Sicherheit

  • MS blendet standardmäßig Dateiendungen aus, so dass man nicht wirklich eine PDF von einer EXE unterscheiden kann (spinnen die bei MS?).
    -> Explorer / Optionen / Ansicht / "Erweiterungen bei bekannten Dateitypen ausblenden" abhaken

  • Ordner erstellen für Benutzer im Root-Verzeichnis unterbinden
    -> LW C: Sicherheit / Erweitert / Erweiterte Berechtigungen:
    • (Auth)Benutzer = "Ordner erstellen/Daten anhängen" von "Diesen Ordner, Unterordner" ändern in "Nur Unterordner"
    • Für alle Laufwerke wiederholen

Datenschutz -> Allgemein:  alles aus schalten

Datenschutz -> Spracherkennung:  aus schalten

Datenschutz -> Freihand- und Eingabeanpassung:  aus schalten

Datenschutz -> Diagnose:  auf "Standard". Weniger geht leider nicht.

Datenschutz -> Diagnose -> Individ. Benutzererfahrungen: aus schalten

Datenschutz -> Diagnose -> Feedbackhäufigkeit: nie

Datenschutz -> App-Berechtigungen:  alles aus schalten
  Einstellung betrifft nur Store-Apps, keine normalen Programme.
  Wenn doch mal eine App Berechtigungen benötigt, fragt sie.

Lokales Benutzerkonto verwenden statt MS Online-Konto

Windows Suche vom WEB fern halten:
  bis 1909: REG-Eintrag -> Download
  ab 2004: Firewall -> Erweiterte Einstellungen -> Ausgehende Regeln -> Regel "Windows Search", Allgemein: Verbindungen blocken.

Übertragung der Telemetriedaten deaktivieren:

MS Edge Browser:
Registry: HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Edge
DWORD (32-bit)-Wert anlegen: "Edge3PSerpTelemetryEnabled", Wert 0 = Telemetrie deaktiviert

Windows 10 Enterprise, Education oder Windows Server:
- Telemetriedaten Stufe "Sicherheit" einstellen
  GPO: Richtlinie Lokaler Computer/Computerconfig./Admin.Vorlagen/Windows Komponenten/Datensammlung und Vorabversionen/Telemetrie zulassen -> Stufe = Sicherheit
ACHTUNG! Diese Einstellung geht nur bei konfiguriertem WSUS oder SCCM, denn sie unterbindet auch MS Update.

Dienst: DiagTrack (Benutzererfahrung und Telemetrie im verbundenen Modus) ->Dienst deaktivieren funktioniert lauf CT und BSI (im Moment) gut und ohne Nebenwirkungen
Win10/11: "Benutzererfahrung und Telemetrie im verbundenen Modus"
Win8: "Diagnostics Tracking Service"

Wollen Sie Windows vollständig an der Datenübermittlung hindern, muß der PC vom Internet getrennt werden.

(FAQ)

Observium

  • Unlimited Sensoren free, Professional: 240,- EUR p.a.
  • basiert auf PHP + MySQL, Großbritannien
  • nur SNMP-Monitoring, keine Agenten, aber sehr viele vorgefertigte Geräte-MIBs
  • alle Grafiken (Diagramme) lassen sich als Link per IFRAME in eigene MAPs einbinden
    (Authentification: Allow graphs to be viewed by anyone=Y)
  • Konfiguration in opt/observium/config.php: https://docs.observium.org/config_options/
    (Defaults in /opt/observium/includes/default.inc.php)
    Die GUI hat nicht alle Werte und schreibt nicht in die config.php zurück.
    Einträge in der config.php erscheinen rot und gesperrt mit Schloß in der GUI.
  • Postfix MTA (bound to localhost) to allow sending of email (e.g., password recovery)
  • Update der Prof-Version (Changelog, ggf. von Stable auf ROLLING schalten):
    cd \opt\observium
    sudo svn cleanup
    sudo svn update  (Zugangsdaten SVN-Zugang)
    ./discovery.php -u
  • Update der Community Edition (CE):
    - alte Version umbenennen
    - neuer Download
    - neue Installation
    - verschiebe /rrd, /logs, config.php aus alter Installation
  • Update Anleitung (auch CE): https://docs.observium.org/updating/
  • Migration CE zu Pro: https://docs.observium.org/ce-migration/
  • MIBs unter opt/observium/mibs/
  • LOGs unter /opt/observium/logs bzw. /var/log/messages oder /var/log/syslog
  • Backup Jobs unter opt/observium/rrd/
  • HTML Root in /opt/observium/html
  • Lizenz von Common zu Subscription konvertieren: https://docs.observium.org/ce-migration/
  • Ubuntu 22 LTS, Festplatte min. 100 GB

Nur professional Version kann:

  • Alert E-Mail Notification bei SNMP-Schwellwert (Discord, Telegramm, Teams, SMS..)
  • SVN automatisches Updatesystem

Andere Benutzer ohne Admin-Rechte anlegen:
 - Users -> Device Permissions: alle (gewünschten) Geräte hinzu fügen!

