Windows-Clients mit Defender Firewall absichern

Scharf schalten in fünf Minuten

Mehr Netzwerk- und Clientsicherheit lässt sich nicht nur durch teure Lösungen und viel Feinjustierung erreichen. In diesem Artikel stellen wir eine Quick-and-Dirty-Lösung vor, die die Messlatte für einen Angreifer hoch genug legt, um als Administrator ruhiger schlafen zu können. Das Konzept funktioniert mit jeder beliebigen Software-Firewall, wir bedienen uns aber der vorhandenen Systemwerkzeuge: Windows Defender Firewall und Gruppenrichtlinien.
Wir starten das neue Jahr mit dem Schwerpunkt 'Netzwerke sicher betreiben'. Während die Netzwerkgrenzen zusehends verschwimmen, gehen Angreifer immer gezielter ... (mehr)

Die Windows-Firewall wurde bereits mit Windows XP Service Pack 2 eingeführt. Sie hat mit Vista eine komplette Überarbeitung erfahren und ist technisch sowie optisch seitdem nahezu gleich geblieben. Die letzte Veränderung kam mit Windows 10 Build 1709: Die Windows-Firewall ist nun Mitglied der Defender-Familie und heißt jetzt offiziell Windows Defender Firewall.

Zugriff auch intern beschränken

Bislang kommt die Schutzfunktion einer Firewall meist nur extern zum Einsatz: Sobald ein Client das Haus verlässt, hat er die Zugbrücke hochgezogen und den Burggraben dürfen nur noch Anwendungen passieren, für die es eine Ausnahmeregel gibt. Sobald es sich jedoch um das interne Netzwerk beziehungsweise das Active Directory handelt, fällt bei einem Blick in die aktuelle Netzwerkkonfiguration auf, dass die Firewall ausgeschaltet ist.

"Intern" gilt gerade in kleineren Netzwerken pauschal als sicher. Zudem sollen sich Netzwerk und Clients ja remote verwalten lassen. Viele Administratoren wollen jederzeit von einem beliebigen Rechner aus auf einen anderen PC zugreifen können, um dort bei Problemen einzugreifen. Genau diesen Ansatz sollten Sie jedoch überdenken und stark infrage stellen. Muss der Zugriff wirklich von jedem Rechner aus möglich sein? Wir sagen: Nein!

Denn nicht nur WannaCry hat gezeigt, dass sich ein Angriff intern rasend schnell verbreiten kann, weil alle Rechner sich gegenseitig vertrauen und jeder Client ohne Einschränkungen mit jedem reden darf. Die Dienste und Protokolle sind remote erreichbar. Tut sich hier wie im Fall von SMBv1 eine Lücke auf, dann steht der Malware-Ausbreitung nichts mehr im Weg. Dasselbe gilt für Angriffsszenarien, die auf Pass-the-Hash beruhen [1]. Die Weitergabe eines Hashes und die Anwendung auf einem Ziel funktionieren, weil Rechner sich verbinden können.

Es gibt zwar mittlerweile Antiviren-Lösungen, die verhaltensbasiert

...

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.

comments powered by Disqus

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2021