Jump to content

Sicherheitsconzept erstellen


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo zusammen,

 

ich bin gerade dabei ein Konzept für die IT / EDV Sicherheit in unserem Unternehmen auf zustellen und würde mich über ein paar Tips / Interessante Links / Hinweise / freuen.............

Es ist mir bewußt, das es Firmen, Schulungen, Normen, Behörden etc.gibt, die sich mit diesem großen Aufgabenbereich auseinander setzen. Aber ich hätte gerne

etwas Basis Struktur drin.

 

 

Folgendes zur Information

- Firewall :

Sophos Firewall  UTM9 ein,

Clients:

Windows 7 64 bit Clients mit Internet Zugang ( IE 9-11 , Mozilla Firefox), Aktuelle MS Updates

User mit hauptbenutzerrechten

Wir haben DVD Laufwerk ausgebaut + USB Port gesperrt

Avira Anti Vir

 

- 4 Gebäude ( 3 Produktion + 1 Verwaltung) die mit HP Switchen verbunden sind

Nicht benutze LAN Dosen sind nicht gepacht

 

DSL Zugang über Telekom

 

Updates für Software und Programme lasse ich mal aussen vor

 

 

Schulungen zum Thema Sicherheit sind geplant

 

 

Schonmal Danke

 

Link zu diesem Kommentar

Moin,

als Einführung zum thema würde ich Dir mal die Seiten des BSI empfehlen (Stichwirt Grundschutz). Hier kann man auch eine Struktur für das Sicherheitskonzept ableiten.

Auch der Anhang zum §9 BDSG ist eine gute Möglichkeit ein Konzept zu entwerfen.

 

Aber wenn Du in das Thema einsteigst, wirst Du schnell merken, dass hauptbenutzer quasi Admins sind. siehe http://www.gruppenrichtlinien.de/artikel/wie-werde-ich-lokaler-administrator/

lass das ;)

 

Michael

Link zu diesem Kommentar

Windows 7 64 bit Clients mit Internet Zugang ( IE 9-11 , Mozilla Firefox), Aktuelle MS Updates

User mit hauptbenutzerrechten

Seit VISTA gibt es die Hauptbenutzergruppe nur noch aus Kompatibilitätsgründen. Mehr Rechte hat diese Gruppe nicht mehr. Wenn es also keinen zwingenden Grund gibt die Benutzer in diese Gruppe zu packen, dann lass es bleiben.

 

Bist incl. XP gilt der von micha42 gepostete Link natürlich.

 

Und bezüglich Sicherheit solltet ihr auch auf Firefox verzichten. Das up2date halten des Browsers ist für 'normale' Benutzer schwer möglich und en Admin verbraucht sehr viel Zeit mit Scripten dafür.

 

Wenn Du wirklich Sicherheit willst, und wirkliche Sicherheit ist auch unbequem, dann kommst Du an Software Restriction Policies nicht vorbei. Zum Spielen kannst Du dir ja einen Rechner installieren und das hier austesten: http://schneegans.de/computer/safer/

Link zu diesem Kommentar

Bist incl. XP gilt der von micha42 gepostete Link natürlich.

 

Und bezüglich Sicherheit solltet ihr auch auf Firefox verzichten. Das up2date halten des Browsers ist für 'normale' Benutzer schwer möglich und en Admin verbraucht sehr viel Zeit mit Scripten dafür.

punkt a wusste ich noch gar nicht. Gut zu wissen.

punkt b Wir machen das über WSUS und das Scripten hält sich in Grenzen. Ich stelle meinen usern gern auch einen zweiten Browser zur Verfügung, damit die 1. ihre Vorlieben zumindest teilweise leben können aber vor allem 2. damit ich bei dringenden Warungen einen Browser zu meiden Ausweichmöglichkeiten habe.

 

EDIT: mir ist ncoh was aufgefallen:

1. IE 9-11 sollte vereinheitlciht werden (natürlich auf 11)

2. USB zukleben oder deaktivieren. Gute Idee und was ist mit Dropbox und Co? alle Clouddienste kann man gar nicht wegfiltern.

bearbeitet von micha42
Link zu diesem Kommentar

punkt b Wir machen das über WSUS und das Scripten hält sich in Grenzen. Ich stelle meinen usern gern auch einen zweiten Browser zur Verfügung, damit die 1. ihre Vorlieben zumindest teilweise leben können aber vor allem 2. damit ich bei dringenden Warungen einen Browser zu meiden Ausweichmöglichkeiten habe.

Wei handelst Du die ganzen AddOns? Darüber hast Du normalerweise keinen Einfluß, erst Recht nicht auf den Code, auf die Sicherheit und natürlich auch nicht auf die Lücken, die dir solche AddOns öffnen.

 

 

EDIT: mir ist ncoh was aufgefallen:

1. IE 9-11 sollte vereinheitlciht werden (natürlich auf 11)

WSUS gibt das alles her. ;)

 

2. USB zukleben oder deaktivieren. Gute Idee und was ist mit Dropbox und Co? alle Clouddienste kann man gar nicht wegfiltern.

