Lesezeit ca. 13 Min.
arrow_back

Zum Schweigen gebracht von Mark Heitbrink


Logo von IT Administrator
IT Administrator - epaper ⋅ Ausgabe 10/2022 vom 29.09.2022
Artikelbild für den Artikel "Zum Schweigen gebracht von Mark Heitbrink" aus der Ausgabe 10/2022 von IT Administrator. Dieses epaper sofort kaufen oder online lesen mit der Zeitschriften-Flatrate United Kiosk NEWS.

Bildquelle: IT Administrator, Ausgabe 10/2022

D ie Empfehlungen des BSI sind hierzulande zweifellos der Gold-Standard in Sachen IT-Sicherheit. Doch gerade bei Windows-Clients gibt es die unterschiedlichsten Anforderungen, sodass sich durchaus ein Blick auf die Empfehlungen anderer Institute lohnt.

Security Technical Implementation Guide des DoD

Das Department of Defence (DoD) liefert mit seinem "Security Technical Implementation Guide" (STIG) eine ZIP-Datei aus, in der wir vom Betriebssystem über den Browser bis hin zu Office und sogar Adobe, Chrome und Mozilla alles finden. Im Bereich der OS-Härtung wird der Browser gerne übersehen. Dieser stellt aber das größte Einfallstor neben E-Mail im Unternehmen dar. Browser und Office haben wir in diesem Artikel bislang vernachlässigt, sind aber in der Betrachtung einer Härtung ebenfalls zu diskutieren.

Das DoD liefert fast 25 Vorlagen, da es diverse alte Betriebssysteme integriert. STIG entspricht der ...

Weiterlesen
epaper-Einzelheft 10,99€
NEWS Jetzt gratis testen
Bereits gekauft?Anmelden & Lesen
Leseprobe: Abdruck mit freundlicher Genehmigung von IT Administrator. Alle Rechte vorbehalten.
Lesen Sie jetzt diesen Artikel und viele weitere spannende Reportagen, Interviews, Hintergrundberichte, Kommentare und mehr aus über 1050 Magazinen und Zeitungen. Mit der Zeitschriften-Flatrate NEWS von United Kiosk können Sie nicht nur in den aktuellen Ausgaben, sondern auch in Sonderheften und im umfassenden Archiv der Titel stöbern und nach Ihren Themen und Interessensgebieten suchen. Neben der großen Auswahl und dem einfachen Zugriff auf das aktuelle Wissen der Welt profitieren Sie unter anderem von diesen fünf Vorteilen:

  • Schwerpunkt auf deutschsprachige Magazine
  • Papier sparen & Umwelt schonen
  • Nur bei uns: Leselisten (wie Playlists)
  • Zertifizierte Sicherheit
  • Freundlicher Service
Erfahren Sie hier mehr über United Kiosk NEWS.

Mehr aus dieser Ausgabe

Titelbild der Ausgabe 10/2022 von Digitaler Namensverlust. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
Digitaler Namensverlust
Titelbild der Ausgabe 10/2022 von Pass-the-Cookie. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
Pass-the-Cookie
Titelbild der Ausgabe 10/2022 von Funk für den Maschinenpark. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
Funk für den Maschinenpark
Titelbild der Ausgabe 10/2022 von vSphere 8 geht an den Start. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
vSphere 8 geht an den Start
Mehr Lesetipps
Blättern im Magazin
Admin auf Zeit von Thomas Joos
Vorheriger Artikel
Admin auf Zeit von Thomas Joos
Out of the Box
Nächster Artikel
Out of the Box
Mehr Lesetipps

... Microsoft-Baseline, es gibt nur eine Richtlinie pro Objekt und keine Wertung statt nach Leveln oder Bedrohungsszenarien. Es gibt keine Einschätzung, welcher Wert sicherer als ein anderer ist. Wie schon in den vorher genannten Schablonen finden sich in STIG keine großartigen Widersprüche zu den anderen Vorlagen. Es ist eine weitere Einschätzung der Sachlage, mit einem weiteren Blickwinkel.

