visucius
Goto Top

MS-Netzwerke absichern - Tipps

Nicht erschrecken, ich bin da nicht der richtige Ansprechpartner ... aber Golem hat hier ne lustige Liste mit einigen MS-eigenen Tools und Tricks:

https://www.golem.de/news/microsoft-netzwerke-das-grosse-security-desast ...

Microsoft-Netzwerke sind leider inhärent unsicher. Es gibt eine Lösung, wie man sich vor Angriffen schützen kann. Warum sie so gut versteckt ist, weiß wohl nur Microsoft allein.(Zitat aus dem Artikel-Anriss)

(Natürlich nur für Foren-Newbies und Externe ... die Hautevolee des Forums kennt das selbstredend schon alles)

­čśë

Content-Key: 61649476230

Url: https://administrator.de/contentid/61649476230

Printed on: December 1, 2023 at 06:12 o'clock

Member: Lochkartenstanzer
Lochkartenstanzer Nov 21, 2023 at 12:49:06 (UTC)
Goto Top
MS-Netzwerke absichern ist doch trivial! Einfach den Strom, das Dieselaggregat und die USVs abstellen. face-smile

lks
Member: Coreknabe
Coreknabe Nov 21, 2023 at 12:52:59 (UTC)
Goto Top
Sehr schön, danke für den Link! face-smile

Gruß
Member: Visucius
Visucius Nov 21, 2023 updated at 12:58:38 (UTC)
Goto Top
@Lochkartenstanzer
Und das Vorgehen wäre auch prima fürs Klima ... nicht nur in der Firma ­čśé
(Was sich reimt ist "doppeltgut"!)

Wo ist eigentlich der Vernebelte, wenn ich hier so ne Lyrik von mir gebe?

@Coreknabe
Fand ich auch, bis ich feststellte, dass die Liste ja sooo lang gar nicht ist, sondern sich eher an MS abarbeitet. Vielleicht können einige hier in den Comments noch weitere Tipps ergänzen.
Member: MrHeisenberg
MrHeisenberg Nov 21, 2023 at 13:58:07 (UTC)
Goto Top
Danke für den Beitrag, spannend zu Lesen
Member: watIsLos
watIsLos Nov 21, 2023 updated at 15:21:45 (UTC)
Goto Top
Ein kleiner Sicherheitstipp auch von mir:
Per default immer das „Debuggen von Programmen“ deaktivieren bzw. alle Benutzer hier aus der Liste rausnehmen. Fast alle Tools die Hashes auslesen benötigen dieses Privileg, ist debuggen nicht möglich dann gibt es auch kein abgreifen vom Arbeitsspeicher, per RDP etc.

Probiert es einfach mal selber aus z.B. mit so eine Werkzeug wie. „mimikatz“ ...das auslesen wird danach nicht mehr funktionieren.
debug
Member: SeaStorm
SeaStorm Nov 21, 2023 at 17:46:23 (UTC)
Goto Top
Zitat von @watIsLos:

Ein kleiner Sicherheitstipp auch von mir:
Per default immer das „Debuggen von Programmen“ deaktivieren bzw. alle Benutzer hier aus der Liste rausnehmen. Fast alle Tools die Hashes auslesen benötigen dieses Privileg, ist debuggen nicht möglich dann gibt es auch kein abgreifen vom Arbeitsspeicher, per RDP etc.

Probiert es einfach mal selber aus z.B. mit so eine Werkzeug wie. „mimikatz“ ...das auslesen wird danach nicht mehr funktionieren.

Das hält einen Angreifer aber nicht wirklich auf. Für Debugging braucht er lokale Adminrechte. Wenn er Admin ist, kann er auch zum System werden. Und dem System kannst du die Debugging Rechte nicht wegnehmen. Von daher ja: Schadet nicht das zu nutzen (mache ich auch), aber wirklich was bringen tut das nicht.
Member: HansDampf06
HansDampf06 Nov 21, 2023 at 18:37:34 (UTC)
Goto Top
Ich sehe noch eine Nebenwirkung der MS-Misere:
Wer sich entschließt, Microsoft den Rücken zu kehren, ist bei einem existierenden MS-Netzwerk schlichtweg gezwungen, sukzessive zu Linux zu migrieren - hundertprozentig ist das wegen unverzichtbarer, aber nur für Windows verfügbarer Software (z.B. Administration von Peripheriegeräten) ohnehin nicht möglich und erhöht das Kopfzerbrechen bei der Suche nach dem/den passenden Migrationsweg(en). Deswegen wird es regelmäßig so sein, dass das bisherige Windows-AD weiterhin fortbesteht und nunmehr "lediglich" auf Samba-DC's gehostet wird. Die im verlinkten Artikel beschriebenen Angriffsvektoren bleiben also vollauf bestehen und es ist die große Frage, inwieweit die von Microsoft unter Windows vorgesehenen Sicherheitsmaßnahmen äquivalent unter Linux umsetzbar sind. Immerhin geht Linux bei den originären/lokalen Benutzer-/Gruppenkonten einen anderen Weg, der sich nicht direkt über das Active Directory steuern lässt - das unter anderem deshalb, weil es (bisher) keine direkte GPO-Funktionalität unter Linux in diesem Sinne gibt. Vielmehr werden per Winbind die AD-Konten nach Linux "portiert/gemappt" ...

