Wie kann ein Windows-System abgesichert werden?

Gerade in der heutigen Zeit, in der wir verschiedentliche Bedrohungen erleben, ist es immer wichtiger die verschiedenen Geräte für die täglichen Arbeiten richtig abzusichern. Nebst der richtigen Architektur der verschiedenen Serversysteme muss dabei ein verstärktes Augenmerk auf die Client-Systeme gerichtet werden. War es in der Vergangenheit ausreichend, eine richtig konfigurierte Firewall und ein Antivirenprogramm zu haben, muss heute mit modernsten Lösungen gearbeitet werden, um der Kreativität der Angreifer zu entgegenzuwirken. Ziel muss es sein, die Angriffsfläche zu verringern, frühzeitig Angriffe zu erkennen und automatisch darauf zu reagieren.

Zugriff auf Computer mit modernster Technologie

Haben wir uns bisher fast die Finger gebrochen, weil wir alles versucht haben, hochkomplexe Passwörter zu verwenden (und im Kopf zu behalten), können wir heute auf verschiedene Technologien zurückgreifen, um es einfacher zu haben. So bietet es sich auf modernen Systemen an, mit einem PIN, mit Multi-Faktor-Authentifizierung (MFA) oder mit biometrischem Anmeldeverfahren einzuloggen. Generell wird von vielen Experten empfohlen, klassische Passwörter mit einer zusätzlichen Verifizierung abzusichern.
Beim PIN-Verfahren wird nach dem erstmaligen Anmelden am Gerät ein PIN erstellt, der nur auf diesem entsprechenden Gerät verwendet werden kann. Dieser PIN ist mit dem Benutzer-Account verbunden und erleichtert die Anmeldung, da nicht jedes Mal das Passwort eingegeben werden muss. Wird der PIN abgefangen, müsste der Angreifer direkten Zugang zum Gerät haben, um sich anzumelden. Hierbei muss aber zwingend darauf geachtet werden, dass an jedem Gerät ein anderer PIN verwendet wird.
Noch sicherer ist es, sich mit der Multi-Faktor-Authentifizierung am Gerät anzumelden. Dabei meldet man sich am Gerät mit dem Passwort (oder PIN) an, worauf auf ein hinterlegtes Mobil-telefon, auf dem eine Authenticator-App installiert ist, eine Anforderung gesendet wird. Der Benutzer öffnet die App auf dem Telefon und gibt sein Passwort ein (oder verwendet ein biometrisches Login, wie z.B. einen Fingerscan.). Ist dies erfolgreich, wird der Zugang am Computer freigegeben. Diese Art von Authentifizierung bietet sich vor allem an sensitiven Systemen wie Sever oder speziellen Applikationen an, um eine höchstmögliche Sicherheit zu erlangen.
Biometrische Verfahren verwenden z.B. die Gesichts- und Iriserkennung oder die Fingerabdrücke zur Identifizierung des Benutzers. Gerade mit der Einführung von Windows Hello for Business wurde es ermöglicht, eine Multi-Faktor Authentifizierung zu verwenden, die grösstmögliche Sicherheit mit Benutzerkomfort verbindet. Nach einem erstmaligen Anmelden am Computer wird die persönliche Gesichtserkennung eingerichtet, damit nach Abschluss der Konfiguration der Computer durch Betätigen einer Taste und dem Blick in die Kamera entsperrt werden kann.

Regelmässiges Update der Computer

Ein weiterer sehr wichtiger Faktor ist die Aktualität der verwendeten Geräte. Ein Grossteil der heutigen Sicherheitsvorfälle sind darauf zurückzuführen, dass die befallenen Geräte fehlende Updates aufweisen. Wird durch die Hersteller ein Update zur Verfügung gestellt, wird auch bekannt gegeben, welche Lücken vorhanden sind. Dies ist die Chance für Angreifer, da noch immer viele Unternehmen einen langwierigen Prozess haben, um Sicherheits-Updates zu implementieren. Installieren auf der Test-Umgebung – zwei Wochen testen, installieren auf der Integrations-Umgebung, zwei Wochen testen, warten auf das nächste Wartungsfenster, dann endlich installieren.
Unternehmen müssen heute agiler werden und Sicherheits-Updates in einem Fenster von ein bis zwei Wochen verteilt haben. Immer mehr entscheiden sich, die Updates nach oberflächigen Tests auf der Produktion zu installieren mit dem Risiko, dass gelegentlich etwas nicht korrekt läuft. Doch investieren sie lieber in das Troubleshooting auf einer aktualisierten Produktion anstelle langwieriger Tests auf Test- und Integrations-Umgebungen, was sehr personalintensiv und kostspielig ist.

