Kategorie: Sicherheit

Apple-Sicherheit

Auch die Apple-ID und deren verbundene Geräte müssen besser geschützt werde.

Auch hier gilt „mehr Bequemlichkeit = höhere Angriffsfläche“ hierzu ein Link von Heise -> Diebe räumen Bankkonten nur mit Apple-ID und Passcode ab

Eine Empfehlung

Richtet Euch über die Bildschirmzeit wichtige Apps mit einer Nutzungsdauer von 1 Min ein und vergebt einen Bildschirm-Freigabe-Code, der nicht dem Handy-Entsperrcode/ Passcode entspricht.

Ebenso darf das Ändern von Einstellungen/ Accounts etc. nur mit dem Bildschirmcode erlaubt werden.

Letztlich nutzte ich die Bildschirmzeit ehr für die Kinder, aber clever eingesetzt, kann diese Funktion die Sicherheit der eigenen Geräte erheblich steigern.

Sichere E-Mail-Kommunikation mit S/MIME-Zertifikaten

Kostenlose Zertifikate

Nachdem mein Zertifikat bei Comodo nicht mehr neu beantragt werden kann, habe ich mir neue Anbieter kostenloser Zertifikate gesucht.

Hierbei bin ich zum einen auf Volksverschlüsselung gestoßen und eben auf Actalis. Bei Volksverschlüsselung hat man das Problem, dass die auszustellende CA nicht jedem bekannt ist und so die Mail-Zertifikate als ungültig bzw. nicht vertrauenswürdig angezeigt wird. Dieses Problem sollte man mit Actalis nicht haben. Jedoch glaube ich, dass man mit Volksverschlüsselung länger am Markt rechnen kann. Andere Anbieter werden oft aufgekauft oder bieten plötzlich keine kostenlosen Zertifikate an. Die Authentifizierung bei Volksverschlüsselung ist recht mühsam, wenn man seinen Perso nicht mit der Online-Funktion ausgestattet hat und kein passenden Reader bereit steht.

Bei Actalis bekommt man Stand Feb. 2020 ein kostenloses Zertifikat. Aber auch nach einem knappen Jahr später bietet Actalis kostenlose E-Mail-Zertifikate an und mann kann recht bequem das vorhandene Zertifikat verlängern.

Einfach Zertifikat anfordern, Bestätigungscode (welcher per Mail versendet wird) eingeben und Passwort für das Zertifikat ausdrucken! Das Zertifikat bekommt Ihr im Anschluss per Mail als *pfx zugesandt.

Am sinnvollsten ist es aber vor der Verwendung des Zertifikats die Stammdaten in diesem zu aktualisieren. Dies macht Ihr über das Portal von Actalis.

Nun muss das Zertifikat nur in den Zertifikatsmanager importiert werden und die meisten Mail-Clients erkennen dann das Mail-Zertifikat.

Das Zertifikat wird von der Sub-CA “Actalis Client Authentication CA G1” ausgestellt, diese CA wurde wiederum von der Actalis Authentication Root CA” signiert, welche sich im Speicher für vertrauenswürdige Stammzertifizierungsstellen von Windows befinden sollte.

Aber nun der Reihe nach …

Zertifikat erstellen

  1. https://extrassl.actalis.it/portal/uapub/freemail?lang=en

  2. Verifikation-Code von erhaltener Mail kopieren, in das Formular eintragen, Captcha-Code bestätigen und AGB’s und Werbezwecke akzeptieren bzw. deaktivieren

  3. Password was im Browser angezeigt wird unbedingt sicher abspeichern, Notieren oder ausdrucken

  4. per E-Mail erhaltenes Zertifikat (zip-Archiv) herunterladen und sicher abspeichern
    In der Mail sind auch die Zugangsdaten zum Portal mit angegeben. Über das Portal kann man das Zertifikat nochmal herunterladen oder auch Pausieren lassen oder eben auch löschen.
    https://extrassl.actalis.it/portal/

Zertifikat verlängern

ca. 30 Tage vor Ablauf der Zertifikatsgültigkeit habe ich eine E-Mail von „sslwebserver@actalis.it“ bekommen und wurde über das Auslaufen informiert. In der E-Mail war ein Link enthalten, der mich zur Webseite zum Verlängern meines Zertifikates führte.

https://extrassl.actalis.it/portal/uapub/freemail?lang=en

    1. Link besuchen und E-Mail-Adresse des Zertifikats eintragen und „SEND VERIFICATION EMAIL“-Button anklicken
    2. Den Verifizierungscode aus der danach erhaltenen E-Mail in das Formular eintragen, den Roboter bestätigen und die Punkte unter Step 2 entsprechend ausfüllen. Die letzten zwei Optionen habe ich auf „I do not consent“ gestellt, damit ich keine Werbung bekomme.
    3. Im Browser wird, wenn alles erfolgreich verlaufen ist, das Zertifikatspasswort angezeigt. Dies muss sicher notiert oder ausgedruckt werden. Nachträglich kommt man nicht mehr an das Passwort heran!

