Teil 2 Artikel-Serie: BSI-Leitfaden review

Herzlich Willkommen zum zweiten Teil der Artikelserie „BSI-Leitfaden review“

Falls Sie den ersten Teil der Artikelserie noch nicht gelesen haben finden Sie diesen hier.
Den Original-Artikel vom BSI, auf den sich diese Artikelserie bezieht, finden Sie hier.

 

Windows Standardprogramme reglementieren

Wurden die benötigten Anwendungen installiert und diese als Standardprogramme festgelegt?
Die Ausführung von Programmen in einem Unternehmensnetzwerk zu reglementieren macht durchaus Sinn, insbesondere wenn es sich um Programme handelt, mit denen man eine Kommunikation nach außen (z.B. Mail oder Messenger) aufbauen kann… oder einfach nur um das Spielen am Arbeitsplatz zu unterbinden.

  • Wurden nicht benötigte Windows Standardprogramme reglementiert?
    Wurden diese Programme durch Aufnahme der jeweiligen ausführbaren Dateien in die Blacklist (Liste der nicht zugelassenen Anwendungen) unter der Gruppenrichtlinie Benut-zerkonfiguration | Administrative Vorlagen | System | Angegebene Windows-Anwendun-gen nicht ausführen von der Ausführung ausgeschlossen? – oder –

    Hier stellt sich die Frage, ob eine entsprechende Reglementierung der Standard-Software bereits per Blacklist in einer Gruppenrichtlinie im Active Directory oder lokal vorgenommen wurde. Im Umkehrschluss bedeutet dies, dass alle nicht aufgeführten Anwendungen ausgeführt werden dürfen.

 

  • Wurden diese Programme durch die entsprechende Gruppenrichtlinie unter Benutzerkonfi-guration | Administrative Vorlagen | Windows -Komponenten | <Anwendung> von der Ausführung ausgeschlossen? – oder –

    Hier stellt sich die Frage, ob eine entsprechende Reglementierung der Windows-Komponenten bereits per Blacklist in einer Gruppenrichtlinie im Active Directory oder lokal vorgenommen wurde. Im Umkehrschluss bedeutet dies, dass alle nicht aufgeführten Windows-Komponenten ausgeführt werden dürfen.

 

  • Werden nur explizit zugelassene Windows-Anwendungen in eine Whitelist (Liste der zugelassenen Windows-Anwendungen) über die Gruppenrichtlinie Benutzerkonfiguration | Administrative Vorlagen | System | Nur zugelassene Windows-Anwendungen ausführen aufgenommen? – oder –

    Hier stellt sich die Frage, ob eine entsprechende Reglementierung der zugelassenen Anwendungen bereits per Whitelist in einer Gruppenrichtlinie im Active Directory oder lokal vorgenommen wurde. Im Umkehrschluss bedeutet dies, dass alle nicht aufgeführten Anwendungen auch nicht ausgeführt werden dürfen.

 

  • Wurden diese Programme durch die Verwendung von AppLocker von der Ausführung ausgeschlossen?

    AppLocker ist ein komplexes Tool zur Steuerung von Anwendungen. Es näher zu beschreiben sprengt den Rahmen dieses Artikels. Wer mehr dazu wissen soll findet Informationen auf folgender Technet-Seite:
    http://technet.microsoft.com/de-de/library/dd548340(v=WS.10).aspx


Wurde die Reglementierung von Windows Standardprogrammen mindestens für die folgenden Programme durchgeführt?

