Jump to content

falkebo

Members
  • Gesamte Inhalte

    114
  • Registriert seit

  • Letzter Besuch

Alle erstellten Inhalte von falkebo

  1. Im Verhältnis zu dem was in den letzten Jahren AD Seitig empfohlen wurde, Stichwort: ESAE, SCAMA, usw. sind das definitiv Quickwins. Ich lenke vielleicht noch ein, wenn es darum geht Tier1 und Tier2 vollständig zu implementieren, alles andere ist wirklich keine Raketenwissenschaft.
  2. Meine Quickwins für dieses Thema: 1. Administrative Tiering einführen. In deinem Fall ist zusätzlich darauf zu achten, dass der Hyper-V Host ebenfalls als T0 System zu betrachten ist, da dieser direkt/indirekt den Domain-Controller kontrolliert. 2. PAWs für die Administration einführen und am Besten nach SCT härten, des Weiteren empfehle ich den Zugriff auf die PAW lediglich via RDP + 2. Faktor zu realisieren. Für jedes Tier wird zwangsweise eine separate PAW benötigt. Die unprivilegierte Workstation von wo aus du zugreifst, sollte stark gesichert sein (Hardening, EDR, Logging) 3. LAPS für alle Server und Clients (bis auf DCs!!!) einführen 4. Allgemeines Client Hardening nach SCT, BSI oder CIS (einschließlich Device Guard, Credential Guard, usw.) Damit hast du erstmal eine gute Grundlage.
  3. Was hat das jetzt genau mit DLP bzw. Information Protection zu tun? Du unterschreibst beim Einritt in die Firma eine Verschwiegenheitsklausel in der auch festgehalten ist, dass nach Beendigung des Arbeitsverhältnisses alle firmenrelevanten Daten restlos und nachweislich vernichtet werden müssen. Mit obigen Maßnahmen erzielt man folgendes: 1. Datendiebstahl wird technisch erschwert, da Dokumente (ohne die aufwendige Verwendung von Workarounds mittels Screenshots etc.) nicht mehr unkontrolliert kopiert werden können. 2. Durch die Protokollierung behältst du zumindest die Kontrolle um im Falle eines Falles bei bösartigem Handeln potenzielle rechtliche Ansprüche geltend zu machen. Ich bin kein Jurist, jedoch würde ich mir als Unternehmer welcher mit hochsensiblen Daten hantiert, diese Möglichkeit nicht nehmen lassen. Wenn man diesen Satz so liest, entsteht so bisschen das Gefühl, dass alle Unternehmen welche z.B. MIP einsetzen, ***en sind. Microsoft Information Protection in Microsoft 365 - Microsoft 365 Compliance | Microsoft Docs Wie gesagt, 100% Schutz gibt es nicht. Im Zweifel heißt du Edward Snowden und schleust die Daten in einem Zauberwürfel raus. Hier geht es darum verschiedene Maßnahmen einzusetzen um das Risiko zu minimieren.
  4. 100% gibt es in dem Kontext nicht, schon klar. Aber es ist durchaus ein riesiger Unterschied, ob ich 1000 Dateien manuell screenshote oder einfach STRG-C, STRG-V mache. Abgesehen davon, und das ist eigentlich der springende Punkt, habe ich mittels Audit Log die Möglichkeit nachzuvollziehen welche Dateien ein Mitarbeiter kurz vor der Kündigung angesehen hat.
  5. Ich verstehe die Diskussion um das Thema PKI und Kerberos hier gerade nicht wirklich. Also ja, NTLM hat diverse Schwachstellen, die man im besten Fall durch abschalten des Protokolls komplett unterbindet, nur leider ist das in wahrscheinlich 80% der Unternehmen nicht möglich, da harte Abhängigkeiten zu Legacy Protokollen vorhanden sind (wie bereits einige hier schon angebracht haben). In meiner Top 5 der wichtigsten AD Security Maßnahmen, würde NTLM abschalten und PKI (wahrscheinlich ist hiermit Zertifikatsbasierte Authentifizierung gemeint) jedoch sowieso nicht landen. Denn trotz Kerberos UND Zertifikatsbasierter Authentifizierung, sind Angriffe wie Pass-The-Ticket immer noch möglich, die machen IMHO den größten Teil der Angriffsvektoren in einem AD aus.
  6. Hallo @Thomas Maggnussen. Ich weiß nicht, ob ich deine Frage richtig verstanden habe, versuche Sie jedoch zu beantworten. Die Schwachstellen im Windows Print Spooler, welche unter CVE-2021-34527 und CVE-2021-36958 geführt werden, sind ganz grundsätzlich erstmal sogenannte RCEs (Remote-Code-Execution) Schwachstellen. Hierbei wird es einem Angreifer ermöglicht, Schwachstellen in einem Programm über das Netzwerk auszunutzen. Im Rahmen von Print Nightmare, können Angreifer (sofern Sie sich im internen Netzwerk befinden), präparierten Code an beliebige Print Spooler schicken und sich anschließend z.B. eine SYSTEM Shell erzeugen lassen. Gegen DCs oder ähnlich privilegierte Server gerichtet, hat dieser Angriff verheerende Folgen. Die möglichen Eintrittspunkte für solch einen Angriff reichen von "Ich stöpsele mich am Netzwerk an", bis zu "Ich bringe meinen Exploit via E-Mail, Drive-By, etc. ins Netzwerk und lasse mir eine Reverse-Shell aufbauen".
