Teil 2 Artikel-Serie: BSI-Leitfaden review

Herzlich Willkommen zum zweiten Teil der Artikelserie „BSI-Leitfaden review“

Falls Sie den ersten Teil der Artikelserie noch nicht gelesen haben finden Sie diesen hier.
Den Original-Artikel vom BSI, auf den sich diese Artikelserie bezieht, finden Sie hier.

 

Windows Standardprogramme reglementieren

Wurden die benötigten Anwendungen installiert und diese als Standardprogramme festgelegt?
Die Ausführung von Programmen in einem Unternehmensnetzwerk zu reglementieren macht durchaus Sinn, insbesondere wenn es sich um Programme handelt, mit denen man eine Kommunikation nach außen (z.B. Mail oder Messenger) aufbauen kann… oder einfach nur um das Spielen am Arbeitsplatz zu unterbinden.

  • Wurden nicht benötigte Windows Standardprogramme reglementiert?
    Wurden diese Programme durch Aufnahme der jeweiligen ausführbaren Dateien in die Blacklist (Liste der nicht zugelassenen Anwendungen) unter der Gruppenrichtlinie Benut-zerkonfiguration | Administrative Vorlagen | System | Angegebene Windows-Anwendun-gen nicht ausführen von der Ausführung ausgeschlossen? – oder –

    Hier stellt sich die Frage, ob eine entsprechende Reglementierung der Standard-Software bereits per Blacklist in einer Gruppenrichtlinie im Active Directory oder lokal vorgenommen wurde. Im Umkehrschluss bedeutet dies, dass alle nicht aufgeführten Anwendungen ausgeführt werden dürfen.

 

  • Wurden diese Programme durch die entsprechende Gruppenrichtlinie unter Benutzerkonfi-guration | Administrative Vorlagen | Windows -Komponenten | <Anwendung> von der Ausführung ausgeschlossen? – oder –

    Hier stellt sich die Frage, ob eine entsprechende Reglementierung der Windows-Komponenten bereits per Blacklist in einer Gruppenrichtlinie im Active Directory oder lokal vorgenommen wurde. Im Umkehrschluss bedeutet dies, dass alle nicht aufgeführten Windows-Komponenten ausgeführt werden dürfen.

 

  • Werden nur explizit zugelassene Windows-Anwendungen in eine Whitelist (Liste der zugelassenen Windows-Anwendungen) über die Gruppenrichtlinie Benutzerkonfiguration | Administrative Vorlagen | System | Nur zugelassene Windows-Anwendungen ausführen aufgenommen? – oder –

    Hier stellt sich die Frage, ob eine entsprechende Reglementierung der zugelassenen Anwendungen bereits per Whitelist in einer Gruppenrichtlinie im Active Directory oder lokal vorgenommen wurde. Im Umkehrschluss bedeutet dies, dass alle nicht aufgeführten Anwendungen auch nicht ausgeführt werden dürfen.

 

  • Wurden diese Programme durch die Verwendung von AppLocker von der Ausführung ausgeschlossen?

    AppLocker ist ein komplexes Tool zur Steuerung von Anwendungen. Es näher zu beschreiben sprengt den Rahmen dieses Artikels. Wer mehr dazu wissen soll findet Informationen auf folgender Technet-Seite:
    http://technet.microsoft.com/de-de/library/dd548340(v=WS.10).aspx


Wurde die Reglementierung von Windows Standardprogrammen mindestens für die folgenden Programme durchgeführt?

  • Windows Kalender
  • Windows Mail
  • Windows Media Center
  • Windows Messenger
  • Windows Slideshow
  • Windows Media Player

Bei den aufgezählten Anwendungen handelt es sich um Programme, die vornehmlich dem Consumer-Bereich zugeteilt werden. Vermutlich schlägt das BSI daher die Reglementierung dieser Programme vor. Aus der Realität vieler Unternehmen wissen wir, dass einige dieser Programme durchaus produktiv eingesetzt werden, z.B. der Messenger für kurze (dienstliche) Unterhaltungen für die man nicht per Telefon stören will. Oder der Media Player mit dem ein Video vom Kunden abgespielt wird.
Auf der anderen Seite sollten beispielsweise Kalender und Mail beim gleichzeitigen Einsatz von MS Outlook auf jeden Fall reglementiert werden, da es sonst zur Doppelnutzung und Irritationen kommen kann.


Wurde die Ausführung von Windows Desktop-Minianwendungen reglementiert?

  • Wurde die Ausführung durch Setzen der Gruppenrichtlinie Computerkonfiguration | Ad-ministrative Vorlagen | Windows Komponenten | Desktopminianwendungen | Desktopmi-nianwendungen deaktivieren verhindert? – oder –
  • Wurde die Ausführung von Minianwendungen erlaubt und nur das Hinzufügen neuer Minianwendungen durch den Benutzer durch Konfigurieren der Gruppenrichtlinie Com-puterkonfiguration | Administrative Vorlagen | Windows Komponenten | Desktopminian-wendungen | Entpacken und Installieren von Minianwendungen, die nicht digital signiert sind, einschränken verhindert?

Wenn Sie die Nutzung von Desktop-Minianwendungen erlauben wollen, weil Sie beispielsweise Ihren Anwendern einige wirklich nützliche Anwendungen zur Verfügung stellen wollen, dann sollten auf jeden Fall erwägen, die Installation neuer Minianwendungen zu unterbinden. Bedenken Sie immer: mehr Software bedeutet mehr potenzielle Sicherheitslücken.

 

Teil 3 dieser Serie finden Sie hier.

