Hallo,
vielleicht kurz zu mir, ich wechsele von einem Systemhaus in die interne IT bzw. baue diese Abteilung über die nächsten Jahre auf. Bin also vom Fach. Meine Gebiete sind Hyper-V, Active Directory, Exchange veeam usw. Was einem eben im Systemhausgeschäft alles über den weg läuft.
Nizakh schrieb:
Darf man fragen durch was der Lancom ersetzt werden soll?
Die Üblichen verdächtigen Sophos, Baracuda und Co. Eine Firewall kann nur so gut sein wie der der Sie betreut/konfiguriert. Hier spiele ich eher mit dem Gedanken eine Managed Produkt zu verwenden (z.B. Networkbox) oder was vergleichbares.
Wir haben ein eigenes Team das Netzwerktechnik und Firewalls betreut. Daher kann ich das einschätzen. Eine Grundkonfiguration bekomme ich hin. Das auszubauen und Weiterentwickeln wird neben dem Tagesgeschäft nur schwer möglich sein.
Nizakh schrieb:
Gerne kannst du uns die Software nennen.
Mit SRP arbeiten macht nur bedingt Spaß. Hier könnte man mit Anti Ransom (Modul von Server Eye) relativ einfach arbeiten. Auch wenn mir die fehlende Vererbung nicht gefällt. Kein Produkt ist perfekt
Applocker steht mir Aufgrund der Lizenzstruktur nicht zur Verfügung (Setzt Windows 10 Enterprise voraus)
snaxilian schrieb:
Ransomware: brauchbare regelmäßige Backups oder neumodisch DLP (Data Loss Prevention).
Das Thema Backup muss ich umbauen und ist schon fertig geplant.
snaxilian schrieb:
Willst du die Ausführung verhindern helfen Einstellungen wie AppLocker. Da muss es kein explizites whitelisting sein, es reicht oft schon wenn man nicht aus jedem Pfad heraus Programme ausführen darf. Außerdem UAC hoch setzen.
Whitelisting hat den "höchsten" Schutz macht auch am meisten Aufwand. Wäre aber mein Weg der Wahl.
snaxilian schrieb:
Netzsegmentierung: Wie willst du denn (automatisiert) infizierte Clients verschieben bzw. wozu? Im besten Fall wird der Client komplett vom Netz getrennt und neu aufbereitet. Ansonsten sind VLANs natürlich sinnvoll.
Das Vlan "666" soll bereits konfiguriert sein. Ist etwas unklar kann man das System in das entsprechende vlan verschieben und sich in ruhe anschauen. Offline Scans mit entsprechenden CDs benötigen eine Internetverbindung um Pattern zu aktualisieren. Nicht jede Meldung/Virus bedeutet ein sofortige Neuinstallation. Sofern man nachvollziehen kann was passiert ist. Sonst natürlich gebe ich dir recht. Im Zweifelsfall platt machen.
Das setzt eine saubere Dokumentation der Struktur voraus. Angeblich hat man in der internen IT ja immer Zeit und nichts zu tun.... Ich freue mich schon
snaxilian schrieb:
Ob jetzt GData oder anderes Schlangenöl ist doch fast egal. Zentral managebar sind fast alle AV-Lösungen, GData bot früher zumindest noch nette Zusatzfeatures wie unbekannte USB-Geräte sperren etc.
Primär auf Ransomware Schutz spezialisiert sind da eher Lösungen wie Cylance Protect oder SentinelOne, afaik aber haben die weniger "Zusatzfunktionen". Ist am Ende immer ne Geldfrage was man will/einsetzt.
