Netzwerkabschottung & Verbindungssicherheit

Anonyme Verbindungen verhindern

Ein Angreifer kann ungeschützte, anonyme Verbindungen nutzen, um Informationen über das System (z.B. Liste von Benutzern und Gruppen, SIDs von Konten, Listen von Freigaben, Betriebssystemversionen und Patch-Level) zu erhalten. Um dieses Risiko zu verringern, sollten anonyme Verbindungen zu Arbeitsplätzen deaktiviert werden:

Computerkonfiguration | Administrative Vorlagen | Netzwerk | LanMan-Arbeitsstation

Gruppenrichtlinieneinstellung Empfohlene Option
Unsichere Gastanmeldungen aktivieren Deaktiviert

Computerkonfiguration | Windows-Einstellungen | Sicherheitseinstellungen | Lokale Richtlinien | Sicherheitsoptionen

Gruppenrichtlinieneinstellung Empfohlene Option
Netzwerkzugriff: Anonyme Aufzählung von SAM-Konten und Freigaben nicht erlauben

Aktiviert

Netzwerksicherheit: Lokalem System die Verwendung der Computeridentität für NTLM erlauben Aktiviert
Netzwerksicherheit: Zurückgreifen auf NULL-Sitzung für lokales System zulassen Deaktiviert

Computerkonfiguration | Windows-Einstellungen | Sicherheitseinstellungen | Lokale Richtlinien | Zuweisen von Benutzerrechten

Gruppenrichtlinieneinstellung Empfohlene Option
Auf diesen Computer vom Netzwerk aus zugreifen Administratoren; Remoteverwaltungsbenutzer
Zugriff vom Netzwerk auf diesen Computer verweigern Gast; Lokales Konto

Computerkonfiguration | Administrative Vorlagen | System | Remoteprozeduraufruf

Gruppenrichtlinieneinstellung Empfohlene Option
Nicht authentifizierte RPC-Clients einschränken

Aktiviert

  • Zu übernehmende Einschränkung für nicht authentifizierte Clients für RPC-Laufzeit: Authentifiziert
 

Netzwerkprofiltyp außerhalb von Domänen-Betrieb

 Windows unterscheidet zwischen Netzwerkprofiltypen: "Public" und "Privat" (sowie "DomainAuthenticated" für DC-Betrieb). Am Universitätsnetz (LAN und WLAN), außerhalb einer Domäne, stellen Sie den Netzwerktyp auf "Public" (Öffentlich) - dies ist mit den Standard-Profil-Einstellungen die restriktivste Einstellung. Eine nachträgliche Umstellung ist über die PowerShell (mit Administratorrechten) möglich:

> Set-NetConnectionProfile -name "[NETZWERKNAME]" -NetworkCategory public

Lokale Firewall

Geschieht die Filterung von Netzwerkverkehr nicht (oder nicht dem Schutzbedarf des Systems angemessen) durch eine externe Firewall, braucht es eine lokale Firewall. Die integrierte Windows-Firewall ist so eingestellt, dass sie eingehenden Datenverkehr blockiert (mit leider sehr vielen Ausnahmen) und jeden ausgehenden Verkehr zulässt. Bei erhöhten Sicherheitsanforderungen an das System sollte das Regelwerk auf die unbedingt benötigten eingehenden (Löschen von Ausnahmeregeln) und ausgehenden (Aktivierung des Whitelistings und Pflege des Regelwerks) Netzwerkverbindungen reduziert werden.

Sichere SMB-Protokollverbindungen

Das Server Message Block (SMB)-Protokoll bildet die Grundlage für viele Netzwerkoperationen. Digital signierte SMB-Pakete helfen, Man-in-the-Middle-Angriffe zu verhindern.