  • Windows Kalender
  • Windows Mail
  • Windows Media Center
  • Windows Messenger
  • Windows Slideshow
  • Windows Media Player

Bei den aufgezählten Anwendungen handelt es sich um Programme, die vornehmlich dem Consumer-Bereich zugeteilt werden. Vermutlich schlägt das BSI daher die Reglementierung dieser Programme vor. Aus der Realität vieler Unternehmen wissen wir, dass einige dieser Programme durchaus produktiv eingesetzt werden, z.B. der Messenger für kurze (dienstliche) Unterhaltungen für die man nicht per Telefon stören will. Oder der Media Player mit dem ein Video vom Kunden abgespielt wird.
Auf der anderen Seite sollten beispielsweise Kalender und Mail beim gleichzeitigen Einsatz von MS Outlook auf jeden Fall reglementiert werden, da es sonst zur Doppelnutzung und Irritationen kommen kann.


Wurde die Ausführung von Windows Desktop-Minianwendungen reglementiert?

  • Wurde die Ausführung durch Setzen der Gruppenrichtlinie Computerkonfiguration | Ad-ministrative Vorlagen | Windows Komponenten | Desktopminianwendungen | Desktopmi-nianwendungen deaktivieren verhindert? – oder –
  • Wurde die Ausführung von Minianwendungen erlaubt und nur das Hinzufügen neuer Minianwendungen durch den Benutzer durch Konfigurieren der Gruppenrichtlinie Com-puterkonfiguration | Administrative Vorlagen | Windows Komponenten | Desktopminian-wendungen | Entpacken und Installieren von Minianwendungen, die nicht digital signiert sind, einschränken verhindert?

Wenn Sie die Nutzung von Desktop-Minianwendungen erlauben wollen, weil Sie beispielsweise Ihren Anwendern einige wirklich nützliche Anwendungen zur Verfügung stellen wollen, dann sollten auf jeden Fall erwägen, die Installation neuer Minianwendungen zu unterbinden. Bedenken Sie immer: mehr Software bedeutet mehr potenzielle Sicherheitslücken.

 

Teil 3 dieser Serie finden Sie hier.

Windows Intune: Mehr Sicherheit bei weniger Kosten

In diesem Blog-Eintrag möchten wir Sie auf die genialen Möglichkeiten des Microsoft Cloud Dienstes Windows Intune aufmerksam machen.

Wenn der Begriff „Cloud“ fällt, klingeln bei vielen Lesern die Alarmglocken. Immer wieder wird in den Medien davor gewarnt, sensible Unternehmens- oder gar Patientendaten in der Cloud abzulegen. Wie soll da ein Cloud-Dienst in der Lage sein, die Sicherheit meiner IT zu erhöhen und, wie im Titel versprochen, gleichzeitig kosten reduzieren?

Nun, wir reden hier nicht über die vielen Cloud Services, die Ihnen Speicherplatz oder E-Mail Dienste im Internet anbieten.

Es geht viel mehr um eine Software, die Ihre PCs auf verschiedenen Ebenen schützt und über die Cloud von einem zertifizierten Microsoft Partner, wie Heal:IT, administriert wird. Diese Software heißt Windows Intune und bietet Ihnen eine Reihe von Features in einem monatlichen Abo.

Was beinhaltet Windows Intune?

