Zum Inhalt wechseln


Foto

Sicherheitsconzept erstellen


  • Bitte melde dich an um zu Antworten
58 Antworten in diesem Thema

#16 Daniel -MSFT-

Daniel -MSFT-

    Expert Member

  • 2.434 Beiträge

 

Geschrieben 22. August 2014 - 22:08

Der Tipp aus dem Artikel war ja auch nicht für Windows 7:

Die Informationen in diesem Artikel beziehen sich auf:
• Microsoft Windows XP Home Edition
• Microsoft Windows XP Professional
• Microsoft Windows 2000 Advanced Server
• Microsoft Windows 2000 Professional Edition
• Microsoft Windows 2000 Server
• Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
• Microsoft Windows Server 2003, Standard Edition (32-bit x86)

Seit Vista geht das direkt per GPO: http://technet.micro...rouppolicy.aspx

Bearbeitet von Daniel -MSFT-, 22. August 2014 - 22:08.

.: Daniel Melanchthon :.

 

Ich arbeite für die Microsoft Deutschland GmbH.

Koinzidenz begründet keine Korrelation und ist kein Beweis für Kausalität.

 

Hinweis zur Rechtsverbindlichkeit dieser Informationen

Diese Informationen sind Hinweise, die das Verständnis hinsichtlich der Microsoft Produktlizenzierung verbessern sollen. Microsoft weist ausdrücklich darauf hin, dass diese Informationen keinen rechtsverbindlichen Charakter haben, sondern als erklärende Informationen zu verstehen sind. Die einzig rechtsverbindlichen Lizenzinformationen sind in den entsprechenden Endnutzer-Lizenzverträgen (als Beilage zu Softwarepaketen oder in Form von Lizenzverträgen) zu finden.


#17 Sunny61

Sunny61

    Expert Member

  • 22.249 Beiträge

 

Geschrieben 23. August 2014 - 10:00

Der Tipp aus dem Artikel war ja auch nicht für Windows 7:


Und der zweite Link aus dem von dir geposteten Link war auch für Server 2003:
http://support.microsoft.com/kb/555324

Die Informationen in diesem Artikel beziehen sich auf:

Microsoft Windows Server 2003, Standard Edition
Microsoft Windows Server 2003, Enterprise Edition
Microsoft Windows Server 2003, Datacenter Edition
Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems


Seit Vista geht das direkt per GPO: http://technet.micro...rouppolicy.aspx



So richtig komfortabel ist das nicht. Auszug aus dem Artikel:

Für eine wirklich effektive Vorgehensweise müssen Sie die einzuschränkende Hardware finden.


Außerdem können Sie die Eigenschaft auf kompatible IDs setzen. Diese beschreiben ebenfalls die Hardware und sind weniger spezifisch als das, was in Hardware-IDs zu finden ist. Sie könnten die Informationen in den kompatiblen IDs dazu verwenden, weitere ähnliche Hardware zu ermitteln und sie in die Liste der nicht zu verwendenden Elemente einzufügen. Diese Informationen sind nämlich weniger spezifisch und erzielen eventuell bessere Ergebnisse. Der Nachteil dabei ist natürlich, dass es zu unbeabsichtigten Einschränkungen kommen könnte.


Und Devcon ist auch noch dabei:

Wenn Sie statt des Geräte-Managers einen Befehl über die Befehlszeile verwenden wollen, um die Hardware-IDs oder Geräteklassen zu erfassen, werfen Sie einen Blick auf das Devcon-Befehlszeilen-Dienstprogramm unter support.microsoft.com/kb/311272.


Das einschränken von USB ist immer noch vom BIOS aus die wirksamste und sauberste Lösung. Den Rechner muss ich sowieso anfassen, BIOS-Passwort verpassen und so weiter.
Gruppenrichtlinien: http://www.gruppenrichtlinien.de/

#18 Daniel -MSFT-

Daniel -MSFT-

    Expert Member

  • 2.434 Beiträge

 

Geschrieben 23. August 2014 - 21:36

Das ist kein Einschränken, sondern ein Abschalten dann. Da kannst Du auch Bauschaum in die Buchsen pusten.

Sinnvoll ist das nicht, denn USB-Mäuse, Tastaturen, Scanner, Kameras, etc. können aus Geschäftsanforderungen heraus erforderlich sein.

Und was soll das mit Komfort zu tun haben? Du sperrst zum Beispiel ganze USB-Klassen und erlaubst nur die in der Firma eingesetzten Geräte. Per GPO automatisch für alle betroffenen Clients. Devcon ist dort aufgeführt zum ERMITTELN der notwendigen IDs, wenn man nicht per Maus das über den Gerätemanager machen will.

Wo ist da das Problem? Hast Du das überhaupt mal probiert oder reden wir hier über theoretische Vorbehalte?

