Sechs Schritte zu einer grundlegenden
Cyber-Sicherheit

Der Schlüssel für ein sicheres System liegt darin, dass man potentiellen Angreifern die Optionen nimmt. Sprich: ihnen so wenig Angriffsfläche wie möglich bietet. Nun ist es leider so, dass Einstellungen in IT-Systemen die den Alltag erleichtern, gleichzeitig die Gefahr erfolgreicher Cyber-Attacken erhöhen. Bei allem Verständnis für organisatorische Erfordernisse, sind Konfigurationen welche die Sicherheit der IT-Systeme maßgeblich gefährden nicht hinnehmbar.

Aus Sicht der Informationssicherheit sind die am häufigsten anzutreffenden Herausforderungen in Unternehmen:

  • Diebstahl von Benutzeranmeldedaten
  • Erhöhung von Rechten einzelner Benutzerkonten
  • Unzureichendes Monitoring
  • Das Fehlen klar geregelter Incident-Response-Prozesse

 

Wir haben Ihnen im Folgenden eine kurze Aufstellung der bewährten Maßnahmen
zu diesen Herausforderungen aufgestellt:

 

1. Beschränkung und Schutz hochprivilegierter Domänen-Konten

Die Nutzung isolierter Accounts für die Administration der Domänenkontrolle oder anderer besonders schützenswerter Systeme ist einfach umzusetzen. Schwieriger ist es mit einer hohen Anzahl „externer und zumeist unkontrollierbarer“ Administratoren eines Service-Providers.

Aus sicherheitstechnischer Perspektive muss die Möglichkeit im Internet zu surfen für einen Administrations-Account technologisch unterbunden sein.

Es empfehlen sich folgende Maßnahmen:

  • Für die Administration haben Administratoren ausschließlich separate Accounts zu nutzen.
  • Diese administrativen Accounts sind in der Active-Directory als “sensitive and cannot be delegated” zu markieren.
  • Domänen-Administratoren und andere hochprivilegierte Konten, müssen daran gehindert werden, sich an weniger vertrauenswürdigen Systemen zu authentifizieren.
  • Die Arbeitsstationen von welchem Administratoren ihre administrativen Aufgaben aus durchführen, müssen speziell gesichert sein.
  • Dienste und zeitgesteuerte Aufgaben dürfen nicht so konfiguriert werden, dass sie unter hochprivilegierten Konten auf Systemen einer niedrigen Sicherheitsstufe laufen.

 

2. Schutz lokaler Konten mit administrativen Berechtigungen
  • Beschränkung über die Gruppenrichtlinien (GPO): Lokale Konten dürfen nicht für eine Remote-Administration verwendet werden.
  • Network-Log-On und Remote-Desktop-Log-On-Berechtigungen für alle administrativen Konten sind zu unterbinden.
  • Es ist zu verhindern, dass ein und derselbe administrative Account mit dem gleichen Passwort auf mehreren Systemen verwendet werden kann.

 

3. Eingehender Datenverkehr: Einschränkung durch eine Firewall

Eine ausgeschaltete Windows-Firewall bzw. das Fehlen einer hostbasierten Firewall von alternativen Anbietern, ist in Unternehmen häufig anzutreffen. In den meisten Umgebungen gibt es keine oder nur sehr beschränkte Beschreibungen oder Definitionen der Kommunikationsbeziehungen. Zulässige bzw. erwünschte eingehende Datenverbindungen sind nicht definiert. Hierdurch wird es dem potentiellen Angreifer jedoch möglich, mit relativ geringen Aufwand von einem System zum nächsten zu springen. Eine Regelung der zulässigen/gewünschten Datenverbindungen ist essentiell.

Zusätzlich sollte man die folgenden Konfigurationen vorsehen:

  • Unterbinden des Surfens mit Administrations- oder anderen hochprivilegierten Accounts und von Serversystemen aus.
  • Standardbenutzer dürfen nicht Teil der lokalen Administratorengruppe sein.
  • Konfiguration von Proxi-Servern um den Internetzugang für sensitive Konten zu unterbinden.
  • Kein E-Mail-Zugang für administrative Accounts.
  • Ausschließlich Verwendung solcher Remotetools zur Administration die keine wiederverwendbaren Credentials auf den Zielsystemen hinterlassen.
  • Vermeidung der Anmeldung an Systemen einer niedrigeren Schutzstufe/Sicherheit die eine höhere Wahrscheinlichkeit für eine Kompromittierung haben.
  • Regelmäßige und zeitnahe Aktualisierung der Applikation und des Betriebssystems.
  • Sicherung und sichere Verwaltung von Domänen-Controllern.
  • Deaktivieren und entfernen der sogenannten LM-Hashs.