Windows Intune: Mehr Sicherheit bei weniger Kosten

In diesem Blog-Eintrag möchten wir Sie auf die genialen Möglichkeiten des Microsoft Cloud Dienstes Windows Intune aufmerksam machen.

Wenn der Begriff „Cloud“ fällt, klingeln bei vielen Lesern die Alarmglocken. Immer wieder wird in den Medien davor gewarnt, sensible Unternehmens- oder gar Patientendaten in der Cloud abzulegen. Wie soll da ein Cloud-Dienst in der Lage sein, die Sicherheit meiner IT zu erhöhen und, wie im Titel versprochen, gleichzeitig kosten reduzieren?

Nun, wir reden hier nicht über die vielen Cloud Services, die Ihnen Speicherplatz oder E-Mail Dienste im Internet anbieten.

Es geht viel mehr um eine Software, die Ihre PCs auf verschiedenen Ebenen schützt und über die Cloud von einem zertifizierten Microsoft Partner, wie Heal:IT, administriert wird. Diese Software heißt Windows Intune und bietet Ihnen eine Reihe von Features in einem monatlichen Abo.

Was beinhaltet Windows Intune?

  • Schützen der PCs vor Malware
    Mit Windows Intune Endpoint Protection sichern Sie Ihre PCs gegen die neuesten Bedrohungen
  • Verwalten von Updates
    Über die Windows Intune Konsole verwalten Sie die Bereitstellung von Microsoft Updates und -Servicepacks zentral für alle oder einzelne PCs.
  • Proaktive Überwachung der PCs
    Warnungen zu Updates, Bedrohungen oder ausgefallenen PCs richten Sie ganz einfach ein und werden automatisch informiert.
  • Einrichten von Sicherheitsrichtlinien
    Sie verwalten Update-, Firewall- und Malware-Einstellungen für alle PCs inklusive der Remotecomputer außerhalb des Unternehmensnetzwerkes.
  • Nutzung der Sicherheitsvorteile von Windows 7 Enterprise
    Mit dem Abonnement erhalten Sie das Recht, ein Windows Professionell Betriebssystem auf Windows 7 Enterprise upzugrade. Schützen Sie vertrauliche Daten durch BitLocker® und Bitlocker To Go von Windows 7 Enterprise
  • Remoteinstallation von Software
    Sie stellen über die Cloud den größten teil der Software von Microsoft (z.B. Office 2010) sowie viele Anwendungen von Drittanbietern auf Ihren PCs an nahezu jedem Standort bereit.
  • Mehr Kontrolle über Remote-PCs
    Stoßen Sie bei Bedarf remote Malware-Scans an, und erzwingen Sie Neustarts oder Updates der Malware-Definitionsdaten.
  • Bereitstellung einer Remoteunterstützung
    Bieten Sie Ihren Benutzern, unabhängig von ihrem Standort, eine Remoteunterstützung zur Lösung dringender PC-Probleme an.
  • Hard- und Softwareinventar
    Schaffen Sie sich mit Windows Intune eine effizientere Möglichkeit zur Verwaltung der gesamten Hard- und Software.
  • Mehr Einblick durch Reporting
    Generieren und speichern Sie Berichte zu Updates, Software, Hardware und Lizenzen. Importieren Sie diese Daten zur weiteren Analyse in Microsoft Excel®.
  • Verwaltung Ihrer Lizenzen
    Verwalten Sie Microsoft-Volumenlizenzvereinbarungen und andere Lizenzvereinbarungen. Überwachen Sie, wie viele Lizenzen Sie erworben haben und wie viele Lizenzen Sie einsetzen.
  • Standardisierung auf die gewünschte Windows-Version
    Sie würden lieber eine ältere Betriebssystemversion einsetzen? Standardisieren Sie Ihre PC-Umgebung auf eine Windows-Version Ihrer Wahl: Windows 7 Enterprise, Windows Vista oder sogar Windows XP. Ihnen stehen trotzdem jederzeit die vollen Upgraderechte für zukünftige Windows-Versionen zur Verfügung. Somit müssen Sie sich keine Gedanken über den Kauf von Updatelizenzen machen.

Was kostet Windows Intune?

Ein Windows Intune Abo kostet im Monat € 11. Pro PC muss ein Abo abgeschlossen werden.

Wie spart mir Windows Intune Geld?

Zum einen spart Windows Intune Geld durch die erhöhte Verfügbarkeit Ihrer PCs. Wenn Ihre Mitarbeiter nicht arbeiten können, weil ein PC mit Viren verseucht ist, geht Ihnen bares Geld verloren.

Auf der anderen Seite spart Windows Intune Geld durch die eingebaute Fernwartungsfunktion. Bei Problemen müssen Sie nicht warten, bis ein IT-Spezialist vor Ort ist. Wenn Sie ein Microsoft Partnerunternehmen wie Heal:IT mit der Administration Ihrer PCs über Windows Intune beauftragen, kann unser Techniker direkt per Fernwartung an Ihrem Problem arbeiten. Dadurch sparen Sie Zeit und Anfahrtsgebühren.

Zudem fallen natürlich auch Kosten für Virenscanner-Updates und Personal Firewall Lösungen weg, da diese in Windows Intune bereits integriert sind.

 

Weitere Informationen finden Sie in der Windows Intune FAQ von Microsoft:
http://www.microsoft.com/de-de/windows/windowsintune/faq/default.aspx

Sie haben Interesse an Windows Intune? Vereinbaren Sie einen Termin mit uns für ein kostenloses Beratungsgespräch.