Update-Dokumentation

[cosinus]

Wenn bei einer Verschlüsselungsattacke der komplette Datenbestand verschlüsselt wird, brauchst du aber den doppelten Platz für deine Snapshots. Ist der wirklich vorhanden? Wenn nicht, sind wir wieder beim lahmen Backup.

Das ist klar. Das Backup brauchst du aber sowieso falls da komplett was abraucht. Übrigens nutzen wir doch snapshots, also die Schattenkopien, eine Funktion innerhalb einer Windows-VM. Für den schon erwähnten Fall "ich hab da eben ne Datei gelöscht" ist das ausreichend und man kann sehr schnell eine Vorgängerversion wiederherstellen. Aber ich nutze keine snapshot Funktionen innerhalb der Linux-VMs (weder das snapfähige Dateisystem noch LVM).

[slu]

Interessanter Thread, da hänge ich mich mal ran, hatte jemand schon mal so ein Schadensfall?

Wir arbeiten auch immer wieder an unseren Netzen, derzeit versuche ich die ganzen Clients in noch mehr kleinere Subnetze zu stecken.
Wenn ich sehe was manche Firmen in Corona Zeiten gemacht haben* ist es ein wunder das nicht mehr passiert(e).

* einfach irgend ein VPN Client auf die Workstation und mit nach Hause nehmen

[hec_tech]

Wenn bei einer Verschlüsselungsattacke der komplette Datenbestand verschlüsselt wird, brauchst du aber den doppelten Platz für deine Snapshots. Ist der wirklich vorhanden? Wenn nicht, sind wir wieder beim lahmen Backup.

Das ist klar. Das Backup brauchst du aber sowieso falls da komplett was abraucht. Übrigens nutzen wir doch snapshots, also die Schattenkopien, eine Funktion innerhalb einer Windows-VM. Für den schon erwähnten Fall "ich hab da eben ne Datei gelöscht" ist das ausreichend und man kann sehr schnell eine Vorgängerversion wiederherstellen. Aber ich nutze keine snapshot Funktionen innerhalb der Linux-VMs (weder das snapfähige Dateisystem noch LVM).

Die Schattenkopien von Windows sind leider so eine Sache. Habe schon von Ransomware Attacken gehört die diese auch gleich gelöscht haben.

Snapshots sollte man am Storage System haben. Da der AD User dann keine Berechtigung hat um die Daten zu löschen. Natürlich brauchen Snapshots Platz aber lieber in den Platz zu investieren und im Fall einer Attacke einfach wieder restoren zu können.

Den richtigen Snapshot findet man eigentlich recht einfach. Das ist meistens der vor dem Snapshot mit der großen Changerate.

Wir arbeiten da mit NetApps und sichern alles noch mit Snapvault bzw Snapmirror auf einen anderen Standort. Ich kenne große Firmen die von Windows CIFS Server zu NetApp migriert sind um sich vor Ransomware Attacken zu schützen.
Da gibt es eine echt nette Software die alle Zugriffe auditiert und den CIFS/NFS Traffic nach verdächtigen Pattern scannt und den User bei abnormalen Verhalten blockiert.

[cosinus]

Die Schattenkopien von Windows sind leider so eine Sache. Habe schon von Ransomware Attacken gehört die diese auch gleich gelöscht haben.

Ich weiß. Das ist ja auch nur ich sagmal nice2have, deswegen haben wir ja auch noch das echte Backup mit Veeam. Aver auf den Windows-Servern arbeitet keiner direkt mit RDP oder so, sondern nur als Netzlaufwerk. Und selbstverständlich hat keiner Adminrechte auf den Windows-Servern, die brauchst du ja um die Schattenkopien zu killen.

[cosinus]

Wir arbeiten auch immer wieder an unseren Netzen, derzeit versuche ich die ganzen Clients in noch mehr kleinere Subnetze zu stecken.

Wie schottest du die voneinander denn ab? Und wie stellst du sicher, dass jeder noch "alles" machen kann, egal in welchem Subnet er ist?

[MSfree]

* einfach irgend ein VPN Client auf die Workstation und mit nach Hause nehmen

Viel schlimmer als "irgendein" VPN fand ich die Leute, die noch schnell vor dem Lockdown TeamViewer auf ihren Arbeitsplatzrechner installiert und dauerhaft aktiviert haben und von zuhause aus mit TeamViewer darauf zugegriffen haben. Das ist nicht nur ein lizenzrechtliches Problem (wobei sich TeamViewer hier sehr kullant gezeigt hat), sondern auch ein sicherheitstechnisches.

VPN ist eigentlich eine ziemlich sichere Sache, wenn man es selbst hostet. Unser Laden macht das seit mindestens 15 Jahren. Die verwalten aber auch die nötigen Zertifikate und Revocations zentral. Hier gab es aber auch schon immer Leute, die von zuhause aus gearbeitet haben. Mit den Lockdowns waren es halt nur mehr als vorher. Die größte Herausforderung war, genug Hardware zu organisieren, die Rechner müssen halt alle den Vorgaben der Firma entsprechen, in die Windowsdomäne integriert sein und Snakeoil (AV-Software) installiert haben. BYOD ist da von vorn herein ausgeschlossen.

[slu]

Wie schottest du die voneinander denn ab? Und wie stellst du sicher, dass jeder noch "alles" machen kann, egal in welchem Subnet er ist?

