TC Blog

Sicheres Windows – Windows Firewall

In diesem Monat möchte ich im Rahmen der Vorstellung des Produkts Sicheres Windows 7 über Anforderungen aus den Microsoft Sicherheitsrichtlinien (Microsoft Security Baselines) und der zugehörigen Umsetzung der Einstellungen einer  Firewall für Domänenclients berichten.

Dabei wird dem Administrator die Möglichkeit geboten, die einzelnen Einstellungen mittels Gruppenrichtlinien zu verteilen. Diese befinden sich innerhalb der Computerkonfiguration unter dem Reiter Windows-Einstellungen. Wenn man hier den Reiter Windows Firewall mit erweiterter Sicherheit öffnet und anschließend die Eigenschaften per Rechtsklick öffnet, hat der Anwender die Möglichkeit, verschiedene Einstellungen für ein Domänenprofil, ein privates Profil sowie ein öffentliches Profil zu setzen.

Dies hat den Vorteil, sofern man das Domänennetz entsprechend abgesichert hat, dass die Firewall innerhalb der Domäne deaktiviert werden könnte, um Komplikationen bei der Kommunikation aus dem Weg zu gehen.

Windows-Firewall-Einstellungen innerhalb des Active-Directory

Die Vorgabe der Microsoft Sicherheitsrichtlinien lautet aber grundsätzlich, die Windows-Firewall in jeder Umgebung aktiviert zu haben.

Neben dem reinen Aktivieren/Deaktivieren bieten die Gruppenrichtlinien auch noch die Möglichkeit, verschiedene Einstellungen, wie Protokollierung, zu setzen.

Wenn Sie weitere Informationen über die Absicherung von Windows wünschen, können Sie sich gerne über unsere Homepage darüber informieren.  Bei Fragen können Sie sich auch gerne über unser Kontaktformular bei uns melden.

/ssu

OWASP Stammtisch Stuttgart #8 am 04.04.

Der achte Stammtisch Stuttgart des German Chapters des Open Web Application Security Projects (OWASP) findet am 04.04. statt.

Hier treffen sich Menschen, die sich beruflich oder privat mit Webanwendungen und deren Sicherheit auseinandersetzen, egal ob Entwickler, Manager, Pentester oder Webmaster. Die Atmosphäre bei Veranstaltungen der OWASP ist sehr offen und locker. Es geht um Erfahrungsaustausch, der auch bei den regelmäßigen Treffen durch einen Vortrag unterstützt wird. Wer Produkte verkaufen will, ist hier falsch.

Wir treffen uns um 19 Uhr im Sportrestaurant Neuwirtshaus. Wer mit dem ÖPNV anreist (S-Bahn Haltestelle Porsche) kann sich per E-Mail mit der Ankunftszeit melden, es gibt dann einen Fahrdienst.

Programm:
* 19.00h Beginn
* 19.30h Vorstellung unseres Cloud-Frontends mit Single-Sign-On Anbindung und SSH-Key Erstellung, Frank Dölitzscher (Hochschule Furtwangen)

Für die Planung bitte ich potentielle Interessenten mir eine kurze Mail schicken. Wer das verschwitzt darf aber auch kommen.

Bei Fragen zum Stammtisch einfach kurz anschreiben oder mal auf die Webseite der OWASP klicken.

/GT

BlackHat Europe 2011

Nachdem mein Kollege letztes Jahr die Gelegenheit hatte, die BlackHat EU zu besuchen, bin ich dieses Mal auch hingeflogen. Ich werde diesen Artikel immer wieder mit den von mir gesammelten Eindrücken aktualisieren. Ich hoffe dieses Jahr wird das Wetter besser und die Qualität der Vorträge auch.

Read the rest of this entry »

Sicheres Windows – Berechtigungen auf das Dateisystem

In dem heutigen Blogeintrag möchte ich die speziellen Berechtigungen auf das Dateisystem der Admin-Klick-Tabelle präsentieren.

Diese Funktion des AD wird mangels Know-How, leider eher selten genutzt.

Viele Personen wissen nicht, dass es über das Active-Directory möglich ist, die Berechtigungen auf Ordner/Dateien bzw. auf Registrywerte zu setzen. Sofern die Benutzer angewiesen sind sensible Dateien auf dem Fileserver zu speichern, kann man folgende Berechtigung im AD setzen (Quelle: M 4.149 Datei- und Freigabeberechtigungen unter Windows).

(Zum Vergrößern, bitte Bild anklicken)

Dadurch ist es dem normalen Anwender nicht mehr möglich, auf die Festplatte des Windows-Systems zu schreiben, also kann er keine Programme mehr dort installieren oder Daten darauf ablegen. Er hat nur noch lesenden Zugriff und kann Dateien ausführen.

Diese Gruppenrichtlinie ermöglicht es Administratoren ohne großen Aufwand (Erstellen und Einbinden von Skripten) diese Restriktionen zu setzen.

Außerdem ist es noch möglich die Einstellungen auf Unterordner und Dateien zu vererben, damit man die Einstellungen nur einmal  setzen muss.

Wenn Sie weitere Details zum Thema “Sicheres Windows” erfahren möchten, können Sie sich auf unserer Homepage darüber informieren.

/ssu

Sicheres Windows – Remotedesktop

In dieser Ausgabe der Serie “Sicheres Windows” wird ein Auszug des Produkts “Admin-Klick-Tabelle” (welche die Einstellungen zur Absicherung eines Windows Clients bzw. Server enthält) erläutert, der sich mit den Remoteeinstellungen von Windows (in erster Linie M 2.327 Sicherheit beim Fernzugriff unter Windows XP und Windows Vista) beschäftigt.

Da heutzutage in vielen Firmen Windows Bordmittel (um die Kosten für teure Software von Drittanbietern zu sparen) eingesetzt werden, ist es unerlässlich zum Schutz der IT-Umgebung, diese abzusichern.

Im Folgenden ist ein Screenshot angefügt um einen Auschnitt der Umsetzungen zur Absicherung von Remotedesktop unter Windows zu zeigen.

(Zum Vergrößern bitte Bild anklicken)

Die erste Einstellung konfiguriert die Verschlüsselungsstufe für die Client-Verbindung fest.  Sofern beide Partner der Verbindung aktueller sind als Windows 2000 SP4 ist die Einstellung Höchste Stufe auszuwählen, sodass mittels dem Sniffer-Tool “Wireshark” keine Kommunikationsdaten ausgespäht werden können.

Die zweite Einstellung legt fest, dass es nicht möglich ist mittels gespeicherten RDP-Verbindungen sich automatisch auf das entferne System aufzuschalten. Dies ist nun erst nach Eingabe eines gültigen Passworts möglich. Durch das Setzen dieser Einstellung wird es Angreifern erschwert, nachdem Sie ein System kompromittiert haben, sich direkt auf einem weiteren System einzuloggen.

Falls noch weitere Fragen bzw. mehr Informationen über diese Admin-Klick-Tabelle für Windows gewünscht werden, können Sie sich gerne auf unserer Homepage informieren.

/ssu