{"id":549,"date":"2016-05-12T19:40:30","date_gmt":"2016-05-12T17:40:30","guid":{"rendered":"https:\/\/hitco.at\/blog\/?p=549"},"modified":"2016-06-20T21:21:42","modified_gmt":"2016-06-20T19:21:42","slug":"windows-10-security-book","status":"publish","type":"post","link":"https:\/\/hitco.at\/blog\/windows-10-security-book\/","title":{"rendered":"No Budget IT-Security f\u00fcr Windows 10"},"content":{"rendered":"

E-Book: No Budget IT-Security f\u00fcr Windows 10<\/a><\/strong><\/h2>\n

H\u00e4rtung von Windows 10 Ger\u00e4ten ohne das Budget zu belasten<\/strong><\/h4>\n

Das vorliegende Werk<\/a> befasst sich mit der Sicherheit von Windows 10 basierten Ger\u00e4ten, und streicht hierbei insbesondere die M\u00f6glichkeit der H\u00e4rtung des Systems mittels Bordmitteln und kostenfreien Add-Ons heraus. Das Dokument geht detailliert auf die Neuerungen seit Windows 7\u00a0ein, erl\u00e4utert also im Detail jene\u00a0neuen M\u00f6glichkeiten, die mit Windows 8, 8.1 und 10 hinzugekommen sind.<\/p>\n

\"No<\/a><\/p>\n

Umfang:\u00a0ca. 250 Seiten
\nZielgruppe: Erfahrene Windows Systemadministratoren und Systemarchitekten<\/p>\n

Das Werk wird zur pers\u00f6nlichen, privaten Nutzung kostenlos im PDF-Format angeboten. Beachten Sie bitte das Urheberrecht!<\/p>\n

H\u00e4rtung von Windows 10 Ger\u00e4ten ohne das Budget zu belasten<\/h1>\n

Durchg\u00e4ngige Gew\u00e4hrleistung der Vertraulichkeit, Integrit\u00e4t und Verf\u00fcgbarkeit der Daten und Ger\u00e4tekonfigurationen von Windows-basierten Anwender-Endger\u00e4ten ist f\u00fcr die Unternehmens-IT von zentraler Bedeutung. Zur Zielerreichung werden oftmals kostspielige Dritthersteller-L\u00f6sungen eingesetzt, obwohl zahlreiche Anforderungen auch mit den bereits bezahlten Bordmitteln oder kostenfreien Add-ons umsetzbar sind.
\nDie vorliegende Arbeit startet mit einer Bestandsaufnahme zur Identifikation und detaillierten Erl\u00e4uterung jener in Windows 10 integrierten Security-Komponenten, die seit Windows 7 neu hinzugekommen sind oder signifikant neue M\u00f6glichkeiten bieten. Fokussiert und ausf\u00fchrlich betrachtet werden hierbei auch jene Problemstellungen und Herausforderungen, die teils erst in der j\u00fcngeren Vergangenheit zunehmend an Relevanz gewonnen haben, und im anschlie\u00dfenden Kapitel \u201eRealisierung\u201c gel\u00f6st werden.
\nZielgruppe der vorliegenden Arbeit sind Systemadministratoren und Systemarchitekten, die Verantwortung f\u00fcr die im Unternehmen eingesetzten Windows-Clients und deren Security-L\u00f6sungen tragen. Das vorliegende Dokument soll diesem Personenkreis ein f\u00fcr den Umstieg von Windows 7 auf Windows 10 n\u00f6tiges Know-How-Upgrade bieten.
\nDie beschriebenen L\u00f6sungsans\u00e4tze basieren auf den seitens Microsoft zur Verf\u00fcgung gestellten M\u00f6glichkeiten, und werden im Bedarfsfall durch kostenfreie Tools erg\u00e4nzt. Die Aufbereitung erfolgt praxisnah, detailliert und nachvollziehbar, und wird durch zahlreiche Abbildungen illustriert.<\/p>\n