Gerade im Bereich der "Administrativen Vorlagen" gibt es Konfigurationsmöglichkeiten, die nicht immer zwingend den Punkt der Sicherheit allein als Argument abdecken, sondern auch verhindern, dass es zu Anrufen im Helpdesk kommt, wenn ein User Probleme hat. Dann kann es ein valides Argument sein, diese Funktion von vornherein auszublenden oder nicht bereitzustellen. Das DoD arbeitet regelmäßig an den Einstellungen und liefert mehrfach im Jahr ein Update. Es gibt keinen festen Zyklus. Das DoD liefert STIG als GPO-Backup aus, das jeweils in einem eigenen Ordner im ZIP-File repräsentiert wird. Auch hier ist der Import der Richtlinien wieder etwas mühsam, da Sie die manifest.xml-Datei aus jedem Ordner auswählen müssen.

Guideline for System Hardening des ACSC

Das ACSC arbeitet mit" LowPrio", "MediumPrio" und "HighPrio". Die Webseite wurde vor kurzem umgebaut und es findet sich zurzeit kein Download eines fertigen GPO-Backups mehr auf der Seite. Leider stellt die Website im Moment nur die Konfigurationen und eine DOCX- beziehungsweise PDF-Datei bereit, die den Inhalt der drei Kategorien offline liefert.

Dabei hat das ACSC unglücklicherweise die Themen nicht in der Reihenfolge des GPO-Editors gebaut, sondern selbst festgelegt, was die Einarbeitung in eine GPO sehr umständlich macht (sofern das GPO-Backup zukünftig nicht wieder online zur Verfügung steht). Das ACSC hat in der Vergangenheit System etwas strenger gehärtet als unsere anderen Vorlagenlieferanten.

Beim Einsatz des ACSC-Guides gibt es in der täglichen Arbeit zwei Dinge, die auffallen: Beim Aufruf eines UAC-Dialogs benötigt es ein zusätzliches "STRG+ALT+ ENTF" und die Run-Keys der Registry sind per GPO geleert und müssen auch darüber gesteuert werden. Während der zusätzliche Affengriff eher im Bereich von lästig einzuordnen ist, ist das Steuern der Programme im Autostart per GPO sicherlich ein riesiger Aufwand.

Das gp-pack Privacy and Telemetry

Als Einzige unserer Vorlagensammlungen ist "gp-pack PaT – Privacy and Telemetry" einzig auf das Thema Silencing ausgelegt. Das Feld des Hardening wird von anderen zu Genüge beackert, sodass es auf der Baustelle keinen Bedarf gab. Die Reduktion der Kommunikation mit Microsoft ist das Ziel des Pakets. Kostenfrei stehen alle Richtlinien-Einstellungen als HTML-Report im Netz zur Verfügung. Das GPO-Backup zum Import inklusive diverser Skripte zur Anpassung des Clients, wie etwa das Entfernen der Apps und Windows-Features, ist kostenpflichtig.

Bei der Integration des gp-packs kommt es im Gegensatz zu vorherigen Schablonen zu mehr Problemen, was das Tagesgeschäft betrifft. Die Begründung liegt in der Natur der Sache: Die Kommunikation mit Microsoft wird so weit wie möglich unterbunden. Das schaltet auch Funktionen aus, die eventuell gewünscht sind. Stellvertretend mag hier der "Network Connection Status Indicator" (NCSI) genannt sein, der bei jeder Anmeldung, bei jeden Netzwerkaufbau eine Microsoft-Webseite aufruft und deren Verfügbarkeit prüft. Ist die Webseite erreichbar, meldet das Systemnetzwerk-Icon, dass es mit dem Internet verbunden ist. Fehlt diese Information, sind einige Produkte in ihrer Funktion gestört. Outlook und Edge reagieren auf das Icon und verbinden sich gar nicht erst mit dem Internet, da es laut Netzwerkanzeige keines gibt.

Die große Problematik beim Silencing ist, dass es um Funktionalitäten geht, die gewünscht sind, aber unter Umständen im Widerspruch zur DSGVO stehen. Das gppack gibt es auch für die drei großen Browser (Chrome, Edge, Firefox), Office und Defender. In den drei letztgenannten Schablonen sind Security und Silencing berücksichtigt.

Mit dem PolicyAnalyzer GPOs bewerten

Der PolicyAnalyzer [1] stellt den Bereich der Sicherheitseinstellungen aus der gpttmpl.inf-Datei und den administrativen Vorlagen aus der registry.pol-Datei einer Richtlinie sehr gut als Tabelle dar. Dunkelgrau gefärbte Felder zeigen Werte, die in dieser Richtlinie nicht enthalten sind, und Konflikte tauchen in gelb auf.

