wznutzer 32 Geschrieben 26. Juni 2023 Melden Teilen Geschrieben 26. Juni 2023 Hallo, immer wieder denke ich über die Sicherheit mobiler Arbeitsplätze nach. Sorgen macht mir immer wieder die Tatsache, dass diese Notebooks in irgendwelche Netze eingebucht werden, die ich gar nicht kenne und nicht weiß was darin so alles steckt. Notebooks sind natürlich immer aktuell User haben keine Adminrechte Bitlocker (um z. B. die Sache mit utilman zu verhindern) Verbindung in das Netzwerk per VPN mit MFA. Windows Firewall ist aktiv Notebooks bieten keine Dienste aktiv an lokaler Admin hat ein kompliziertes Passwort Virenscanner Im Defender Portal registriert (so bekommen wir auch Sachen mit, wenn keine VPN-Verbindung besteht) RDP (leider notwendig) ist nur im Domänenprofil (Firewall) aktiv. Somit sollte doch eigentlich die Windows-Firewall allem standhalten. Am liebsten wäre mir natürlich es gäbe das nicht, aber das ist unrealistisch. Mich würde interessieren, ob ihr darüberhinaus noch speziellere Einstellungen an der Windows-Firewall oder sonstiges vornimmt? Out of the box gibt es doch einige aktive Regeln die eingehenden Traffic erlauben, alle deaktivieren? Die Erkennung welches Firewall-Profil genommen werden soll, scheint gut zu funktionieren, nur die Abfrage, ob der Computer im Netzwerk gefunden werden soll, ist da etwas hinderlich. Über ein paar Anregungen würde ich mich freuen. Zitieren Link zu diesem Kommentar
Admin666 3 Geschrieben 26. Juni 2023 Melden Teilen Geschrieben 26. Juni 2023 Das klingt schon recht gut wenn du sorgen wegen Diebstahl hast kannst ja noch Smartcards verwenden. Ist auch angenehmer für den User. Ansonten Mitarbeiter schulen wäre noch ein Ding das mir einfallen würde. Zitieren Link zu diesem Kommentar
Damian 1.401 Geschrieben 26. Juni 2023 Melden Teilen Geschrieben 26. Juni 2023 Hi Wie oft kommen diese Notebooks denn zurück ins Haus (wegen Meetings, Raports usw.)? Wenn die entsprechenden Ressourcen vorhanden sind, böte sich noch die Möglichkeit, den Geräten bei jedem Hausbesuch automatisch ein sauberes Image überzubügeln. Sollten sich die Notebooks irgendwo irgendwas eingefangen haben, sind sie danach wieder clean. VG Damian Zitieren Link zu diesem Kommentar
Dupont 0 Geschrieben 26. Juni 2023 Melden Teilen Geschrieben 26. Juni 2023 Eine Gute Möglichkeit wären z.B. PC Wächter Karten. Auch die Laptops im Kiosk Modus zu betreiben wären eine Möglichkeit. Es kommt ja immer darauf an, was soll damit gemacht werden und welchen Zugriff hat man wann auf die Geräte. Zitieren Link zu diesem Kommentar
daabm 1.185 Geschrieben 26. Juni 2023 Melden Teilen Geschrieben 26. Juni 2023 Firewall outbound auch weitestgehend zu im Public Profile? Dann kann zumindest keiner "einfach so" nach Hause telefonieren... Ansonsten klingt das nicht schlecht. Zitieren Link zu diesem Kommentar
MurdocX 904 Geschrieben 26. Juni 2023 Melden Teilen Geschrieben 26. Juni 2023 Ich kann noch die Microsoft-recommended security configuration baselines (SCT) empfehlen. Das ist schon fast gebetsmühlenartig Zitieren Link zu diesem Kommentar
testperson 1.534 Geschrieben 27. Juni 2023 Melden Teilen Geschrieben 27. Juni 2023 Hi, man könnte hier noch SASE / SSE Lösungen wie bspw. iboss, Zscaler, ... in den Raum werfen. Ein anderer Ansatz wäre ggfs. im Detail über "Verbindung in das Netzwerk per VPN mit MFA." zu sprechen. Bei VPN trifft man halt immer mal wieder auf ANY <-> ANY bzw. sehr grob gefilterten Traffic. Gruß Jan Zitieren Link zu diesem Kommentar