Kern der Arbeit<\/h1>\n

Microsoft hat mit der Ver\u00f6ffentlichung von Windows 10 die Weichen f\u00fcr eine Abl\u00f6se s\u00e4mtlicher bislang eingesetzter Windows-Versionen gestellt. Aktuelle Prognosen vom April 2016 zeigen, dass die selbst gesetzte Latte von einer Milliarde Windows 10 Ger\u00e4ten binnen drei Jahren ab Ver\u00f6ffentlichung aktuell realistisch erscheint. Zum einj\u00e4hrigen Jubil\u00e4um im Sommer 2016 werden voraussichtlich mehr als 340 Millionen Ger\u00e4te mit Windows 10 ausgestattet sein, aktuell d\u00fcrfen es laut Aussagen von Microsoft mit Ende M\u00e4rz 2016 rund 270 Millionen Ger\u00e4te sein, der Marktanteil an Windows 7 Ger\u00e4ten liegt zu diesem Zeitpunkt aber immer noch deutlich \u00fcber 50%.
\nVerst\u00e4ndlich, denn vor allem gro\u00dfe Unternehmen, die hunderte Applikationen einsetzen und eine teils sehr heterogene Infrastrukturen betreiben, wechseln nicht eben mal binnen eines dreiviertel Jahres das eingesetzte Desktop-Betriebssystem aus. Da das Support-Ende von Windows 7 mit dem Jahreswechsel 2019\/20 jedoch nun bereits in Sichtweite r\u00fcckt, m\u00fcssen Entscheidungen hinsichtlich des Nachfolge-Betriebssystems getroffen und die n\u00f6tigen Evaluierungen und Projekte zur Abl\u00f6se von Windows 7 gestartet werden.
\nDas vorliegende Dokument soll hierbei technisch versierten Systemadministratoren und Systemarchitekten eine Hilfestellung in Bezug auf die Fragen \u201eWelche Neuerungen in Bezug auf Security bietet Windows 10 im Vergleich zu Windows 7?<\/em>\u201c und \u201eWelche (neuen) Herausforderungen und L\u00f6sungsm\u00f6glichkeiten k\u00f6nnen unter Verwendung von Bordmittel und kostenfreier Add-ons umgesetzt werden?<\/em>\u201c bieten.<\/p>\n