Anhand des PolicyAnalyzer lässt sich sehr gut beurteilen, dass ein Zusammenfügen der genannten Vorlagen in beliebiger Reihenfolge erfolgen kann, da es keine kritischen Widersprüche gibt. Ob, wie in Bild 1 zu sehen, das Event Log der Security 192 MByte groß ist oder 1 GByte, ist erst einmal unkritisch. In Abhängigkeit von Eventforwarding, zentralem Logging und Monitoring ist die Größe des Client-Logs mal relevant oder nicht. Ebenfalls zeigt der PolicyAnalyzer sehr gut, wie einheitlich diverse Hersteller in ihrer Bewertung von sicherheitsrelevanten Einstellungen agieren, und es wird klar, dass erst die Kombination den bestmöglichen Ansatz erlaubt, da jeder Hersteller für sich leicht variierende Vorgaben macht.

Einsatz der Vorlagen

Die Microsoft Security Baseline ist ein Muss in jedem Netzwerk, sie bildet die Grundlage aller weiteren Konfigurationen. Als Nächstes sollte BSI SiSyPHuS dazukommen, da es die deutschen Anforderungen berücksichtigt. Aufgrund des Alters sollten Sie aber auf jeden Fall eine weitere Schablone hinzunehmen. Da empfiehlt sich aufgrund der strukturierten Vorlage und guter Dokumentation das CIS, auch wenn es etwas Handarbeit bedeutet.

Das STIG DoD und auch das ACSC bilden den Abschluss und sind vielleicht im Bereich von Nice-to-Have zu sehen. Das gppack ist in der Liste etwas außen vor, da es den Fokus auf einen anderen Aspekt legt, aber die Datenreduktion sollte neben dem Hardening ebenfalls Thema in der OS-Architektur und dem Sicherheitskonzept sein.

Umgang mit ADMX-Dateien

Kommt eine neue Variante von Windows Server ins Haus, ist die Aktualisierung der ADMX-Dateien einer der ersten Punkte auf der To-do-Liste. Die Verwendung eines Central Stores [2] für die ADMX-Dateien hat sich mittlerweile etabliert, also den kompletten Ordner "C:\Windows \ Policydefinitions" (oder dessen Inhalt) in das SYSVOL unter "\\<Domänenname> \ SYSVOL \ Policies \ Policydefinitions" zu kopieren.

Die Gruppenrichtlinienverwaltungskonsole (GPMC) ist so programmiert, dass sie nach diesem Pfad Ausschau hält und die dort hinterlegten ADMX-Dateien verwendet, um den Bereich der administrativen Vorlagen im Editor darzustellen. Der Pfad ist hart codiert und nicht veränderbar. Die einzige Ausnahme stellt ein Computer dar, auf dem der Administrator per Hand einen Registry-Eintrag setzt, der dafür Sorge trägt, dass die GPMC auf diesem System trotz der Existenz eines Central Stores den lokalen Store unter "C:\Windows \ Policydefinitions" verwendet:

HKEY_LOCAL_MACHINE\SOFTWARE\ Policies\Microsoft\Windows\ Group Policy EnableLocalStoreOverride=1 (Reg_Dword)

Egal ob Central oder Local Store, irgendwann stehen Sie vor der Herausforderung, die ADMX-Dateien zu erweitern oder zu erneuern. Hier müssen wir darauf hinweisen, dass Sie nur die Schablonen zur Konfiguration von Einstellungen austauschen oder erweitern. Sie nehmen an keiner einzigen Stelle Änderungen vorhandener Richtlinien vor – es kann nichts passieren, es wird niemals etwas kaputt gehen. Der komplette Ordner "\Policydefinitions" kann gelöscht und neu aufgebaut werden, es geht nichts verloren. Jede Datei, die darin enthalten ist, lässt sich aus einem laufenden Computer herauskopieren oder aus dem Internet herunterladen. ADMX-Dateien sind tauschbare Objekte, die in der Richtlinie eine Datei erzeugen, in der sich die Einstellung findet, die das Objekt importiert. Wie dieser Wert in die Konfigurationsdatei ("registry.pol") gekommen ist, ist dem importierenden Objekt egal.

