Netzwerkabschottung & Verbindungssicherheit
Anonyme Verbindungen verhindern
Ein Angreifer kann ungeschützte, anonyme Verbindungen nutzen, um Informationen über das System (z.B. Liste von Benutzern und Gruppen, SIDs von Konten, Listen von Freigaben, Betriebssystemversionen und Patch-Level) zu erhalten. Um dieses Risiko zu verringern, sollten anonyme Verbindungen zu Arbeitsplätzen deaktiviert werden:
Computerkonfiguration | Administrative Vorlagen | Netzwerk | LanMan-Arbeitsstation
Gruppenrichtlinieneinstellung | Empfohlene Option |
---|---|
Unsichere Gastanmeldungen aktivieren | Deaktiviert |
Computerkonfiguration | Windows-Einstellungen | Sicherheitseinstellungen | Lokale Richtlinien | Sicherheitsoptionen
Gruppenrichtlinieneinstellung | Empfohlene Option |
---|---|
Netzwerkzugriff: Anonyme Aufzählung von SAM-Konten und Freigaben nicht erlauben | Aktiviert |
Netzwerksicherheit: Lokalem System die Verwendung der Computeridentität für NTLM erlauben | Aktiviert |
Netzwerksicherheit: Zurückgreifen auf NULL-Sitzung für lokales System zulassen | Deaktiviert |
Computerkonfiguration | Windows-Einstellungen | Sicherheitseinstellungen | Lokale Richtlinien | Zuweisen von Benutzerrechten
Gruppenrichtlinieneinstellung | Empfohlene Option |
---|---|
Auf diesen Computer vom Netzwerk aus zugreifen | Administratoren; Remoteverwaltungsbenutzer |
Zugriff vom Netzwerk auf diesen Computer verweigern | Gast; Lokales Konto |
Computerkonfiguration | Administrative Vorlagen | System | Remoteprozeduraufruf
Gruppenrichtlinieneinstellung | Empfohlene Option |
---|---|
Nicht authentifizierte RPC-Clients einschränken | Aktiviert
|
Netzwerkprofiltyp außerhalb von Domänen-Betrieb
Windows unterscheidet zwischen Netzwerkprofiltypen: "Public" und "Privat" (sowie "DomainAuthenticated" für DC-Betrieb). Am Universitätsnetz (LAN und WLAN), außerhalb einer Domäne, stellen Sie den Netzwerktyp auf "Public" (Öffentlich) - dies ist mit den Standard-Profil-Einstellungen die restriktivste Einstellung. Eine nachträgliche Umstellung ist über die PowerShell (mit Administratorrechten) möglich:
> Set-NetConnectionProfile -name "[NETZWERKNAME]" -NetworkCategory public
Lokale Firewall
Geschieht die Filterung von Netzwerkverkehr nicht (oder nicht dem Schutzbedarf des Systems angemessen) durch eine externe Firewall, braucht es eine lokale Firewall. Die integrierte Windows-Firewall ist so eingestellt, dass sie eingehenden Datenverkehr blockiert (mit leider sehr vielen Ausnahmen) und jeden ausgehenden Verkehr zulässt. Bei erhöhten Sicherheitsanforderungen an das System sollte das Regelwerk auf die unbedingt benötigten eingehenden (Löschen von Ausnahmeregeln) und ausgehenden (Aktivierung des Whitelistings und Pflege des Regelwerks) Netzwerkverbindungen reduziert werden.
Sichere SMB-Protokollverbindungen
Das Server Message Block (SMB)-Protokoll bildet die Grundlage für viele Netzwerkoperationen. Digital signierte SMB-Pakete helfen, Man-in-the-Middle-Angriffe zu verhindern.
