10/2019: Sichere IT-Systeme

Firmen stecken in einer Zwickmühle: Einerseits verschärfen die Gesetzgeber in Deutschland und Europa laufend die Anforderungen an die Datensicherheit und den Datenschutz. Andererseits gehen Cyberkriminelle mit immer ausgefeilteren Methoden auf Unternehmensnetze los. Wie Sie als Administrator Ihre IT-Systeme schützen können, zeigt die Oktober-Ausgabe des IT-Administrator. Darin erfahren Sie unter anderem, was das neue Windows Defender Application Control zu bieten hat und wie Sie sich auf Schwachstellenjagd mit OpenVAS begeben. In den Tests beweist die Web Application Firewall von Airlock ihr Schutzpotenzial.

Ab dem 4. Oktober finden Sie das Heft am Kiosk. Oder Sie bestellen die IT-Administrator-Ausgabe zu sichere IT-Systeme in unserem Online-Shop. Mit einem Probeabo machen Sie sich zum günstigen Preis einen umfassenden Eindruck vom IT-Administrator.

Artikel aus dem IT-Administrator 10/2019

Editorial

Wettrüsten im Cyberspace free

News

Interview

»Unternehmen müssen auf eine krypto-agile Systeminfrastruktur achten«

Kommerziell nutzbare Quantencomputer stehen vor der Tür. Firmen wie Google und IBM arbeiten fieberhaft an ihren Superrechnern und steigern die Zahl an Qubits in immer größeren Schritten. Doch gefährden Quantencomputer die bisherigen Verschlüsselungssysteme, da sie bislang nicht zu brechende Verfahren knacken können. Was das für Unternehmen bedeutet und wie sie vorsorgen sollten, erläuterte Malte Pollmann, Chief Strategy Officer bei der Utimaco GmbH, im Interview mit IT-Administrator.

Airlock WAF

Sicherheitsinspektor

Schon lange gibt es für Virenschutz & Co. neue Namen wie beispielsweise Endpoint Protection und mit einer einfachen Firewall ist auch kein IT-Profi mehr hinter dem Serverrack hervorzulocken – da muss schon mindestens eine Next Generation auftauchen. Schlussendlich schützen diese Programme aber alle vor Schädlingen. Einen Schritt weiter geht Airlock, das Admins sogar vor fehlerhaften Applikationen und unzureichender Programmierung bewahren will.

Crashtest Security Suite

Simulierte Angriffe

Webseiten sind das Tor für Unternehmen in die Online-Welt – und gleichzeitig einer der beliebtesten Angriffspunkte für Hacker. Je interaktiver und dynamischer eine Webseite ist, desto mehr potenzielle Schwachpunkte gibt es. Hier als Administrator den Überblick zu behalten, fällt nicht leicht. Das Münchner Unternehmen Crashtest Security bietet einen Online-Schwachstellenscanner an, mit dem Firmen ihre Webseiten unter die Lupe nehmen können. IT-Administrator hat das leistungsfähige Tool ausprobiert.

ERNW SecTools DirectoryRanger 1.5

Auf Patrouille

Das Active Directory bildet das Herzstück vieler IT-Infrastrukturen und ist damit ein beliebtes Ziel für Angreifer. Den Verzeichnisdienst abzusichern, ist aufgrund seiner Komplexität jedoch keine leichte Aufgabe. Hier verspricht der ERNW DirectoryRanger Hilfe bei der Erkennung von organisatorischen und technischen Schwachstellen.

Secucloud Secuscaler Firewall-as-a-Service

Einfache Handhabung

Eine Firewall gehört zur Grundausstattung jeder Netzwerkabsicherung. Doch nicht jedes Unternehmen hat das notwendige Wissen im Haus, um eine komplexes Werkzeug wie eine Firewall zu konfigurieren und zu warten. Die Firewall-as-a-Service von Secucloud will Sicherheit aus der Cloud inklusive externer Administration liefern, lässt sich aber bei Bedarf dennoch von Fachleuten aus der eigenen IT verwalten. Wie sich zeigte, schützt die cloudbasierte Firewall in fast allen denkbaren Szenarien, hat jedoch ein Nadelöhr.

Windows Admin Center in der Praxis

Auf der Brücke

Das Windows Admin Center ist die neue Zentrale für Administratoren. Hier lassen sich webbasiert Server und Clients lokal und in der Cloud verwalten. Zwar kann das Center den Server-Manager aktuell noch nicht vollwertig ersetzen, doch Microsoft erweitert die Funktionen ständig. Wir zeigen die Inbetriebnahme und Arbeit mit dem neuen Server-Kontrollraum.

Neuerungen in SharePoint 2019

Aufpoliert

SharePoint 2019 bietet on-premises einige Funktionen, die bisher nur in der Cloud, also in Office 365, nutzbar waren. Dazu gehören das Speichern von Daten in der Cloud, ein neues Look and Feel sowie eine verbesserte Data Leakage Prevention. Es lohnt sich also für Unternehmen, auf die neue Version zu setzen, wenn Funktionen und Dienste aus Office 365 auch lokal zum Einsatz kommen sollen.

