das man hier sehen kann das du vor 10 jahren nich mal nen storage richtig einrichten konntest? Aber nochmal: du bist nicht willens oder nicht fähig das obere zu lesen oder zu verstehen, daher ist die Diskussion sinnlos...
11020714020
11020714020 24.05.2024 um 06:46:15 Uhr
Goto Top
Einen Grund - ganz einfach -> Vorgabe vom Kunden, Standards,... gibts viele. Nehmen wir an deine Software will (im einfachen Fall) Mails empfangen die dann verarbeitet werden. Klar KANNST du jetzt wahrlos irgendeinen Port wählen -> du musst nur dann im dümmsten Fall den weltweiten Servern erklären warum du deinen Dienst auf Port 26 statt 25 (nehmen wir mal an ohne SSL) laufen lässt. Viel Spass... Ganz davon ab ist es doch unabhängig ob du nun Port 25, 10025 oder sonstwas nimmst - wenn die Firewall erstmal alles blockt (was ja generell Sinn macht wenn man ne FW schon nutzt) ist das geblockt.

Das ist schon witzig, da Du hier als Beispiel das Ungeeigneteste verwendest, das man überhaupt nehmen kann.

Zunächst einmal sollte jeder Dienst so konfigurierbar sein, dass kein Port vorgegeben ist. Selbstverständlich sollte man jedoch, wenn man mit anderen Systemen kommunizieren muss (insbesondere wenn diese außerhalb meiner Einflusssphäre stehen), die von der IANA offiziell registrierten Ports berücksichtigen können.

Es muss dir als Softwareentwickler auf der anderen Seite egal sein, wenn ich in meinem internen Netz Dienste laufen habe, die auch bei den üblichen Protokollen von den dort üblichen Ports abweichen.

Und es hat schon Sinn, dass meine Firewall erstmal alles blockt, das ist ja gerade deren Sinn und Zweck. Wenn Du mir dagegen eine sinnvolle businessrelevante Begründung geben kannst, wieso auf der Firewall der Port X mit welcher Regel freigegeben werden soll, dann wird das sicherlich jeder Firewall-Admin auch entsprechend einrichten.

Das ist allerdings immer noch kein Grund, wieso auf allen Entwicklungsrechnern die Firewall deaktiviert werden muss. Und schon 3x keine für eine produktive Umgebung und ganz sicherlich gibt es keine Kundenanforderung (außer von völlig ahnungslosen), die ihrerseits verlangen, dass die Software / der Listener nur in einer Umgebung laufen können muss, wo Firewalls abgeschaltet sind.

Deine Argumentation steht daher auf mehr als nur wackligen Füßen und bei mir würdest Du damit garantiert weder den Auftrag für eine Softwareentwicklung noch eine für den Kauf eines Produktes bekommen. Da fehlen nämlich grundlegende Kenntnisse, wie Software auch unter Sicherheitsaspekten zu entwickeln ist und welche Aspekte dabei zu berücksichtigen sind, die aus anderen Bereichen auf sie einwirken (um es mal einfach zu halten, Netzwerktopologien und deren Absicherungen).
maretz
maretz 24.05.2024 um 07:19:33 Uhr
Goto Top
Himmel - ich hab das Gefühl lesen ist überbewertet, oder? Bitte einfach mal oben lesen und ggf. verstehen:
a) ist das nur EIN Beispiel
b) Für Leute die es mit dem Lesen nicht so haben obwohl es bereits mehrfach klar erwähnt wurde: Die Aussage ist das es von der Unternehmensanforderung abhängt ob es Sinn macht oder nicht - und der Entwicklungsrechner ist nur ein BEISPIEL. Genauso wie die Anforderung eben nur EIN Beispiel ist. Jeder darf sich auch gerne eigene überlegen.
c) Genauso KANN es natürlich Gründe geben das man die FW aktiv lässt - auch da hätte ich sicher genug Beispiele... Aber ich befürchte das es hier mit Beispielen ja nicht so ist, denn das erfordert ein wenig die Eigenschaft der Abstraktion. Ganz schwer scheinbar. Auch hier darf sich natürlich gerne jeder seine Beispiele für beide Wege (und beliebig viele dazwischen) überlegen....