    4. Daraufhin kommt eine letzte Mail mit dem neuen Zertifikat. Dies muss nun heruntergeladen und sicher abgespeichert werden.
      In der Mail ist auch ein Link zum Portal von Actalis enthalten. Die Zugangsdaten hierfür wurden bei erstmaliger Erstellung/ Registrierung des Zertifikats übersendet und wird bei einer Verlängerung nicht noch einmal angegeben. Über das Portal kann man das Zertifikat nochmal herunterladen oder Pausieren lassen oder eben auch löschen.

Sollte beim Schritt 3 das Passwort nicht angezeigt werden, weil plötzlich der „Ich bin kein Roboter“ muniert wird obwohl dieser richtig war, dann kann es daran liegen, dass man sich zwischen den einzelnen Schritten zu viel Zeit gelassen hat. In meinem Fall wurde ein Zertifikat ausgestellt, aber keine Mail mit diesem Zugesandt und ich bekam im Browser auch das Passwort für das Zertifikat nicht zusehen.

Über das Portal-Login kann man zuviel erstellte Zertifikate löschen lassen und sich ein neues (nach dieser Anleitung) erstellen.

Zertifikat unter Windows installieren

Wenn Ihr bereits vorhergehende Zertifikate besessen habt, so solltet Ihr diese Zertifikate im Gerätespeicher behalten. Denn nur mit dem alten Zertifikat können alte damit verschlüsselte Mails gelesen werden.

Habt Ihr ein neues Zertifikat auch bei Verlängerung, so kann man mit dem neuen Zertifikat nicht die alten Mails lesen. Das neue Zertifikat gilt nur für die Mails die mit diesem Zertifikat verschlüsselt werden.

Nun müsst Ihr das Zip-Archiv entpacken und *.pfx-Datei per Doppelklick und Passworteingabe (aus Schritt 3 – Zertifikat erstellen) öffnen bzw. Importieren.

Beim Importieren würde ich persönlich darauf verzichten, dass man die „Hohe Sicherheit …“ aktiviert. Diese Einstellung ist beim Arbeiten ehr hinderlich, auch wenn es sicherer wäre.

Aber dafür würde ich den Punkt „Schlüssel als exportierbar …“ deaktiviert lassen. So ist kein anderer in der Lage sich das Zertifikat ungefragt mit eigenem Passwort abzuspeichern.

Mittels dem Befehl „certmgr.msc“ kann man auch schauen ob das Zertifikat nun da ist.

 

Mail-Konto unter Outlook 2016/2016/365 einrichten

Voraussetzung hierfür ist natürlich ein eingerichtet E-Mail-Postfach des Users der nun über ein Zertifikat verfügt.

Da ich gerne selber bestimmen möchte wo Outlook die Postfach-Datei ablegt, gehe ich den Einrichtungsschritt immer über „Systemsteuerung\Benutzerkonten\Mail“. Hier hat man unter „weitere Einstellungen“ noch ein paar Einstellmöglichkeiten die beim direkten öffnen eines frischen Outlooks nicht änderbar sind.

Einfach ein neues Profil anlegen und darin dann das neue Mailkonto. Mit etwas Glück findet Outlook alle Einstellungen zum Provider wie pop3-Server etc. alleine. Andernfalls muss man die in Erfahrung bringen und entsprechend eintragen. Diese Einstellungen sind von Provider zu Provider unterschiedlich.

Erste Testnachricht an Dritten ist angekommen. Natürlich noch ohne Signatur und nicht verschlüsselt.

Zertifikat unter Microsoft Outlook 2016/2019/365 einrichten

Unter Datei\Optionen öffnet sich Fenster wo man diverse Einstellungen vornehmen kann. Dort unter „Tust Center\Einstellungen für das Trust Center ..“ im darauf folgenden Fenster unter E-Mail-Sicherheit das importierte Zertifikat auswählen.

Wer nun ständig signierte Mails versenden möchte aktiviert das Kontrollkästchen „Ausgehende Nachrichten digitale Signatur hinzufügen“.

Wer auch „Inhalt und Anlagen für ausgehende Nachrichten verschlüsseln“ aktiviert, da versendet wenn möglich nun seine Mails immer verschlüsselt. Kann aber die Mail wegen fehlenden öffentlichen Schlüssel des Empfängers nicht verschlüsselt werden, dann erscheint bei jedem Versenden eine Message-Box. Das ist eventuell störend, so dass man hier darauf verzichtet. In diesem Fall muss man die Verschlüsselung vor dem Versand einzeln aktivieren.

