Zum Inhalt wechseln


Foto

Sicherheitsconzept erstellen


  • Bitte melde dich an um zu Antworten
58 Antworten in diesem Thema

#1 Michi69

Michi69

    Member

  • 189 Beiträge

 

Geschrieben 22. August 2014 - 06:31

Hallo zusammen,

 

ich bin gerade dabei ein Konzept für die IT / EDV Sicherheit in unserem Unternehmen auf zustellen und würde mich über ein paar Tips / Interessante Links / Hinweise / freuen.............

Es ist mir bewußt, das es Firmen, Schulungen, Normen, Behörden etc.gibt, die sich mit diesem großen Aufgabenbereich auseinander setzen. Aber ich hätte gerne

etwas Basis Struktur drin.

 

 

Folgendes zur Information

- Firewall :

Sophos Firewall  UTM9 ein,

Clients:

Windows 7 64 bit Clients mit Internet Zugang ( IE 9-11 , Mozilla Firefox), Aktuelle MS Updates

User mit hauptbenutzerrechten

Wir haben DVD Laufwerk ausgebaut + USB Port gesperrt

Avira Anti Vir

 

- 4 Gebäude ( 3 Produktion + 1 Verwaltung) die mit HP Switchen verbunden sind

Nicht benutze LAN Dosen sind nicht gepacht

 

DSL Zugang über Telekom

 

Updates für Software und Programme lasse ich mal aussen vor

 

 

Schulungen zum Thema Sicherheit sind geplant

 

 

Schonmal Danke

 



#2 micha42

micha42

    Board Veteran

  • 1.033 Beiträge

 

Geschrieben 22. August 2014 - 07:51

Moin,

als Einführung zum thema würde ich Dir mal die Seiten des BSI empfehlen (Stichwirt Grundschutz). Hier kann man auch eine Struktur für das Sicherheitskonzept ableiten.

Auch der Anhang zum §9 BDSG ist eine gute Möglichkeit ein Konzept zu entwerfen.

 

Aber wenn Du in das Thema einsteigst, wirst Du schnell merken, dass hauptbenutzer quasi Admins sind. siehe http://www.gruppenri...-administrator/

lass das ;)

 

Michael


Nur wer zickzack denken kann, weiß wie der Hase läuft.

#3 Sunny61

Sunny61

    Expert Member

  • 22.101 Beiträge

 

Geschrieben 22. August 2014 - 08:47

Windows 7 64 bit Clients mit Internet Zugang ( IE 9-11 , Mozilla Firefox), Aktuelle MS Updates
User mit hauptbenutzerrechten


Seit VISTA gibt es die Hauptbenutzergruppe nur noch aus Kompatibilitätsgründen. Mehr Rechte hat diese Gruppe nicht mehr. Wenn es also keinen zwingenden Grund gibt die Benutzer in diese Gruppe zu packen, dann lass es bleiben.

Bist incl. XP gilt der von micha42 gepostete Link natürlich.

Und bezüglich Sicherheit solltet ihr auch auf Firefox verzichten. Das up2date halten des Browsers ist für 'normale' Benutzer schwer möglich und en Admin verbraucht sehr viel Zeit mit Scripten dafür.

Wenn Du wirklich Sicherheit willst, und wirkliche Sicherheit ist auch unbequem, dann kommst Du an Software Restriction Policies nicht vorbei. Zum Spielen kannst Du dir ja einen Rechner installieren und das hier austesten: http://schneegans.de/computer/safer/
Gruppenrichtlinien: http://www.gruppenrichtlinien.de/

#4 micha42

micha42

    Board Veteran

  • 1.033 Beiträge

 

Geschrieben 22. August 2014 - 09:21

Bist incl. XP gilt der von micha42 gepostete Link natürlich.

Und bezüglich Sicherheit solltet ihr auch auf Firefox verzichten. Das up2date halten des Browsers ist für 'normale' Benutzer schwer möglich und en Admin verbraucht sehr viel Zeit mit Scripten dafür.

punkt a wusste ich noch gar nicht. Gut zu wissen.

punkt b Wir machen das über WSUS und das Scripten hält sich in Grenzen. Ich stelle meinen usern gern auch einen zweiten Browser zur Verfügung, damit die 1. ihre Vorlieben zumindest teilweise leben können aber vor allem 2. damit ich bei dringenden Warungen einen Browser zu meiden Ausweichmöglichkeiten habe.

 

EDIT: mir ist ncoh was aufgefallen:

1. IE 9-11 sollte vereinheitlciht werden (natürlich auf 11)

2. USB zukleben oder deaktivieren. Gute Idee und was ist mit Dropbox und Co? alle Clouddienste kann man gar nicht wegfiltern.


Bearbeitet von micha42, 22. August 2014 - 09:26.

Nur wer zickzack denken kann, weiß wie der Hase läuft.

