cj_berlin 1.137 Geschrieben 5. Februar Melden Teilen Geschrieben 5. Februar vor 2 Stunden schrieb mwiederkehr: Ich habe schon länger keine rechnung.zip.exe gesehen, die sofort alle erreichbaren Dateien zu verschlüsseln beginnt. Ich könnte Dir ein paar Adressen aus jüngster Vergangenheit nennen, die genau diese Rechnung gesehen haben, aber dann müsste ich mir einen anderen Job suchen, vor allem in einer anderen Branche. 2 Zitieren Link zu diesem Kommentar
NorbertFe 1.804 Geschrieben 5. Februar Melden Teilen Geschrieben 5. Februar Ich weiß wo dein Haus wohnt, oder wie? ;) Zitieren Link zu diesem Kommentar
testperson 1.534 Geschrieben 5. Februar Melden Teilen Geschrieben 5. Februar Es ist nicht ganz "rechnung.zip.exe", aber hey: Videokonferenz voller KI-Klone: Angestellter schickt Betrügern 24 Millionen Euro | heise online Zitieren Link zu diesem Kommentar
daabm 1.185 Geschrieben 5. Februar Melden Teilen Geschrieben 5. Februar vor 8 Stunden schrieb soulseeker: ein Wust an service-accounts als Do-Admins, wo keiner mehr wusste, wozu die mal da waren. Dagegen hilft nur striktes Identity Management und Review aller "ungeklärten" Accounts, bis sie weg sind. Wir sind dran, aber das ist auch ein größerer Act... Vor allem, wenn sich die Accounts sporadisch noch anmelden, keine Beschreibung haben und die in der Description händisch eingetragenen Ansprechpartner seit 8 Jahren nicht mehr im Unternehmen sind 🙈 vor 3 Stunden schrieb testperson: Es ist nicht ganz "rechnung.zip.exe", aber hey: Videokonferenz voller KI-Klone: Angestellter schickt Betrügern 24 Millionen Euro | heise online Das ist rechnung.zip.exe auf Steroiden... Echt krasse Show Zitieren Link zu diesem Kommentar
NorbertFe 1.804 Geschrieben 5. Februar Melden Teilen Geschrieben 5. Februar Also wenn man sich mit 24 KI generierten Leuten unterhält, bilde ich mir ein, dass man doch irgendwann auch mal was merkwürdig finden dürfte. Und der Aufwand das zu tun, dürfte aktuell doch eher auf absolut auf diesen Hack hinauslaufende Aktionen schließen lassen. Bis das im "normalen" Umfeld ankommt, wird weiterhin lieber per Mail oder so gearbeitet. Aus technischer Sicht ist das natürlich trotzdem _unheimlich_ (und) beeindruckend. Zitieren Link zu diesem Kommentar
daabm 1.185 Geschrieben 6. Februar Melden Teilen Geschrieben 6. Februar Wenn ich mir meinen Aufmerksamkeitspegel in manchen Meetings so überlege, könnten da auch Schimpansen oder Pandas sitzen, würde ich nicht merken... 🙈 1 3 Zitieren Link zu diesem Kommentar
NorbertFe 1.804 Geschrieben 6. Februar Melden Teilen Geschrieben 6. Februar Ja aber du darfst keine 20 mio eur überweisen 😁 Zitieren Link zu diesem Kommentar
daabm 1.185 Geschrieben 7. Februar Melden Teilen Geschrieben 7. Februar Och menno - warum nicht? Ich würde doch so gerne... 🙈 Zitieren Link zu diesem Kommentar
NorbertFe 1.804 Geschrieben 7. Februar Melden Teilen Geschrieben 7. Februar Warte, ich schick dir gleich die iban. ;) 1 Zitieren Link zu diesem Kommentar
NilsK 2.785 Geschrieben 8. Februar Melden Teilen Geschrieben 8. Februar Moin, wobei dir die Frage nach dem "Warum" ja auch egal sein kann, du bist ja schließlich Admin und kannst dich drüber hinwegsetzen. Gruß, Nils Zitieren Link zu diesem Kommentar