Ich habe das bei der Einführung von Vista oft live vorgeführt. Wenn ich mich recht erinnere, war das auch eine der Demos auf dem Launch. Auf jeden Fall kam das immer super beim Publikum an.

Bearbeitet von Daniel -MSFT-, 23. August 2014 - 21:40.

.: Daniel Melanchthon :.

 

Ich arbeite für die Microsoft Deutschland GmbH.

Koinzidenz begründet keine Korrelation und ist kein Beweis für Kausalität.

 

Hinweis zur Rechtsverbindlichkeit dieser Informationen

Diese Informationen sind Hinweise, die das Verständnis hinsichtlich der Microsoft Produktlizenzierung verbessern sollen. Microsoft weist ausdrücklich darauf hin, dass diese Informationen keinen rechtsverbindlichen Charakter haben, sondern als erklärende Informationen zu verstehen sind. Die einzig rechtsverbindlichen Lizenzinformationen sind in den entsprechenden Endnutzer-Lizenzverträgen (als Beilage zu Softwarepaketen oder in Form von Lizenzverträgen) zu finden.


#19 carnivore

carnivore

    Member

  • 340 Beiträge

 

Geschrieben 24. August 2014 - 08:31

ein gewöhnlicher USBSticks lässt sich wohl relativ einfach so umprogrammieren, dass er sich als Keyboard ausgibt, damit als erlaubte Geräteklasse erkannt wird und dadurch Schadcode auf den Rechne bringen kann :

 

 


In one demo, shown off at the Black Hat hackers conference in Las Vegas, a standard USB drive was inserted into a normal computer.

Malicious code implanted on the stick tricked the machine into thinking a keyboard had been plugged in. After just a few moments, the "keyboard" began typing in commands - and instructed the computer to download a malicious program from the internet.

....the only protection he could advise was to simply be ultra-cautious when allowing USB devices to be connected to your machines.

"Our approach to using USB will have to change," he told the BBC.

http://www.bbc.com/n...nology-28701124

Carnivore


Bearbeitet von carnivore, 24. August 2014 - 08:31.


#20 Sunny61

Sunny61

    Expert Member

  • 22.249 Beiträge

 

Geschrieben 24. August 2014 - 09:37

Sinnvoll ist das nicht, denn USB-Mäuse, Tastaturen, Scanner, Kameras, etc. können aus Geschäftsanforderungen heraus erforderlich sein.



Es gibt Firmen die haben nicht die Geschäftsanforderungen dass an allen Geräten alle USB-Anschlüsse funktionieren sollen, weil eben nicht jeder alles mögliche und unmögliche mit USB-Geräten tun können soll. Und ja, es ist für diese Geschäftsanforderungen komfortabel im BIOS alles abzuschalten.


Und was soll das mit Komfort zu tun haben? Du sperrst zum Beispiel ganze USB-Klassen und erlaubst nur die in der Firma eingesetzten Geräte. Per GPO automatisch für alle betroffenen Clients. Devcon ist dort aufgeführt zum ERMITTELN der notwendigen IDs, wenn man nicht per Maus das über den Gerätemanager machen will.



Ja, es ist in diesen Fällen ganz einfach komfortabel alles hart abzuschalten.
Gruppenrichtlinien: http://www.gruppenrichtlinien.de/

#21 Daniel -MSFT-

Daniel -MSFT-

    Expert Member

  • 2.434 Beiträge

 

Geschrieben 24. August 2014 - 12:24

Du kannst es genauso per GPO abschalten. Was ist also komfortabler: Manuell im BIOS von jedem Rechner eine Einstellung durchzuführen oder es automatisch per GPO zu setzen?

Verstehst Du meinen Punkt jetzt?

@Carnivore: Es geht hier um die Möglichkeit des Filterns von USB-Geräten. Du könntest damit auch nur Bekannte Tastaturen erlauben. Daher passt Dein Beispiel hier nicht so gut.

.: Daniel Melanchthon :.

 

Ich arbeite für die Microsoft Deutschland GmbH.

Koinzidenz begründet keine Korrelation und ist kein Beweis für Kausalität.

 

Hinweis zur Rechtsverbindlichkeit dieser Informationen

Diese Informationen sind Hinweise, die das Verständnis hinsichtlich der Microsoft Produktlizenzierung verbessern sollen. Microsoft weist ausdrücklich darauf hin, dass diese Informationen keinen rechtsverbindlichen Charakter haben, sondern als erklärende Informationen zu verstehen sind. Die einzig rechtsverbindlichen Lizenzinformationen sind in den entsprechenden Endnutzer-Lizenzverträgen (als Beilage zu Softwarepaketen oder in Form von Lizenzverträgen) zu finden.