Microsoft PowerApps aus Admin-Sicht

Baukastenprinzip

Wer sich in der Microsoft-Cloud bewegt, stößt schnell auf den Begriff PowerApps. So heißen Anwendungen, die sich auch ohne Programmierkenntnisse erstellen lassen. Das geschieht entweder über selbst zusammengeklickte Regeln oder über Formeln, wie sie etwa in Excel Verwendung finden. Wir beleuchten die recht komplexe Welt der PowerApps aus Sicht eines Administrators, zeigen die Erstellung einer App und wie Sie diesemit einer Datenquelle verbinden.

Rettungs-USB-Sticks für Windows-Rechner

Systemretter

Wenn Windows nicht mehr hochfährt, hilft in vielen Fällen ein Rettungs-USB-Stick, mit dem sich ein Notsystem starten lässt. Über dieses gelingt dann im Idealfall die Reparatur des Betriebssystems. Auch das Sichern von Daten oder das Entfernen von Malware ist damit möglich. Es gibt viele Wege, um einen eigenen Rettungs-USB-Stick zu erstellen oder vorhandene Werkzeuge zu nutzen. Der Workshop gibt einen Überblick.

Exchange mit der PowerShell verwalten

Abwesenheitsmanagement

Bei der Verwaltung von Exchange-Servern spielt die PowerShell eine immer wichtigere Rolle. Das liegt zum einem daran, dass eine ganze Reihe von Funktionen erst gar nicht über das Exchange Admin Center zur Verfügung stehen, zum anderen an der Tatsache, dass die Nutzung der Admin-GUI für regelmäßig wiederkehrende Tasks viel Zeit in Anspruch nimmt. In diesem Workshop schauen wir uns an, mit welchen Cmdlets sich das Abwesenheitsmanagement in Exchange umsetzen lässt.

Hochverfügbarkeit & Skalierbarkeit mit Ceph

Unabhängig auf vielen Ebenen

Die digitalen Datenberge wachsen rasant. Immer mehr Informationen werden erhoben, gespeichert und bestenfalls wertschöpfend analysiert. Gefordert sind Speicherarchitekturen, die den Anforderungen an höchste Skalierbarkeit, Ausfallsicherheit und Kostentransparenz gerecht werden. In diesem Artikel wird das Open-Source-Speichersystem Ceph auf diese und andere wichtige Ansprüche untersucht.

Protokolle via OpenSSH übertragen

Untertunnelt

Die Secure Shell, kurz SSH, ist primär dafür bekannt, Benutzern einen sicheren Zugang zu einem Remote-System zu gewähren oder Dateien sicher zwischen Rechnern zu kopieren. Allerdings lassen sich auch unsichere Protokolle durch einen SSH-Tunnel leiten, um dadurch Daten vor neugierigen Mitlesern zu schützen. Der Open-Source-Tipp in diesem Monat zeigt auf Basis von OpenSSH, wie Sie solche Tunnel erzeugen und einsetzen.

VPN-Tunnel mit WireGuard und BoringTun

Durchs Nadelöhr

Mit WireGuard strebt ein neues Protokoll an die Spitze, das mit wenig Code und einer leichten Konfiguration eine gute Alternative für Unternehmen bietet. Der Security-Tipp in diesem Monat stellt Ihnen die Software als Protokoll und BoringTun als Userspace-Implementierung vor.

Tipps, Tricks & Tools

Windows

In jeder Ausgabe präsentiert Ihnen IT-Administrator Tipps, Tricks und Tools zu den aktuellen Betriebssystemen und Produkten, die in vielen Unternehmen im Einsatz sind. Wenn Sie einen tollen Tipp auf Lager haben, zögern Sie nicht und schicken Sie ihn per E-Mail an tipps@it-administrator.de.

Windows-Sandbox

Nicht ohne Tücken

Mit dem Update im Mai hat Microsoft die Windows-10-Installationen auf die Feature-Version 1903 gehoben. So zumindest war der Plan. Aufgrund verschiedener Probleme, vor allem solcher mit der neuen Windows-Sandbox, hat Microsoft die Auslieferung immer weiter verzögert. In diesem Artikel zeigen wir Ihnen die Schwierigkeiten bei der Installation und die Benutzung der Sandbox, wenn Sie diese abschließend zum Laufen gebracht haben.

Windows Defender Application Control

Reduzierte Angriffsfläche

Windows Defender Application Control soll Systeme vor Bedrohungen schützen, die herkömmliche Virenscanner und signaturbasierte Mechanismen nicht erkennen. Denn führt ein Benutzer einen Prozess aus, hat dieser Prozess dieselben Zugriffsrechte auf Daten wie der Benutzer. So werden vertrauliche Informationen leicht gelöscht oder aus der Organisation gebracht. Windows Defender Application Control reduziert diese Sicherheitsrisiken, indem es Anwendungen im Benutzerkontext einschränkt und den im System-Kernel erlaubten Code reduziert.

