Scotx 0 Geschrieben 2. April 2022 Melden Teilen Geschrieben 2. April 2022 Hallo zusammen, ihr habt mir hier im Forum ja schon des Öfteren mit meinen Problemchen geholfen. Jetzt war ich vor einer Woche auf einer Veranstaltung zum Thema "Cyber-Sicherheit". Dort war ein, ich nenne Ihn mal vorsichtig "Cyber-Nerd", der dort eindrucksvoll gezeigt hat, was so alles möglich ist und wie erschreckend offen die Systeme teilweise sind und wie dumm das tatsächlich ist. Naja, da ich jetzt mit Corona im Homeoffice sitze, habe ich viel Zeit, um mich zumindest schonmal zu dem Thema zu informieren und mir Überlegungen dazu anzustellen... Nach dem Abend war ich kurz davor, alles was nach Netzwerk aussieht, aus der Wand zu rappen, aber das kann ja auch keine Lösung sein... Wir betreiben bei uns einen Windows Server 2012 R2 Essentials. Daran hängen ca. 5 Arbeitsplätze mit Windows 10. Der Server wird als SQL-Datenbankserver, File- und Backupserver genutzt. Der Server selber macht einmal am Tag ein Backup auf externe HDD und nachts eine Onlinesicherung auf Azure. Auf den Arbeitsplätzen läuft jeweils "nur" der Windows Defender als Antiviren-Software. Auf dem Server läuft m. M. nichts als Antivirensoftware. Ich arbeite des Öfteren über die Microsoft-RDP Verbindung auf meinem Arbeitsplatz (....remotewebaccess.com) Wegen der ganzen aktuellen Situation ist man natürlich beim Thema Cybersicherheit maximal verunsichert. Blinder Aktionismus macht aber vielleicht auch keinen Sinn. Eine Cyberversicherung habe ich bislang noch nicht, da die Obliegenheiten nicht gegeben waren. Das Thema EDV betreue ich bislang hobbymäßig alleine, Server und Arbeitsplätze einrichten macht mir Spaß und ich mache das schon seit der MS-DOS Zeit. Was allerdings an mir vorüber gegangen ist, ist eben das Thema Cybersicherheit. Deshalb hier meine Überlegung - da es eine 100%ig Sicherheit nicht geben wird/kann, was sind eurer Meinung nach die Mittel der Wahl, um zumindest 99% Geschützt zu sein. Kann man das als Serverbetreiber mit ein bisschen Hintergrundwissen (kein Profi!!) mit Kaufprogrammen oder sogar mit Bordmitteln selber in den Griff bekommen oder sollte hier ein Fachmann was tun - wobei die einem ja auch keine 100% Sicherheit geben...? Macht es aus sicherheitstechnischer Sicht Sinn über einen neuen Server/System nachzudenken, da der auch schon einige Jahre alt ist ? Und gibt es evtl. von irgendwelchen offiziellen Stellen einen Fahrplan für mein Vorhaben ? Die ganze Technik funktioniert absolut zu unserer Zufriedenheit - es wäre also eine rein präventive Maßnahme. Vielen Dank für eure Infos & ein schönes Wochenende wünscht Daniel Zitieren Link zu diesem Kommentar
mwiederkehr 351 Geschrieben 2. April 2022 Melden Teilen Geschrieben 2. April 2022 Es gibt viele Präsentationen, die einen ins Staunen versetzen. Die dort gezeigten Sachen sind real, aber über dem, was 08/15-Massen-Malware macht. Mit fünf Arbeitsplätzen ist man meist kein attraktives Ziel für ausgefeilte Attacken. Solche Umgebungen bekommt man mit verhältnismässig wenig Aufwand ausreichend sicher: nur Betriebssysteme und Software einsetzen, die im Herstellersupport sind regelmässig Updates durchführen Defender überall aktiv nicht als Admin arbeiten mehrere Versionen der Datensicherung aufbewahren, mindestens eine davon offline (Online Backup