Da sich Windows Defender nicht Zentral ohne weiteres Managen lässt (SCCM) bleibt mir nur eines dieser Schlangenöl Produkte. Die anderen schaue ich mir an.
snaxilian schrieb:
Mailgateway: Die Proxmox-Lösung hatte ich vor ~2 Jahren mal beruflich evaluiert und analysiert und ist durchgefallen. Die Kernanwendung mag zwar ihren Job machen und Mails filtern können aber afaik kann es Office Makros nur mit Zusatzlizenzen von Drittanbietern scannen & ggf. entfernen. Drittanbieter sind die üblichen Schlangenöl Hersteller. Musst also bei denen ebenfalls eine mit proxmox mgw kompatible Lizenz erwerben und im mgw einrichten. Ansonsten bieten Kaspersky, Trend Micro, Symantec, Proofpoint, etc. Hier eine Liste als Start für deine Evaluierung.
https://www.expertinsights.com/insights/top-11-email-security-gateways/
Aktuell zeigt der MX-Eintrag direkt auf den Exchange. Ein Mailgateway davor gibt es nicht. Das passt mir nicht. Daher die Frage richtung Proxmox. Werde mir kurzfristig wohl einen Dienstleister für Mailfilterung besorgen. So kann es nicht bleiben.
snaxilian schrieb:
Anpassung Exchange um den realen Absender anzeigen zu lassen:
https://github.com/SwiftOnSecurity/SwiftFilter
Aber das ist kleine Klick-Klick-weiter-weiter-fertig Lösung die man einmal installiert und vergisst sondern erfordert etwas Aufwand bei der Implementierung, da es eben an die jeweilige Firma angepasst werden muss.
Hier denke ich einfacher
https://www.howto-outlook.com/howto/viewsenderaddress.htm so kann auch der Anwender sehen woher das kommt. Setzt natürlich voraus das man die Mitarbeiter sensibilisiert.
snaxilian schrieb:
Mitarbeiter Awareness: Externe Anbieter einkaufen, die dies tagtäglich machen außer ihr seid eine große Firma oder Konzern mit eigener IT-Security Abteilung. Solche Schulungen müssen jedoch regelmäßig wiederholt werden damit sich das Verständnis und der Grund warum man dies macht bei den Mitarbeitern einprägt. Ganz wichtig ist jedoch am Anfang so eines Prozesses den Leuten klar zu machen: Jeder ist für phishing anfällig (ja auch diejenigen, die beruflich IT-Security machen) und das es in keiner Art und Weise darum geht, einzelne Mitarbeiter zu finden, die anfällig sind sondern eben die Sicherheit aller zu verbessern. Wenn es aber in der Firma keine gute offene Fehlerkultur gibt und auch von den Vorgesetzten nicht vorgelebt wird dann werden Awareness Maßnahmen kaum etwas bringen weil sich dann keiner anfangs traut auf etwas hinzuweisen.
Der beste Schutz ist und bleibt der Mitarbeiter selbst. Interessant wäre zu hören wer mit soclhen Schulungsanbietern Erfahrungen sammeln konnte. Die letzte Veranstaltung zu dem Thema war sehr enttäuschend.
nubi80 schrieb:
Bei den meisten meiner Kunden kommen gar keine Office Dokumente mehr als E-Mail Anhang durch die Firewall.
Da ich bereits mit Code2 Exchange Rules pro die Signaturen zentralisieren werde lässt sich das sehr bequem steuern und Aussortieren was mit bestimmten Anhängen passieren soll. Eine Nextcloud zum Datenaustausch ist in einer Stunde eingerichtet und Startbereit.
Es gab bereits ein AHA Erlebnis... Daher wurde auch die stelle geschaffen. Ich werde Grundsätzlich sofern möglich mit meinem ehemaligen Arbeitgeber als Systemhaus zusammenarbeiten wollen. Ich kenne leute und das Know-How das Sie mitbringen. Außerdem möchte ich auch mal Urlaub machen.
Was ich bisher gesehen habe Zeigt es gibt immer noch zu viele IT-Firmen die besser Gartenbau oder Ähnliches machen würden.
Ideen habe ich viele und auch hoffentlich die Zeit Sie um zu setzen. Nicht alles kostet sofort Geld. Einfaches Geoblocking sperrt schon viele 0815 Bots aus. Niemand aus Russland oder China muss sich an meinem OWA anmelden können.
Netze sollten in Logistik, Verwaltung, Lager usw. gesplittet werden. Der Zugriff bis auf die Nötigen Ports und IPs zusammengestaucht werden.
LG, d33jay