Computerkonfiguration | Windows-Einstellungen | Sicherheitseinstellungen | Lokale Richtlinien | Sicherheitsoptionen
Gruppenrichtlinieneinstellung | Empfohlene Option |
---|---|
Microsoft-Netzwerk (Client): Kommunikation digital signieren (immer) | Aktiviert |
Microsoft-Netzwerk (Server): Kommunikation digital signieren (immer) | Aktiviert |
Microsoft-Netzwerk (Server): Kommunikation digital signieren (wenn Client zustimmt) | Aktiviert |
Uni-Zeitserver auch für Nicht-Domain-Mitglieder
Als Zeitserver sollte in jedem Fall der der Universität (ntp.uni-ulm.de) konfiguriert werden.
Dazu muss ggf. der via gp-pack vorgenommene Registry-Eintrag, die Zeitsynchronisation zu deaktivieren, zurückgesetzt werden:
Computerkonfiguration | Administrative Vorlagen | Klassische administrative Vorlagen (ADM) | gp-Pack: Privacy and Telemetry
Gruppenrichtlinieneinstellung | Empfohlene Option |
---|---|
3. Prevent Windows from time synchronisation | Deaktiviert |
Auf Nicht-Domänen-Mitgliedern kann dann etwa der folgende Befehl (mit Administratorrechten) für die Zuweisung des Uni-Zeitservers verwendet werden:
> w32tm /config /syncfromflags:manual /update /reliable:yes /manualpeerlist:"ntp.uni-ulm.de"
Automatisches Update von Stammzertifikaten
In Windows-Systemen ist eine Liste von Unternehmen und Organisationen enthalten, die von Microsoft als vertrauenswürdige Stelle für das Ausstellen von Zertifikaten eingestuft wurden. Diese Liste pflegt Microsoft selbst und verteilt die Informationen über vertrauenswürdige Zertifizierungsstellen an Windows-Systeme. Dies geschieht im Hintergrund und erfordert keine Eingabe oder Interaktion des Benutzers. In der Vergangenheit hatte Microsoft einmal einige Tage gebraucht, um ein kompromittiertes Zertifikat korrekt für ungültig zu erklären. Sicherheitsexperten raten dazu, die Listen selbst zu kontrollieren. Auch im gp-pack wird die Deaktivierung dieses automatischen Updates von Stammzertifikaten vorgeschlagen, was jedoch nur dann empfohlen werden kann, wenn der Prozess der manuellen, systematischen Zertifikatslistenpflege etabliert wurde sowie die Fähigkeit und die Ressourcen bereit stehen, diese Verantwortung selbst zu übernehmen. Ansonsten sollte die Einstellung wieder zurückgesetzt werden, um nicht versehentlich abgelaufene Stammzertifikate auf den Systemen als gültig zu behandeln:
Computerkonfiguration | Administrative Vorlagen | System | Internetkommunikationsverwaltung | Internetkommunikationseinstellungen
Gruppenrichtlinieneinstellung | Empfohlene Option |
---|---|
Automatisches Update von Stammzertifikaten deaktivieren | Deaktiviert |
Kommunikations- und Informationszentrum (kiz)
Kontaktieren Sie uns bei Fragen und Problemen zu den Services des kiz:
Sprechzeiten
Montag - Donnerstag
09:00 - 12:00 Uhr
13:00 - 15:30 Uhr
Freitag
09:00 - 12:00 Uhr
Telefon
+49 (0) 731 / 50 - 30000
Telefax
+49 (0) 731 / 50 - 1230000
Rückruf beauftragen
helpdesk(at)uni-ulm.de
Support-Portal (Uni intern)
[mehr]
An den Service-Points können Sie uns persönlich aufsuchen.
Self Service Funktionen des Identitätsmanagementsystems (IDM): Berechtigungen verwalten, Dienste abonnieren, Passwörter ändern etc.
Recherche im Bibliotheksbestand nach Monografien, Lehrbücher, Zeitschriften, Hochschulschriften, E-Books, E-Journals, Nationallizenzen, sowie im Bestand des institutionellen Repositoriums OPARU:
Etwa 400 Stichwörter führen Sie direkt zu einer einschlägigen Web-Seite des kiz. Wenn Sie ein Stichwort vermissen, geben Sie uns Nachricht an das Team Public Relations.