Freilich: Ein Berechtigungssystem, das ein Client-/Server-Hopping für einen Angreifer erschwert, hat im ersten Ansatz nichts mit Microsoft zu tun, sondern mit dessen vernünftiger Ausgestaltung.

Viele Grüße
HansDampf06
Member: watIsLos
watIsLos Nov 21, 2023 updated at 21:21:37 (UTC)
Goto Top
@SeaStorm

Grundsätzlich sollte man trotzdem alles deaktivieren was man nicht braucht, wie in meinem Beispiel.
Das heißt, dem Eindringling so schwer wie möglich machen, auch wenn es nur eine Frage der Zeit ist, bis er schließlich weiterkommt...

Solange der Angreifer nur den User infiltriert ist noch alles offen, sobald er lokale Admin-Rechte hat wird es schon blöd. Aber spätestens wenn der Supporter mit einem Domain-Admin kommt um Frau Müller zu helfen ist das Spiel vorbei.
Member: Coreknabe
Coreknabe Nov 22, 2023 at 08:29:02 (UTC)
Goto Top
@Visucius
Fand ich auch, bis ich feststellte, dass die Liste ja sooo lang gar nicht ist, sondern sich eher an MS abarbeitet.

Nicht unverdient, oder? Die Punkte sind ja nicht von der Hand zu weisen.

Grundsätzlich, meine Meinung: Gegen automatisierten Kram kann man sich noch relativ gut schützen. Wenn es aber ein Angreifer direkt auf ein Ziel abgesehen hat oder gar staatliche Stellen dahinter stecken, sind wir mal ehrlich, haben die allerwenigsten bis niemand wirklich eine Chance. Hab mal gelesen, dass es sogar bei größeren Unternehmen bis zu 9 Monate (!) dauert, bis die entdecken, dass sich da jemand im Netzwerk rumtreibt, der da nix zu suchen hat. Und das hat nicht immer etwas mit gravierender Inkompetenz zu tun.
Problematisch an der Sache ist neben dem Knowhow auch die (Wo-)Manpower. Wir bräuchten mittlerweile eigentlich eine volle Stelle für jemanden, der sich nur um Netzwerk und Sicherheit kümmert. Ist aber nicht drin, was ich aus Sicht der Geschäftsführung sogar verstehen kann, jemand, der das wirklich beherrscht ist teuer / nicht verfügbar / hat auch mal Urlaub / ist auch mal krank.
So bleiben Mädchen für alles mit Spezialkenntnissen an der einen oder anderen Ecke, nicht immer alles optimal umgesetzt, anders geht's für uns nicht.

Zum eigentlichen Thema, aus meiner Sicht die wichtigsten Dinge:
  • Patchen! Windows Updates mache ich, sobald verfügbar. Ja, mögliche Probleme sind mir bekannt, weil MS sich keine QM mehr leisten kann. Andere eingesetzte Software dabei im Blick behalten.
  • Antivirus mit EDR / XDR
  • Monitoring
  • Wer es abdecken kann, SIEM, was natürlich auch gewartet und kontrolliert werden muss
  • VLANs
  • Geoblocking, wo immer möglich. "Schurkenstaaten" rigoros blocken. Hat bei uns die Zahl der (sichtbaren) ungewünschten Kontaktanfragen deutlich verringert
  • Anwendersensibilisierung

Gruß
Member: watIsLos
watIsLos Nov 22, 2023 at 09:20:20 (UTC)
Goto Top
@Coreknabe

"Wir bräuchten mittlerweile eigentlich eine volle Stelle für jemanden, der sich nur um Netzwerk und Sicherheit kümmert. Ist aber nicht drin, was ich aus Sicht der Geschäftsführung sogar verstehen kann,"


Jo, genau das Gleiche bei uns auch!
Wenn du jemanden findest, der wirklich Ahnung von der Materie hat, dann musst du tief in die Tasche greifen.
Also bilde Dich lieber selber weiter, zumindest meine Meinung,
Member: Coreknabe
Coreknabe Nov 22, 2023 at 09:26:48 (UTC)
Goto Top
Also bilde Dich lieber selber weiter, zumindest meine Meinung

Das ist absolute Pflicht, trotzdem hat mein Tag nur 24 Stunden und mein Leben besteht nicht nur aus Arbeit, auch wenn die meistens Spaß macht face-wink