Neues BitLocker-Management in Intune und System Center Configuration Manager

Under new Management

Die gute Idee der standardmäßigen Festplattenverschlüsselung wurde in Microsofts BitLocker oft durch mangelhafte Performance ausgebremst oder kam in größeren Umgebungen wegen der fehlenden zentralen Verwaltung nicht zum Einsatz. Letzteres hatte Microsoft mit MBAM adressiert, kündigt dieses Werkzeug jedoch nun ab und stellt Intune und SCCM als Alternativen vor.

Verschlüsselung mit Ciphermail

Schlüsselverwalter free

Mit einem Encryption Gateway kann der Administrator die automatische Ver- und Entschlüsselung von E-Mails steuern und das Schlüsselmaterial zentral verwalten. Das reduziert den Supportaufwand und schont die Nerven der Anwender – denn sie bekommen von der Verschlüsselung gar nichts mit. Ciphermail ist ein leistungsfähiges Encryption Gateway aus den Niederlanden. Wir stellen das System und dessen Inbetriebnahme vor.

Schwachstellensuche mit OpenVAS

Geplanter Einbruch

In Zeiten der Digitalisierung und Automatisierung geraten kritische Komponenten der Infrastruktur verstärkt unter Beschuss. Medienwirksame Meldungen wie die Hackerattacken auf die IT-Infrastrukturen von BASF, Bayer, Henkel, Siemens und ThyssenKrupp im Sommer dieses Jahres sind lediglich die Spitze des Eisbergs. Unternehmen können sich nur schützen, indem sie Schwachstellen vor potenziellen Angreifern identifizieren und schließen. Das kostenfreie OpenVAS bietet hierfür einen umfangreichen Ansatz.

PKI mit FreeIPA

Den Ausweis, bitte!

Auch wenn Open-Source-Werkzeuge zum Verwalten von X.509-Zertifikaten rar sind, steht doch mit FreeIPA ein umfassendes Identity-Management-Framework bereit, mit dem sich sehr leicht eine Public-Key-Infrastruktur aufbauen lässt. Die Administration erfolgt anschließend wahlweise über ein Webfrontend oder mit Kommandozeilentools. Wir zeigen Installation und Konfiguration des Framework.

AWS Cloud mit GuardDuty überwachen

En Garde!

Amazon GuardDuty ist ein Service zur Bedrohungserkennung, der AWS-Konten und -Workloads mithilfe von Machine Learning,
Anomalieerkennung und integrierter Bedrohungsanalyse auf Gefahren überwacht. Das
Sicherheitstool für die Cloud vereinfacht den
Aufwand für Admins und nimmt die Verwaltung
überwiegend selbst in die Hand. Wir stellen zwei
Hilfsmittel vor, mit denen sich die Konfiguration
benutzerdefiniert anpassen lässt.

sudo absichern

Gefahrenabwehr

Den sudo-Befehl gibt es seit den 1980er-Jahren. Besonders in den letzten Jahren hat sudo an Popularität als Standardwerkzeug für root-Aktionen unter Linux zugenommen. Doch sudo kann weit mehr. So umfasst die zugehörige Man Page mehr als 2400 Zeilen und deckt eine ganze Reihe von Situationen ab, die einen Nutzer durchaus verwirren können. Wie Sie solche Stolperfallen meiden und die Sicherheit Ihres Systems mit sudo deutlich erhöhen, zeigt dieser Beitrag.

Cloudapplikationen als Angriffspunkt

Innentäter

Die Ergebnisse einer Umfrage unter 528 Entscheidungsträgern zeigen, dass fast die Hälfte der Unternehmen täglich oder wöchentlich von Cyberkriminellen angegriffen werden. Viele dieser Bedrohungen sind Insider-Attacken und vor allem Cloudapplikationen stehen immer häufiger im Fokus der Angreifer. Dieser Artikel gibt Rat, auf was im Unternehmen zu achten ist, um Gefahren frühzeitig zu identifizieren.

BIOS-Angriffen begegnen

BIO(S)HAZARD

Für die meisten Sicherheitstools sind Vorgänge im BIOS/UEFI unsichtbar – denn die System-Firmware liegt in eigenen Speicherbereichen eines Computers und nicht auf der Festplatte. Wir erklären, warum die Transparenz des BIOS deshalb so entscheidend ist und welche Optionen IT-Abteilungen im Umgang mit sicherheitsrelevanten Vorfällen im BIOS haben.

Buchbesprechung

Penetration Testing mit mimikatz

Aus dem Forschungslabor

Nerd Ink

Unter dem Begriff Graphen-Tattoo haben Forscher eine neuartige Technologie entwickelt, die sich in die Kategorie "Wearables" einordnen lässt. Die ultradünnen Blättchen werden mit Wasser auf der Haut fixiert und messen dort beispielsweise Gesundheitsdaten.

Datenschutzeinstellungen

Ausgabe /2023

Inhalt

xing