E-Mail Checker einrichten:

  • Konfiguration in der config.php, nicht in der GUI
  • $config['email']['backend'] = 'smtp';
  • $config['enable_syslog'] = 1;
  • $config['email']['smtp_secure'] = '';  // leer für 'none' encryption
  • ggf. Firewall öffnen (ufw status , ufw allow 587), Test mit Telnet
  • Test: /opt/observium/test_alert.php
    Bsp: ./test_alert.php -a [Mailadresse]
  • Mail-Log: /var/mail/observium
  • oder über Sendmail https://uwe-kernchen.de/phpmyfaq/index.php?solution_id=1446

Alert Checks:

  • Gerät(e) DOWN: Entity: Device, Conditions: device_status equals 0, Association: Device Type IN [Kategorie]
  • Gerät(e) REBOOT: Entity: Device, Conditions: device_rebooted equals 1, Association: Device Type IN [Kategorie]
  • (DSL) Port Traffic hoch: Entity: Port, Conditions: ifInOctets_perc ge 85, ifOutOctets_perc ge 85, Association: Device IN [IP], Port Label EQUALS [VDSL...]
    Nach Änderungen der Alert Checker REBUILD durchführen!

    Quellen:
  • Doku Observium Alert Checker: https://docs.observium.org/alert_checker/
  • Alerts definieren: https://infosecmonkey.com/setting-up-alerts-in-observium-community-edition/


Cron-Jobs:

# Run a complete discovery of all devices once every 6 hours
33 */6 * * * root /opt/observium/observium-wrapper discovery >> /dev/null 2>&1

# Run automated discovery of newly added devices every 5 minutes
*/5 * * * * root /opt/observium/observium-wrapper discovery --host new >> /dev/null 2>&1

# Run multithreaded poller wrapper every 5 minutes
*/5 * * * * root /opt/observium/observium-wrapper poller >> /dev/null 2>&1

# Run housekeeping script daily for syslog, eventlog and alert log
13 5 * * * root /opt/observium/housekeeping.php -ysel

# Run housekeeping script daily for rrds, ports, orphaned entries in the database and performance data
47 4 * * * root /opt/observium/housekeeping.php -yrptb

Anmerkung:

  • Version 23.8.13005 (18.09.2023) - SMTP-Alert geht wieder
  • Version 23.8.12912 (02.08.2023) - SMTP-Alerting funktioniert nicht

Alternative: LibreNMS (Fork von Observium, starke Ähnlichkeit, voll kostenlos)

Quellen und Links:


Virtual Privat Network (VPN) stellt eine verschlüsselte Verbindung über ein unverschlüsseltes Medium her.
Klassische Nutzung:
  • verschlüsselte Verbindung in das eigene Heim- oder Firmennetz über das Internet
  • Vernetzung von Firmen oder Standorten untereinander über das Internet
  • sichere Anbindung von eigenen Cloud-Standorten
  • verschlüsselte Nutzung unsicherer Netzwerke wie öffentliche WLAN über einen "sicheren" eigenen(!) Endpunkt
Sucht man im Internet nach VPN, findet man fast ausschließlich Online-VPN-Anbieter wie NordVPN.
Diese Anbieter bieten eine (VPN-)verschlüsselte Verbindung zu ihren Standorten, um diesen als Einwahlpunkt ins Internet zu nutzen.
Die Interneteinwahl erfogt praktisch erst von deren Standorten, womit man Geoblocking / Ländersperren für Internetseiten oder Streamingdienste umgehen kann. Außerdem schafft es eine gewisse Anonymisierung des Absenders. Und das ist auch schon der einzige Nutzen.

Was diese Anbieter nicht bieten können ist eine sichere Verbindung, denn man holt sich bewußt als Tunnelende der Verschlüsselung einen fremden VPN-Anbieter.
Die Lösung macht keinen Sinn zur "sicheren" Einwahl ins Internet oder gar zum eigenen Mailprovider.

Ein "richtiges" VPN muß vom eigenen Netz bis zum Zielnetz oder Ziel-PC reichen.



Das Internet ist nützlich.
Das Internet ist unzuverlässig und unsicher.
Es ist sinnvoll, das Internet zu nutzen.
Es ist gefährlich, sich vom Internet abhängig zu machen.


Diese Trends sehe ich mit Sorge:
  • Windows 11: Internetverbindung und MS-Konto wird auch in der Pro-Version Pflicht (siehe hier)
  • MS Office 2021, Microsoft 365 und Office 365 erlauben Autosave nur noch in der Cloud. Eine lokale Sicherung ist nicht mehr vorgesehen (siehe hier)
  • geschäftskritische Software wird vermietet, die Lizenz muß online aktiviert werden (ohne Internet keine Funktion) und kann jederzeit online deaktiviert werden



Zweifaktor-Authentifizierung reduziert die Gefährdung durch Diebstahl des Kennwortes.

Nutzen Sie die 2-Faktor Authentifizierung für Ihre wichtigsten Konten.

