Wie kann ein Windows-System abgesichert werden?
Gerade in der heutigen Zeit, in der wir verschiedentliche Bedrohungen erleben, ist es immer wichtiger die verschiedenen Geräte für die täglichen Arbeiten richtig abzusichern. Nebst der richtigen Architektur der verschiedenen Serversysteme muss dabei ein verstärktes Augenmerk auf die Client-Systeme gerichtet werden. War es in der Vergangenheit ausreichend, eine richtig konfigurierte Firewall und ein Antivirenprogramm zu haben, muss heute mit modernsten Lösungen gearbeitet werden, um der Kreativität der Angreifer zu entgegenzuwirken. Ziel muss es sein, die Angriffsfläche zu verringern, frühzeitig Angriffe zu erkennen und automatisch darauf zu reagieren.
Zugriff auf Computer mit modernster Technologie
Haben
wir uns bisher fast die Finger gebrochen, weil wir alles versucht haben, hochkomplexe
Passwörter zu verwenden (und im Kopf zu behalten), können wir heute auf
verschiedene Technologien zurückgreifen, um es einfacher zu haben. So bietet es
sich auf modernen Systemen an, mit einem PIN, mit Multi-Faktor-Authentifizierung
(MFA) oder mit biometrischem Anmeldeverfahren einzuloggen. Generell wird von
vielen Experten empfohlen, klassische Passwörter mit einer zusätzlichen
Verifizierung abzusichern.
Beim PIN-Verfahren wird nach dem erstmaligen Anmelden am Gerät ein PIN erstellt,
der nur auf diesem entsprechenden Gerät verwendet werden kann. Dieser PIN ist
mit dem Benutzer-Account verbunden und erleichtert die Anmeldung, da nicht
jedes Mal das Passwort eingegeben werden muss. Wird der PIN abgefangen, müsste
der Angreifer direkten Zugang zum Gerät haben, um sich anzumelden. Hierbei muss
aber zwingend darauf geachtet werden, dass an jedem Gerät ein anderer PIN
verwendet wird.
Noch sicherer ist es, sich mit der Multi-Faktor-Authentifizierung am Gerät
anzumelden. Dabei meldet man sich am Gerät mit dem Passwort (oder PIN) an,
worauf auf ein hinterlegtes Mobil-telefon, auf dem eine Authenticator-App
installiert ist, eine Anforderung gesendet wird. Der Benutzer öffnet die App
auf dem Telefon und gibt sein Passwort ein (oder verwendet ein biometrisches
Login, wie z.B. einen Fingerscan.). Ist dies erfolgreich, wird der Zugang am
Computer freigegeben. Diese Art von Authentifizierung bietet sich vor allem an
sensitiven Systemen wie Sever oder speziellen Applikationen an, um eine
höchstmögliche Sicherheit zu erlangen.
Biometrische Verfahren verwenden z.B. die Gesichts- und Iriserkennung oder die
Fingerabdrücke zur Identifizierung des Benutzers. Gerade mit der Einführung von
Windows Hello for Business wurde es ermöglicht, eine Multi-Faktor Authentifizierung
zu verwenden, die grösstmögliche Sicherheit mit Benutzerkomfort verbindet. Nach
einem erstmaligen Anmelden am Computer wird die persönliche Gesichtserkennung
eingerichtet, damit nach Abschluss der Konfiguration der Computer durch
Betätigen einer Taste und dem Blick in die Kamera entsperrt werden kann.
Regelmässiges Update der Computer
Ein
weiterer sehr wichtiger Faktor ist die Aktualität der verwendeten Geräte. Ein Grossteil
der heutigen Sicherheitsvorfälle sind darauf zurückzuführen, dass die
befallenen Geräte fehlende Updates aufweisen. Wird durch die Hersteller ein
Update zur Verfügung gestellt, wird auch bekannt gegeben, welche Lücken
vorhanden sind. Dies ist die Chance für Angreifer, da noch immer viele
Unternehmen einen langwierigen Prozess haben, um Sicherheits-Updates zu
implementieren. Installieren auf der Test-Umgebung – zwei Wochen testen, installieren
auf der Integrations-Umgebung, zwei Wochen testen, warten auf das nächste
Wartungsfenster, dann endlich installieren.
