[Windows 10] Computer sicher machen? [Best Practice]

[sia]

Bei Office 2016 gibt es eine Policy die es verbietet das Makros von Office ins Internet dürfen, die sollte man dringend aktivieren insofern der Mitarbeiter mit Makros arbeitet oder mit Plugins die auf Makros basieren.
Bei älterem Office gibt es die Option leider nicht - hier könnte man Makros ganz abschalten oder nur Signierte erlauben insofern ein Plugin Makros benötigt das ist dann hoffentlich gekauft und signiert.

Ergänzung: Die Gruppenrichtlinien dafür gibt es hier: https://www.frankysweb.de/clients-vor-infektion-mit-ransomware-schuetzen-locky-cryptolocker/ → hatte ich weiter oben schon verlinkt.

TigerVNC sehe ich auch nicht passieren, aber sicher was für die 'eines Tages' Liste, direkt hinter 'Netzwerk komplett neu und professionell aufbauen' ;-).

Wenn schon nicht TigerVNC, dann wenigstens TeamViewer oder Ähnliches. Oder willst du jedes Mal hin fahren, wenn irgendwas kleines ist?

Mailanhänge sperren definitiv nicht möglich, eine Überlegung ist aktuell, html per Button anzuzeigen und per Default Plaintext - so habe ich das bei mir seit jeher. […]

Was ist denn das sinnvollste gegen E-Mail Malware per Anhänge? Aktuell läuft ja Kaspersky... *brrr*. Es ist klar, dass das kein rein technisches Problem ist etc.etc. aber praktisch gesehen ist es ja absolut sinnvoll, wenn ein Programm automatisch die Anhänge überprüft.

Macht Kaspersky doch.

Bitte, bitte nimm das mit der Schulung nicht auf die leichte Schulter. Der einfachste "Trick" um Phishing-Mails zu entlarven ist, dass der Absender nicht stimmt (Paypal-Mail von woanders als Paypal.com ist so ziemlich das Häufigste) oder man per Link auf eine total komische (Sub-)Domain weitergeleitet wird. Das sollte man in max. 20min erklären können und 90% aller Phishing-Angriffe abwehren.

Aktueller Virenscanner muss leider sein, am besten noch mit Mail an Admin, wenn was entdeckt wird. Automatische Updates des Systems sind auch wichtig.


EDIT: Wie durch einen Zufall ist der aktuelle Aufmacher der c't 10/2017: "Das Hochsicherheits-Windows – c't-Tool aktiviert Profi-Schutz: Erpressungstrojaner machtlos"

Die sind also mal wieder einer Meinung mit unsereins.

Das Tool Restric'tor kann man hier herunterladen. Zitat:

Mit den "Richtlinien für Softwareeinschränkung", englisch "Software Restriction Policies" oder kurz SRP lassen sich Regeln definieren, die Windows anweisen, nur noch Programme aus einer zuvor festgelegten Liste auszuführen – unbekannter Code hat keine Chance mehr, Schaden anzurichten. Gedacht sind diese Richtlinien eigentlich dazu, dass Administratoren in Unternehmen den Katalog der erlaubten Anwendungen definieren und über Gruppenrichtlinien an alle Rechner in der Windows-Domäne verteilen. Werkzeuge zum Bearbeiten der Regeln bringen folgerichtig nur die für den Einsatz in Firmen vorgesehenen Professional-, Enterprise- und Ultimate-Ausgaben von Windows mit.

/thread

 

[BurnerR]

Ich habe euren Input mal aufgegriffen und mir eine Liste mit durchzuführenden Maßnahmen erstellt:

Maßnahmen:

* Schulung!
* Keine Adminrechte
* per Gruppenrichtlinie sämtliche ausführbaren Dateien in C:\Users\... verbieten ODER Programm Whitelisting Restric'tor
* uBlock für Browser
* Windows Autoupdates aktivieren
* Browser auf Auto-Update stellen.
* kein Adobe Reader verwenden stattdessen PDFXChange
* TeamViewer nur QuickSupport.
* Bitlocker passworteingabe bei Start
* Office Makros deaktivieren
* Outlook default kein html, keine externen Inhalte
* Outlook externe Spamblacklist verwenden
* Kasperksy Life Virenscan und E-Mail Scan, rest abschalten
* regelmäßige Malware scans

Was haltet ihr davon? Ich denke ich werde die Tage mal Restric'tor testen, das ersetzt ja quasi die Einstellung der Gruppenrichtlinie durch eine Whitelist.
Bei Outlook muss ich noch gucken wie/ob das geht.. hätte gerne das er sich bei E-Mail auf per-Adress-Basis merkt, ob html/externe Inhalte geladen werden.

Frage: Ich denke es ist wünschenswert, wenn der PC regelmäßig auf Malware untersucht wird.
Was ich gerne hätte: Mitarbeiter steckt USB Stick rein und startet Computer und geht nach Hause. Der Computer bootet vom USB-Stick, wird auf Malware untersucht und wenn nichts gefunden wurde schaltet er sich wieder aus. Womit kann ich das möglichst simpel umsetzen?