#22 Sunny61

Sunny61

    Expert Member

  • 22.249 Beiträge

 

Geschrieben 24. August 2014 - 16:39

Du kannst es genauso per GPO abschalten. Was ist also komfortabler: Manuell im BIOS von jedem Rechner eine Einstellung durchzuführen oder es automatisch per GPO zu setzen?


Ich hatte es schon einmal geschrieben, ich muss eh an jedem PC das BIOS anfassen, also kann ich dort gleich abstellen. Deshalb ist es in diesem Fall komfortabel.


Verstehst Du meinen Punkt jetzt?



Ich glaube wir reden aneinander vorbei. Aber lass gut sein, hier soll es nicht um Kleinigkeiten gehen.
Gruppenrichtlinien: http://www.gruppenrichtlinien.de/

#23 Michi69

Michi69

    Member

  • 189 Beiträge

 

Geschrieben 24. August 2014 - 18:42

Servus........................

 

 

BSI habe ich mir angeschaut....................sieht gut aus, aber auch theoretisch

USB im Bios deaktivieren sehr gut (allerdings bei lokalen Drucker , Tastatur und USB Dongle für die Fibu) fällt das bei einiigen System aus. Hatte ich aber nicht dran gedacht.

Firewall ist o.k, wird regelmäßig von Zertifizierten Admin überprüft. ( *.Exe, *.zip, *.jar etc) werden geblockt  ( Facebook Twitter etc werden eh geblcokt

Ich habe ca 60 USer, und mein Chef gibt kein großes Geld für die It aus. Nur das notwendigste. Also versuche ich mir viel Arbeit zu vermeiden, indem ich in die Wurzel die Wurzeln des Problems Zeit investiere.

 

Gruppenrichtlinien , Passwörter , Bildschrimschoner sind in Arbeit.....................aber es gibt auch bessere Gedanken wie die in meinem Kopf

Besten Gedank für weitere Gedanken.................die helfen vielleicht auch anderen

Merci.............

 

 

 

PS: wir hatten von einem langjährigen hoch geschätzten Mitarbeiter die Situation, das der Kollege hochbrisante Dokumente auf einen USB Stick ( eingenäht in eine Frühstückstasche)gezogen hat. Er wollte diese zu Hause bearbeiten.......................ist durch Zufall aufgefallen. Da ist mein Chef sehr aufmerksam geworden...................und hat Zeit und Ressourcen bewilligt



#24 Michi69

Michi69

    Member

  • 189 Beiträge

 

Geschrieben 26. August 2014 - 05:38

So, die DVDs sind ausgebaut ( Treiber deaktiviert)..............wozu die Kollegen Zeit hatten. Unglaublich was alles auf so einer Scheibe ist............................

 

Für weitere Hilfen ...Ratschläge und Kritiken.................damkbar wie immer



#25 micha42

micha42

    Board Veteran

  • 1.033 Beiträge

 

Geschrieben 26. August 2014 - 06:40

Moin,

für diese Aufgabe würde ich an Deiner Stelle nicht mit den einzelnden Maßnahmen anfangen. Das ist zwar auch wichtig, aber aktionistisch.

 

Ließ Dir die Konzepte durch:

http://www.bfdi.bund...ische_Maßnahmen

schreib den ist-Zustand auf, formuliere den soll-Zustand (und geh damit zur GF)

Hier gibt es eine kleine Hilfe für die Zustandsbeschreibungen: https://www.datensch...dsg-mit-muster/

und hier der Text, wie er im Gesetz steht (ok, Anlage zum Gesetz): http://www.gesetze-i.../anlage_79.html

 

Erst anschließend kannst Du anfangen und aus der Differenz zwischen ist und soll die Maßnahmen ableiten, die du dann priorisierst und abarbeitest.

 

Michael


Nur wer zickzack denken kann, weiß wie der Hase läuft.

#26 Michi69

Michi69

    Member

  • 189 Beiträge

 

Geschrieben 27. August 2014 - 12:02

@Micha42...............besten Dank

 

Ist und Sollzustand auf einer Liste mit Wertigkeiten zu bekommen ist eine Sache.....aber daraus praktische Schlüsse zu ziehen eine andere........Merci



#27 Pitti259

Pitti259

    Newbie

  • 128 Beiträge

 

Geschrieben 30. August 2014 - 15:02

Hi Leute,

 

als BSI zertifizierter Auditor muss ich doch gleich mal meinen Senf dazu geben.

 

Der Ansatz ein Sicherheitskonzept zu schreiben ist ja schon mal ausgesprochen gut. Aber, ein Sicherheitskonzept für ein Unternehmen ist keine technische Beschreibung zum Umgang mit USB-Anschlüssen, sondern eine strategisch/organisatorische Beschreibung der Vorgehensweise zur Umsetzung der Sicherheitsziele des Unternehmens, eventuell gewürzt um die technische Realisierung.

 

Welche Sicherheitsziele wurden eigentlich von euren Chefs aufgestellt?