Erste Testmail mit enthaltener Signatur. Die Signatur bestätigt die Echtheit meiner Mail bzw. meiner Person. Keine andere Person kann mit dieser Signatur Mails versenden. Es sei denn, man lässt sich sein privates Zertifikat und den Privaten Schlüssel klauen!

Zertifikat auf Apple iPhone/ Apple iPad installieren und einrichten

Theoretisch kann man sich selbst eine Mail mit seinem Zertifikat senden und das Zertifikat dann so auf dem iPhone/ iPad öffnen bzw. installieren. Aber …

In diesem Fall sendet man eine unverschlüsselte Mail die wiederum abgriffen werden kann. Wer nun noch an das Zertifikatspasswort kommt, kann Mails mit diesem Zertifikat versenden, lesen und manipulieren.

Aus diesem Grund gehe ich einen anderen Weg und benutze hierzu meine eigene Cloud die auf einem meiner Server läuft. Da man jetzt ein solches Zertifikat nicht aus jeder Cloud heraus öffnen kann, gehe ich den Umweg über eine mobileconfig-Datei die speziell für Apple-Geräte gedacht ist.

Wer iCloud nutzt kann gerne auch sein Zertifikat dort hochladen und dann mit Safari vom iPhone/ iPad öffnen und installieren. Bitte vergesst nicht das spätere Löschen der Dateien/ Zertifikate aus der Cloud!!

Ladet Euch die Vorlage herunter öffnet diese mit einem Editor. Da man den Editor Notepad++ später noch brauch empfehle ich dieses herunterzuladen und zu installieren.

Editiert die *.mobileconfig und ändert folgende Strings:

[Name] = Euer Name
[E-Mail-Adresse] = Eure Adresse
[PrivateKey] = langer generierter String

Speichert diese Änderung und ladet Euch die Datei in Eure Cloud/ Webserver und öffnet dann diese Datei mit Safari auf dem iPad/ iPhone.

Je nach iOS Version könnt Ihr gleich das Profil installieren oder bekommt einen Hinweis, dass ein Profil geladen wurde und über „Einstellungen“ installiert werden kann.

vorlage_actalis

String generieren

mit Notepad++ generieren

Öffnet Euer Zertifikat (*.pfx) mit Notepad++ und markiert mit STRG+A den gesamten Text. Danach geht Ihr im Menü auf „Erweiterungen -> MIME Tools -> Base64 Encode“ und kopiert Euch den nun angezeigten langen String (STRG+C). Diesen String setzt Ihr in die Vorlage anstelle [PrivateKey].

Mit PowerShell generieren

certutil -encode Mein-Zertifikat.pfx neueZertDatei.enc
$content = gc neueZertDatei.enc
$newcontent=$content[(1..($content.length – 2))] add-content key.mobileconfig -value $newcontent -encoding UTF8

Im ersten Schritt werden Daten aus dem Zertifikat in eine neue Datei (neueZertDatei.enc) geschrieben. Im zweiten weist man den Inhalt aus der Datei einer Variable zu und filtert im dritten Schritt noch mal den Inhalt und gibt dieses Wert einer weiteren neuen Variable. Im letzten Schritt wird der Inhalt der letzten Variable in eine neue Datei namens „key.mobileconfig“ gespeichert.

Diesen String setzt man dann in die Vorlage anstelle [PrivateKey].

Zu finden sind die neuen Dateien alle unter „C:\User\[Benutzername]“.

Wichtig: Zum erneuten durchführen der PowerShell-Befehle oben, müssen vorhandene Dateien unter „C:\User\[Benutzername]“ vorher gelöscht werden. Die Befehle überschreiben keine vorhandenen Dateien!

E-Mail-App von Apple einrichten

Einstellungen -> Passwörter & Accounts -> Euer Mail-Account -> Account -> Erweitert -> Signieren -> neues Zertifikat von Actalis auswählen

Über „Erweitert“ zurück gehen und „Standardmäßig verschlüsseln“ auswählen und auch hier das neue Zertifikat auswählen.

Über „<“ und „< Account“ sowie „Fertig“ alles speichern.

Ab jetzt werden die Mails auch von den mobilen Apple Geräten verschlüsselt versendet, sofern man ein öffentliches Zertifikat des Empfängers besitzt.

Aber man kann nun auch an sich gerichtete verschlüsselte Nachrichten auf den mobilen Geräten lesen.

Anmerkung

Wichtig zu Wissen ist folgendes:

Nutzt Ihr Apple und sendet  Mails aus anderen Apps wie „Foto-App“, dann werden diese Mails NICHT verschlüsselt oder signiert. Nur Mails die direkt durch manuelles Öffnen der „Mail-App“ versendet werden, werden signiert und bei Bedarf verschlüsselt.