 

4. Administrative Prozesse

Die Wahrscheinlichkeit eines Diebstahls von Credentials zu reduzieren und die allgemeine Sicherheit zu erhöhen ist auch mit folgenden Konfigurationen möglich:

  • Anwendung des Least-Priviliges-Prinzips – Benutzer sollten demnach nur mit den minimal benötigten Rechten ausgestattet werden.
  • Administrative Accounts sollten sich nur an so wenig wie möglich Systemen anmelden können. Diese Systeme müssen selbstredend entsprechend gesichert sein.
  • Ausschluss, dass administrative Tätigkeiten auf Standart-Clients des Unternehmens ausgeführt werden.
  • Sicherstellen, dass sich Domänen-Administratoren nicht an „normale“ nicht kritische Systeme anmelden.
  • Einsatz von Group-Policies zu Log-On-Einschränkung.
  • Bei einem domänengrenzenüberschreitenden Zugriff möglichst „selective authentication“ verwenden.
  • Lokale Administrator-Passwörter regelmäßig ändern.
  • Einsatz einer Domänenisolierung und/oder Netzwerksegmentierung (basierend z.B. auf IPSec).
  • Einsatz starker Authentifizierung.

 

5. Administrative Arbeitsplätze

Die o.g. Schritte sorgen schon einmal für eine signifikante Verbesserung des Sicherheitsstatus in einer IT-Struktur. Es ist essentiell bei der Administration sensitiver Systeme sicher zu sein, dass diese nicht kompromittiert werden. Ein pragmatischer Einsatz ist somit Administratoren ausschließlich von besonders gesicherten Arbeitsplätzen tätig werden zu lassen. Der sogenannte Secure-Admin-Client erfordert folgende Sicherheitsmaßnahmen:

  • Jegliche Installation und Updates (Betriebssystem, Treiber, Anwendungen etc.) müssen mit nachweisbar unveränderter Software erfolgen. Dies lässt sich beispielsweise verifizieren, in dem die jeweilige Software über mindestens zwei unabhängige Wege heruntergeladen und der Hash der beiden Downloads miteinander verglichen wird.
  • Auf den Secure-Admin-Clients müssen die von Microsoft empfohlenen Sicherheitseinstellungen angewendet werden. Diese sind ausführlich im frei verfügbaren Security Compliance Management (SCM) Toolkit dokumentiert und damit auch implementierbar (microsoft.com/scm).
  • Nutzung aller Optionen die (je nach Betriebssystem) für einen Secure Boot zur Verfügung stehen.
  • Nutzung von Software Restriction Policies (SRP) und/oder AppLocker: Mit diesen Betriebssystem-Tools können Administratoren eine White- oder Black-List von Anwendungen über Group-Policies konfigurieren, die genau definieren, welche Applikationen ausgelassen werden dürfen und welche nicht.
  • Nutzung einer Festplattenverschlüsselung (Full-Volume-Encryption).
  • Blockieren des USB-Ports.
  • Netzwerkisolation und Sicherung mittels Windows-Firewall und IPSec.
  • Einsatz von Microsoft Enhanced-Mitigation-Experience-Toolkit (EMET, microsoft.com/emet) oder einem äquivalent anderen Hersteller.

 

6. Security Monitoring

Systeme zum Security Monitoring sind heute in den meisten Unternehmen im Einsatz. Leider wird hier häufig mit dem Gedanken „viel hilft viel“ gearbeitet. Übertriebenes Monitoring führt dazu, dass man durch ein schlechtes „Signal-Rausch-Verhältnis“ die wirklich relevanten Ereignisse leicht übersieht. Häufig sind auch Filtermechanismen seit Jahren nicht hinterfragt oder angepasst worden. Oft ist festzustellen, dass Unternehmen bei Fragen nach ihrer Monitoring-Strategie gar keine definierte und strukturierte Herangehensweise besitzen. Das Ziel eines Security Monitorings sollte es jedoch sein, sich auf die wirklich relevanten Aspekte zu fokussieren.

Hierfür ist zunächst im Rahmen einer Bewertung zu klären, welche Konten und Gruppen hochprivilegiert und damit besonders bedeutsam sind. Ferner sind die hoch sicheren Systeme zu identifizieren, die am genausten überwacht werden sollen. Schon alleine hierdurch lässt sich die Zahl der zu berücksichtigten Events deutlich reduzieren. Abschließend muss man für die jeweiligen Konten und Systeme genau definieren was als erwartetes Verhalten und was als alarmierend gilt. Ein klassisches Beispiel für eine solche Überlegung wäre „Mitglieder der Gruppe Domänen-Administrator melden sich interaktiv nur in einem definierten Zeitintervall und nur von Systemen der Gruppe der Admin-Workstations an der Gruppe Domänen-Controller an.“

Alles was nicht in dieses definierte Raster passt, ist per Definition suspekt und muss überprüft werden.

Mit dem hier vorgeschlagenen Ansatz erhöhen Sie die Sicherheit Ihres Systems erheblich. Hierfür ist ein gewisser Aufwand für die Analyse selbstredend erforderlich. Doch der Aufwand ist es Wert, denn schon nach kurzer Zeit werden Sie feststellen, dass die Events immer spezifischer und aussagekräftiger werden.