  7. Ich würde 20 Jahre mit 5-10 Jahre ersetzen, ansonsten gebe ich dir Recht. Angemessenes Backup Konzept samt Disaster Recovery Plan -> Halbe Miete Endpoint Detection & Response Lösung (EDR / XDR) für alle Clients und Server (gerne inkl. Ransomware Schutz auf Endpoints und Fileserver) Active Directory Security (Tiering Konzept, AD Hardening, PAWs, MFA für privilegierte Konten, Device Guard & Credential Guard, etc.) Vernünftige Netzwerksegmentierung samt Next-Gen Perimeter Firewall Angemessenes Patchmanagement (OS inkl. 3Party Software) State of the Art E-Mail Content Filter Wenn die obigen Punkte alle eingehalten werden, wird keiner Kopfschmerzen mit Ransomware haben. Das ist natürlich kein fertiger Bauplan sondern lediglich ein paar Bullet Points, aber wem erzähle ich es, ihr wisst es ja eh schon.
  8. Hi @Thomas Maggnussen. Die Entrypoints für Ransomware sind tatsächlich in der Praxis sehr unterschiedlich, ich liste dir einfach mal diverse Möglichkeiten auf: E-Mail (beinhaltet Attachments, Download Links, Phishing, etc.) Drive-By Downloads Zero Day Exploits (Citrix NetScaler, Exchange, Webserver, etc.) Konfigurationsfehler VPN Tunnel jeglicher Art (Site2Site, SSL-VPN) Infizierte Hardware (USB Sticks) Social Engineering Es gibt heutzutage sehr gute Methoden und Techniken, die Wahrscheinlichkeit eines erfolgreichen Ransomware-Angriffs einschließlich der damit verbundenen Auswirkungen drastisch zu reduzieren.
  9. Ist einem von euch eigentlich aufgefallen, dass der Spooler Service in einer Windows Server 2019 Core Installation garnicht vorhanden ist? Trotzdem ist obige Version als vulnerable gelistet: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34527
  10. Ich erkenne hier halt nirgends einen Grund für separate Domänen... Bei ADs geht der Trend heutzutage in Richtung "keep it simple". 1 Domain, die Gesellschaften können auch locker mittels OUs getrennt werden (und sogar eingeschränkt delegiert). Ist mittlerweile aber auch schon wieder von MS retired
  11. Schon klar, im Rahmen und den Möglichkeiten des Forums natürlich.
  12. Hi @baccus, was du beschreibst läuft eigentlich auf ein Szenario hinaus: Es wird ein riesen Migrationsprojekt. Was sind denn die Anforderungen dieses Projekts? Braucht jede Firma wirklich eine eigene Domäne? Wenn du hier mehr Infos teilst, kann man dir vermutlich helfen eine "bessere" Entscheidung zu treffen.
  13. Was meinst du genau? Nenn mal ein Beispiel bitte, kann dir gerade nicht ganz folgen.
  14. https://docs.microsoft.com/de-de/windows-hardware/manufacture/desktop/sysprep--generalize--a-windows-installation#limits-on-how-many-times-you-can-run-sysprep
  15. Hier sollte man nochmal 2 unterschiedliche Ansätze differenzieren. Layer 2 VPN: Hier wird der VPN Client direkt in das LAN getunnelt und verhält sich so wie du oben beschrieben hast. Layer 3 VPN (eigentlich der Standard): Hier besteht für die VPN Clients ein eigenes IP Netz, womit sie sich verbinden. Über eine Firewall kann dann genau festgelegt werden welche Kriterien erfüllt sein müssen damit ich von A nach B komme. So kann ich dann deutlich restriktivere Regeln für den Fernzugriff festlegen. Sowas bietet die Sophos XG mit Synchronized Security auch an. Das jetzt mal nur so ganz allgemein. In diesem Zusammenhang kann man natürlich noch deutlich weiter gehen und ggf. auch über einen Network Policy Server die Authentifizierung des Clients abwickeln. Dort kann dann noch weiter definiert werden ob z.B. nur AD Computer sich verbinden dürfen, usw.
  16. Genau, du deaktivierst den alten Bereich und erstellst anschließend einen neuen. Kommt drauf an. Wenn man weis wie, ist es meistens remote lösbar.