Zusammenfassung der Ergebnisse<\/h1>\n

Die vorliegende Arbeit stellt eine umfangreiche Zusammenstellung an aktuellen Themen dar, die grunds\u00e4tzlich auch unabh\u00e4ngig voneinander gelesen und betrachtet werden k\u00f6nnen. Schwerpunkte der Bestandaufnahme bilden vor allem die in den letzten Jahren sehr popul\u00e4r gewordenen Pass-the-Hash Angriffe in all ihren Spielarten, sowie Microsofts Antwort hierauf, welche in Form von Virtualization-based Security und Credential Guard im Detail erl\u00e4utert wird. Dass Themen jedoch nicht isoliert voneinander betrachtet werden sollten, zeigt der Realisierungsvorschlag zur Absicherung gegen PtH, der darauf hinweist, dass es mit dem Einsatz von Credential Guard nicht getan ist. Angriffen kann nur durch umfassenden Schutz vor ausf\u00fchrbarem Schadcode und einer H\u00e4rtung des Systems und der darauf ausgef\u00fchrten Applikationen gegen Exploits entgegengewirkt werden.
\nHierbei wird rasch klar, dass das in den letzten 25 Jahren \u00fcbliche \u201eBlacklisten\u201c von Malware bereits heute nicht mehr effektiv vor Bedrohungen sch\u00fctzen kann und auch in Zukunft immer mehr an Bedeutung verlieren wird. Bestenfalls stellt eine Anti-Malware-L\u00f6sung wie der ebenfalls im Detail betrachtete Windows Defender noch einen Basis-Schutz dar, in gemanagten IT-Infrastrukturen setzen sich jedoch zusehends Applikations-Whitelisting-Verfahren als wirksameres und mittlerweile auch in der Administration mit vertretbarem Aufwand beherrschbares Mittel durch. F\u00fcr besonderen Schutzbedarf stellt Microsoft dar\u00fcber hinaus Device Guard bereit, welches eine vollst\u00e4ndige Chain-of-Trust gew\u00e4hrleistet und dessen Policy auch nicht durch Kompromittierung des Betriebssystem-Kernels au\u00dfer Kraft gesetzt werden kann.
\nDas Thema Schutz gegen Applikations-Exploits betrachtet die erfahrungsgem\u00e4\u00df nicht breitfl\u00e4chig bekannte H\u00e4rtung von Applikationen mittels Microsoft Enhanced Mitigation Experience Toolkit (EMET), und geht auch auf die neu bereitgestellten M\u00f6glichkeiten ein, Applikationen durch Verwendung eines modernen Compilers und Betriebssystems mittels Control Flow Guard zu h\u00e4rten.
\nEbenfalls in der Bestandsaufnahme betrachtet werden neue M\u00f6glichkeiten der Authentifizierung mittels Biometrie, Microsoft Passport oder mittels TPM basierten virtuellen Smartcards. Auch die Festplattenverschl\u00fcsslung BitLocker stellt einige neue M\u00f6glichkeiten bereit, die vor allem eine noch sicherere Nutzung sowie einen komfortableren Deployment-Vorgang erm\u00f6glichen. An einem praktischen Beispiel wird hierbei auch demonstriert, warum BitLocker selbst bei gegen Diebstahl gesch\u00fctzten Desktop-PCs unverzichtbar ist, und wie BitLocker auch zur Verschl\u00fcsselung von Container-Files genutzt werden kann. Auch neue M\u00f6glichkeiten des verschl\u00fcsselten Netzwerkzugriffs sowohl f\u00fcr Applikationen als auch f\u00fcr den Zugriff auf Netzwerkshares werden aufgezeigt.
\nInternet Explorer galt \u00fcber viele Jahre nicht gerade als Vorreiter in Bezug auf sicheres Web-Browsing, ist aber voraussichtlich in K\u00fcrze der letzte Browser mit Long-Term-Support, der auch eine Unterst\u00fctzung von Plug-Ins wie Java, Active-X, Browser-Helper-Objects, Flash etc\u2026 bereitstellt. Auch wenn diese Technologien nicht zur Gew\u00e4hrleistung von IT-Security beitragen und abgel\u00f6st werden sollten, so werden sie heute und vermutlich auch in den n\u00e4chsten Jahren zumindest f\u00fcr unternehmensintern genutzte Intranet-Applikationen sowie zur Verwaltung von zahlreichen Appliances weiterhin unverzichtbar sein. Als Nachfolger schickt Microsoft seinen neuen Browser namens Edge ins Rennen, von dem behauptet wird, dass dieser sich auch hinsichtlich Security-Aspekten nunmehr im Spitzenfeld einreiht. Anh\u00e4ngern alternativer Browser kann daher empfohlen werden, sich unter Windows 10 das Duo IE11 & Edge n\u00e4her anzusehen und zu pr\u00fcfen, ob Firefox und Chrome tats\u00e4chlich (noch) Vorteile bieten. Hierbei wurden nicht nur die Security, sondern auch zu ber\u00fccksichtigende funktionale und administrative Aspekte der Browser betrachtet und gegen\u00fcbergestellt.
\nIn den letzten Jahren f\u00fcr Aufregung gesorgt haben auch BadUSB-Devices. Welche Bedrohungen von diesen ausgehen, und welche M\u00f6glichkeiten (und auch Schwierigkeiten) der Absicherung bestehen wurde ebenso betrachtet und erl\u00e4utert, wie der Umgang mit jeglicher Form von (Plug & Play-) Systemger\u00e4ten und Peripherie, sowie die Nutzung von Policies f\u00fcr Black- und Whitelisting zur Kontrolle und Einschr\u00e4nkung der durch die Anwender nutzbaren Ger\u00e4tschaft.
\nIm Anhang finden sich praktische Erg\u00e4nzungen zu den erl\u00e4uterten Themengebieten. Die Verwendung des von Angreifern beliebten Tools Mimikatz wird nachvollziehbar Schritt f\u00fcr Schritt in s\u00e4mtlichen interessanten Spielarten (sowohl mit lokalen Credentials, als auch im Unternehmensumfeld mit Active-Directory) demonstriert.
\nDer Einsatz von Microsoft Enhanced Mitigation Experience Toolkit (EMET) ist einerseits mittels Gruppenrichtlinien administrierbar, andererseits stehen Scripting-M\u00f6glichkeiten mittels eines Commandline-Tools bereit. Von letzterem machen die im Anhang bereitgestellten, selbst entwickelten L\u00f6sungen Gebrauch, welche vorschlagen die EMET-Parametrierungen in die automatisierte Software-Verteilung mit aufzunehmen und Software-Pakete mit integrierter EMET-Konfiguration auszustatten.
\nDer fl\u00e4chendeckende Entzug von Administrator-Rechten tr\u00e4gt ma\u00dfgeblich zur Security bei. Nicht immer aber sind auch spezielle Anforderungen, wie sie teils bei Entwicklern auftreten, konsequent l\u00f6sbar. Das entwickelte und im Anhang erl\u00e4uterte sowie in der Beilage bereitgestellte Tool „UserControlled-Interactive-Service“ stellt eine f\u00fcr ausgew\u00e4hlte Problemf\u00e4lle brauchbare L\u00f6sung hierf\u00fcr dar.
\nErfahrungsgem\u00e4\u00df ist die Nutzung von Code-Signatur f\u00fcr Executables von Entwicklern wie Systemadministratoren oftmals ein gemiedenes Thema. Eine Schritt f\u00fcr Schritt Anleitung im Anhang zeigt, dass das Signieren von Binaries mit den n\u00f6tigen Tools keinerlei H\u00fcrde darstellt, und dass hierzu n\u00f6tigenfalls auch Self-Signed-Zertifikate genutzt werden k\u00f6nnen.<\/p>\n

Download<\/h1>\n

Download des eBook sowie von Pr\u00e4sentations-Slides\u00a0zur privaten, pers\u00f6nlichen Nutzung:<\/p>\n