 

 

BSI Informationspool – Sichere Konfiguration von Microsoft Office 2013/2016/2019/365

Vorwort

Hin und wieder erstellt die BSI sinn bringende Dokumentationen für ein sicheres Arbeiten mit den digitalen Medien.

Link -> https://www.allianz-fuer-cybersicherheit.de/ACS/DE/Informationspool/_function/Informationspool_Formular.html

In diesem Fall schlägt die BSI Konfigurationen für eine domainweite Anwendung von GPO und dem sicheren Arbeiten mit Microsoft Office vor.

Je nach Bedarf kann man diese Einstellungen so 1:1 übernehmen, sollte sich aber im klaren sein, dass unter Umständen bestimmte Funktionen nicht mehr wie erwartet funktionieren können. Unter den einzelnen Empfehlungen gebe ich hier meine Erfahrungen preis und sage warum ich einige Einstellungen so nicht übernehmen würde.

BSI-CS 135 -> Office allgemein

Computerrichtlinie\Sicherheitseinstellungen
Benutzerrichtlinien\Sicherheitseinstellungen
Punkt 7.+83.  VBA für Office-Anwendungen deaktivieren

Wer wirklich überhaupt nicht mit Makros arbeitet kann hier den Punkt aktivieren. Diese Einstellung greift dann auf alle Office-Anwendungen und man ist hier gegenüber bestimmter Attacken sicher.

Wer aber Makros benötigt, sollte diesen Punkt nicht konfigurieren und bei jeder Anwendung im Einzelnen die Option „VBA zulassen“ bewerten. Wer VBA benötigt, sollte sichere Arbeitsverzeichnisse festlegen aus denen das Ausführen von Makros erlaubt ist.

Diese Einstellungen findet man unter:

Benutzerrichtlinie\Sicherheitseinstellungen\Trust Center\Vertrauenswürdiger Speicherort #1 bis #20

Benutzerrichtlinie\Verschiedenes
Punkt 43. Anmeldungen bei Office blockieren

Wer mit Office 365 und Exchange Online arbeitet, der muss sich z.B. zum Abholen von Mails anmelden können. Somit ist das Einstellen auf „keine zulässig“ nicht richtig. Ich empfehle hier auf „nur Org-Id“ einzustellen. So kann man sich bei Office-Anwendungen nicht mit einem privaten Microsoft Account anmelden.

Ist diese Rule auf „keine zulässig“ oder nur eines der Beiden, dann bekommt der der nicht darf folgendes Fenster angezeigt, wo normalerweise das Anmeldeformular zu Microsoft zu sehen ist:

Der entsprechende Regkey ist hier zu finden:

Computer\HKEY_CURRENT_USER\Software\Policies\Microsoft\office\16.0\common\signinßsigninoptions
Computer\HKEY_CURRENT_USER\Software\Microsoft\office\16.0\common\signinßsigninoptions

signinoptions als REG_DWORD mit Werten 0-2 (0=beide, 1=nur Microsoft-Konto, 2=nur Org-Id)

Benutzerrichtlinie\Globale Optionen\Benutzerdefiniert
Punkt 45. Alle Benutzeranpassungen deaktivieren

Wer firmeneigene Menü-Icons in Office verwendet, der sollte hier die Regel für die entsprechende Anwendung nicht aktivieren, da sonst die eigenen Menü-Icons verschwinden. Zudem ist das eigene Einstellen der Schnellstartleiste und Menüleiste nicht mehr möglich. Wer aber ohnehin ohne Makros arbeitet, sollte hier der Empfehlung von BSI folgen, da man so auch nicht den vorher ausgeblendeten Menüpunkt „Entwicklermodus“ aktivieren kann.

Ich habe es trotz eigener Menü-Icons so eingerichtet, dass via GPO z.B. Excel nicht aktiviert wurde, habe aber beim Import benutzerdefinierter RegKeys  den Wert auf nicht erlauben gesetzt. So blieben mir die firmeneigenen Menü-Icons erhalten, konnte aber dennoch die Schnellstartleiste/ Menüleiste zur eigenen Editierung sperren.

[HKEY_CURRENT_USER\Software\Microsoft\office\16.0\common\toolbars\excel]
"nousercustomization"=dword:00000001

Benutzerrichtlinie\Datenschutz\Trust Center
Punkt 56. Die Verwendung verbundener Erfahrungen in Office zulassen

Auch hier ist das Deaktivieren problematisch, wenn man mit Office 365 arbeitet und z.B. OneNote Notizbücher mit der Cloud synchronisieren muss.