  17. "Mein Auto fährt nicht, was kann ich tun..." Screenshots, Logs? Um was für einen DHCP Server geht es überhaupt? Wie sehen aktuell deine Netze aus und was möchtest du genau tun?
  18. Nicht ganz ;) Unter DNS Server die DCs rein. Unter Domain Name am Besten den Domänen Name. Anschließend auf dem Client die VPN Verbindung trennen, einmal "ipconfig /flushdns" und erneut verbinden. Klappt es jetzt?
  19. Servus @bennebaer. Zunächst solltest du auf den Problemclients mit aktiver VPN Connection mal ein nslookup machen und prüfen ob die Namensauflösung funktioniert. Mach direkt auf dem Client ein "ipconfig /all" und schick das hier mal rein. Zusätzlich bitte einmal in die Sophos "Remote Access" -> "Advanced", ebenfalls ein Screen von den Einstellungen.
  20. Das wäre für mich ein No-Go. Der DC ist für mich maximal schützenswert, abgesehen davon macht es mögliche Migrationsarbeiten oder Desaster-Recovery Szenarien deutlich schwieriger. Aber wie du schon sagtest, mehrere Wege führen nach Rom. OT: Gibt es eigentlich eine Möglichkeit in dem Forum Strawpolls zu starten? Würde mich interessieren, wer alles DC+Fileserver dem Fileserver+Printserver Szenario vorzieht.
  21. @Weingeist mein Beitrag bezog sich rein auf dein Argument Backup. Und das macht in diesem Kontext für mich einfach keinen Sinn. Wenn es danach geht, sollte man jede Rolle immer dediziert auf eine eigene VM ablegen, kann man machen, wenn man A) das nötige Geld für die Lizenzen und co. hat und B) genug Power um den Overhead der zusätzlichen VMs zu kompensieren. Wenn ich mir von allen Szenarios die ich bereits bei Kunden gesehen habe (unter Berücksichtigung von Security, Performance, Integrität und sonstige Sideeffects) eins aussuchen müsste, dann würde ich den Fileserver+Printserver als problemlos einstufen. Nicht ganz. Eher jeder wie er kann (bei manchen vielleicht auch wirklich will).
  22. Eine ordentliche Backup Software (wie z.B. Veeam) kann das Filesystem konsistent sichern und auch entsprechend einzelne Dateien/Ordner wiederherstellen. Abgesehen von ein paar wenigen Außnahmen, würde ich allgemein im Recovery Fall niemals einen ganzen Fileserver Rolebacken.
  23. @MercedesCR7 wie alle schon sagten, Domain-Controller gehören unter keinen Umständen nach außen geöffnet. Die schnellste und effektivste Lösung dieses Schlamassel aufzulösen wäre es den DC wieder nur ins LAN zu packen, ggf. Port-Forwarding abzuschalten und eure Domain für Public Anfragen von eurem Domain Hoster DNS erledigen zu lassen. Das Stichwort hierzu wäre dann Split-Brain-DNS.
  24. Meine aktuell "sicherste" Umgebung habe ich für einen Kunden wie folgt aufgebaut: S2D Cluster welches in einer eigenen "Fabric" Domain bzw. Forest beheimatet ist. Auf dem Cluster laufen virtuelle Maschinen welche ebenfalls in der Fabric Domain beheimatet sind (WSUS, PKI, File, Mgmt, Gateway Server ODER AUCH Jumpserver genannt), diese haben nur den Zweck, Dienste und Ressourcen für den Betrieb der Fabric bereitzustellen. Die Fabric Domain ist mit Windows Server Baseline Templates gehärtet. Ebenfalls laufen auf dem Cluster Maschinen welche zur eigentlichen "Company" Domain bzw. Forest gehören, hier sind Applications Server, WSUS, PKI, Exchange, usw. beheimatet. Company Server und Client Netzwerk sind mit VLANs getrennt, sprich jegliche Kommunikation wird granular über die Firewall erlaubt. RDP z.B. ist prinzipiell aus dem Client Netzwerk nicht möglich. Eine Verbindung um die Fabric (und damit auch die Company) zu administrieren, ist nur über das Remote Desktop Gateway (HTTPS) auf den Management Server möglich. Die Verbindungen auf den Management Server via Gateway/Jumphost erfolgt über eine Sophos Firewall, diese lässt die Kommunikation nur zu, wenn der Sophos Endpoint auf dem Administrator PC einen grünen Status besitzt, sprich frei von Malware oder PUAs etc. ist. Für verschiedene Zwecke gibt es natürlich verschiedene Credentials, 2-Faktor für den Zugriff auf den Management Server ist aktuell im Gespräch. Da hängen natürlich noch viel mehr Details dran, hoffe das ich nicht zu unverständlich geschrieben habe.
×
×
  • Neu erstellen...