Zusätzliche Registry-Einstellungen

Im HTML-Bericht der Richtlinien sind Sie bestimmt schon über den Abschnitt "Zusätzliche Registry Einstellungen" [3] (Additional Registry Keys) gestolpert. Der HTML-Report der GPMC löst die Werte rückwärts auf, das heißt, das registry.pol-File in der Richtlinie läuft durch einen Parser beziehungsweise Ermittlungsprozess und für jeden vorhandenen Eintrag versucht die GPMC, einen Anzeigetext im vorgegebenen "\Policydefinitions"-Ordner des Systems zu finden. Gibt es einen Treffer, erscheint der Registry-Wert in einer benannten Kategorie samt Anzeigenamen und einer Erklärung aus der ADMX-Datei. Fehlt der ADMX-Eintrag, kann der Bericht nur die Existenz des Werts in der Datei als Registry-Schlüssel, -Value und -Wert dokumentieren.

Neben der Möglichkeit, Einträge per ADMX in die registry.pol-Datei zu schreiben, bietet Microsoft PowerShell-Cmdlets, die über die Schnittstelle der GPMC agieren und den Registry-Wert ebenfalls ändern, löschen oder hinzufügen können. Es ist wichtig, sich an diese technische Möglichkeit zu erinnern, denn das ist der Rettungsanker, wenn kein passendes ADMX-File zur Verfügung steht. Die beiden hilfreichen PowerShell-Befehle sind "Set-GPRegistryValue" und "Remove-GPRegistryValue", deren Syntax nahezu selbsterklärend ist. Zum Beispiel beim Setzen und Hinzufügen eines Werts:

Set-GPRegistryValue -name <NameDerGPO> -key <HKLM\Software\Drittanbietersoftware> -valuename <DBServer> -value <SRV-SQLDB-01> -type <STRING>

Ein Beispiel zum Löschen eines Werts:

Remove-GPRegistryValue -name <Name der GPO> -key <HKLM\Software\ Drittanbietersoftware> -valuename <DBServer>

Alles in allem dreht sich der Aufbau eines PolicyDefinitions-Ordners nur um die Konfigurationsmöglichkeiten und deren Anzeige beziehungsweise Dokumentation. Er ist problemlos aktualisier- und tauschbar – wäre da nicht das Entwicklungschaos von Microsoft.

Altlasten im System

Die Entwicklungsstränge der ADMX-Dateien sind freundlich ausgedrückt suboptimal. Vor Windows 10 gab es sogenannte "Super Sets", was beschreibt, dass in der neuesten Version immer alle vorherigen Einstellungen enthalten sind. Egal, ob die Richtlinien von einem Server oder aus einem Service Pack des Clients stammten, in jeder neuen Version, waren immer alle alten Werte enthalten. Mit Windows 10 wurde dieser Status eingefroren. Es gibt keine Änderungen und Anpassungen innerhalb der alten Settings (2000/XP/2003/ Vista/7/8/8.1) mehr. In den aktuellen Windows-10-Richtlinien finden sich weiterhin Einstellungen, die nur unter Windows 2000 zur Anwendung kamen, wenn sie an einen Client oder Benutzer verteilt wurden – ein Aufräumprozess hat nie stattgefunden.

Mit Windows 10 entstand nun die Idee, dass Richtlinien aus den ADMX-Einstellungen entfernt werden, wenn diese zu einem nun nicht mehr supporteten OS gehören und sie keine Auswirkungen mehr im neuen Build haben. Es erfolgte halbjährlich (mittlerweile jährlich) ein Review, was bleibt und was entfernt werden kann.

Zum eigenen Leidwesen hat Microsoft die Spielregel, dass ein OS nur eine Halbwertszeit von drei Builds hat, selber gebrochen: Enterprise-Editionen haben ab 1809 in den Herbstversionen auf einmal eine Lebenszeit von fünf Builds. Mit Ausnahme von 1803, die obwohl eine Frühjahrsversion trotzdem fünf Jahre unterstützt wurde. Dazu gesellt sich LTSC (ehemals LTSB) mit einer zehnjährigen Lebenszeit. Jetzt müssen spezielle 1607-, 1809- und 21H2-Richtlinien "für immer" aufgehoben werden, da es diese Edition als LTSB/C gibt.

IT-Administrator Sonderheft "Windows Server 2022"

Microsofts neues Serverbetriebssystem stellt Sicherheit, Virtualisierung und die Anbindung an Cloudinfrastrukturen in den Fokus seiner Neuerungen. Dem Einrichten und dem Betrieb dieser Features widmet sich das zweite Sonderheft 2022 des IT-Administrator ausführlich. Aber auch klassische Administrationsaufgaben in Sachen Active Directory, Hyper-V, PowerShell und Patchmanagement sind Teil der neuen Sonderausgabe. Anleitungen zum Troubleshooting von Windows Server 2022 runden die praxisnahen Inhalte ab.