Aber scheinbar gibts hier einige Ober-Admins die eben jede Anforderung kennen und deren Konzept genau auf jede Firma und Anforderung passt... Nicht schlecht, ich war bisher in einigen Betrieben und die waren idR. ziemlich unterschiedlich so das nen "universalkonzept" da irgendwie nie gepasst hat... Es war immer irgendwo ein wenig "Geschmacksrichtung A, Geschmacksrichtung B", irgendwelche Manager die gesagt habe was die möchten, Kunden die andere Anforderungen hatten,...

Für mich ist das ganze Thema hier auch beendet.
11020714020
11020714020 24.05.2024 um 07:47:56 Uhr
Goto Top
Das hat nichts mit "Ober-Admin" zu tun.

In einer vernetzten Welt gibt es nur sehr bedingt noch "Geschmacksrichtung A oder B". Das mag ja auf Funktionalitäten in den Business-Logik zutreffen oder im User-Interface, ganz sicherlich aber nicht in der Sicherheit der sie ausführenden Anwendungen / Systeme.

Das schwächste Glied in der Kette ist dann nun mal auch das, das das Gesamtsystem vulnerable macht.

Geschäftsprozesse hängen heute oft von unzähligen Dienstleistern ab, gerade deshalb ist es so wichtig, das insgesamt jeder für sich eine vernünftige Absicherung implementiert.

Es ist zunächst erstmal wichtig für sich selbst dieses Verständnis zu entwickeln und auf das eigene Handeln zu übertragen und auch die entsprechende Überzeugungsarbeit im eigenen Unternehmen zu leisten. "Manager", die das nicht verstehen, weil sie Funktionalität mit schwacher Sicherheit fordern oder glauben das eine sei nur durch schwache Sicherheit möglich, sind mE jedenfalls heutzutage fehl am Platz.

Insofern begrüße ich geradezu neue gesetzliche Regelungen wie NIS2, DORA und andere, die endlich auch die "Lieferkette" in der vernetzten Welt stärker in den Fokus nehmen. Dann bleibt eben nur noch die Wahl entweder Business oder keins.
ThePinky777
ThePinky777 24.05.2024 um 08:58:11 Uhr
Goto Top
Zitat von @maretz:

Ja ja vor 20 Jahren schon der pro gewesen... dir ist schon klar das man hier sehen kann das du vor 10 jahren nich mal nen storage richtig einrichten konntest? Aber nochmal: du bist nicht willens oder nicht fähig das obere zu lesen oder zu verstehen, daher ist die Diskussion sinnlos...

du bist langweilig...
Hyper V und VMware, mit iSCSI, FirbeChannel, oder SAS Attached Storage,
welches hättest du den gerne, Migrationen von einem aufs andere oder mixed Hyper V auf ner VM in VMware, alles schon gemacht...

wenn du es genauz wissen willst bin ich 3rd Level Virtualisierungen, Betriebsysteme (Windows, Linux), Firewalls, Switche, Software Verteilung (MSI Files erstellung, etc.), Datenbanken, Exchange, O365 Cloud Zeugs, Webserver, Active Directory, ach such dir einfach was raus.... Und was kannst du nochmal genau? Buggy unsecure Software coden, und die Firmensicherheit riskieren, mein voller respekt.
Dani
Dani 24.05.2024 um 09:11:21 Uhr
Goto Top
Moin @all,
ich denke es ist alles gesagt und wir kehren zur eigentliche Frage des Themenerstellers zurück.
Wer dazu noch etwas sagen möchte, eine Meinung hat, etc. darf diese gerne nach wie vor äußern. Die anderen Thematiken gerne in einem eigenen Thread oder per PN fortsetzen.


Gruß,
Dani (Mod)
commodity
commodity 24.05.2024 aktualisiert um 15:27:45 Uhr
Goto Top
Dani (Mod)
Besser spät als nie. Ich fand es beschämend, wie der von mir sonst geschätzte Kollege @maretz hier seine Würde zu Markte trägt. Und das für einen Randaspekt der Security...

Als ebenfalls überdurchschnittlich kompetenter Kollege könntest Du vielleicht zum allgemeinen Interesse noch anmerken, wie das denn bei Euch (Großbetrieb mit vielen unterschiedlichen Anforderungen, oder?) gehandhabt wird.