wznutzer 32 Geschrieben 9. Februar Melden Teilen Geschrieben 9. Februar Am 2.2.2024 um 11:32 schrieb soulseeker: Die Frage kommt jetzt vielleicht etwas plump daher, aber mich würde mal interessieren, wie es bei anderen Firmen/IT-Abteilungen so läuft, wenn es um das Thema Security geht. Ich kann Dir nicht sagen was alles richtig ist, da gibt es hier viel bessere Experten als mich. Ich kann nur erzählen was ich gemacht habe, mit knapp 100 MA. Aufteilung der Server in Tier 0 - 2. Zusätzlich habe ich innerhalb eines Tiers noch teilweise nach Funktionen getrennt. Aus dieser Aufteilung ergeben sich dann die einzelnen Identitäten. Domänenadmin wird ausschließlich zur Verwaltung der Domäne verwendet und darf sich auch sonst nirgendwo einloggen. Per GPO wird dieser automatisch von allen Workstations und Server entfernt. Natürlich auch nicht um einen Client in die Domäne aufzunehmen, entfernen, umzubenennen. Der Domänenadmin und auch alle anderen Identitäten die besondere Berechtigungen haben ist es per GPO verboten sich per Netzwerk zu verbinden. Das gilt natürlich nur für die Geräte, VMs denen die Identität nicht zugewiesen wurde. Den lokalen Adminaccounts ist es auch verboten sich per Netzwerk zu verbinden. RDP, WinRM usw. ist per Windows-Firewall auf bestimmte Endpunkte beschränkt. Schwachpunkt ist der Adminrechner, aber auf diesem gibt es kein Internet und auch keine Emails. Telefon, Alarm, Feuer, Zugangssysteme usw. alles in separaten VLANs Backup (geprüft und Wiederherstellung geübt) mehrfach online und offline. Doku für den schlimmsten aller Notfälle. Das Hantieren mit den unterschiedlichen Logins finde ich gar nicht schlimm. Es hilft aber ungemein, wenn man die Passwörter auswendig kennt. Sonst steht Du irgendwann im Keller und kannst nichts machen, weil dein bevorzugter Passwortsafe da nicht läuft. Grüße und schönes Wochenende 2 Zitieren Link zu diesem Kommentar
Dukel 436 Geschrieben 9. Februar Melden Teilen Geschrieben 9. Februar vor 2 Minuten schrieb wznutzer: Aufteilung der Server in Tier 0 - 2. Zusätzlich habe ich innerhalb eines Tiers noch teilweise nach Funktionen getrennt. Schwachpunkt ist der Adminrechner, aber auf diesem gibt es kein Internet und auch keine Emails. Hast du pro Tier eigene Adminrechner / Sprungserver? oder einer für alle Tiers? Sind die Adminrechner besonders abgesichert? 2FA? Credential Guard? Bitlocker? ... Zitieren Link zu diesem Kommentar
wznutzer 32 Geschrieben 9. Februar Melden Teilen Geschrieben 9. Februar vor 12 Minuten schrieb Dukel: Hast du pro Tier eigene Adminrechner / Sprungserver? oder einer für alle Tiers? Sind die Adminrechner besonders abgesichert? 2FA? Credential Guard? Bitlocker? ... Ein Adminrechner bzw. Jumphost, Credential Guard ist aktiv. Das ist auch tatsächlich ein Schwachpunkt, der evtl. die anderen Maßnahmen einstürzen lassen kann. Überlegungen Über eine ausgehende RDP-Verbindung (Sicherheitslücke) kann auf dem Adminrechner Code ausgeführt werden. Möglich, aber das Risiko einer Sicherheitslücke die alle Maßnahmen außer Kraft setzt, kann es immer geben. Der Adminrechner nimmt kaum Verbindungen über das Netzwerk an oder nur von