Jump to content

Security für Admin-Accounts


Recommended Posts

vor 9 Minuten schrieb MurdocX:
  • Sammeln (und auswerten) der Logs der Netzwerkkomponenten

 

Und hier wird es meiner Meinung nach nicht nur im KMU "schwierig". Das Sammeln passiert sicherlich 24/7. -> Das Auswerten auch? -> Jetzt gibt es ja entsprechende MDR und/oder SOC (as a Service) Lösungen. -> Ist ein passender / sind passende Entscheider 24/7 auf Abruf verfügbar? -> Ist ein passender / sind passende Techniker 24/7 verfügbar, um den Entscheidungen Taten folgen zu lassen?

 

Natürlich ist es hilfreich am nächsten (Werk) Tag die Info zu haben, dass es verdächtige Aktivitäten gab/gibt. Aber ob es dann nicht bereits zu spät ist?

Link to comment
vor 13 Minuten schrieb testperson:

Natürlich ist es hilfreich am nächsten (Werk) Tag die Info zu haben, dass es verdächtige Aktivitäten gab/gibt. Aber ob es dann nicht bereits zu spät ist?

Das Thema wird man sicherlich nicht vom Tisch bekommen.

 

Auch die Frage für welchen - gefühlt macht jeder etwas Größere SOC - Dienstleister man sich im Endeffekt entscheidet. Sind die Mitarbeiter gut geschult? Ist Regelwerk auch gut ausgearbeitet, um das Verhalten zwischen den vielen False/Postive herauszufiltern?

Link to comment
vor 1 Stunde schrieb MurdocX:

 

Falls du unterfordert sein solltest, hier wären noch weitere Themen zum anknüpfen:

  • Supportete u. mit aktueller Firmware Netzwerkkomponenten
  • Sammeln (und auswerten) der Logs der Netzwerkkomponenten
  • Härten der Netzwerkkomponenten
  • Blick auf die Passwortrichtlinien werfen
  • Regelmäßiges wechseln der Admin- u. Service-User Passwörter (krbtgt nicht vergessen...)
  • Authentifizierungsrichtlinien für Service-User (FGPP)
  • Nicht benötigte SPNs entfernen
  • Umgebung auf AES128 umstellen (RC4 deaktivieren)
  • Beschränken der Berechtigungen zum Erstellen von Tasks
  • Schwachstellen-Management (und ja, das macht Arbeit ;) )
  • NTLM beschränken
  • HVCI (und auch aktuell halten)
  • Näheren Blick auf CIS u. STIGs werfen
  • Updatestand auf den Servern und Clients aktuell halten

Coole Liste. Härten der Netzwerkgeräte bedeutet unnötige Zeilen entfernen oder gibt es da noch mehr? Mein Wissen ist leider von 2017 noch…und ja Schwachstellenmgmt ist ein riesiger Aufwand :-(

Link to comment
vor 1 Minute schrieb v-rtc:

Härten der Netzwerkgeräte bedeutet unnötige Zeilen entfernen oder gibt es da noch mehr?

Viele Hersteller bieten etwas (bspw.):

Ergänzend würde ich mir die Richtlinien von CIS noch ansehen.

 

vor 8 Minuten schrieb v-rtc:

Mein Wissen ist leider von 2017 noch…und ja Schwachstellenmgmt ist ein riesiger Aufwand :-(

Hier ist die Taktik "Weniger ist Mehr" :-)

 

  • Like 1
Link to comment

Meine persönliche Überraschung beim Schwachstellen-Management war die riesige Anzahl an Schwachstellen und deren Alter. Bei uns gab es eine 14 Jährige alte Adobe-Schwachstelle.

 

vor 5 Stunden schrieb Gulp:

Weniger Management oder weniger Schwachstellen?

Weniger Anwendungen = weniger Schwachstellen = weniger Management :-)

Edited by MurdocX
  • Like 1
Link to comment
vor 22 Stunden schrieb MurdocX:

Falls du unterfordert sein solltest, hier wären noch weitere Themen zum anknüpfen:

Gute Liste. Ich habe mich z. B.  gegen das ständige Wechseln der Passwörter entschieden und wo möglich gMSA-Konten verwendet (ich hoffe korrekt konfiguriert :rolleyes:). Dafür lange, komplexe Passwörter per Richtlinie und Account-Lockout.

 

Gerade das Auswerten von Logs hat mich auch schon beschäftigt, also das Erkennen wenn etwas passiert ist. Security Onion finde ich gut, werde ich wahrscheinlich demnächst produktiv einsetzen. Dauerhaft darf es aber nicht zu oft Alarm geben, wenn nichts ist.

 

Wenn man Veeam einsetzt, kann man z. B. mit Sure-Backup die Backups automatisiert offline scannen, wenn der Scanner per Kommandozeile gesteuert werden kann. Wer mag kann den Scanner von Nextron probieren, macht mir aber zu viele Fehlalarme.

 

Jetzt sind wir zwar etwas von "Security für Admin-Accounts weg", aber trotzdem interessant.

Link to comment

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...