#5 zahni

zahni

    Expert Member

  • 16.392 Beiträge

 

Geschrieben 22. August 2014 - 09:34

Zu 2. Einen Proxy mit Filter einsetzen. Es gibt Produkte, die solche Listen regelmäßig aktualisieren.

 

Generell kann man mit einem Proxy den größten Teil der binären Downloads (EXE, JAR, etc) blockieren.

 

Ein Produkt wäre http://www.mcafee.co...eb-gateway.aspx


Wen du nicht mit Können beeindrucken kannst, den verwirre mit Schwachsinn!


#6 micha42

micha42

    Board Veteran

  • 1.033 Beiträge

 

Geschrieben 22. August 2014 - 09:39

Filtert der auch RAR oder ZIP weg? Das kann ich bei mir nicht deaktiveren und dann hab ich den Salat wieder. Und: filtert der auch Uploads aus einer https-Session?

;) nix für ungut


Bearbeitet von micha42, 22. August 2014 - 09:40.

Nur wer zickzack denken kann, weiß wie der Hase läuft.

#7 Sunny61

Sunny61

    Expert Member

  • 22.101 Beiträge

 

Geschrieben 22. August 2014 - 10:08

punkt b Wir machen das über WSUS und das Scripten hält sich in Grenzen. Ich stelle meinen usern gern auch einen zweiten Browser zur Verfügung, damit die 1. ihre Vorlieben zumindest teilweise leben können aber vor allem 2. damit ich bei dringenden Warungen einen Browser zu meiden Ausweichmöglichkeiten habe.


Wei handelst Du die ganzen AddOns? Darüber hast Du normalerweise keinen Einfluß, erst Recht nicht auf den Code, auf die Sicherheit und natürlich auch nicht auf die Lücken, die dir solche AddOns öffnen.
 

EDIT: mir ist ncoh was aufgefallen:
1. IE 9-11 sollte vereinheitlciht werden (natürlich auf 11)


WSUS gibt das alles her. ;)

2. USB zukleben oder deaktivieren. Gute Idee und was ist mit Dropbox und Co? alle Clouddienste kann man gar nicht wegfiltern.


Zukleben hilft nicht, wenn dann im BIOS deaktivieren. Alternativ mit der DEVCON.EXE, gibt es von MSFT kostenlos, automatisch alles was mit USB zusammenhängt deaktivieren. Maus und Tastatur sollte dann natürlich nicht an USB hängen. ;)
Gruppenrichtlinien: http://www.gruppenrichtlinien.de/

#8 zahni

zahni

    Expert Member

  • 16.392 Beiträge

 

Geschrieben 22. August 2014 - 10:34

Filtert der auch RAR oder ZIP weg? Das kann ich bei mir nicht deaktiveren und dann hab ich den Salat wieder. Und: filtert der auch Uploads aus einer https-Session?

;) nix für ungut

 

Der Proxy  untersucht auch gepackte Dateien, keine Sorge. Verschlüsselte Archive lassen sich auch blockieren.

Die Einschränkung ist HTTPS. Hier lassen  sich nur ganze  Hosts  blockieren.

Oder man lässt den HTTPS-Tunnel am Proxy  enden und verwendet intern ein eigenes Zertifikat.

Ist  aber  sehr problematisch und sollte eher nicht gemacht werden.

Für den Rest hilft  die SRP (sieh weiter  oben).

Malware wird eher selten über HTTPS mit  gültigen Zertifikaten verteilt.


Wen du nicht mit Können beeindrucken kannst, den verwirre mit Schwachsinn!


#9 Dukel

Dukel

    Board Veteran

  • 9.255 Beiträge

 

Geschrieben 22. August 2014 - 10:51

Willst du nur die oben genannten Themen in das Sicherheitskonzept aufnehmen?

Wie ist es mit z.B. Passwortrichtlinien; Provisioning (User zu- und Abgänge); Benutzerrechte; Administrative Konten; Serversicherheit; Physikalischer Zugriff; ...

Wenn man es sehr umfangreich machen will kann man Themen wie Backup oder Verfügbarkeiten auch aufnehmen.


Stop making stupid people famous.


#10 micha42

micha42

    Board Veteran

  • 1.033 Beiträge

 

Geschrieben 22. August 2014 - 11:39

Willst du nur die oben genannten Themen in das Sicherheitskonzept aufnehmen?

Wie ist es mit z.B. Passwortrichtlinien; Provisioning (User zu- und Abgänge); Benutzerrechte; Administrative Konten; Serversicherheit; Physikalischer Zugriff; ...

Wenn man es sehr umfangreich machen will kann man Themen wie Backup oder Verfügbarkeiten auch aufnehmen.

Daher ja auch mein eingangs erwähnter Verweis auf Anlagen zu §9 BDSG. Das gibt m.E. eine gute Struktur, an der man sich langhangeln kann.