In den Anwendungen unter „Datei\Konto“ steht bei verbundenen Diensten „OFFLINE Office ist zurzeit offline“

In diesem Zustand kann sich z.B. kein OneNote Notizbuch mit der Cloud synchronisieren.

Daher setze ich diesen Schalter auf „aktiviert“. Der RegKey außerhalb der GPO ist dieser hier:

[HKEY_CURRENT_USER\Software\Microsoft\office\16.0\common\privacy]
"disconnectedstate"=dword:00000001

Benutzerrichtlinie\Sicherheitseinstellungen\Digitale Signaturen
Punkt 105. Zertifikatausstellerfilter angeben
Punkt 106. Namen des Zeitstempelserver angeben

Da ich diese Angaben nicht kenne, konnte ich diese Rule nicht wie von BSI empfohlen aktivieren und habe diese auf „nicht konfiguriert“ stehen lassen.

BSI-CS 138 -> Word
BSI-CS 136 -> Excel
BSI-CS  045 -> PowerPoint
BSI-CS 140 -> Access
BSI-CS 141 -> Visio
BSI-CS 139 -> Outlook

Downloads

Hier biete ich entsprechende RegKeys zum Download an, ich denke für den privaten Sektor eine guten Ausgangsposition um Office sicherer einzustellen. Diese sind nur Empfehlungen und stellen keinen 100%-Schutz dar!

Wer diese RegKeys nutzen will, sollte sich im Aufgabenplaner/ Taskmanager eine Batch-Datei anlegen und diese bei jeder Useranmeldung starten lassen. So wird sichergestellt, dass versehentliches Umstellen in den Office-Anwendungen wieder rückgängig gemacht werden. Dies betrift natürlich nur Einstellungen, welche durch diese RegKeys erfasst wurden.

Allerdings kann man auch manuell durch Doppelklick auf die RegKeys oder der Batch-Datei diese Einstellungen importieren.

Erstellt eine  Datei und bennent diese z.B. „Office-Secure.bat“. Achtet darauf, dass der Explorer (Optionen\Ansicht) unter dem Punkt „Erweiterungen bei bekannten Dateitypen ausblenden“ nicht aktiv ist.

In die Batch-Datei schreibt Ihr nun folgendes:

@echo off
echo Reg_Import Office-Security
reg import %Userprofile%\Downloads\regkeys\global_HKLM_2020_02_06.reg
reg import %Userprofile%\Downloads\regkeys\global_HKLU_2020_02_06.reg
if %ERRORLEVEL% NEQ 0 (
echo Fehler bei RegImport Office-Security
)

Speichert die RegKeys ins Downloadverzeichnis in einen noch anzulegenden Ordner namens „regkeys“.

RegKey Office 2013/2016/2019/365 allgemein

 

IoT-Geräte

Jedes in betrieb genommene IoT-Gerät wie IP-Kamera, smarte Stecker oder Leuchten etc. sollten von seinen Standard-Passwörtern befreit werden. Ändert soweit es geht Benutzernamen und Passwort für den Zugang zum Gerät.

Aktiviert,wenn möglich eine sichere Webverbindung über https und sichert den Webzugriff auf das Gerät per Passwort ab.

Aktualisiert, wenn möglich die Firmware regelmäßig.

Wenn nicht erforderlich, sperrt dem Gerät den Weg zum Internet.

Befreit IoT-Geräte von der fremden Cloud. Dies ist sicherer auch wenn man unter Umständen dann nicht mehr über alle Funktionen wie vom Hersteller vorgesehen verfügen kann.

 

Software-Sicherheit

Adobe Flash-Player

Ab 2020 wird die Weiterentwicklung von Flash-Player eingestellt. Es ist dringend zu empfehlen diese Browser-Erweiterungen zu deinstallieren. FlashPlayer-Technologie gilt schon länger als veraltet und wurde seit ein paar Jahren durch HTML5 ersetzt.

http://download.macromedia.com/get/flashplayer/current/support/uninstall_flash_player.exe

Für einen Silent-Uninstall die exe so aufrufen -> uninstall_flash_player.exe -uninstall

WordPress Upgrade

Im November ’20 war es mal wieder soweit – die Version 5.3 steht zum Download bereit.

Veröffentlichungen

Windows-PC-Sicherheit

Ich stelle hier nur meine Praktiken und mögliche Lösungen als Anregung zur Verfügung. Ich garantiere hierdurch keinen 100%igen Schutz. Zu dem gibt es zahlreiche weitere Möglichkeiten, welche ich hier unmöglich alle auflisten kann.

Zugangsdaten/ Passwörter

Grundsätzlich sollte bei jeder Hard- oder Software der Standard-Zugang geändert werden. Hierbei sollte wenn möglich nicht nur das Passwort, sondern auch der Benutzername geändert werden.