Als erstes müssen die Kronjuwelen gefunden werden, nennt sich Einstufung von Informationen. Welche Informationen im Unternehmen sind wie schützenswert? Die Vorgehensweise um diese zu identifizieren gehört in das Sicherheitskonzept.

Dann folgen die Vorgaben zum Umgang mit den Informationen in den verschiedenen Sicherheitsstufen.

Wenn dann z.B. von der GL entschieden wurde, Informationen der Stufe "vertraulich" dürfen nicht auf externe Speichermedien verbracht werden, dann können wir uns über den Weg dorthin Gedanken machen. Wenn identifiziert wurde, welche Informationen immer verfügbar sein müssen, können wir uns Gedanken zu Datensicherung und Wiederherstellbarkeit machen. Wenn herausgefunden wurde, welche Informationen keinesfalls verfälscht werden dürfen, können wir uns Gedanken zu deren Schutz und Prüfung machen.

Für alle weiteren Maßnahmen, Regelungen und den technischen Umsetzungen gilt selbiges. Technische Maßnahmen sind nicht Selbstzweck, sondern dienen der Umsetzung der Sicherheitsziele. Dieser zweite Teil des Sicherheitskonzeptes war wohl hier gemeint. Ich selbst tendiere hier zu eigenen, themenspezifischen Konzepten und Richtlinien. Kann man aber auch im globalen Konzept mit unterbringen.

Wichtig ist, dass vor den technischen Umsetzungen dazu passende organisatorische Regelungen für die Mitarbeiter und auch die Administratoren von der GL herausgegeben werden. Sonst schimpfen wieder alle auf die pösen Admins und versuchen die Technik auszutricksen. Wenn für solch einen Versuch die Abmahnung droht, schaut das anders aus.

 

Beispiel aus der Praxis:

Richtlinie der GL zur Umgang mit Informationen, Daten der Stufe vertraulich oder höher und personenbezogene Daten dürfen nicht auf externe Datenträger verbracht oder per E-Mail an externe Stellen versandt werden...Ausnahmen werden durch die GL genehmigt. Um die Mitarbeiter vor versehentlichen Verstößen gegen diese Regelungen zu schützen, werden für Bedarfsträger hardwareverschlüsselte Sticks ausgegeben, die alleine an den Rechnern im Unternehmen verwendet werden dürfen.

Technische Maßnahme hierzu war das Upgrade der Virenscanner-Software auf die Variante zum Management von Schnittstellen. Nur für die Seriennummern der intern gelisteten verschlüsselten USB-Sticks sind die Ports freigeschaltet, DVD-Brenner sind ebenfalls gesperrt.

 

Am Thema Dropbox und Konsorten arbeite ich unterschiedlich. Hier ist vor allem die Unternehmenskultur und Schutzwürdigkeit der Information einzubeziehen. Zwischen alles erlauben, einbeziehen in den Geschäftsablauf, filtern von Informationen in der Firewall bis hin zur Sperrung der bekanntesten Dienste gibt es da alles.

 

Hoffentlich liest jetzt auch jemand meinen Roman...

 

Ciao

  Pitti

 


Ob es besser wird, wenn es anders wird, weiss ich nicht. Dass es aber anders werden muss, wenn es besser werden soll, weiss ich.

#28 lefg

lefg

    Expert Member

  • 20.510 Beiträge

 

Geschrieben 30. August 2014 - 17:26

 

Hoffentlich liest jetzt auch jemand meinen Roman...

 

Hab ich gelesen, danke dafür. :)


Bearbeitet von lefg, 30. August 2014 - 17:27.

Das Messbare messen, das Nichtmessbare messbar machen. Galilei.

 

Diskutiere nicht mit ***en, denn sie ziehen dich auf ihr Niveau und schlagen dich dort mit Erfahrung! (Hab ich bei Tom abgeguckt)

 

Koinzidenz begründet keine Korrelation und ist kein Beweis für Kausalität. (Hab ich bei Daniel abgeguckt) https://de.wikipedia...rgo_propter_hoc

 

Absolutistischer“ Geschäftsführungs-Dogmatismus, der jedwede Empirie aus der „Werkstatt“ schlichtweg ignoriert , führt eben zumeist früher als später ….  (Hab ich von Klabautermann)


#29 Dukel

Dukel

    Board Veteran

  • 9.313 Beiträge

 

Geschrieben 30. August 2014 - 17:58

Ich ebenfalls. Hoffe nur, dass der TO das auch liest.


Stop making stupid people famous.


#30 micha42

micha42

    Board Veteran

  • 1.033 Beiträge

 

Geschrieben 30. August 2014 - 18:48

gelesem und für "gut" befunden. Das ist dann die nächste Stufe...
m
Nur wer zickzack denken kann, weiß wie der Hase läuft.