 

[sia]

• Outlook gar nicht verwenden, sondern Thunderbird

uBlock Origin gibt's auch für Thunderbird, aber da man dort das UI nicht so leicht einsehen kann, würde ich nur das Abonnieren der Malware-Listen empfehlen.

Das fehlt übrigens noch in deiner Aufzählung: uBlock richtig konfigurieren.

Ich nutze übrigens lieber SumatraPDF statt PDFXChange.

Ist es denn Windows 10 Pro?

Frage: Ich denke es ist wünschenswert, wenn der PC regelmäßig auf Malware untersucht wird.
Was ich gerne hätte: Mitarbeiter steckt USB Stick rein und startet Computer und geht nach Hause. Der Computer bootet vom USB-Stick, wird auf Malware untersucht und wenn nichts gefunden wurde schaltet er sich wieder aus. Womit kann ich das möglichst simpel umsetzen?

Lass es. Wenn du die SRPs richtig gesetzt hast, gibt's keine Malware, die heruntergeladen wird.

Wenn du dich dennoch darauf versteifst, kannst du Desinfec't nutzen.

 

[drfuture]

Whitelisting ist auch mit applocker möglich, oder mit dem schon installierten Kaspersky je nach Version.
Warum noch ein Tool?

@phre4k was ist am thunderbird sicherer als an Outlook?
Gut kommt sehr darauf an was für ein Mail System genutzt wird. Wenn exchange vorhanden würde ich auch Outlook nehmen.

 

[BurnerR]

Nunja, Outlook kennt er halt...

Whitelisting ist auch mit applocker möglich, oder mit dem schon installierten Kaspersky je nach Version.
Warum noch ein Tool?

Danke für den Hinweis! Werde Kaspersky Whitelist verwenden falls da nichts konkret gegen spricht, seit jeher ist es eine 'Total Security' Lizenz vorhanden.

--- [2017-05-04 14:47 CEST] Automatisch zusammengeführter Beitrag ---

Ist es denn Windows 10 Pro?

Ja, bzw. ich werde so eine OEM Lizenz für 5 Euro (srsly?) kaufen, das aktuelle ist so eine Windows-7-Update-Version.

Gibt es vorgefertigte Whitelists für Applocker?
Applocker Whitelist klingt erstmal verlockender als das mit Kaspersky zu lösen.

Lass es. Wenn du die SRPs richtig gesetzt hast, gibt's keine Malware, die heruntergeladen wird.

Wenn du dich dennoch darauf versteifst, kannst du Desinfec't nutzen.

Werde das Thema einfach weit unten auf der Prioliste platzieren und ggf. Desinfec't anschauen.


PS.: Windows Defender scheint ja in der Tat Anhänge von E-Mail zu prüfen bevor sie geöffnet werden... ich sehe gerade gute Chancen komplett auf Kaspersky verzichten zu können .

 

[sia]

Whitelisting ist auch mit applocker möglich

Ich bezweifle, dass auf einem einzelnen Computer in der gesamten Firma Windows 10 Enterprise läuft.

You can use the AppLocker CSP to configure AppLocker policies on any edition of Windows 10. You can only manage AppLocker with Group Policy on devices running Windows 10 Enterprise, Windows 10 Education, and Windows Server 2016.

Warum noch ein Tool?

Weil es die Windows-internen SRPs nutzt.

 

[BurnerR]

Habe mitlerweile die Maßnahmen umgesetzt, die ich hier mit eurer Hilfe evaluiert habe. Vielen Dank nochmal.

Kleine Comments zu Details bzw. Abweichungen:

Maßnahmen:

* Schulung!
* Keine Adminrechte
* per Gruppenrichtlinie sämtliche ausführbaren Dateien in C:\Users\... verbieten ODER Programm Whitelisting Restric'tor

Letzteres letztendlich mit Restric'tor umgesetzt, was straight foward war.

* uBlock für Browser
* Windows Autoupdates aktivieren
* Browser auf Auto-Update stellen.
* kein Adobe Reader verwenden stattdessen PDFXChange

Auto-Updates sind ja per Default schon eingestellt (Win10 Pro, Firefox), statt PDFXChange wurde es tatsächlich SumatraPDF, wie von phre4k vorgeschlagen, schien mir schlanker als reiner Reader.

* TeamViewer nur QuickSupport.
* Bitlocker passworteingabe bei Start
* Office Makros deaktivieren
* Outlook default kein html, keine externen Inhalte
* Outlook externe Spamblacklist verwenden
* Kasperksy Life Virenscan und E-Mail Scan, rest abschalten
* regelmäßige Malware scans

Regelmäßige Scans habe ich nicht umgesetzt. Makros habe ich komplett deaktiviert für Outlook und Office - waren interessanterweise zwei verschiedene Menüs. Externe Spamblacklist habe ich nicht umgesetzt, die E-Mail adresse läuft über ein gmail account, spam filtern sie ja generell ganz gut.
Auf Kaspersky habe ich vollständig verzichtet, das war mir ein zu großer abfucker das sich wieder ins System einnisten zu lassen.
Outlook externe Inhalte / html habe ich auf Default gelassen, html wird angezeigt, aber externe Inhalte werden nur auf knopfdruck manuell nachgeladen.