bestimmten Endpunkten aus ==> Windows-Firewall. Muss der Adminrechner in der Domäne sein? Ich habe mich für ja entschieden, weil wenn der Adminrechner von der Domäne aus "übernommen" wird, ist es sowieso schon vorbei. Ich will ja den Adminrechner nicht vor der Domäne beschützen. Kann jemand unberechtigter physischen Zugriff auf den Adminrechner haben, wenn nein, würde auch Bitlocker nichts bringen. Applocker, hoffentlich so konfiguriert, dass die meisten Schwachstellen geschlossen sind. Wie noch könnte Code ausgeführt werden? PsExec (Sysinternals) nutzt Pipes über Port 139, 445. Braucht aber Credentials vom Rechner. Auch hier gilt, der lokale Admin geht nicht, aber natürlich der reguläre Adminuser (der natürlich keine Adminrechte hat). Also dürfen diese Credentials auf keinem anderen Gerät landen. Derzeit ist das organisatorisch. Die werden einfach nirgendwo anders eingegeben. Zitieren Link zu diesem Kommentar
daabm 1.185 Geschrieben 9. Februar Melden Teilen Geschrieben 9. Februar vor 2 Stunden schrieb wznutzer: Den lokalen Adminaccounts ist es auch verboten sich per Netzwerk zu verbinden. RDP, WinRM usw. ist per Windows-Firewall auf bestimmte Endpunkte beschränkt. An den 2 Punkten scheitern wir. Den ersten hatten wir - aber jetzt liegen die PW der Builtin Admins in einem zentralen Store (Cyberark), der die auch rotiert. Und da wir dafür derzeit keinen Reconcile-Account aus der Domäne nutzen, muß Cyberark sich mit den aktuellen Credentials remote verbinden dürfen :-( (Nicht mein Design, ich kann die Welt nicht alleine retten). Den zweiten würden wir gern machen, geht aber nicht, weil wir zu viel Bewegung in unseren Netzen haben und zu viele Menschen für unterschiedliche Teile der RDP-Zugriffskette verantwortlich sind. Wobei ich die Idee mal mitnehme und mit ein paar Menschen besprechen werde, weil das eigentlich ein QuickWin wäre. Beim Rest Daumen weit hoch von mir. Für "nur" 100 MA hast Du da echt viel umgesetzt 👍 PS: Network Access haben wir auf AuthUsers belassen - das hätten wir nie eingefangen bekommen, wenn da per Default niemand drinsteht und jeder, der nen Service aufbauen will, sich darum auch noch kümmern darf... 1 1 Zitieren Link zu diesem Kommentar
MurdocX 904 Geschrieben 11. Februar Melden Teilen Geschrieben 11. Februar Am 9.2.2024 um 15:45 schrieb wznutzer: Ich kann nur erzählen was ich gemacht habe, mit knapp 100 MA. Falls du unterfordert sein solltest, hier wären noch weitere Themen zum anknüpfen: Supportete u. mit aktueller Firmware Netzwerkkomponenten Sammeln (und auswerten) der Logs der Netzwerkkomponenten Härten der Netzwerkkomponenten Blick auf die Passwortrichtlinien werfen Regelmäßiges wechseln der Admin- u. Service-User Passwörter (krbtgt nicht vergessen...) Authentifizierungsrichtlinien für Service-User (FGPP) Nicht benötigte SPNs entfernen Umgebung auf AES128 umstellen (RC4 deaktivieren) Beschränken der Berechtigungen zum Erstellen von Tasks Schwachstellen-Management (und ja, das macht Arbeit ;) ) NTLM beschränken HVCI (und auch aktuell halten) Näheren Blick auf CIS u. STIGs werfen Updatestand auf den Servern und Clients aktuell halten 1 1 Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.