[Windows 10] Angriffe auf Windows mit USB-Sperre und Software-Firewall verhindern

[sia]

Hi Leute,

Habe hier ein paar Surface-Kassen rumstehen. Die haben natürlich alle Angriffsvektoren, die ein normaler Rechner auch hat.

Was kann man außer den Dingen, die ich getan habe, noch tun, um die Dinger möglichst sicher zu machen?

• keine Adminrechte
• Standard-Passwörter geändert
• automatisches Sperren nach 2min
• Sperr-PIN + Passwort
• Virenscanner

Was ich jetzt noch gerne hätte:

• Sperre des Internetzugriffs
• Nur USB-Geräte zulassen, die beim Login verfügbar waren

Wie bewerkstellige ich das? Ich meine, Hezu hätte mir mal ein Tool geschickt, welches sämtliche USB-Geräte sperrt, die nach der Benutzeranmeldung hinzukamen. Ich habe das aber leider nicht mehr gefunden und ich kann ihn auch leider nicht mehr fragen

Habe im Internet eine GPO gefunden, welche aber nicht wirklich nutzerfreundlich ist. Eine angenehme GUI dafür würde mir schon reichen:

Prevent installation of devices not described by other policy settings

Microsoft’s Description: This policy setting allows you to prevent the installation of devices that are not specifically described by any other policy setting.

If you enable this policy setting, Windows is prevented from installing, or updating the device driver for, any device that is not described by either the "Allow installation of devices that match any of these device IDs" or the "Allow installation of devices for these device classes" policy settings.

If you disable or do not configure this policy setting, Windows is allowed to install, or update the device driver for, any device that is not described by the "Prevent installation of devices that match any of these device IDs," "Prevent installation of devices for these device classes," or "Prevent installation of removable devices" policy settings.

Hier noch mal eine ausführlichere Anleitung dazu: http://blogs.catapultsystems.com/gt...restricting-and-securing-usb-storage-devices/

Den Internetzugriff würde ich gerne im Router blockieren, aber der ist scheiße. Gibt es eine einfache Möglichkeit, eine Whitelist von IPs/Hostnamen in der Windows-Firewall einzurichten (möglichst mit GUI, damit mein Chef das mit Anleitung auch kann)?

 

[Cybercat]

Re: Angriffe auf Windows-Kassen verhindern

Verstehe irgendwie den Sinn nicht.

Warum überhaupt einen Router anschließen?
Oder einfach das DSL (Oder wo immer das Internet auch herkommt) Kabel vom Router abziehen.
Warum nicht den Typcover-Port und WiFi im Bios ausschalten und das Bios mit PW versehen?

Auch wenn im Router Der Internet-Zugriff gesperrt ist, kann man das teil immer noch per Smartphone-Hotspot ins Internet bringen.

 

[mathmos]

Re: Angriffe auf Windows-Kassen verhindern

Wie bewerkstellige ich das? Ich meine, Hezu hätte mir mal ein Tool geschickt, welches sämtliche USB-Geräte sperrt, die nach der Benutzeranmeldung hinzukamen. Ich habe das aber leider nicht mehr gefunden und ich kann ihn auch leider nicht mehr fragen

http://www.uwe-sieber.de/usbdlm.html

Das Tool würde eine White- bzw. Blacklist für USB-Geräte anhand der Geräte-ID und für einzelne USB-Ports bieten.

 

[sia]

Re: Angriffe auf Windows-Kassen verhindern

Warum überhaupt einen Router anschließen?

Wie stellst du dir eine Kartenzahlung denn vor? Wir haben zwar ein mobiles GSM-Terminal, die restlichen (stationären) Kartenzahlungsterminals sind aber via LAN angeschlossen. Und auch die Kassen müssen ja irgendwie mit unserer ERP-Anwendung kommunizieren.

Warum nicht den Typcover-Port und WiFi im Bios ausschalten und das Bios mit PW versehen?

Guter Punkt, werde ich alles tun. Dennoch kann man USB-Geräte anschließen, was eine schlechte Idee ist (Stichwort BadUSB, Rubber Ducky). Muss auch sein, da wir einen USB-Ethernet-Adapter nutzen (müssen). Auch Wifi kann ich eigentlich nicht ausschalten, da Bluetooth ja damit gekoppelt ist und wir einen Bluetooth-Scanner nutzen.

Auch wenn im Router Der Internet-Zugriff gesperrt ist, kann man das teil immer noch per Smartphone-Hotspot ins Internet bringen.

Und warum sollte ich das tun, wenn ich Internet per USB/Ethernet haben kann?

 

[Cybercat]

Re: Angriffe auf Windows-Kassen verhindern

Wenn eine Firma schon Kassensysteme für ein Surface anbietet, warum kümmert sich dieser Anbieter nicht auch um die Sicherheit des Systems?

Und warum sollte ich das tun, wenn ich Internet per USB/Ethernet haben kann?

Ich dachte es darum das Teil illegal ins Netz zu bringen um Daten abzugreifen.

 

[sia]

Re: Angriffe auf Windows-Kassen verhindern

Ah, ich verstehe, sorry.