  • Schützen der PCs vor Malware
    Mit Windows Intune Endpoint Protection sichern Sie Ihre PCs gegen die neuesten Bedrohungen
  • Verwalten von Updates
    Über die Windows Intune Konsole verwalten Sie die Bereitstellung von Microsoft Updates und -Servicepacks zentral für alle oder einzelne PCs.
  • Proaktive Überwachung der PCs
    Warnungen zu Updates, Bedrohungen oder ausgefallenen PCs richten Sie ganz einfach ein und werden automatisch informiert.
  • Einrichten von Sicherheitsrichtlinien
    Sie verwalten Update-, Firewall- und Malware-Einstellungen für alle PCs inklusive der Remotecomputer außerhalb des Unternehmensnetzwerkes.
  • Nutzung der Sicherheitsvorteile von Windows 7 Enterprise
    Mit dem Abonnement erhalten Sie das Recht, ein Windows Professionell Betriebssystem auf Windows 7 Enterprise upzugrade. Schützen Sie vertrauliche Daten durch BitLocker® und Bitlocker To Go von Windows 7 Enterprise
  • Remoteinstallation von Software
    Sie stellen über die Cloud den größten teil der Software von Microsoft (z.B. Office 2010) sowie viele Anwendungen von Drittanbietern auf Ihren PCs an nahezu jedem Standort bereit.
  • Mehr Kontrolle über Remote-PCs
    Stoßen Sie bei Bedarf remote Malware-Scans an, und erzwingen Sie Neustarts oder Updates der Malware-Definitionsdaten.
  • Bereitstellung einer Remoteunterstützung
    Bieten Sie Ihren Benutzern, unabhängig von ihrem Standort, eine Remoteunterstützung zur Lösung dringender PC-Probleme an.
  • Hard- und Softwareinventar
    Schaffen Sie sich mit Windows Intune eine effizientere Möglichkeit zur Verwaltung der gesamten Hard- und Software.
  • Mehr Einblick durch Reporting
    Generieren und speichern Sie Berichte zu Updates, Software, Hardware und Lizenzen. Importieren Sie diese Daten zur weiteren Analyse in Microsoft Excel®.
  • Verwaltung Ihrer Lizenzen
    Verwalten Sie Microsoft-Volumenlizenzvereinbarungen und andere Lizenzvereinbarungen. Überwachen Sie, wie viele Lizenzen Sie erworben haben und wie viele Lizenzen Sie einsetzen.
  • Standardisierung auf die gewünschte Windows-Version
    Sie würden lieber eine ältere Betriebssystemversion einsetzen? Standardisieren Sie Ihre PC-Umgebung auf eine Windows-Version Ihrer Wahl: Windows 7 Enterprise, Windows Vista oder sogar Windows XP. Ihnen stehen trotzdem jederzeit die vollen Upgraderechte für zukünftige Windows-Versionen zur Verfügung. Somit müssen Sie sich keine Gedanken über den Kauf von Updatelizenzen machen.

Was kostet Windows Intune?

Ein Windows Intune Abo kostet im Monat € 11. Pro PC muss ein Abo abgeschlossen werden.

Wie spart mir Windows Intune Geld?

Zum einen spart Windows Intune Geld durch die erhöhte Verfügbarkeit Ihrer PCs. Wenn Ihre Mitarbeiter nicht arbeiten können, weil ein PC mit Viren verseucht ist, geht Ihnen bares Geld verloren.

Auf der anderen Seite spart Windows Intune Geld durch die eingebaute Fernwartungsfunktion. Bei Problemen müssen Sie nicht warten, bis ein IT-Spezialist vor Ort ist. Wenn Sie ein Microsoft Partnerunternehmen wie Heal:IT mit der Administration Ihrer PCs über Windows Intune beauftragen, kann unser Techniker direkt per Fernwartung an Ihrem Problem arbeiten. Dadurch sparen Sie Zeit und Anfahrtsgebühren.

Zudem fallen natürlich auch Kosten für Virenscanner-Updates und Personal Firewall Lösungen weg, da diese in Windows Intune bereits integriert sind.

 

Weitere Informationen finden Sie in der Windows Intune FAQ von Microsoft:
http://www.microsoft.com/de-de/windows/windowsintune/faq/default.aspx

Sie haben Interesse an Windows Intune? Vereinbaren Sie einen Termin mit uns für ein kostenloses Beratungsgespräch.

Teil 1 Artikel-Serie: BSI-Leitfaden review

Das Bundesamt für Sicherheit in der Informationstechnik
(BSI) hat vor kurzem einen Leitfaden zur sicheren Konfiguration von Windows 7
Enterprise Arbeitsplatzrechnern veröffentlicht.

Einige der vorgeschlagenen Maßnahmen waren auch für uns neu.
Da es vermutlich dem einen oder anderen IT-Profi ähnlich geht, besprechen wir
die einzelnen Maßnahmen hier in unserem Blog mit einer eigenen Artikel-Serie.