Letztlich: Wofür schreibe ich ein Sicherheitskonzept? Doch zum Vorzeigen. Wenn also zB ein potentieller Kunde unser Konzept sehen will, dann will er sehen, dass wir diese Punkte abgearbeitet haben.

 

 

Der Rest der Diskussion ist hier etwas aus dem Ruder gelaufen.

 

wo wir aber schon wieder OT sind:

Sunny, ich gebe Dir voll Recht

Zahni, es ging ja um das Thema USB-verhindern, also Dataleak, also upload in irgendwelche Cloudspeicher. Ich glaube nämlich, wir haben den Kampf gegen Datendiebstahl auf technischem Weg einen Riegel vorzuschieben durch diese Dienste verloren. Klar kann man alles dicht machen, aber Sicherheit ist immer auch eine Abwegung. Allen Buhrufen zum Trotze müssen die user ja auch arbeiten können. (was zwar ärgerlich ist, aber nicht zu ändern ;) )

Michael


Nur wer zickzack denken kann, weiß wie der Hase läuft.

#11 zahni

zahni

    Expert Member

  • 16.392 Beiträge

 

Geschrieben 22. August 2014 - 11:47

Solche Lösungen werden in großen Unternehmen  eingesetzt. Sicher kann man es nicht  verhindern.

Man kann es den Usern aber  erschweren. Damit  es immer  wieder in Bewusstsein kommt, was  man als  User darf und was nicht.

Sehr oft  ist keine böse Absicht  in der dem Tun  der User, sondern  eher Unwissenheit oder es ihnen  egal.

 

Gern werden von Usern so "Verfahren"  erdacht, bei dem der IT-Abteilung die Fußnägel hochrollen - wenn sie davon wüsste.

 

Bekannte Cloud-Dienste lassen sich über einen Proxy schon blockieren.


Bearbeitet von zahni, 22. August 2014 - 11:50.

Wen du nicht mit Können beeindrucken kannst, den verwirre mit Schwachsinn!


#12 Daniel -MSFT-

Daniel -MSFT-

    Expert Member

  • 2.434 Beiträge

 

Geschrieben 22. August 2014 - 19:06

Zukleben hilft nicht, wenn dann im BIOS deaktivieren. Alternativ mit der DEVCON.EXE, gibt es von MSFT kostenlos, automatisch alles was mit USB zusammenhängt deaktivieren. Maus und Tastatur sollte dann natürlich nicht an USB hängen. ;)

 

Devcon ist ja sowas von XP. Das geht doch heute via GPO: http://social.techne...rum=winserverGP

 

Du kannst auch USB-Geräte nach Device ID black- und whitelisten.


.: Daniel Melanchthon :.

 

Ich arbeite für die Microsoft Deutschland GmbH.

Koinzidenz begründet keine Korrelation und ist kein Beweis für Kausalität.

 

Hinweis zur Rechtsverbindlichkeit dieser Informationen

Diese Informationen sind Hinweise, die das Verständnis hinsichtlich der Microsoft Produktlizenzierung verbessern sollen. Microsoft weist ausdrücklich darauf hin, dass diese Informationen keinen rechtsverbindlichen Charakter haben, sondern als erklärende Informationen zu verstehen sind. Die einzig rechtsverbindlichen Lizenzinformationen sind in den entsprechenden Endnutzer-Lizenzverträgen (als Beilage zu Softwarepaketen oder in Form von Lizenzverträgen) zu finden.


#13 Sunny61

Sunny61

    Expert Member

  • 22.101 Beiträge

 

Geschrieben 22. August 2014 - 19:40

Devcon ist ja sowas von XP. Das geht doch heute via GPO: http://social.techne...rum=winserverGP


Nur weil es für XP gemacht wurde, ist es heute nicht schlechter als Gestern.

Und der Tipp aus http://support.microsoft.com/kb/823732 hat AFAIR in der Vergangenheit bei der Installation vom SP1 für W7 für Fehlermeldungen gesorgt.
 

Wenn neue Rechner eingerichtet werden im BIOS USB deaktivieren, dann brauch ich mich um den Rest nicht zu kümmern.
Gruppenrichtlinien: http://www.gruppenrichtlinien.de/

#14 zahni

zahni

    Expert Member

  • 16.392 Beiträge

 

Geschrieben 22. August 2014 - 20:02

Mitunter will man aber auch andere USB-Geräte anschließen. Manche BIOS-Versionen können die Geräte-Typen beschränken.


Wen du nicht mit Können beeindrucken kannst, den verwirre mit Schwachsinn!


#15 Stoni

Stoni

    Board Veteran

  • 1.241 Beiträge

 

Geschrieben 22. August 2014 - 20:30

wobei du eben bei Thema bist , manche können.

Aber nach meiner Erfahrung hier , zumindest, was ich noch betreue, eben nicht.

Habe auch immer wieder dieses Thema, aber bringt alles nichts, wenn die kunden nicht auf " aktuelle Hardware " umsteigen.