Windows 10 Sicherheitseinstellungen via GPO

Auch Windows 10 lässt sich domainweit in einigen Punkten einstellten. Hierfür sollte man nach jedem Erscheinen einer neuen Windows 10-Version die passende Template (ADMX) bei Microsoft suchen.

Zum Zeitpunkt des Blog Schreibens war es diese hier:

Link -> https://www.microsoft.com/en-us/download/100591 (Administrative Templates (.admx) for Windows 10 November 2019 Update (1909)  vom 18.12.2019)

Mit der neusten Version ist es jetzt möglich per GPO ID’s festzulegen von Geräten wo Installationen erlaubt sind.

Software für eine bessere Sicherheit

  • ständiger Einsatz von Updates für alle Systeme, dies schließt z.B. auch die Firmware eines Druckers mit ein.
  • Virenwächter einsetzen, wahlweise mit Software-gesteuerter Firewall
  • Ransomware Protection

Techniken für eine bessere Sicherheit

In diesem Bereich kann man auch sehr viel Einstellen, Vorgeben oder Verbieten, letztlich muss man aber auch noch mit dem PC seine üblichen Arbeiten erledigen können.

verwenden einer Hardware-Firewall wie Sonic, Baracuda, OpenSens etc.

    • fremde Ports generell sperren
    • Ein- und ausgehenden Traffic kontrollieren
    • Verwendung bestimmter Apps/Dienste (Dropbox, WeTransfer, Google) sperren oder Einschränken

automatisierte Scripte und allgemeine Sicherheitseinstellungen

  • per Startscripte Vorgaben z.B. in der Registry treffen
  • per Startscripte installierte Programme installieren/updaten
  • nicht jedes Programm nutzen lassen, am besten jeder Arbeitet mit den selben Programmen
    Das macht die Sicherheit und auch das Schulen von Usern deutlich einfacher.
  • User-Rechte einschränken -> bis dahin, dass der User sich kein eigenes Hintergrundbild setzen darf
  • Programme wie PowerShell am herunterladen von Dateien hindern (Firewall auf Port 80/443)
  • Virenwächter wie Defender, GData, Avast etc. nutzen

Serverlandschaft/ Netzwerksicherheit

  • Erstellung von Backups
    Das Backup sollte hierbei aber von einem speziellen BackupUser erstellt werden. Normale User und Gäste muss der Zugriff darauf verweigert werden. Wer als Admin im Netzwerk unterwegs sein muss, sollte dieser Admingruppe nur Leserechte im Backupsverzeichnis einräumen.
  • Ein weiteres Backup getrennt vom Netzwerk aufbewahren
    Mein Tipp:
    Den Backup-PC via Aufgabenplaner und Scripte zeitgesteuert vom Netzwerk trennen/ verbinden, so dass ein Zugriff auf den Backup-PC über das Netzwerk nicht permanent möglich ist.
    Dies geht mit einem NAS und verbundenen iSCSI-Laufwerke auch sehr gut. Hier bleibt der PC selbst im Netzwerk, aber trennt/verbindet per Script die iSCSI-Laufwerke nur wenn diese benötigt werden.
  • Ein NAS sollte nicht direkt und ständig im Internet verbunden sein. Wer Online-Dienste hier nicht benötigt, sollte sein NAS abschotten. Auch der Zugriff aus dem eigenen Netzwerk sollte man sprsam zur Verfügung stellen.
  • Wenn nicht erforderlich, sollte man auf die Standard-Adminfreigaben wie \\PC\C$, \\PCd$ etc. verzichten
  • Schreibende Freigaben sparsam einsetzen
  • Zielgruppen von Berechtigten Benutzern gering halten und nichts global erlauben

Passwortsicherheit

Aufbau eines sicheren Passworts

An sich nicht neu -> je komplexer ein Passwort ist, desto sicherer ist es. Aber …

Wer es zu sicher macht, der verliert schnell das effektive Arbeiten. Ich empfehle immer einen Leitsatz und deren Anfangsbuchstaben in Kombination mit der Seite selbst wo man sich einloggen möchte und natürlich einen Passwortverwalter.

Beispiel:

In der Schule hatte ich beim Sport immer eine 1. -> IdShibSie1.
Wo nutze ich das Passwort? -> auf Facebook -> IdShibSie1.#FB

Passwortgenerator /-manager

Zu Passwort-Manager habe ich auch so meine Bedenken, es gibt so viele auf dem Markt. Hier muss man für sich das beste Produkt herausfinden egal ob kostenpflichtig oder kostenfrei. Ich bevorzuge Programme in OpenSource und wo die Passwort-Datenbank als File auf dem Rechner/ mobilen Geräte/ eigener Cloud verschlüsselt vorliegt.