Die Firma vertreibt nur die Software, ich bin in der Situation der Verantwortliche für IT Security.

Nur leider ist Linux mein Spezialgebiet und wir können aus Gründen kein anderes Kassensystem nutzen.

 

[Hector]

Re: Angriffe auf Windows-Kassen verhindern

@phre4k: Sei mir nicht böse, nicht persönlich gemeint ^^

Aber das sind dann die Fälle, in denen der "Verantwortliche für die IT-Security" keine Ahnung hatte, in Foren um Hilfe gesucht hat und WIR hier im Forum immer lästern, wenn wir einen Zwischenfall in den Nachrichten lesen, weil es nicht sein Spezialgebiet war

 

[sia]

Re: Angriffe auf Windows-Kassen verhindern

@mathmos: das ist iirc das Tool, was ich gesucht habe! Danke!

Damit ich das richtig verstehe: Ich erstelle laut USBDLM-Hilfe folgende Einträge in der INI:

[src=ini][Settings]
BadUsbWatchKbd=2
BadUsbWatchNet=2[/src]

Der Parameter [kw]BadUsbWatchNet[/kw] wurde in der Hilfe nicht genau beschrieben – also ob der Wert 2 dabei funktioniert (automatisch abmelden). Muss ich das ausprobieren oder weißt du das zufällig?

@Hector: Die, die in die News kommen, sind eher die, die nicht in Foren nachfragen, sondern alles besser wissen und Security einfach sein lassen.

 

[mathmos]

Re: Angriffe auf Windows-Kassen verhindern

Ich verstehe "Auch die kann USBDLM analog behandeln" so, dass auch bei BadUsbWatchNet die gleichen Werte 0-2 funktionieren wie weiter oben erklärt. Zusätzlich zu den beiden Einträgen solltest du am besten aber noch die White- bzw. Blacklist nutzen wie es in der Hilfe ein paar Zeilen weiter unten beschrieben wird.

 

[sia]

Re: Angriffe auf Windows-Kassen verhindern

Ja, die Whitelist hätte ich eh genutzt, danke aber dennoch für den Hinweis. Das Tool ist gekauft

Fehlt nur noch die Windows-Firewall. Möchte meinen Kunden ungern für so einen simplen Fall eine Hardware-Firewall andrehen, taugt dieses Tool hier was?
Windows 10 Firewall Control

Ich kenne die "Windows Firewall with Advanced Security" und kann diese auch konfigurieren, aber eine Anforderung ist eben auch die einfache Erweiterung der Firewall-Regeln via Anleitung+GUI durch den Kunden (!) zum schnellen Freischalten einzelner Hosts/Domains.

 

[The_Emperor]

Windows 10 Firewall Control funktioniert zwar so im ganzen, ist aber höllisch instabil. Ist mir mehrmals beim Öffnen der GUI verreckt. Das ist zwar an sich noch so schlimm, nur wird in diesem Fall die Firewall von Windows auf Any <-> Any : Allow gestellt. Hab später auf die TinyWall gewechselt. Die ist stabil, kann aber nicht mit mehreren Netzwerkverbindungen umgehen da man nur zentral Einstellungen vornehmen kann und nicht pro Verbindung. Programme lassen sich damit sehr einfach blocken da man sie auf Whitelistening stellen kann. Einzelne Webseiten kann man mit der TinyWall aber nicht sperren.

 

[sia]

@The_Emperor: bearbeitet TinyWall denn die Windows-Regeln oder ist das eine separate Firewall?

 

[The_Emperor]

Setzt wie "Windows Firewall Control" auf die in Windows integrierte Firewall auf.

 

[drfuture]

Firewall macht meines Erachtens nicht wirklich Sinn... Was ist das denn für ein Windows 10? Nicht zufällig die professionell? Bin in den edotionen gerade nicht 100% fit, würde noch mal schauen, aber im Prinzip ist so ein Kassen System der ideale Kandidat für anwendungs whitelisting... Dann kann eigentlich nicht mehr arg viel passieren. Netzwerkshares, ipc$, c$ usw. Noch deaktivieren bzw. Andere remotedienste und dann passt das.

 

[Cybercat]

Auf dem SurfacePro 4 ist z.B. die Win10Pro drauf.
Ob das bei dem 3er Modell auch so ist, weiß ich nicht. Vermute es aber.

 

[sia]

@drfuture: stimmt, werde mal die zwei Anwendungen whitelisten, die wir so brauchen.

Wenn man die Anwendungen nicht starten kann, können die ja auch nicht kommunizieren

Netzwerkshares (auch versteckte) sind schon deaktiviert.

 

[Novgorod]

falls es noch aktuell ist: WLAN kann man unter windows unabhängig von bluetooth deaktivieren - einfach den WLAN-netzwerkadapter in den netzwerkeigenschaften (adaptereinstellungen) oder im gerätemanager deaktivieren.. zum aktivieren braucht man (afaik) adminrechte.. damit ist das WLAN/bluetooth modul hardwaremäßig immernoch aktiv und verbunden, der WLAN-teil wird dann aber treiberseitig vom OS nicht verwendet..