Windows Defender

Eine weitere wichtige Absicherungsmassnahme zur Sicherung eines Computers ist die voll integrierte Windows Defender Suite. Diese besteht aus verschiedenen Sicherheitskomponenten, die einen weitreichenden Schutz bieten, wie z.B. Schutz bei Virus & Threats, Ransomware, Spyware, Firewall & Netzwerk, App & Browser sowie Sicherung der Benutzeraccounts etc. Diese Komponenten werden mit Windows 10 standardmässig ausgeliefert und sind ebenfalls für Mac-Computer erhältlich. Der Defender kann entweder über bereits bestehende System-Center-Infrastrukturen mit der neusten Virendefinitionsdatei aktualisiert werden oder es wird eine direkte Anbindung an den Cloud-Service eingerichtet. Zusätzlich lässt sich das Security-Tool in einer Sandbox starten, wodurch Attacken über den Defender selbst ins Leere laufen.
Bei der Version mit Cloud-Anbindung (Windows Defender ATP) erhält der Computer zeitnah die neusten Definitionsdateien und profitiert durch einen Cloud-basierten Schutz, der bisher unbekannte und verdächtige Dateien durch das «Cloud Protection Backend» prüfen lässt. Dabei werden Heuristiken, Machine Learning und automatisierte Analysen angewendet, um zu prüfen, ob die Datei potenziell gefährlich ist oder nicht. Zusätzlich ist Windows Defender ATP ISO/IEC 27001 zertifiziert.

Schulung der Benutzer

Einer der wichtigsten Schutzfaktoren, der noch immer vernachlässigt wird, ist der Anwender der entsprechenden Infrastruktur. Gut geschulte Mitarbeitende erkennen frühzeitig, ob das gerade geöffnete Mail eine Phishing-Attacke ist oder ob es sich tatsächlich um eine relevante Information handelt. Um das Risiko zu reduzieren, einen Trojaner oder Spyware im Netzwerk zu haben müssen Mitarbeitende regelmässig geschult und mit den neusten Entwicklungen vertraut gemacht werden. Dazu können u.a. Anwenderschulungen, Administratoren-Trainings, Road-Shows und auch Test-Mails mit vermeintlichen Schädlingen angewendet werden. Es nützt nichts, wenn z.B. den Administratoren eine PAW (Privilege Access Workstation) Umgebung zur Verfügung gestellt wird, wenn er die Hintergründe nicht versteht und sie wenn möglich, umgeht. Es kommt nicht darauf an, wie viel oder wie häufig solche Aktivitäten vorgenommen werden sollen, es ist wichtig, dass diese überhaupt gemacht werden.

Weitere Möglichkeiten

Weitere Möglichkeiten zur Absicherung eines Windows Systems finden Sie auf der Seite des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Das Projekt SiSyPHuS Win10 befasst sich mit allen Komponenten des Systems und gibt weitere Empfehlungen ab. Es sollte jedoch explizit auf die verwendeten Versionen geachtet werden, das Projekt untersucht Windows 10, Version 1607 aus dem Long Term Servicing Channel (LTSC), der nur begrenzt für Unternehmen Sinn macht. Siehe unter: https://www.bsi.bund.de/DE/Themen/Cyber-Sicherheit/Empfehlungen/SiSyPHuS_Win10/SiSyPHuS_node.html

---

Autor: Stephan Bader

Blogpost wurde erstellt
im Rahmen vom CAS Cybersecurity & Information Risk Management.

Dozenten in diesem sehr praxisorientierten Lehrgang sind:
Martina Dalla Vecchia (FHNW, Programmleitung)
Lukas Fässler (FSDZ Rechtsanwälte & Notariat AG)
Rainer Kessler (PwC)
Cristian Manganiello (PwC)
Andreas Wisler (goSecurity GmbH)

Beim nächsten CAS live dabei sein?
Hier der Link zur Ausschreibung:
CAS Cybersecurity & Information Risk Management
Starttermin ist jeweils im Frühjahr.

Persönliche Beratung für den Lehrgang gewünscht?
Einfach Prof. Martina Dalla Vecchia ein E-Mail schreiben und einen Termin vorschlagen.