Ansonsten hatte ich gehofft, das Ergebnis eigentlich hier schon zusammen gefasst zu haben: Windows Defender Firewall per GPO deaktiviert

Viele Grüße, commodity
C.R.S.
C.R.S. 24.05.2024 um 14:54:41 Uhr
Goto Top
Quote from @commodity:

Ansonsten hatte ich gehofft, das Ergebnis eigentlich hier schon zusammen gefasst zu haben: Windows Defender Firewall per GPO deaktiviert

Leider nur in der Theorie (und zur Güte). Ein Sicherheitskonzept dient ja nicht ausschließlich der Introspektion, sondern soll irgendwie professionell verwendbar sein.
Es deckt, aufbauend auf den standardisierten Maßnahmenkatalogen, hunderte Einzelaspekte ab, deren Komplexität und Erfüllungsaufwand im Verlauf zunimmt, bis die Angemessenheitsgrenze für die Organisation erreicht ist.

Wie wahrscheinlich ist es, dass sich solch ein Sicherheitskonzept mit der Aufweitung von bereits permissiven Windows-Standardeinstellungen befasst? Dass die technischen Hürden so wesentlich sind, dass sie die regelmäßigen Diskussionen mit befremdeten Auditoren und Kunden aufwiegen, auf die man sie mit der Nase stößt? Und was nutzt die Aufzählung vermeintlicher Alternativen, wenn man damit nur belegt, dass man selbst bei absolut grundlegenden Maßnahmen eben in Alternativen denkt und das Mehrschichtigkeitsprinzip verletzt?
Man kann auch versuchen, die Entbehrlichkeit der Clean-Desk-Policy am konkreten Beispiel der Innenarchitektur und Mitarbeitergewohnheiten nachzuweisen.

Wer IT-Sicherheit jenseits etablierter Vorgehensweisen, Erwartungshaltungen und fachlicher Sozialisation anhand seiner Erfahrung jeden Tag neu auspendeln kann und wirtschaftlich hocheffizient den versierten Angreifer genau dort abpasst, wo er zu erwarten ist, der braucht diese Vorstellungen in seinem Alltag doch sehr wahrscheinlich gar nicht aufzuschreiben, geschweige denn damit Fachleute überzeugen.
Das sind keine besonderen Anforderungen, sondern besondere Freiheiten. Schon klar, dass die auch Teil der Realität in den Unternehmen sind. Aber der Versuch, ihnen in Bezug auf IT-Sicherheitspraxis einen methodischen Glanz oder Struktur zu verleihen, ist unnötig und zwecklos.
commodity
commodity 24.05.2024 um 15:34:21 Uhr
Goto Top
Verstehe ich Dich richtig? Also PC-Firewall ein, ausnahmslos?
(Und ja, es war zur Güte. Man kennt ja in der Tat nicht alle denkbaren Strukturen. Ich KU-Wurzelgnom schon gar nicht.)

Viele Grüße, commodity
Dani
Dani 24.05.2024 um 20:48:19 Uhr
Goto Top
Moin,
Besser spät als nie
A) Wir können nicht alle Beiträge und Kommentare pro aktiv zeitnah anschauen. Das ist einfach inzwischen nicht mehr möglich. B) Es gibt eine offizielle Meldefunktion. Diese sollte immer benutzt werden. Es nutzt nichts mir die PN Box vollzuschreiben, wenn ich einfach 2-3 Tage nur kurz oder gar nicht online bin.

Als ebenfalls überdurchschnittlich kompetenter Kollege könntest Du vielleicht zum allgemeinen Interesse noch anmerken, wie das denn bei Euch (Großbetrieb mit vielen unterschiedlichen Anforderungen, oder?) gehandhabt wird.
Wir nutzen auf den Windows Clients und Windows Server den Windows Defender Firewall - old school. Diese können natürlich im Rahmen der Fehlersuche temporär deaktiviert werden. Aber grundsätzlich löst bei uns eine deaktivierte Firewall einen Alarm aus. Da gab es schon einige Kuchen, aber auch Abmahnungen.

Das Regelwerk wird über GPO/UEM vollständig gepflegt. Es können lokal keine weiteren Regeln angelegt werden. In den Regeln selber, werden natürlich IP Beschränkungen vorgenommen. Um so die Angriffsfläche zu minimieren.

Das Ganze ist ein Teil eines großen Sicherheits-Puzzles im Unternehmen. Es trägt ein kleinem, aber für uns wichtigen Teil bei, um eine möglichen Angriff zu minimieren. Was wiederkehrend, laufend weiterentwickelt und angepasst wird. War lange Zeit nicht so. Aber nachdem wir vor ein paar Jahren mit 2 blauen Augen davon gekommen sind, hat man auch im Management erkannt, dass mehr zu tun ist.

