Ich stelle hier nur meine Praktiken und mögliche Lösungen als Anregung zur Verfügung. Ich garantiere hierdurch keinen 100%igen Schutz. Zu dem gibt es zahlreiche weitere Möglichkeiten, welche ich hier unmöglich alle auflisten kann.
Zugangsdaten/ Passwörter
Grundsätzlich sollte bei jeder Hard- oder Software der Standard-Zugang geändert werden. Hierbei sollte wenn möglich nicht nur das Passwort, sondern auch der Benutzername geändert werden.
Windows 10 Sicherheitseinstellungen via GPO
Auch Windows 10 lässt sich domainweit in einigen Punkten einstellten. Hierfür sollte man nach jedem Erscheinen einer neuen Windows 10-Version die passende Template (ADMX) bei Microsoft suchen.
Zum Zeitpunkt des Blog Schreibens war es diese hier:
Link -> https://www.microsoft.com/en-us/download/100591 (Administrative Templates (.admx) for Windows 10 November 2019 Update (1909) vom 18.12.2019)
Mit der neusten Version ist es jetzt möglich per GPO ID’s festzulegen von Geräten wo Installationen erlaubt sind.
Software für eine bessere Sicherheit
- ständiger Einsatz von Updates für alle Systeme, dies schließt z.B. auch die Firmware eines Druckers mit ein.
- Virenwächter einsetzen, wahlweise mit Software-gesteuerter Firewall
- Ransomware Protection
Techniken für eine bessere Sicherheit
In diesem Bereich kann man auch sehr viel Einstellen, Vorgeben oder Verbieten, letztlich muss man aber auch noch mit dem PC seine üblichen Arbeiten erledigen können.
verwenden einer Hardware-Firewall wie Sonic, Baracuda, OpenSens etc.
-
- fremde Ports generell sperren
- Ein- und ausgehenden Traffic kontrollieren
- Verwendung bestimmter Apps/Dienste (Dropbox, WeTransfer, Google) sperren oder Einschränken
automatisierte Scripte und allgemeine Sicherheitseinstellungen
- per Startscripte Vorgaben z.B. in der Registry treffen
- per Startscripte installierte Programme installieren/updaten
- nicht jedes Programm nutzen lassen, am besten jeder Arbeitet mit den selben Programmen
Das macht die Sicherheit und auch das Schulen von Usern deutlich einfacher. - User-Rechte einschränken -> bis dahin, dass der User sich kein eigenes Hintergrundbild setzen darf
- Programme wie PowerShell am herunterladen von Dateien hindern (Firewall auf Port 80/443)
- Virenwächter wie Defender, GData, Avast etc. nutzen
Serverlandschaft/ Netzwerksicherheit
- Erstellung von Backups
Das Backup sollte hierbei aber von einem speziellen BackupUser erstellt werden. Normale User und Gäste muss der Zugriff darauf verweigert werden. Wer als Admin im Netzwerk unterwegs sein muss, sollte dieser Admingruppe nur Leserechte im Backupsverzeichnis einräumen. - Ein weiteres Backup getrennt vom Netzwerk aufbewahren
Mein Tipp:
Den Backup-PC via Aufgabenplaner und Scripte zeitgesteuert vom Netzwerk trennen/ verbinden, so dass ein Zugriff auf den Backup-PC über das Netzwerk nicht permanent möglich ist.
Dies geht mit einem NAS und verbundenen iSCSI-Laufwerke auch sehr gut. Hier bleibt der PC selbst im Netzwerk, aber trennt/verbindet per Script die iSCSI-Laufwerke nur wenn diese benötigt werden. - Ein NAS sollte nicht direkt und ständig im Internet verbunden sein. Wer Online-Dienste hier nicht benötigt, sollte sein NAS abschotten. Auch der Zugriff aus dem eigenen Netzwerk sollte man sprsam zur Verfügung stellen.
- Wenn nicht erforderlich, sollte man auf die Standard-Adminfreigaben wie \\PC\C$, \\PCd$ etc. verzichten
- Schreibende Freigaben sparsam einsetzen
- Zielgruppen von Berechtigten Benutzern gering halten und nichts global erlauben