Programme wie LastPass mag ich dahingehend nicht, weil hier die Passwortdaten direkt bei LastPass in deren Cloud gespeichert sind. Ebenso gibt es Passwort-Manager wie „PasswordDepot“, welche beim übergeben von Passwörtern den bei Windows 10 eingeführte Zwischenablageverlauf (Windows-Taste + V) im Klartext mit befüllen!

Zwischenablage

Der Windows-Zwischenablageverlauf sollte deaktiviert werden! Mit „Windows-Taste + V“ können Sie sehen ob der Verlauf eingeschaltet ist und wenn ja, was bisher schon dort hinterlegt worden ist.

Zugangsdaten/ Passwörter

Grundsätzlich sollte bei jeder Hard- oder Software der Standard-Zugang geändert werden. Hierbei sollte wenn möglich nicht nur das Passwort, sondern auch der Benutzername geändert werden. Es ist auch ratsam zu überlegen, ob man für das reine Arbeiten ständig über vollen Zugriff verfügen muss.

z.B. CMS-Systeme wie WordPress, Jommla und Co. hier rate ich zu Anlage eines normalen Autoren, der nur Beiträge verfasst und Bild-Daten etc. hochladen kann. Die Pflege und Updates vom CMS-System selbst macht man über einen Admin-Account, dieser erstellt aber keine Beiträge oder ähnliches.

 

Office 2016, Office 2019, Office365 – MailSecurity, OneDrive, SharePoint

Domainweite Sicherheitseinstellungen

Sicherheitspolice für Office (ADM, Registryeinträge für User hart setzen)
Hierbei verlasse ich mich nicht nur auf ADM (Domainweite Police, sondern importiere bei jeder Useranmeldung zusätzlich ein paar relevanter Regeinträge für Office)
z.B. Makroausführung, Autostart, ausblenden Entwicklertools-Menü, Mails als TXT, keine Vorschau von Anlagen innerhalb Outlook etc.

Wer eine Domain betreibt kann mit Hilfe von Gruppenrichtlinien Office in einigen Einstellungen steuern und verhindern, dass Benutzer diese Einstellungen übergehen.

Hierfür lädt man sich die aktuellste Fassung der Office-ADMX von Microsoft (Stand zum Zeitpunkt des Blog Schreibens war 4966.1000 vom 22.01.2020) In der neusten Version ist ein Template von Teams mit dabei.

Link -> https://www.microsoft.com/en-us/download/details.aspx?id=49030

Entpackt die Dateien des Archives und kopiert die Dateien aus dem Ordner ADMX (*.admx + de-de + en-us) nach C:\Windows\PolicyDefinitions.
Danach kann man in den GPO’s die Einstellungen für die importierten Office-Versionen vornehmen.

Als Grundlage für eine sichere Einstellung kann man sich die Empfehlungen des BSI’s anschauen. Ich fand diese recht gut und habe die Einstellung an meine Bedürfnisse angepasst.

Link -> https://www.allianz-fuer-cybersicherheit.de/ACS/DE/_/downloads/BSI-CS/BSI-CS_135.pdf?__blob=publicationFile&v=8

BSI-CS 135 -> Office allgemein
BSI-CS 138 -> Word
BSI-CS 136 -> Excel
BSI-CS  045 -> PowerPoint
BSI-CS 140 -> Access
BSI-CS 141 -> Visio
BSI-CS 139 -> Outlook

Lokale Sicherheitseinstellung

Nachdem ich domainweit alles eingestellt hatte und der erste Test-PC sich die GPO-Policy zog, habe ich die Einstellungen aus der Registry exportiert und für die spätere Anwendung unter „Local Users“ leicht umgeschrieben.

Dies ist erforderlich, da ich mal gelesen haben will, dass Office-GPO’s nur unter Windows Enterprise durchgereicht werden. Tatsache ist in jedem Fall, dass nicht jede eingestellte GPO-Regel auch tatsächlich am Client zu sehen ist.

Damit es doch klappt lade ich die modifizierte Reg-Datei bei jedem Start/Anmelden eines Benutzers/ PC’s. So stelle ich sicher, dass bestimmte Useränderungen wie z.B. Makrosicherheitseinstellung auf den von mir gewünschten Stufe steht. Denn hin- und wieder habe ich gesehen, dass der User an diesen Einstellungen rumschauben darf obwohl ich dies gerne verboten hätte.

In der exportieren Reg-Datei ersetzte ich „Software\Policies\Microsoft\office“ durch „Software\Microsoft\office“ und so die Einstellungen auf Userebene ohne Domainangehörigkeit festgelegt.