geht, wenn die Sicherung vom Client aus nicht gelöscht werden kann) möglichst wenig Zugänge von aussen ("Port 3389 auf den Rechner weiterleiten" ist ganz schlecht, VPN ist besser, Deine remotewebaccess.com-Lösung sieht aus wie ein RD-Gateway, das wäre akzeptabel) Benutzer sensibilisieren gefährliche E-Mail-Anhänge blockieren evtl. filternden DNS wie OpenDNS verwenden Ich habe schon einige erfolgreiche Angriffe auf KMU miterlebt und bis jetzt kam die Schadsoftware immer per E-Mail (entweder als Massen-Mail à la "ihr Paket ist da", aber auch sehr zielgerichtet als Bewerbung auf eine tatsächlich ausgeschriebene Stelle) oder per Ausnutzung von Schwachstellen öffentlich erreichbarer Software (Exchange, phpMyAdmin, HPE iLO...). Ausgefeilte Methoden wie "Netzwerkanschluss in unverschlossenem Gebäudeanbau verwendet, um auf verwundbarem Drucker eine Schadsoftware zu installieren, die bösartigen JavaScript-Code in gescannte PDFs einfügt" habe ich bis jetzt nur an Vorträgen gesehen. Schlussendlich geht es bei der Sicherheit ja nicht um 100%, sondern darum, die Kosten für einen Angriff höher zu machen als den potenziellen Gewinn. 2 Zitieren Link zu diesem Kommentar
Scotx 0 Geschrieben 2. April 2022 Autor Melden Teilen Geschrieben 2. April 2022 Danke für deine Antwort - sowas habe ich mir eigentlich auch immer gesagt. Kernaussage der Veranstaltung war allerdings, dass die "Hacker" eher unspezifisch über einen Scanner nach "offenen Türen" oder Schwachstellen wie z.B. offene Multifunktionsgeräte etc. suchen und darüber angreifen. Die Dinge die du vorschlägst, habe ich sicher weitestgehend umgesetzt, bzw. werde mir die Sachen nochmal genau ansehen und korrigieren! Läuft der Defender auch auf dem Server 2012 oder muss hier was anderes her ? Ich glaube auch, dass die häufigste Fehlerquelle immer noch vor dem Rechner sitzt und die Mails sind ja auch derart gut gemacht mittlerweile, das man selber schon drauf rein fallen könnte... Zitieren Link zu diesem Kommentar
mwiederkehr 351 Geschrieben 2. April 2022 Melden Teilen Geschrieben 2. April 2022 vor 22 Minuten schrieb Scotx: Kernaussage der Veranstaltung war allerdings, dass die "Hacker" eher unspezifisch über einen Scanner nach "offenen Türen" oder Schwachstellen wie z.B. offene Multifunktionsgeräte etc. suchen und darüber angreifen. Ja, von aussen wird viel automatisiert gescannt und es werden Passwörter durchprobiert. Logfiles von Webservern sind voll von Aufrufen nach "/phpmyadmin", "/joomla" oder nach Pfaden von bekannten Webshells, die ein früherer Angreifer zurückgelassen haben könnte. Und wenn man in die Ereignisanzeige eines Servers mit offenem RDP-Port sieht, findet man pro Tag tausende Einträge zu Anmeldeversuchen mit allen möglichen Namen, ebenso bei Linux-Servern mit offenem SSH und aktivierter Keyboard-Authentication. Neuerdings kommen die Versuche nicht mehr von wenigen IP-Adressen, sondern von Botnets, bei denen von einer IP-Adresse aus kaum mehr als drei Versuche pro Tag stattfinden. So läuft eine "Bruteforce-Protection" ins Leere, wie sie von manchen Firewall-Herstellern beworben wird. Die Verwendung von erratenen Kennwörtern habe ich in der Praxis schon mehrfach gesehen: Die Benutzer müssen alle sichere Kennwörter haben, aber für die Multifunktionsgeräte erstellt man einen Benutzer namens "scan" und weil man nicht immer die Doku bemühen will, nimmt man als Passwort auch "scan". Ist ja nur für die Geräte. Der Benutzer ist in der Gruppe "Domänen-Benutzer", damit die Geräte die gescannten Dokumente in den Freigaben abspeichern können. Dann kommt das Bedürfnis, von zu Hause aus auf dem Terminalserver arbeiten zu können. Port 3389 ist schnell aufgemacht und ist ja kein Problem, schliesslich haben die Benutzer gute Passwörter und der Server ist aktuell. Nur: In der Gruppe "Remotedesktopbenutzer" sind die "Domänen-Benutzer" und daher auch der "scan"-User... Die Schwachstellen in Multifunktionsgeräten sollten hingegen normalerweise nicht von aussen ausnutzbar sein. Dazu müsste sich ein Angreifer schon im internen Netz befinden. Entweder, weil er auf einem Rechner schon eine Malware zur Ausführung bringen konnte oder weil das Gäste-WLAN den Zugriff ins interne Netz erlaubt. vor 39 Minuten schrieb Scotx: Läuft der Defender auch auf dem Server 2012 oder muss hier was anderes her ? Der Defender läuft erst ab Server 2016. Ich würde jetzt aber nicht überhastet eine Drittsoftware beschaffen. Erstens ist das Risiko eines Schadsoftware-Befalls für einen Dateiserver gering, weil darauf keine Leute im Internet surfen oder E-Mails lesen und selbst wenn eine virus.exe auf dem Server abgespeichert wird, passiert nichts, solange man sie nicht von dort aus startet. Zweitens ist Windows Server 2012 im Oktober 2023 End of Life, so dass Du bis dahin besser eine Migration auf ein aktuelles System in Angriff nimmst. (Wobei ich bei fünf Benutzern mal offen lassen möchte, ob es noch ein Server sein muss, oder ob auch ein NAS oder eine Lösung wie OneDrive reichen würde.) vor 45 Minuten schrieb Scotx: Ich glaube auch, dass die häufigste Fehlerquelle immer noch vor dem Rechner sitzt und die Mails sind ja auch derart gut gemacht mittlerweile, das man selber schon drauf rein fallen könnte... Ja, in der Tat. Früher hat man sich gefragt, wie b***d die Leute denn sein müssten, auf Anhänge von E-Mails zu öffnen, die vor Grammatikfehlern nur so strotzten. Heute sind die E-Mails "besser". Einmal wurde angerufen, in einwandfreiem Deutsch eine Person aus der Buchhaltung verlangt und dieser dann eine E-Mail angekündigt, deren Anhang unbedingt sofort geöffnet werden müsse. Als ich letztes Jahr einen Phishing-Test bei einer Firma mit ca. 100 Mitarbeitern gemacht habe, haben 50% den Link angeklickt und sagenhafte 30% haben ihre Zugangsdaten im Formular eingetragen. Weil man die Weitergabe von Zugangsdaten nicht zu 100% verhindern kann, ist es besser, wenn sie von aussen nicht missbraucht werden können: Indem es keinen Zugriff gibt oder indem man MFA einsetzt. Microsoft 365 ist in der Hinsicht so komfortabel geworden, dass es eigentlich keinen Grund mehr gibt, MFA nicht zu aktivieren respektive nicht aktiviert zu lassen. Zitieren Link zu diesem Kommentar
Nobbyaushb 1.362 Geschrieben 2. April 2022 Melden Teilen Geschrieben 2. April 2022 Sowas kann man aus meiner Sicht auch nicht oder nur schwer verallgemeinern. Was bei dem einen super ist, passt bei einem anderen gar nicht. Ich empfehle, mal jemanden von extern drüber schauen zu lassen. Kostet nicht die Welt und wenn man das als Workshop gestaltet lernst du noch was. my2cents 2 Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.