Unternehmen müssen heute agiler werden und Sicherheits-Updates in einem Fenster
von ein bis zwei Wochen verteilt haben. Immer mehr entscheiden sich, die
Updates nach oberflächigen Tests auf der Produktion zu installieren mit dem
Risiko, dass gelegentlich etwas nicht korrekt läuft. Doch investieren sie
lieber in das Troubleshooting auf einer aktualisierten Produktion anstelle
langwieriger Tests auf Test- und Integrations-Umgebungen, was sehr
personalintensiv und kostspielig ist.
Windows Defender
Eine
weitere wichtige Absicherungsmassnahme zur Sicherung eines Computers ist die
voll integrierte Windows Defender Suite. Diese besteht aus verschiedenen
Sicherheitskomponenten, die einen weitreichenden Schutz bieten, wie z.B. Schutz
bei Virus & Threats, Ransomware, Spyware, Firewall & Netzwerk, App
& Browser sowie Sicherung der Benutzeraccounts etc. Diese Komponenten
werden mit Windows 10 standardmässig ausgeliefert und sind ebenfalls für
Mac-Computer erhältlich. Der Defender kann entweder über bereits bestehende System-Center-Infrastrukturen
mit der neusten Virendefinitionsdatei aktualisiert werden oder es wird eine
direkte Anbindung an den Cloud-Service eingerichtet. Zusätzlich lässt sich das
Security-Tool in einer Sandbox starten, wodurch Attacken über den Defender
selbst ins Leere laufen.
Bei der Version mit Cloud-Anbindung (Windows Defender ATP) erhält der Computer
zeitnah die neusten Definitionsdateien und profitiert durch einen Cloud-basierten
Schutz, der bisher unbekannte und verdächtige Dateien durch das «Cloud
Protection Backend» prüfen lässt. Dabei werden Heuristiken, Machine Learning
und automatisierte Analysen angewendet, um zu prüfen, ob die Datei potenziell
gefährlich ist oder nicht. Zusätzlich ist Windows Defender ATP ISO/IEC 27001 zertifiziert.
Schulung der Benutzer
Einer der wichtigsten Schutzfaktoren, der noch immer vernachlässigt wird, ist der Anwender der entsprechenden Infrastruktur. Gut geschulte Mitarbeitende erkennen frühzeitig, ob das gerade geöffnete Mail eine Phishing-Attacke ist oder ob es sich tatsächlich um eine relevante Information handelt. Um das Risiko zu reduzieren, einen Trojaner oder Spyware im Netzwerk zu haben müssen Mitarbeitende regelmässig geschult und mit den neusten Entwicklungen vertraut gemacht werden. Dazu können u.a. Anwenderschulungen, Administratoren-Trainings, Road-Shows und auch Test-Mails mit vermeintlichen Schädlingen angewendet werden. Es nützt nichts, wenn z.B. den Administratoren eine PAW (Privilege Access Workstation) Umgebung zur Verfügung gestellt wird, wenn er die Hintergründe nicht versteht und sie wenn möglich, umgeht. Es kommt nicht darauf an, wie viel oder wie häufig solche Aktivitäten vorgenommen werden sollen, es ist wichtig, dass diese überhaupt gemacht werden.
Weitere Möglichkeiten
Weitere Möglichkeiten zur Absicherung eines Windows Systems finden Sie auf der Seite des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Das Projekt SiSyPHuS Win10 befasst sich mit allen Komponenten des Systems und gibt weitere Empfehlungen ab. Es sollte jedoch explizit auf die verwendeten Versionen geachtet werden, das Projekt untersucht Windows 10, Version 1607 aus dem Long Term Servicing Channel (LTSC), der nur begrenzt für Unternehmen Sinn macht. Siehe unter: https://www.bsi.bund.de/DE/Themen/Cyber-Sicherheit/Empfehlungen/SiSyPHuS_Win10/SiSyPHuS_node.html
Autor: Stephan Bader
Blogpost wurde erstellt
im Rahmen vom CAS Cybersecurity & Information Risk Management.
Dozenten in diesem sehr praxisorientierten Lehrgang sind:
Martina Dalla Vecchia (FHNW, Programmleitung)
Lukas Fässler (FSDZ Rechtsanwälte & Notariat AG)
Rainer Kessler (PwC)
Cristian Manganiello (PwC)
Andreas Wisler (goSecurity GmbH)
Beim nächsten CAS live dabei sein?
Hier der Link zur Ausschreibung:
CAS Cybersecurity & Information Risk Management
Starttermin ist jeweils im Frühjahr.
Persönliche Beratung für den Lehrgang gewünscht?
Einfach Prof. Martina Dalla Vecchia ein E-Mail schreiben und einen Termin vorschlagen.