Computerkonfiguration | Windows-Einstellungen | Sicherheitseinstellungen | Lokale Richtlinien | Sicherheitsoptionen

Gruppenrichtlinieneinstellung Empfohlene Option
Microsoft-Netzwerk (Client): Kommunikation digital signieren (immer) Aktiviert
Microsoft-Netzwerk (Server): Kommunikation digital signieren (immer) Aktiviert
Microsoft-Netzwerk (Server): Kommunikation digital signieren (wenn Client zustimmt) Aktiviert

Uni-Zeitserver auch für Nicht-Domain-Mitglieder

Als Zeitserver sollte in jedem Fall der der Universität (ntp.uni-ulm.de) konfiguriert werden.

Dazu muss ggf. der via gp-pack vorgenommene Registry-Eintrag, die Zeitsynchronisation zu deaktivieren, zurückgesetzt werden:

Computerkonfiguration | Administrative Vorlagen | Klassische administrative Vorlagen (ADM) | gp-Pack: Privacy and Telemetry

Gruppenrichtlinieneinstellung Empfohlene Option
3. Prevent Windows from time synchronisation Deaktiviert

Auf Nicht-Domänen-Mitgliedern kann dann etwa der folgende Befehl (mit Administratorrechten) für die Zuweisung des Uni-Zeitservers verwendet werden:

> w32tm /config /syncfromflags:manual /update /reliable:yes /manualpeerlist:"ntp.uni-ulm.de"

Automatisches Update von Stammzertifikaten

In Windows-Systemen ist eine Liste von Unternehmen und Organisationen enthalten, die von Microsoft als vertrauenswürdige Stelle für das Ausstellen von Zertifikaten eingestuft wurden. Diese Liste pflegt Microsoft selbst und verteilt die Informationen über vertrauenswürdige Zertifizierungsstellen an Windows-Systeme. Dies geschieht im Hintergrund und erfordert keine Eingabe oder Interaktion des Benutzers. In der Vergangenheit hatte Microsoft einmal einige Tage gebraucht, um ein kompromittiertes Zertifikat korrekt für ungültig zu erklären. Sicherheitsexperten raten dazu, die Listen selbst zu kontrollieren. Auch im gp-pack wird die Deaktivierung dieses automatischen Updates von Stammzertifikaten vorgeschlagen, was jedoch nur dann empfohlen werden kann, wenn der Prozess der manuellen, systematischen Zertifikatslistenpflege etabliert wurde sowie die Fähigkeit und die Ressourcen bereit stehen, diese Verantwortung selbst zu übernehmen. Ansonsten sollte die Einstellung wieder zurückgesetzt werden, um nicht versehentlich abgelaufene Stammzertifikate auf den Systemen als gültig zu behandeln:

Computerkonfiguration | Administrative Vorlagen | System | Internetkommunikationsverwaltung | Internetkommunikationseinstellungen

Gruppenrichtlinieneinstellung Empfohlene Option
Automatisches Update von Stammzertifikaten deaktivieren Deaktiviert

Kommunikations- und Informationszentrum (kiz)

  • Helpdesk

    Kontaktieren Sie uns bei Fragen und Problemen zu den Services des kiz:

    Sprechzeiten
    Mo - Do 09:00 - 12:00 Uhr
                  13:00 - 15:30 Uhr
    Fr 09:00 - 12:00 Uhr

    Telefon
    +49 (0) 731 / 50 - 30000

    Telefax
    +49 (0) 731 / 50 - 1230000

    Rückruf beauftragen
    helpdesk(at)uni-ulm.de
    Login Support-Portal
    [mehr]

  • Service-Points

    An den Service-Points können Sie uns persönlich aufsuchen.

    [mehr]

  • Identitätsmanagement

    Self Service Funktionen des Identitätsmanagementsystems (IDM): Berechtigungen verwalten, Dienste abonnieren, Passwörter ändern etc.

    IDM Self Services
    [mehr]

  • Literatursuche

  • kiz von A bis Z

    Etwa 400 Stichwörter führen Sie direkt zu einer einschlägigen Web-Seite des kiz. Wenn Sie ein Stichwort vermissen, geben Sie uns Nachricht an das Team Public Relations.

    A-Z-Liste