Überlegen Sie die Folgen, wenn das 2FA-Gerät nicht mehr verfügbar wäre, und schaffen Sie Redundanz.


Das Versprechen, Cloud Computing sei genau das richtige, um alle IT-Probleme in den Unternehmen ein für alle Mal zu lösen, ist vor ein paar Jahren in den großen Marketing-Abteilungen entstanden.

Dabei spielen Sicherheitsfragen, Verfügbarkeit der eigenen Daten und nicht zuletzt die oft nicht verfügbare Bandbreite eine große Rolle.

Sicher ist die Cloud meist redundant ausgelegt und hat riesigen Rechenpower, aber meine ich das mit Sicherheit?

„Software as a Service“ made in USA wurde 2019 per Präsidentenerlass über Nacht einfach abgeschaltet.

Ich teile die Meinung: So wenig IT outsourcen wie möglich!



Next-Generation Firewalls kombinieren die Funktionalitäten herkömmlicher professioneller Firewalls wie Paketfilterung, Network Adress Translation (NAT), URL-Blockierung und Virtual Private Networks (VPN) mit modernen Funktionalitäten wie Quality of Service (QoS) und Optionen, die normalerweise nicht in Firewalls zu finden sind.
Dazu gehören Intrusion Prevention, SSL und SSH Inspection, Deep-Packet-Inspection, Reputations-basierte Malware-Abwehr oder Applikations-Awareness.
Hier stelle ich die neuen Rohde & Schwarz Unified Firewalls vor.


Das BSI empfiehlt es als seine elementare Sicherheitsstrategie, alle Systeme ständig auf dem neusten Stand zu halten.
Die Idee ist gut, aber blauäugig.

Schon lange wird die Qualität von Sicherheitsupdates bei nahezu allen Firmen stetig schlechter.
Selbst Firmen wie Microsoft betreiben keine Qualitätssicherung mehr.
Es gibt weltweit keine Haftung für Softwarefehler.
Fehlerkorrekturen sind notwendige Übel für die Hersteller und bringen ihnen keinen Mehrwert.

In den letzten Jahren haben kritische Sicherheitsupdates bei mir zumindest gefühlt mehr Fehler verursacht als beseitigt.
Aus diesem Grund vertrete ich in meinen Sicherheitskonzepten schon lange den Standpunkt, dass eine sofortige Updateinstallation fahrlässig ist, nicht anders herum.

Nun vertritt erstmalig die Cybersecurity & Infrastucture Security Agency (US-CERT CISA) den Standpunkt, dass das Microsoft Rollup Mai 2022 für alle OS-Versionen auf Domaincontrollern nicht installiert werden soll.


Am heutigen 15.06.2022 beginnt die bundesweite Bevölkerungs- und Wohnungszählung in Deutschhland.
Nun mehren sich Berichte von Datenschützern, dass diese sensilble Pflicht-Datenerhebung durch die Bundesrepublik Deutschland mittels Online-Portal beim US-Unternehmen Cloudflare gehostet wird. Das bedeutet, dass der Anbieter Endpunkt des verschlüsselten SSL-Datenstromes ist und theoretisch alle Daten mitlesen kann.
"Wir nehmen Ihren Datenschutz erst.." - neben solchen Phrasen gibt es keinen Hinweis zum Hosting in einem nach aktueller Rechtsprechung datenschutzmäßig "unsicheren Drittland" beim Zensus.



Schulung, Beratung, Ausführung.
IT-Konzept, Backup-Konzept, Sicherheitskonzept



Februar 2021: Datenschutzvorfall in einem Wasserwerk in den USA.
Das FBI warnt vor dem Einsatz von Teamviewer.
In diesem Video gehe ich auf die Fragen ein, wo das Problem liegt.

Die folgende Seite zeigt ein eingebettetes Video auf Youtube an.


8. Januar 2021 - hunderte Demonstranten stürmen das Capitol der Vereinigten Staaten, verschaffen sich Zugang zu Büros und bleiben über 2 Stunden unkontrolliert in dem Gebäude. Das Capitol ist Sitz der US Representantenhauses und der Legislative der USA.
Die Überwachungskameras können nicht lückenlos den Aufenthalt aller Eindringlinge nachverfolgen.

Gegenstände und Dokumente wurden gestohlen.
Sicher auch Zugangsdaten, Passworte, geheime Informationen.
Es kursieren Bilder, dass ein PC nicht einmal gesperrt war.

Da nicht feststellbar ist, welche Geräte kompromittiert sind, ist aus Security-Sicht davon auszugehen, dass alle Geräte kompromittiert wurden sind.

Die meisten Computer wurden wenige Stunden nach dem Einbruch wieder in Betrieb genommen und arbeiteten noch tagelang.
Es ist also davon auszugehen, dass inzwischen auch weitere externe Verbindungen kompromittiert sind.

Das Capitol muss komplett gesäubert werden.

Der physische Zugangsschutz zu den IT-Systemen ist die Grundvoraussetzung für die IT-Sicherheit eines jeden Systems.


 
- Seite: 1 -