• This forum has a zero tolerance policy regarding spam. If you register here to publish advertising, your user account will be deleted without further questions.

PCs ohne Updates / Virenscanner aussperren

djrick

Registered User
Hallo,

Ich überlege gerade, wie ich mein Firmennetzwerk noch besser absichern kann. Zwar bin ich nicht von der WannaCry Welle betroffen, dennoch wäre es schön, wenn ich folgendes erreichen könnte:
Alle PCs die nicht auf dem aktuellsten Stand von Windows Updates sind und / oder meinen Virenscanner nicht einsetzen, sollten von der LAN Verbindung ausgeschlossen werden.

Wie kann man sowas erreichen?
 
Das hängt stark davon ab wie das Firmennetz aufgebaut ist. Wenn an allen Stellen (semi)managed Switches im Einsatz sind kannst du unbekannte Geräte sowie offene Ports bspw in ein getrenntes Vlan stopfen. Viele Wifi-AP's bis hinunter zu den sehr günstigen TP-Link Geräten können zusätzlich oft noch die Funktionalität dass LAN-Kommunikation im Funknetz blockiert wird und nur Internet-Verbindungen geduldet werden.

Falls du Layer3-Switches im Einsatz hast kann man reaktiv auch Port-Sperren verhängen, wie im Fall von Wannacry die SMB-Funktionalitäten - dies würde ich aber ausschliesslich zusätzlich zu bereits bestehenden Sicherheitsfunktionen ansehen.

Was ich bereits im Einsatz gesehen habe ist eine Kombination aus blockierter inter-device Kommunikation mit VPN-Firewall. Falls die Nutzer die Möglichkeit zur direkten Kommunikation nutzen wollen verbinden sie sich per VPN mit einem Firewall-Server welcher dann Port-Sperren und L7-Firewall spielt. Hierbei gelten die rechtlichen Regelungen zu betrachten!

Beachte dass ich deine Frage zu Antivirus/Updatelevel damit nicht gelöst habe; es gibt leider keine Lösung. Bei BYOD oder eigenverwaltete Geräte kann man von aussen die Sicherheit nicht feststellen und sogar ein "Vorzeigen" eines Antivirus im Rahmen regelmässiger Prüfungen ist kein Indiz für sichere Systeme. Ich würde solche nicht in ein "walled Garden" System hereinlassen ausser über Verfahren wie die besprochene Firewall.
 
Man könnte auf jedem Windows-Computer ein Script einrichten, welches die Registry nach installierter Software und Updates abfragt, diese dann zusammen mit einem Token an den Server schickt und der Server entscheidet dann anhand einer Blacklist, ob eine Firewallregel auf dem Proxy-Server/Router für die IP+MAC hinzugefügt wird.

Das hätte zwei Vorteile:
  • Du könntest bestimmen wer überhaupt den Service/Internet nutzen darf (Token).
  • Zentrale Verwaltung einer Blacklist, die ausschließt, dass irgendein Rechner online kommt, der eine Version auf der Blacklist hat.

Die Nachteile sind sofort ersichtlich:

  • Tiefgreifende Änderung der Infrastruktur
  • Client und Server müssen zuvor getestet sein und unter allen möglichen Bedingungen fehlerfrei arbeiten.
  • Jedes OS benötigt dann eine angepasste Lösung.
  • Zusätzlicher Aufwand. Möglicherweise wird bereits Software zur Verwaltung eingesetzt.
 
Ich hatte gehofft es gäbe fertige Lösungen für solche Fälle. Vielleicht so eine fertige Appliance wie Sophos UTM oder ähnliches.

Ich weiß zum Beispiel von meinem Versicherungsvertreter, dass er mit seinem Laptop nicht ins LAN kommt wenn er nicht einen bestimmten Update Stand hat.
 
Und Systeme die (temporär) dem aktuellen Updatelevel (minimal) hinterher hängen, können dann die fehlenden Updates nicht mehr ziehen, da sie keine Netzverbindung mehr haben und auch nicht mehr bekommen können.

Viel Spass beim manuellem Einspielen der Updates per USB-Stick...


BTW: Schönes Self-DoS Szenario wenn die Blacklist gefüttert wird (Abend) bevor die Clients die Chance zum Update hatten (Morgen).
 
Ganz einfach: nur hauseigene Geräte anbieten, kein BYOD.
So macht das mein Arbeitgeber zum Beispiel und damit ist sichergestellt, dass der Virenscanner nicht deaktiviert werden kann und Updates werden auch zwangsweise eingespielt.
Laptops die > x Tage nicht im Firmennetz waren sind dann vollständig gesperrt (die Verschlüsselungslösung verweigert dann die Entsperrung, wie genau das funktioniert müssten eher die Admins hier wissen) und Freischaltung ist nur über die IT-Abteilung wieder möglich.

Als Entwickler sind wir zwar mit lokalen Adminrechten etwas privilegiert, dafür haben wir aber unterschreiben müssen, dass das Deaktivieren des Virenscanners und anderer Schutzsoftware arbeitsrechtliche Maßnahmen nach sich ziehen kann.

Finde ich aber auch so oder so wesentlich angenehmer, denn ich persönlich hätte keine Lust, mein eigenes Gerät mitbringen und es dann so verriegeln zu müssen, dass es mir nur noch theoretisch gehört.
So werden Firmen- und persönliche Daten auch zu keinem Zeitpunkt vermischt.