Im Detail widmet sich das Autorenteam zunächst den lokalen Verwaltungsaufgaben rund um die Migration zu Windows Server 2022, dem Active Directory, der Arbeit mit dem Windows Admin Center, der Cluster-Verwaltung und den Gruppenrichtlinien. Einen jeweils eigenen Schwerpunkt bilden im Sonderheft die Themen Virtualisierung mit Hyper-V und Sicherheit. Schließlich vermittelt die Troubleshooting-Rubrik Maßnahmen bei Problemen mit Hyper-V, Active Directory, Gruppenrichtlinien und anderen Fehlerquellen. Das Sonderheft ist ab Ende Oktober 2022 verfügbar und kostet für Abonnenten des IT-Administrator 24,90 Euro, für Nicht-Abonnenten werden 29,90 Euro fällig.

In dieses Chaos gesellt sich nun Windows 11 als komplett neues System – zumindest was die Nomenklatur und den ADMX-Entwicklungsstrang angeht. Das Supportende von Windows 10 ist im Oktober 2025, parallel dazu existiert seit dem Herbst 2021 Windows 11. Es gibt für beide OS-Versionen unterschiedliche ADMX-Dateien zum Download, die jeweils einige Einstellungen der anderen nicht enthalten. Administratoren beschäftigen sich jetzt mit zwei ADMX-Varianten und fragen verwundert, was mit Windows Server 2022 und seinen ADMX-Dateien zu tun ist. Für dieses chaotische System gibt es keine schöne Lösung.

Das Problem mit dem PolicyDefinitions-Store

Sie können keinen versionierten Policy-Definitions-Store etablieren, wenn Sie nicht mit komplexen Skripten und einem permanenten Umbenennen existierender Ordner pro Version agieren möchten. Nebenbei gesagt, ein Skript, das passend zum zu bearbeitenden OS ist, so zu editieren, dass es den "richtigen" PolicyDefinitions-Ordner wählt, ist nicht zu empfehlen. Dies führt zu mehr Chaos und Fehlern, als das Skript die Situation verbessern könnte.

In diesem Durcheinander ist es für den Administrator schwer, einen Weg durch den Dschungel zu finden. Es hat sich als bewährte Methode etabliert, einfach immer auf die neusten Templates zurückzugreifen und in einem riesigen Merge Server- und Client-ADM-Files zu mischen, wobei vorhandene ADMX-Dateien durch neuere ersetzt werden. Bei Clients müssen Sie sich dafür auf eine Version einigen. Hier empfiehlt es sich, die zu verwenden (Windows 10 oder 11), die die Masse der Clients im Unternehmen darstellt.

Zur Erinnerung: Es kann nichts passieren, es gibt keine falschen ADMX-Dateien. Es gibt eventuell nur für den aktuellen Fall besser passende. Sollte dieser Fall eintreten, greifen Sie unbedingt auf die Power-Shell zurück, bevor Sie den kompletten PolicyDefinitions-Store umbauen, nur damit sich ein Registry-Wert ändern lässt oder der HTML-Bericht schöner aussieht.

Der Client ist überbewertet

Viele Administratoren sehen das Thema Gruppenrichtlinien noch immer stark am Client verankert und er ist das erste System, das sie per Gruppenrichtlinien steuern und kontrollieren. Das Endgerät ist das schwächste Glied in der Kette, das vermeintlich als Erstes bricht, wenn es zu einem Angriff kommt. Es gilt jedoch den Punkt zu klären, was die wahrscheinlichste Methode ist, mit der Ganoven ein System heutzutage angreifen. Der Weg ins Unternehmen führt aktuell eher über E-Mail, Webportale oder die Cloud, da diese öffentlich verfügbare Ressourcen bereitstellen, die oft durch ein viel zu schwaches, einfaches Benutzername/Kennwort-Konstrukt gesichert sind. Doch bis die Schadsoftware am Client ankommt, haben schon längst andere Systeme versagt: Der Benutzer verwendet ein Kennwort, das in einem Datenleck aufgetaucht ist. Der Anti-SpamFilter auf dem Mailserver hat die E-Mail weitergeleitet. Der Proxyserver hat den Zugriff auf die vermeintliche "Firmen-Webseite" nicht untersagt, auf der der Anwender seine Daten hinterlegt hat.