Es ist als Mitarbeiter natürlich immer ein leichtes Dinge zu hinterfragen, anzukreiden, etc. Aber wer Führungskraft, leitender Angestellter, etc. ist, weiß dass es viel zu tun gibt um besser zu werden. Man kann sich aber nicht um alles kümmern, sondern muss abwägen und evtl. delegieren. So lange du also nicht die Verantwortung dafür trägst, ist es wie es ist. Ob du persönlich damit klar kommst, musst du dir klar werden.


Gruß,
Dani
C.R.S.
C.R.S. 24.05.2024 um 21:16:59 Uhr
Goto Top
Quote from @commodity:

Verstehe ich Dich richtig? Also PC-Firewall ein, ausnahmslos?

Wenn man eine Sicherheitsorganisation nach außen vertreten muss, oder im Eigeninteresse sollte man sie meines Erachtens einschalten.

Dein Punkt ist immer relevant: Es gibt immer Defizite, die in einem Sicherheitskonzept behandelt werden müssen.
Das ist mehr als genug Gesprächsstoff. Wie oben schon gesagt: Der sollte sich aber in den oberen 20% (oder 10, 30, 40, was der Anspruch ist) möglicher Maßnahmen befinden, nicht den unteren.

Ein Prüfkatalog ist eine Kaskade: Sind die lokalen Firewalls aktiviert? Sind sie auch schön konfiguriert? Zeigen Sie mal die Konfiguration! Will ich da im ersten Anlauf stolpern, wenn mit jeder dieser Fragen die Zahl der Prüfer, die sie stellen, abnimmt?

Das ist nicht nur Opportunismus, um durch Audits zu kommen, sondern ist, wie die Maßnahmenkataloge selbst, fachlich verankert. Denn was macht eine nach gängiger Auffassung grundlegende Maßnahme aus:

  • Sie ist im Allgemeinen einfach umzusetzen. Wenn das bei mir anders ist, muss ich darüber gesondert nachdenken.

  • Sie ist für sich genommen nur begrenzt wirksam. Also die Folgerung, dass ich einfache Maßnahmen schon deshalb sein lassen kann, führt in die Irre.

  • Sie sind nicht vollkommen ersetzbar. "Defense-In-Depth" hat ihre Berechtigung und lässt die Diskussionen "ja, wir machen dies nicht, aber dafür jenes" sehr schnell zäh werden - umso mehr, wenn "dies" förmlich auf der Straße liegt.

  • Vor allem: Ihr Unterlassen ist, aufgrund ihres geringen Erfüllungsaufwands, einem korrelierten Phänomenbereich zuzuordnen. Es ist natürlich denkbar, dass intern Port-Isolation verwendet wird, dass das Regelwerk der dedizierten Firewall umso feiner ist, dass es definierte Konfigurationen für das öffentliche und private Netzwerkprofil gibt, und dass die Server-Dienste, die von der Windows-Firewall nicht gestört werden dürfen, akribisch dokumentiert sind. Es ist nur nicht sehr wahrscheinlich.

Also auch wenn jemand das Deaktivieren der Windows-Firewall nach allen Regeln der Kunst in ein formell ordentliches Sicherheitskonzept einbettet, bleibt der Nutzen dieses Argumentationsaufwandes begrenzt. Entweder, es interessiert niemanden, wie vermutlich im Fall des Arbeitgebers des Fragestellers, oder die Begründung muss durch die Konventionen geprüfter IT-Sicherheit tragen.
commodity
commodity 24.05.2024 um 22:12:57 Uhr
Goto Top
Danke Euch beiden. Ich finde, das war nochmal sehr wertvoller Input und damit kann der TO auch etwas anfangen.
Und wie so oft: Die Könner bleiben ganz locker einfach sachlich. Die Welt könnte so schön sein...

@Dani, das mit der Moderation ist mir klar und war nicht so ernst gemeint. Wenn es zu krass wird, melde ich das. Gerade, wenn es andere betrifft. Hier war es a) an der Grenze und b) war es faktisch Selbstverletzung (und ich habe die Eskalation auch erst spät gelesen). Ihr leistet sehr gute Arbeit - auch in diesem Punkt. Danke!

Viele Grüße, commodity