Zukleben hilft nicht, wenn dann im BIOS deaktivieren. Alternativ mit der DEVCON.EXE, gibt es von MSFT kostenlos, automatisch alles was mit USB zusammenhängt deaktivieren. Maus und Tastatur sollte dann natürlich nicht an USB hängen. ;)

Link zu diesem Kommentar

Filtert der auch RAR oder ZIP weg? Das kann ich bei mir nicht deaktiveren und dann hab ich den Salat wieder. Und: filtert der auch Uploads aus einer https-Session?

;) nix für ungut

 

Der Proxy  untersucht auch gepackte Dateien, keine Sorge. Verschlüsselte Archive lassen sich auch blockieren.

Die Einschränkung ist HTTPS. Hier lassen  sich nur ganze  Hosts  blockieren.

Oder man lässt den HTTPS-Tunnel am Proxy  enden und verwendet intern ein eigenes Zertifikat.

Ist  aber  sehr problematisch und sollte eher nicht gemacht werden.

Für den Rest hilft  die SRP (sieh weiter  oben).

Malware wird eher selten über HTTPS mit  gültigen Zertifikaten verteilt.

Link zu diesem Kommentar

Willst du nur die oben genannten Themen in das Sicherheitskonzept aufnehmen?

Wie ist es mit z.B. Passwortrichtlinien; Provisioning (User zu- und Abgänge); Benutzerrechte; Administrative Konten; Serversicherheit; Physikalischer Zugriff; ...

Wenn man es sehr umfangreich machen will kann man Themen wie Backup oder Verfügbarkeiten auch aufnehmen.

Link zu diesem Kommentar

Willst du nur die oben genannten Themen in das Sicherheitskonzept aufnehmen?

Wie ist es mit z.B. Passwortrichtlinien; Provisioning (User zu- und Abgänge); Benutzerrechte; Administrative Konten; Serversicherheit; Physikalischer Zugriff; ...

Wenn man es sehr umfangreich machen will kann man Themen wie Backup oder Verfügbarkeiten auch aufnehmen.

Daher ja auch mein eingangs erwähnter Verweis auf Anlagen zu §9 BDSG. Das gibt m.E. eine gute Struktur, an der man sich langhangeln kann.

Letztlich: Wofür schreibe ich ein Sicherheitskonzept? Doch zum Vorzeigen. Wenn also zB ein potentieller Kunde unser Konzept sehen will, dann will er sehen, dass wir diese Punkte abgearbeitet haben.

 

 

Der Rest der Diskussion ist hier etwas aus dem Ruder gelaufen.

 

wo wir aber schon wieder OT sind:

Sunny, ich gebe Dir voll Recht

Zahni, es ging ja um das Thema USB-verhindern, also Dataleak, also upload in irgendwelche Cloudspeicher. Ich glaube nämlich, wir haben den Kampf gegen Datendiebstahl auf technischem Weg einen Riegel vorzuschieben durch diese Dienste verloren. Klar kann man alles dicht machen, aber Sicherheit ist immer auch eine Abwegung. Allen Buhrufen zum Trotze müssen die user ja auch arbeiten können. (was zwar ärgerlich ist, aber nicht zu ändern ;) )

Michael

Link zu diesem Kommentar

Solche Lösungen werden in großen Unternehmen  eingesetzt. Sicher kann man es nicht  verhindern.

Man kann es den Usern aber  erschweren. Damit  es immer  wieder in Bewusstsein kommt, was  man als  User darf und was nicht.

Sehr oft  ist keine böse Absicht  in der dem Tun  der User, sondern  eher Unwissenheit oder es ihnen  egal.

 

Gern werden von Usern so "Verfahren"  erdacht, bei dem der IT-Abteilung die Fußnägel hochrollen - wenn sie davon wüsste.

 

Bekannte Cloud-Dienste lassen sich über einen Proxy schon blockieren.

bearbeitet von zahni
Link zu diesem Kommentar

Zukleben hilft nicht, wenn dann im BIOS deaktivieren. Alternativ mit der DEVCON.EXE, gibt es von MSFT kostenlos, automatisch alles was mit USB zusammenhängt deaktivieren. Maus und Tastatur sollte dann natürlich nicht an USB hängen. ;)

 

Devcon ist ja sowas von XP. Das geht doch heute via GPO: http://social.technet.microsoft.com/Forums/windowsserver/en-US/012ea7bc-6d72-419f-89d5-66f47826bf74/forum-faq-how-to-restrict-mass-storage-drive-and-cdrom-access?forum=winserverGP

 

Du kannst auch USB-Geräte nach Device ID black- und whitelisten.

Link zu diesem Kommentar

Nur weil es für XP gemacht wurde, ist es heute nicht schlechter als Gestern.

 

Und der Tipp aus http://support.microsoft.com/kb/823732 hat AFAIR in der Vergangenheit bei der Installation vom SP1 für W7 für Fehlermeldungen gesorgt.

 

 

Wenn neue Rechner eingerichtet werden im BIOS USB deaktivieren, dann brauch ich mich um den Rest nicht zu kümmern.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...