NETFOX Admin-Treff: Operative Umsetzung von BSI-Grundschutzkonzepten
-
Upload
netfox-ag -
Category
Technology
-
view
483 -
download
0
description
Transcript of NETFOX Admin-Treff: Operative Umsetzung von BSI-Grundschutzkonzepten
Operative Umsetzung von
BSI-Grundschutzkonzepten 23.01.2013
Redner: Marcus Brand (System Techniker)
Systemintegrator
für die Lösung
anspruchsvoller und
unternehmens-
kritischer
IT-Anforderungen
Agenda
Vorstellung Bsi
Gruppenrichtlinien Theorie und Praxis
Microsoft Complience Mananager 2.5/3.00 Beta
Bitlocker
© 2013 NETFOX AG | Seite 2
© 2013 NETFOX AG | Seite 3
BSI-Bundesamt für Sicherheit in der
Informationstechnik
Gegründet 1991 in Bonn
Ca.550 Mitarbeiter mit 5 Abteilungen
Wer mehr wissen möchte
http://de.wikipedia.org/wiki/Bundesamt_f%C3%BCr_Sicherheit_in_der_Inf
ormationstechnik
© 2013 NETFOX AG | Seite 4
BSI Maßnahmen Kataloge Übersicht
Wo finde ich Informationen?
https://www.bsi.bund.de/ContentBSI/grundschutz/kataloge/m/m04/m04.htmlr
Grundschutz Maßnahmen Kataloge Themen Gebiete
M 1 Infrastruktur
M 2 Organisation
M 3 Personal
M 4 Hard- und Software
M 5 Kommunikation
M 6 Notfallvorsorge
© 2013 NETFOX AG | Seite 5
Möglichkeiten der Umsetzung am Beispiel Portabler Arbeitsplatz
Bios
- Notebooks und die Gefahren
- Welche Möglichkeiten gibt es dies zu minimieren
1. Bios Einstellungen absichern
- Booten von externen Datenträgern ausschalten
- Bios Passwort setzten
- Festplatten Passwort setzten
- Dies muss dem User mitgeteilt werden
© 2013 NETFOX AG | Seite 6
Windows 7 System Einstellungen
Sicherheitseinstellungen
1. Passwortlänge mindestens 8 Zeichen
Sonderzeichen, Groß/Kleinschreibung wird vorausgesetzt und erzwungen
Erhöht die Sicherheit der Benutzer und Daten durch Komplexität des
Kennwortes
Bildschirmschoner nach 15 Minuten Aktiv mit Kennworteingabe
Windows 7 Einstellungen
2. Nutzung externe Datenträger verboten
Genehmigte USB Geräte sind Drucker, Mäuse, Tastaturen und spezielle USB
Sticks von Administratoren
Einschleusen von Viren und Trojaner über USB Sticks wird verhindert
D:\Admin_treff_BSI\GPO_Berichte\Win7-USB-Aktiv.htm
© 2013 NETFOX AG | Seite 7
© 2013 NETFOX AG | Seite 8
Internet Explorer 9
1. Geschützter Modus im Internetexplorer 9
Übergabe von externen Dokumenten wie PDF werden im geschütztem Modus
übergeben
Internetexplorer hat Keinen Zugriff auf Betriebssystem
2. Javascript Sicherheitseinstellungen sind konfiguriert mit hohem Schutz
Javascript Viren und Trojaner können nicht auf den Computer ausgeführt
werden
3. Phishing Filter Aktiv
Manipulierte Webseiten werden erkannt und Benutzer wird gewarnt
4. Blockierte Dateien im Internet Explorer 9
Ausführung von verdächtigen Dateien(EXE, CMD, BAT; VB; VBS, JAR, usw)
werden geblockt
Erhöht die Sicherheit, da keine verdächtigen Dateiendungen ausgeführt
werden
Internet Explorer 9
1. Öffnen von Formularen mit verwaltetem Code aus der Sicherheitszone "Internet"
deaktivieren
Dateien mit Aktiven Code können aus dem Internet nicht geladen werden
2. Kennwörter bei Webseiten werden nicht gespeichert
Aus Sicherheitsgründen, werden die Kennwörter bei Bankseiten, Webmails
usw. nicht gespeichert
Ein Auslesen der Kennwörter aus dem Cache des Internetexplorers ist nicht
möglich
3. Mehrere Sicherheitszonen Intranet und Internet konfiguriert
Intranet Webseiten werden mit aktivem Javascript ohne Mitteilung
an die Benutzer ausgeführt
Internet ist die höchste Sicherheitsstufe wo die Benutzer mehr Mitteilungen
erhalten
© 2013 NETFOX AG | Seite 9
Microsoft Office 2010
1. ADMX Dateien müssen importiert werden
2. Office geschützten Modus aktivieren
Kein Zugriff auf das Dateisystem durch Office Dateien
2. Makro Sicherheit anpassen und erhöhen
Aktive Makros müssen durch Benutzer genehmigt werden, um Manipulationen
am System zu unterbinden
D:\Admin_treff_BSI\GPO_Berichte\Office 2010.htm
© 2013 NETFOX AG | Seite 10
Outlook 2010
1. Outlook geschützten Modus aktivieren
Kein Zugriff auf das Dateisystem durch E-Mail Anhänge
Benutzer bekommen Warnmeldung wenn Anhänge unbekannte oder
gefährliche Inhalte enthalten
Können Probleme mit Übergabe von zb. PDF Dateien entstehen
Benutzer können Sicherheitseinstellungen für Anlagen nicht anpassen
Die Einstellungen sollten zentral verwaltet werden und können durch Benutzer
nicht geändert werden
3. Es werden keine abgelaufenen Zertifikate zugelassen
Zertifikatsmissbrauch wird vorgebeugt
© 2013 NETFOX AG | Seite 11
Microsoft Security Compliance Manager 2.5
Was ist das für ein Tool????
Überprüfung und Anpassung bestehender Lokaler und Domain Gpo‘s
Welche OS Versionen werden unterstützt?
Windows 7 SP1
Windows Vista SP2
Windows XP SP3
Office 2010 SP1
Internet Explorer 8
http://social.technet.microsoft.com/wiki/contents/articles/774.microsoft-security-
compliance-manager-scm.aspx#comment-2585
© 2013 NETFOX AG | Seite 12
Microsoft Security Compliance Manager 3.0
Neu sind die Unterstützung von
Server2012
Windows 8
Vergleichen und Zusammenführung der Gpos wurde verbessert
© 2013 NETFOX AG | Seite 13
Microsoft Security Compliance Manager 3.0
© 2013 NETFOX AG | Seite 14
Verschlüsselung mit Bitlocker
Wer Kennt Bitlocker??????
Voraussetzungen Microsoft sind Windows Vista7/8 Enterprise/Ultimate
Ultimate nur bei Windows Vista und Windows 7
Verschlüsselung erst ab Windows Vista, Entschlüsseln mit XP und Tool von
Microsoft
Die Verschlüsselung erfolgt durch AES mit einer Schlüssellänge von 128 oder
256 Bit
Kann allerdings durch Tools wie Passware Kit Forensic über Firewire Methode
geknackt werden
Das gilt allerdings ebenso für Truecrypt
© 2013 NETFOX AG | Seite 15
Noch Fragen?
© 2013 NETFOX AG | Seite 16