Das Original-Dokument vom BSI finden Sie hier:
https://www.bsi.bund.de/DE/Themen/InternetSicherheit/Client/Dokumente/dokumente_node.html

Da sich der Leitfaden des BSI an Administratoren und andere
IT-Profis richtet, gehen wir in unseren Artikeln von derselben Zielgruppe aus.
Entsprechend gehen wir nicht tiefer auf Standards wie die richtige Hardware
oder Kennwortrichtlinien ein und besprechen dafür ausführlicher die eher
weniger bekannten Maßnahmen.

Die Installation des Betriebssystems im Leitfaden
überspringen wir und wenden uns direkt der Konfiguration zu.

BSI-Checkliste 4.2

Konfigurieren von
Windows Komponenten

Wurde der Internetdruckdienst deaktiviert?
Der Internetdruckdienst (IPP) hatte in der Vergangenheit mehrere
Sicherheitslöcher und sollte daher auf jeden Fall deaktiviert werden. Dieser Dienst stellt Druckerwarteschlangen über http (mittels IIS) bereit.

Wurde Windows-FAX und -Scan deaktiviert?
Sicherheitsprobleme für diese Komponente sind uns nicht bekannt. Es geht
dem BSI eher darum, alle unnötigen Dienste zu deaktivieren. Da in den meisten
Unternehmen Netzwerkscanner und dedizierte Faxgeräte existieren, dürfte diese
Komponente in fast allen Fällen überflüssig sein.

[Optional] Wurde der Internet Explorer 8 deaktiviert?
Wer sich grundsätzlich dafür entscheidet, den IE nicht einzusetzen, kann
die Komponente komplett deaktivieren.

Wurden die Medienfunktionen (beinhaltet Windows DVD-Maker,
Media Center und Media Player) deaktiviert?
Hier handelt es sich wieder um Komponenten, die in vielen Unternehmen
überflüssig sein dürften und eher für den Privatanwender gedacht sind.

[Optional] Wurde die Plattform zu Windows-Minianwendungen
deaktiviert?
Auch hier stellt sich die Frage: wollen Sie Minianwendungen zulassen oder
nicht? Im professionellen Umfeld muss man hier klar Nutzen und Kosten
gegeneinander abwiegen.

Wurde die Remoteunterschiedskomprimierung deaktiviert?
Die Remoteunterschiedskomprimierung (Remote Differential Compression – RDC)
sollte eigentlich das Synchronisieren von Daten über ein Netzwerk schneller
machen, aber in der Praxis hat sich gezeigt, dass RDC oft eher bremsend auf die
Netzwerkgeschwindigkeit wirkt. Um solche Probleme (und stunden langes Suchen nach dem Performance-Problem) zu umgehen, macht es Sinn, RDC direkt zu Beginn zu deaktivieren.

Wurde Tablet PC-Komponenten deaktiviert?
Sie haben kein Tablet? Warum sollten dann die Tablet-Funktionen aktiviert
sein?

[Optional] Wurde Windows Search deaktiviert?
Windows Search zu deaktivieren ist eine Frage des Ermessens. Die indizierte
Suche von Windows Search ist sehr schnell, aber insbesondere in der
Indizierungsphase verlangsamt Windows Search den gesamten PC merklich. Und auch später können Performanceeinbußen durch die Nutzung von Windows Search entstehen.

Wurde XPS-Dienste deaktiviert?
Wenn Sie nicht zu den Exoten gehören, die XPS (XML Paper Specification) einsetzen,
sollten sie den Dienst deaktivieren. Er wird üblicherweise an
Arbeitsplatzrechnern nicht benötigt.

Wurde XPS-Viewer deaktiviert?
Siehe Erklärung zu XPS-Dienste.

Hier finden Sie Teil 2 dieser Serie.