wznutzer 32 Geschrieben 27. Juni 2023 Autor Melden Teilen Geschrieben 27. Juni 2023 (bearbeitet) vor 22 Stunden schrieb Damian: Wie oft kommen diese Notebooks denn zurück ins Haus (wegen Meetings, Raports usw.)? Wenn die entsprechenden Ressourcen vorhanden sind, böte sich noch die Möglichkeit, den Geräten bei jedem Hausbesuch automatisch ein sauberes Image überzubügeln. Manche Geräte sind kaum außer Haus, während ich andere nur 1x im Jahr sehe. Es handelt sich um Vertriebler und Supporter mit recht viel individuellen Einrichtungen. Wenn ich das regelmäßig lösche muss ich an der nächsten Weihnachtsfeier alleine im Eck mit dem Gesicht zur Wand sitzen . vor 18 Stunden schrieb daabm: Firewall outbound auch weitestgehend zu im Public Profile? Dann kann zumindest keiner "einfach so" nach Hause telefonieren... Daran hatte ich bisher nicht gedacht. Im Prinzip alles zu, das nicht für Internet (80, 443) und das VPN verwendet wird . Edit: Auch an das AD / Virenscanner / Voip-Client denken. vor 14 Stunden schrieb MurdocX: Ich kann noch die Microsoft-recommended security configuration baselines (SCT) empfehlen. Das ist schon fast gebetsmühlenartig Muss ich vielleicht später noch eine Frage stellen. vor 3 Stunden schrieb testperson: Ein anderer Ansatz wäre ggfs. im Detail über "Verbindung in das Netzwerk per VPN mit MFA." zu sprechen. Bei VPN trifft man halt immer mal wieder auf ANY <-> ANY bzw. sehr grob gefilterten Traffic. Das habe ich tatsächlich so fein aufgegliedert, dass ich mit einiger Sicherheit sagen kann, dass das was erlaubt ist, auch notwendig ist. Vielen Dank für die Anregungen. Man kann dann aber doch sagen, dass es schon so etwas wie damals Blaster oder Sasser braucht um einen Windows PC zu kompromitieren, wenn der User nicht *mithilft*. bearbeitet 27. Juni 2023 von wznutzer Zitieren Link zu diesem Kommentar
daabm 1.185 Geschrieben 27. Juni 2023 Melden Teilen Geschrieben 27. Juni 2023 vor 7 Stunden schrieb wznutzer: Daran hatte ich bisher nicht gedacht. Im Prinzip alles zu, das nicht für Internet (80, 443) und das VPN verwendet wird . Edit: Auch an das AD / Virenscanner / Voip-Client denken. Bei uns hat jemand ein Goodie programmiert, nennt sich "Hotelfunktion". Per Default ist 80/443 zu, und wenn Du mal wo bist, wo der Internetzugang hinter nem Captive-Portal hängt, kannst Du damit für 5 Minuten 80/443 aufmachen. "Früher" hatten wir das trivialer gelöst - unser Proxy kommt per PAC, und per GPO wurde zusätzlich ein Dummy-Proxy verteilt. Der wird nur angezogen, wenn das PAC nicht heruntergeladen werden kann - also wenn keine Verbindung per VPN vorhanden ist. Hilft natürlich nix gegen Agenten, denen der Proxy egal ist. Und an AD mußt Du natürlich denken, die Domänenerkennung muß im Public Profile funktionieren. Aber mir fällt spontan keine Malware ein, die auf Port 135 oder 389 nach Hause telefoniert. Und für die Domänenerkennung braucht's auch keine Portausnahmen, sondern Dienstausnahmen. AFAIK - müsste nachschauen, wie genau wir das gemacht haben Zitieren Link zu diesem Kommentar
wznutzer 32 Geschrieben 28. Juni 2023 Autor Melden Teilen Geschrieben 28. Juni 2023 vor 15 Stunden schrieb daabm: Und an AD mußt Du natürlich denken, die Domänenerkennung muß im Public Profile funktionieren. Aber mir fällt spontan keine Malware ein, die auf Port 135 oder 389 nach Hause telefoniert. Und für die Domänenerkennung braucht's auch keine Portausnahmen, sondern Dienstausnahmen. AFAIK - müsste nachschauen, wie genau wir das gemacht haben Ich bin mir nicht sicher, ob ich das verstanden habe => Domänenerkennung im Public Profile. 1. Das Notebook wird verbunden und aktiviert das Public Profile, weil es "irgendwo" ist. 2. User wählt sich im VPN ein und kann alles machen was er so darf 3. Bei mir steht das Firewal-Profil aber noch immer auf Public. Schaltet das nach der VPN-Verbindung bei Dir tatsächlich auf Domäne um? Dann wären meine Bemühungen im Public Profile außer Kraft. Das würde man ja nicht wollen. Wo ist hier mein Denkfehler? Zitieren Link zu diesem Kommentar
daabm 1.185 Geschrieben 28. Juni 2023 Melden Teilen Geschrieben 28. Juni 2023 Die VPN-Verbindung ist eine eigene NW-Karte - die muß ins Domain Profile. Die "reale" NW-Karte bleibt im Public Profile. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.