Die Workstations werden direkt vom Switch in ein VLAN geschoben (Client bekommt davon nichts mit und kann es nicht beeinflussen). Eine Kommunikation
kann dann nur noch über den Router statt finden.

Der Server ist damit immer noch der selbe, sitzt aber hinter dem Router mit Firewall.
Regel gibt es so wenig wie möglich, lieber beschwert sich mal jemand das was nichts geht und wir überlegen uns wie wir das in den Ablauf bekommen.
Eine direkte Kommunikation der Clients ist damit nur noch im Subnetz möglich und das sind sehr wenige.

[slu]

Viel schlimmer als "irgendein" VPN fand ich die Leute, die noch schnell vor dem Lockdown TeamViewer auf ihren Arbeitsplatzrechner installiert und dauerhaft aktiviert haben und von zuhause aus mit TeamViewer darauf zugegriffen haben.

Auf ideen kommen die Leute.

VPN ist eigentlich eine ziemlich sichere Sache, wenn man es selbst hostet. Unser Laden macht das seit mindestens 15 Jahren.

Ja so machen wir das auch schon 10 Jahre, für uns hat HomeOffice technisch kein Unterschied gemacht.

[cosinus]

Eine direkte Kommunikation der Clients ist damit nur noch im Subnetz möglich und das sind sehr wenige.

Ich seh da nicht so wirklich den Sicherheitsgewinn. Klar, die Server sind auch intern hinter einer Firewall, aber das ändert doch nichts daran, dass du die Ports öffnen musst für Dienste, die benötigt werden. Was übersehe ich da?

[bluestar]

Eine direkte Kommunikation der Clients ist damit nur noch im Subnetz möglich und das sind sehr wenige.

Was übersehe ich da?

Du übersiehst Ransomware die das LAN (meistens das eigene Subnetz) abscannt und Windows-Sicherheitslücken für Angriffe ausnutzt. Client-2-Client Attacken halt.

[cosinus]

Du übersiehst Ransomware die das LAN (meistens das eigene Subnetz) abscannt und Windows-Sicherheitslücken für Angriffe ausnutzt. Client-2-Client Attacken halt.

Bei uns haben die Windows-Clients unter sich keine Freigaben und u.a. ist 445/TCP per Gruppenrichtlinie in der Windows-Firewall auch gesperrt. Nur die Domaincontroller und zwei weitere Windows-Server können dadrauf zB auf die administrativen Freigaben. Oder geht die ransomware über andere Ports? Ansonsten ist bei uns nur noch eingehend das für die Clients offen:

1900/UDP (Bluetooth)
3389/TCP (RDP)
7680/TCP (Übermittlungsoptimierung DOSVC)

[slu]

Eine direkte Kommunikation der Clients ist damit nur noch im Subnetz möglich und das sind sehr wenige.

Was übersehe ich da?

Du übersiehst Ransomware die das LAN (meistens das eigene Subnetz) abscannt und Windows-Sicherheitslücken für Angriffe ausnutzt. Client-2-Client Attacken halt.

Ja genau um das geht es, das Netzwerk soll so klein wie möglich sein.

Wir haben z.B. die Drucker in ein extra Netz gesteckt, die Clients können nur über den LPR,.. Port auf den Drucker.
So ein Drucker/Scanner/Kopierer ist heute ein komplexer Computer der oft keine regelmäßigen Updates vom Hersteller bekommt.

Dann haben wir Raspberry's als Anzeigeterminals, dort ist zwar nur SSH mit Key offen aber warum müssen die im LAN mit den Workstations hängen, auch in einem extra Subnetz ohne Internetzugang.

Man "darf" nicht denken die Windows Workstations haben doch eine Firewall Rule, Du musst wie ein Schädling denken:
* sind die Switch Ports gesichert?
* kann jemand ein anderes OS auf der Hardware booten?
* kann jemand einfach ein AccessPoint an einen LAN Port hängen?
--> super Gau der Zugriff von außen wäre möglich und ein unverschlüsseltes WLAN würde dein LAN in "die Welt" tragen
* lässt ein Benutzer einfach den Teamviewer offen und kopiert Daten?

Es gibt so viele Möglichkeiten wenn man Schaden anrichten möchte und mit einem kleinen Netz macht man es doch etwas schwieriger (auch gegen unabsichtlich angerichten Schaden).
Wir sind ein Betrieb mit unter 100 Arbeitsplätzen, da kann man anders Bauen als z.B. mit 600 Clients.

Ich denke DEN Plan gibt es nicht, auch wenn das manche (IT unwissenden) immer wieder meinen.

[slu]

Ich seh da nicht so wirklich den Sicherheitsgewinn. Klar, die Server sind auch intern hinter einer Firewall, aber das ändert doch nichts daran, dass du die Ports öffnen musst für Dienste, die benötigt werden. Was übersehe ich da?

Nein den Server macht es nicht sicher aber Du kannst den Traffic zwischen den Clients viel besser kontrollieren.

[cosinus]

Ich denke DEN Plan gibt es nicht, auch wenn das manche (IT unwissenden) immer wieder meinen.

Ist auch immer die Frage welchen Aufwand man fahren will und was der Betrieb auch bereit ist mitzumachen, wie viele Admins der Betrieb hat und wie die ausgelastet sind.