Bin zwischendurch noch über den Belarc Advisor gestolpert, der mir recht gut mit den vorher installierten Lizenzkeys ausgeholfen hat und auch sonst recht übersichtlich einige Informationen darstellt.

 

[alter_Bekannter]

WIe es scheitn wurcde noch was ganz einfaches vergessen. Die Fragwürdigste Standardeinstellung die seit Ewigkeiten in Windows existiert. Dateeindungen ausblenden...

An der Scheisse kann man gleich viele gängige Angriffe erkennen. .pdf.exe .txt.exe etc..

Alles was mehr als eine Endung hat nicht anklicken.

 

[dexter]

@phre4k was ist am thunderbird sicherer als an Outlook?

TB nutzt Gecko als Rendering-engine, Outlook die von Trident (oder evtl. Edge) samt sämtlicher bekannter Einfallstore wie ActiveX, Jscript und dergleichen Müll.

Edit: Man lese und staune: https://de.wikipedia.org/wiki/Trident_(Software)

 

[BurnerR]

WIe es scheitn wurcde noch was ganz einfaches vergessen. Die Fragwürdigste Standardeinstellung die seit Ewigkeiten in Windows existiert. Dateeindungen ausblenden...

An der Scheisse kann man gleich viele gängige Angriffe erkennen. .pdf.exe .txt.exe etc..

Alles was mehr als eine Endung hat nicht anklicken.

Glaube das habe ich sogar automatisch 'aus versehen' eingestellt, die Ausblendung macht einen ja auch wahnsinnig .

TB nutzt Gecko als Rendering-engine, Outlook die von Trident (oder evtl. Edge) samt sämtlicher bekannter Einfallstore wie ActiveX, Jscript und dergleichen Müll.

Edit: Man lese und staune: https://de.wikipedia.org/wiki/Trident_(Software)

Anscheinend aus Sicherheitsgründen wurde Trident 2003 abgelöst (siehe Link), seitdem verwendet Outlook, inklusive 2016, das, was überall nur 'Word Engine' genannt wird?! Bisschen unheimlich, aber deine Aussage ist dadurch unzutreffend .

 

[alter_Bekannter]

Das wird der Hauptgrund sein warums hier vergessen wurde. es wird hier als selbstverständlich betrachtet.

Unter denen die nicht dauernd ihren Kram durch Erpressungstrojaner verlieren...

 

[drfuture]

Jop... ^^
es gibt dafür übrigends einen Punkt im FeedbackHub, jeder der im Insider-Programm ist kann dort gerne mal Voten

 

[sia]

Lasst uns das Kind beim Namen nennen: Windows ist im Auslieferungszustand unsicher und braucht einen Admin.

Ich bin auch Windows Insider und habe schon einige "bugs" gemeldet, aber irgendwie sehe ich das bei so einem Projekt ohne Feedback überhaupt nicht ein. Das ist total intransparent und einfach klassisch Microsoft.

Habe mittlerweile eine Theorie, warum Windows nicht Open Source ist: Der Code ist scheiße.


BTT: finde deinen letztendlichen Ansatz am Betriebssystem gut und richtig, BurnerR. Besser man löst sowas mit Bordmitteln anstatt über unsichere Drittsoftware. Hättest du mehrere Clients (>10) würde sich auch Autoupdate mit Chocolatey lohnen.

 

[alter_Bekannter]

Das klingt halt lächerlich, aber nach meiner Recherche(iich gehe mir gelegentlich absichtlich malware suchen) sind doppelte Dateiendungen durchaus üblich. Vor allem bei Fakewarez und Porn. Ich würde sowieso tippen das es dadurch die meisten Infektionen gibt(also doiirekt nach dummen Emails, die aber afaik auch oft doppelte Endungen haben), denn das gibt keiner zu was so einiges erklärt.
Die Usenet NFO-Dateien dazu sind immer witzig. Die gehen von Einzeilern bis halbe Seite Text mit Anleitung.

Leider bekommt man nur extrem selten super schlechte Trojaner wo man selber den Server kapern kann, die meisten minen Bitcoins oder der C&C server ist schon down. Adware ist halt auch noch häufig.
Edit:
Gibts dazu eigentlich ein Statemnet von MS?

 

[drfuture]

Nein - ist mir keines bekannt.

 

[alter_Bekannter]

Hab gerade eine 80MB Exe Datei mit Winrar Icon gefunden.
Der Gedanke das Leute sowas ausprobieren ist schon für sich alleingenommen lustig.

Falls jemand das Ding haben will:

Spoiler

http://nzbindex.nl/download/130829768/Ostfront-Ave-Maria-2012-11-Ostfront-Ave-Maria-2012.rar.nzb

 

[dexter]

Der Gedanke das Leute sowas ausprobieren ist schon für sich alleingenommen lustig.

Halte ich für nachvollziehbar. Man kann auch ne rar-exe mit nem Word-icon machen, da klicken die Leute auch drauf ...