Diese und ähnliche Fälle sind heute die Regel und die Theorie des Clients als schwächstes Glied der Kette ist nicht mehr haltbar. Der Client ist eher das Glied in der Kette, über das am Ende eine Verbreitung stattfindet, aber an erster Stelle haben andere System versagt. Traurigerweise steht der Anwender hier im Fokus.

Veraltete Kennwortrichtlinien

Zum Ende des Artikels sollten wir über Leichen im Keller reden, die bei jedem zu finden sind und die jeder Administrator seit Jahren auf dem Zettel hat, aber aus welchen Gründen auch immer an der Umsetzung scheitern. Zunächst daher ein Blick auf die Kennwortrichtlinie.

Die Welt spricht von 2FA und Passwordless und stellt entsetzt fest, dass es im Unternehmen immer noch erlaubt ist, ein Kennwort mit sechs oder acht Zeichen ohne Komplexität zu nutzen. Das Regelwerk aus dem Jahre 2003 vom National Institut of Science and Technology (NIST) war eine gute Idee, hat sich jedoch im Laufe der Zeit als Fehler rausgestellt. Der permanente Wechsel des Kennworts hat die Anwender dazu gebracht, zu zählen oder den Monat als Zahl mit anzuhängen. Bei der Länge eines guten Kennworts sind sich alle Sicherheitsexperten (und auch unsere GPO-Vorlagen) mittlerweile einig: Es sollte mindestens 14 Zeichen haben – besser mehr.

Das BSI hat reagiert und sagt nun, dass ein Kennwortwechsel nicht mehr notwendig ist, wenn es sich um ein langes, komplexes Kennwort handelt, das noch nicht kompromittiert wurde. Der Punkt ist interessant, denn er bedeutet, dass Admins die Kennwortqualität ihrer Anwenderkonten regelmäßig überprüfen müssen.

Eine sehr gute Hilfe dazu bietet "DS-Internals" [4]. Mit dessen PowerShell-Cmdlets ist es Ihnen möglich, eine Offline-Datenbank von "Have I Been Pwned" zu integrieren. Damit bringen Sie eine rund 30 GByte große Textdatei ins System, die die meisten aktuell bekannten Kennwort-Hashes umfasst, die schon von Angreifern genutzt werden. Die DSInternals-Cmdlets prüfen nun, ob die verwendeten Kennwort-Hashes im eigenen AD in der Datenbank auftauchen.

Kombinieren Sie dies mit "PwnedPass-Check" [5], lässt sich performant ermitteln, wie oft ein gefundenes Kennwort schon in diversen Datenbanken aufgetaucht ist. Mit dieser Kenntnis bewerten Sie die Dringlichkeit zum Kennwortwechsel. Ein Kennwort, das nur 25 Mal in einer Datenbank vorkommt, ist sicherlich nicht eines der ersten, die bei einem Angriff zum Einsatz kommen. Im Gegensatz zu einem Passwort, das 46.000 Mal (wie das Kennwort "geheim") auftaucht.

Weniger Rechte für Admins

Die Reduktion der Administratorrechte ist eine der einfachsten Aufgaben, die Sie per Gruppenrichtlinie realisieren. Allein das Organisatorische ist das Problem: Es beginnt mit den lokalen Administratoren eines Clients oder Memberservers und endet bei der Anzahl der Domänen-Admins im Unternehmen. Es gibt in den seltensten Fällen eine klare Übersicht, wer welche Systeme administrieren muss und wer damit die administrativen Rechten an dem System benötigt.

Genaugenommen ist es jedem klar, dass das eines der größten Probleme im eigenen Unternehmen darstellt und das es Personen gibt, die unbedingt aus bestimmten Gruppe raus müssen. Doch leider ist es gerade in KMU mit einem hohen politischen Druckpotenzial behaftet, wenn der altgediente Kollege auf seine Privilegien beharrt. Viele haben das Gefühl, dass ihnen etwas weggenommen wird, dabei ist es nichts anderes als Selbstschutz.