Ps: durch Bekannte weiß ich, dass dieses Vorgehen in sehr vielen großen Unternehmen so gehandhabt wird.
 
Last edited by a moderator:
BTW: Schönes Self-DoS Szenario wenn die Blacklist gefüttert wird (Abend) bevor die Clients die Chance zum Update hatten (Morgen).

Auch das lässt sich verhindern. Client meldet sich beim Server mit Token + installierter Software. Client bekommt die Rückmeldung, dass er veraltet ist. Software/Komponente löst einen Abhängigkeitsbaum auf. Remote-Update der Software/Komponente wird angestoßen. Zuerst die Abhängigkeiten und danach die eigentliche Komponente. Softwareinstallation ist erfolgreich -> Client meldet sich erneut | Abhängigkeit bzw. Softwareinstallation löste eine exception aus -> Admin benachrichtigen, Meldung dem Mitarbeiter hinterlassen.

Das was ich hier beschrieben habe, gibt es sicherlich schon in der Art.

Die Frage ist, wie hoch wäre der Gewinn an Sicherheit, wenn man etwas nach diesem Konzept richtig und fehlerfrei implementiert? Sind Aufwand und Nutzen da noch wirtschaftlich?
 
Client meldet sich beim Server mit Token + installierter Software.
"Never trust user input" gilt überall und insbesondere bei sicherheitsrelevanten Sachen. Es ist gleichermassen beeindruckend und beängstigend wie kreativ und fleissig Benutzer sein können wenn es um die Umgehung "lästiger" Sicherheitssysteme und Komforterhöhung geht - egal was die angedrohten Strafen und Risiken sind.

Plötzlich packen die Benutzer eingestaubte Assembler-Fähigkeiten aus und das Programm meldet ein nacktes Windows mit immer neusten Updates :D
 
Auch das ließe sich unterbinden. Sicherheitsrichtlinien.
 
Sicherheitsrichtlinien auf einem selbst mitgebrachten Computer? :D
Auf Firmenrechner hat man ja bei einer Grössenordnung wo alles über Richtlinien geregelt wird generell gar keine Sorge dass der Rechner nicht aktuell ist da die Updates und Reboots schlicht zentral erzwungen werden können und im Zweifelfall der Client re-imaged werden kann.
 
Sorry, Sorry. Nein alles was ich schrieb, bezog sich ausschließlich auf Geräte, die nicht dem Mitarbeiter gehören. Ich spreche eher von den PCs, die ganz normal in den Büros stehen (am besten am Boden festgeschraubt).

Irgendwelche Software auf mitgebrachten Geräten zu installieren oder dort Sicherheitsrichtlinien etablieren zu wollen, stelle ich mir sehr ambitioniert vor. Dann müsste am Eingang immer ein Mann stehen, der die Geräte der Mitarbeiter kontrolliert, ob diese die Software installiert haben. Nene, das ist völlig ausgeschlossen. BYOD geht gar nicht! Zumindest in den großen Unternehmen, die viel zu verlieren haben.

EDIT: Meine Reaktion bei solchen Richtlinien wäre folgende: Dann nutze ich mein Gerät nicht im Firmennetzwerk.
 
Wie wäre es mit einem komplett VLAN-geroutetem Setup? Jeder Client bekommt sein eigenes VLAN und darin sein eigenes /31 per DHCP vom Router, die Switch-Ports werden per VLAN-Trunk bzw. VLAN-Tags bis zum Router getunnelt und dort erst aufgelöst, dieser kann dann jeden einzelnen Port an jedem Switch ansprechen und du siehst auch an welchem Switch+Port jeder PC verbunden ist.

Wir haben hier zu Hause genau dieses Setup auch mit WLAN und RADIUS-Authentication auf WLAN- sowie auf LAN-Ebene implementiert, jeder Client becommt im WLAN, sowie im LAN, ein eigenes VLAN und Traffic untereinander ist generell Verboten. Verbindungen werden einzeln Erlaubt (z.B. Multicast von Google Chromecast Geräten, CUPS-Traffic von Clients zum Printserver und vom Printserver zu den Druckern/Scannern, etc.).
 
... z.B. Multicast von Google Chromecast Geräten, CUPS-Traffic von Clients zum Printserver und vom Printserver zu den Druckern/Scannern, etc.).

Wie hast du das denn mit dem Multicast geregelt?
In jedem VLAN noch einen Proxy drin?
Bei meinen Versuchen (4 Jahre her), habe ich irgendwann aufgegeben AirPlay, AirPrint und Sonos sauber zu trennen...

Gruß
Markus
 
Das Schlüsselwort wonach du suchen solltest ist "Vulnerability Management".

Gibt dafür fertige Lösungen.

Z.b. Kostenlos / Open Source: http://www.openvas.org/index.html
bzw. auch als fertige Appliance zum Hinstellen von Greenbone (Greenbone Security Manager).

Sperrt zwar nicht aus, zeigt dir aber wo welche Patches fehlen.
Und zum Patchen in einer Firma sollte man eh WSUS & eine Softwareverteilung zentral eingerichtet haben.
 
Last edited by a moderator:
Du suchst "Network Access Control" - eine Google-Suche nach dem Acronym "NAC" liefert Dir Lösungen.
 
Back
Top