Damit sorge ich zudem, dass auch nicht Domain-PC’s an sichere Office-Einstellungen kommen. Über Autoscripts werden diese Einstellungen letztlich bei jedem PC Start/ User-Anmeldung importiert und via OneDrive/ firmen SharePoint auch auf die mobilen Geräte nahezu in Echtzeit angewendet.

Office 365 – Admin Center

In meiner Office365-Umgebung habe ich die eine oder andere Sicherheitseinstellung vorgenommen, wo ich denke, dass dies ein effektiver Schutz mit gleichzeitiger Balance zum Arbeiten mit dem Produkt ist. Gerade bei der Mail-Filterung muss man abwägen, welche Mails werden mit Benachrichtigung abgewiesen und welche lieber nicht oder ist es besser bestimmte Mails erst in Quarantäne zu setzen, weil man hier noch an die Mail rankommt.

Admin Center

    • Benutzer -> erlaubte E-Mail-Apps definieren
    • Sicherheits- und Datenschutz -> Passwortänderung nach xx Tagen

Azure Active Directory

    • Zwei-Faktor-Authentifizierung
    • Self-Service-Kennwortzurücksetzung mit mindestens 3 Pflichtangaben

Security & Compliance

Richtlinien
      • ATP-sicher Anlagen (zubuchbarer AddOn)
      • ATP-sichere Links (zubuchbarer AddOn)
      • Antispam-Schutz
      • Antischadsoftware
      • DKIM
      • erweiterte Filterung

Exchange

Schutz -> DKIM
 Nachrichtenfluss-Rules
      • sperren alter Office-Files (z.B. xls, doc,ppt)
      • sperren möglicher schadhafter Files (z.B. docm, mdb, thmx, html, htm, vbs, exe, rar etc)
      • besondere Behandlung von Mails und Anlagen, welche nicht geprüft werden können
      • filtern von Mails und Anlagen wo bestimmte Inhalte in Anlagen gefunden werden (‚certutil‘ oder ‚UEsDBBQAAAA‘ oder ‚filesystem‘ oder ‚reg add‘)
        Manchmal tarnt sich eine Datei als z.B. txt, welche dann durch Umwege doch zu einer bösen Datei umgewandelt werden kann
      • sperren von Mails, welche bestimmte Wörter in der Mail aufweisen
Nachrichtenfluss-Connectoren
      • erlaubte Mailserver aus dem lokalen-Umfeld (z.B. Mail-Gateway für Meldungen aus Geräten wie Sonic, Router, Switche, Drucker etc.)
      • gilt auch für DNS-Einträge für „akzeptierte Domänen“

Amazon / Alexa / Echo Geräte Allgemein

Eigentlich bin ich was technisches angeht recht versiert, dass sollte ich bei meinem Beruf auch sein 😉
Dennoch habe ich vielleicht auch aufgrund dessen ein paar Schwierigkeiten beim Einrichten und Kommunizieren der Geräte untereinander.
Deshalb mal hier ein paar Tipps, was Ihr beachten sollten, um möglichst einen reibungslosen Betrieb auf die Beine zustellen.
  • Seht zu, dass Eure Alexa- & SmartPlug-Geräte auf der 2.4 GHz-Frequenz im WLan eingeloggt sind.
    Viele SmartPlug-Geräte scheinen keine 5GHz zu unterstützen und solltet Ihr z.B. einen Echo Dot 3 und ein Echo Show 5 haben und beide sind im selben Wlan, aber nicht auf selber Frequenz, dann könnt Ihr keinen Multiroom-Lautsprecher Raum einrichten.
    Auch beim Einsatz mit FritzDect-Steckdosen mittels Skill und Alexa habe ich gelegentlich Kommunikationsschwierigkeiten.

    In der FritzBox kann man z.B. unter Wlan->Funknetz->die Frequenz-Bereiche ein- & aus schalten.
  • Nutzt möglich für diese Geräte ein separates Wlan und trennt Eure PC’s/ Daten-Server/ NAS von sogenannten ioT-Geräten.

    Generell würde ich mehrere WLan-Netzt auch im privaten Bereich verwenden. Es gibt Geräte die nicht über alle Ports der Welt kommunizieren müssen. Oft reichen Port 80 und 443 für das Browsen im Netz. Bei einigen Geräten hat man es auch garnicht in der Hand, was auf welchen Ports ins Internet gesendet oder angefragt wird. Hier hilft nur eine gute Firewall.

    Bei der FritzBox kann man in der Regel sowohl WLan und LAN auch zusätzlich als Gast-Netz zur Verfügung stellen und die Rechte auch etwas einschränken. Nutzt diese Möglichkeiten im privaten Umfeld. Das kosten kein großes Geld aber stellt eine kleine Sicherheit dar. Zudem könnt Ihr über diesen Weg Euren Gästen einen von Eurem Netz getrennten Weg ins Internet gewähren.