Gruß
Member: watIsLos
watIsLos Nov 22, 2023 at 09:35:44 (UTC)
Goto Top
Ich bilde mich am Wochenende oder abends weiter. Ich muss auch ehrlich sagen, dass ich keine Branche kenne, in der man sich eigentlich jeden Tag weiterbilden muss (außer in der Medizin), wie in der IT, vor allem was die Sicherheit betrifft.
Member: Dani
Dani Nov 25, 2023 at 09:36:40 (UTC)
Goto Top
@Coreknabe
Wir bräuchten mittlerweile eigentlich eine volle Stelle für jemanden, der sich nur um Netzwerk und Sicherheit kümmert. Ist aber nicht drin, was ich aus Sicht der Geschäftsführung sogar verstehen kann, jemand, der das wirklich beherrscht ist teuer / nicht verfügbar / hat auch mal Urlaub / ist auch mal krank.
Das ist immer die selbe Schleife. Teuer wird es doch, wenn wochenlang nichts geht, eine Vielzahl von Spezialisten erforderlich ist um den Schaden zu beheben. Von einem Image Verlust möchte ich gar nicht sprechen.

Zum eigentlichen Thema, aus meiner Sicht die wichtigsten Dinge:
Patchen! Windows Updates mache ich, sobald verfügbar. Ja, mögliche Probleme sind mir bekannt, weil MS sich keine > QM mehr leisten kann. Andere eingesetzte Software dabei im Blick behalten.
Antivirus mit EDR / XDR
Monitoring
Wer es abdecken kann, SIEM, was natürlich auch gewartet und kontrolliert werden muss
VLANs
Geoblocking, wo immer möglich. "Schurkenstaaten" rigoros blocken. Hat bei uns die Zahl der (sichtbaren) > > ungewünschten Kontaktanfragen deutlich verringert
Anwendersensibilisierung
Damit erschlägst du aber nicht die notwendigen Themen rund um das Härten eines AD + Services. Denn viele Angriffsvektoren, können mit der Anpassung von Services und Server vermieden werden. Das ist auch nichts was in wenigen Wochen erledigt ist. Das ist eine Daueraufgabe, welche wiederkehrend bearbeitet werden muss. Weil wie du selbst schreibst, werden Updates oder sogar neue Programmversionen installiert, welche evtl. neue Funktionen mit sich bringen.

Ich sehe es inzwischen selten, dass direkt Systeme angegriffen werden, die im Internet erreichbar sind. In den meisten Fällen bei uns im Haus, hat vorher jemand schlampige Arbeit gemacht, was dann das vermeidliche Einfalltor ist.


Gruß,
Dani
Member: Coreknabe
Coreknabe Nov 27, 2023 at 08:46:18 (UTC)
Goto Top
@Dani

Das ist immer die selbe Schleife. Teuer wird es doch, wenn wochenlang nichts geht, eine Vielzahl von Spezialisten erforderlich ist um den Schaden zu beheben. Von einem Image Verlust möchte ich gar nicht sprechen.

Das ist aus Sicht der Leitung so lange ein theoretisches Konstrukt, bis es wirklich knallt. Wenn dann noch absolute, technische Ahnungslosigkeit in der Führungsebene dazu kommt... Nichtsdestotrotz die Quadratur des Kreises: Ich muss das nötige Budget für so jemanden haben. Eigentlich bräuchte ich anderthalb Leute dafür (Krankheit / Urlaub). Ich muss erstmal jemanden finden, der das auch wirklich beherrscht. Und es geht hier nicht nur um fachliche Kompetenz. Ich muss diese Person auch halten können (ach übrigens, ich verdiene bei XY mehr, wie sieht's aus?). In meinem Fall würde der mehr verdienen wollen, als ich als IT-Leitung bekomme. Würde ich das toll finden? Ich spreche hier für mich und unseren Laden, letztlich können sich aber so ein Konstrukt nur große Unternehmen leisten und auch die werden Schwierigkeiten haben, die Leute zu finden / zu halten. In einigen Jahren wahrscheinlich egal, weil KI face-wink

Damit erschlägst du aber nicht die notwendigen Themen rund um das Härten eines AD + Services. Denn viele Angriffsvektoren, können mit der Anpassung von Services und Server vermieden werden. Das ist auch nichts was in wenigen Wochen erledigt ist. Das ist eine Daueraufgabe, welche wiederkehrend bearbeitet werden muss. Weil wie du selbst schreibst, werden Updates oder sogar neue Programmversionen installiert, welche evtl. neue Funktionen mit sich bringen.

Klar, es ist ja auch nicht immer mit der Installation des Patches getan, da braucht's ja oft noch Nacharbeit. Und wie das bei einem "lebenden System" eben ist, das ist nicht einmal gemacht und danach ist ewig Ruhe.

Ich sehe es inzwischen selten, dass direkt Systeme angegriffen werden, die im Internet erreichbar sind. In den meisten Fällen bei uns im Haus, hat vorher jemand schlampige Arbeit gemacht, was dann das vermeidliche Einfalltor ist.

Glaube auch nicht, dass Profis Interesse an jedem Pillepalle-System haben. Natürlich suchen die nach Kronjuwelen.

Gruß