Defender-Firewall schützt einfacher als GPOs

Noch immer ist die Microsoft-Firewall Defender in vielen Unternehmen ausgeschaltet. Zwar kommen diverse Gruppenrichtlinien und Prozesse zum Einsatz, um die Ausbreitung eines Angreifers im Netzwerk zu unterbinden. Doch durch die Kompromittierung von Anmeldedaten wie etwa eines lokalen Admin-Accounts kann sich der Angreifer auf jedem Rechner im Unternehmen anmelden, da das Kennwort oft auf jedem Rechner identisch ist.

Mit Defender verweigert alleine schon die Richtlinie "Zugriff vom Netzwerk auf diesen Computer verweigern" unter "Zuweisen von Benutzerrechten" den Zugriff für jedes lokale Konto. WannaCry hat den Client über das SMBv1-Protokoll attackiert und Microsoft hat Patches geliefert. Der viel einfachere Weg war, SMBv1 zu deaktivieren, wenn es keine Abhängigkeiten mehr dazu gab. Petit Potam ist im April 2022 wieder aktiv über einen neuen NTLM-Angriffsvektor und PrintNightmare attackiert das System über die Druckerwarteschlange, die jeder Rechner benötigt, der drucken möchte.

Der Administrator steht aufgrund der Vielzahl der Angriffsmöglichkeiten recht hilflos dar, weil er für jeden einzelnen Angriff eine Lösung benötigt. Es wäre viel einfacher, wenn er die eingehende Kommunikation eines Clients verhindert. Ist die Tür zu, sprich die Firewall aktiviert, dann beendet der Client bei jeglichem Kommunikationsversuch den Kontakt. Das Netzwerk benötigt eine Segmentierung, damit es Rechner gibt, die auf das System administrativ zugreifen können, aber die Masse und damit der Flächenbrand würde verhindert werden. Die Technik existiert seit Windows XP SP2 – es ist Zeit, sie zu nutzen.

Nur bekannte Anwendungen zulassen

Das Thema "Software Allowlisting" weckt ein administratives Monster aus dem Tiefschlaf auf. Mit einer Allowlist von Anwendungen wäre das Thema Ransomware nahezu erledigt. Ransomware startet eine Executable, wenn es zum Angriff kommt. Die simple Logik ist, wenn im Unternehmen nur die Software zugelassen ist, die bekannt und dokumentiert ist, und jede andere verboten, dann kann die Ransomware ihren Job nicht ausführen. Das ist ein sehr trivialer Ansatz, aber er funktioniert um Welten besser, als der Versuch, durch eine Verhaltenserkennung auf den Rechnern den Start einer Ransomware zu erkennen und zu verhindern. In unseren Sicherheitsvorschlägen ist

Applocker oder Software Restriction Policies immer als zwingender Bestandteil enthalten. Es verursacht jedoch extremen Arbeitsaufwand und kostet Zeit. Das System muss gepflegt werden, wenn es einmal etabliert ist. Wie bei der Firewall stammt die Technik aus Windows-XP-SP2-Zeiten.

Die vier letztgenannten Sicherheitsgedanken, die sich mit Gruppenrichtlinien lokal wunderbar realisieren lassen, haben die Faktoren Zeit, Pflege und Aufwand gemeinsam. Die Wunschlösung von Microsoft sieht hier den Weg in die Cloud vor. In Microsoft 365 können Sie den Anwender zu Zweifaktor-Authentifizierung zwingen und es gibt es keine uralten Protokolle, die ein Angreifer ausnutzen kann. Aus Microsoft-Sicht ist das System sicher, wenn die lokalen Ressourcen nicht mehr wichtig sind.

Liegen die Kronjuwelen der Firma in der Cloud, dann können Admins lokal alle Daten verschlüsseln. Die Antwort auf einen Sicherheitsvorfall wäre dann einfach, Rechner neu zu installieren und weiterzuarbeiten. Der Zeitaufwand und Ausfall sind weiterhin ärgerlich und nicht umsonst, aber im Vergleich zu einem richtigen Datenverlust durch Verschlüsselung sehr kostengünstig.

Fazit

Es bleibt alles beim Alten. Windows Server 2022 stellt keine neuen Regeln auf. Nur die Anforderungen an das eigene Netzwerk müssen jetzt auch langsam wie die Version des Servers im Jahr 2022 ankommen. (jp)

Link-Codes

[1] PolicyAnalyzer hs2a3

[2] Central Store für Administrative Vorlagen m9p18

[3] Bearbeiten von "Zusätzliche Registry Einstellungen" m9p19

[4] DSInternals m9p10

[5] PwnedPassCheck m9p1a