Sicherheit bei Windows Endpoints – IT Security als ganzheitliches Konzept

Wie auch die reale Welt entwickelt sich die Welt der IT ständig weiter. Dieser Fortschritt erfolgt jedoch nicht linear, sondern exponentiell. Dieses schnelle Wachstum in der IT-Branche birgt auch Gefahren. Betriebssystem-Updates kommen mit Windows 10 halbjährlich auf den Markt und unterschiedliche Software, inklusive Patches, werden wöchentlich veröffentlicht. Bei diesen kurzen Release-Zyklen besteht das Risiko, dass mit jedem neuen Softwarerelease auch eine neue Sicherheitslücke auftaucht.

Aufgrund schnellerer Release-Zyklen kann man annehmen, dass die Qualität der Software darunter leidet. Parallel zu dieser Entwicklung sind Admins in Organisationen dazu gezwungen, von Softwareherstellern veröffentlichte Patches und Aktualisierungen immer schneller in der Organisation zu verteilen. Dabei setzen Endanwender natürlich voraus, dass der Betrieb der IT ohne Ausfälle oder Wartungsfenster gelingt.

Die Herausforderung besteht nun darin, Updates aller Art schnell und unkompliziert in der Organisation zu verteilen. Dabei ist es wichtig einen Überblick über den Status Quo zu haben, um bei fehlerhaften Sicherheitskonfigurationen schnell handeln zu können.

Doch wie bleibt man als Admin bei dieser dynamischen Entwicklung Herr der Dinge?

Zumal das Thema IT Security ein ganzheitliches Konzept benötigt und es mit einem Anti-Virus-Programm auf den Endpoints nicht getan ist.

Sicherheit: Ganzheitliches Konzept statt isolierter Ansatz von Sicherheitslösungen

In diesem Artikel zeige ich einige Bausteine, um die IT-Sicherheit speziell auf den Endpoints zu erhöhen.

Alles beginnt mit der Basis, dem Betriebssystem. Hier können schon die ersten Stellschrauben gedreht werden. Ein wichtiger Punkt sind Microsoft Security Patches für die Sicherheit des Betriebssystems. Microsoft Patches erscheinen einmal im Monat (als kumulative Updates) und sollten zeitnah auf den Endpoints in der Organisation installiert werden. Mit baramundi Update Management funktioniert das vollautomatisch und in einem zeitlich definierten Intervall.

Doch wie gehe ich mit Endpoints um, auf denen ein neues Betriebssystem installiert werden soll? Und wenn ich schon mal dabei bin, ein neues OS zu verteilen, was kann ich tun um die Basisinstallation nach meinen Vorstellungen oder den Empfehlungen des BSI anzupassen?

Im normalen IT-Betrieb existieren potenzielle Sicherheitslücken zwischen der Installation des Betriebssystems und dem ersten Patch-Lauf. In diesem Zeitfenster ist das Betriebssystem nicht gepatcht. Je nach Konfiguration der Infrastruktur, kann ein Monat oder mehr bis zum nächsten Patch-Lauf vergehen und dieser „Gap“ zwischen Betriebssysteminstallation und erstem Patch-Lauf kann ausgenutzt werden.

Zudem können gewisse Umstände diesen Zeitraum noch verlängern. Aktuelles Beispiel ist die Corona-Krise. Windows PCs werden im Home Office unter gewissen Umständen nicht gepatcht, wenn in der Gruppenrichtlinie das automatische Updateverhalten nicht richtig konfiguriert wurde.

Diese Lücke kann geschlossen werden

Über das baramundi OS Customization Tool wird einfach das letzte kumulative Update für das jeweilige Betriebssystem zu dem Installationsmedium ergänzt.

Voila, fertig. Schon ist sichergestellt, dass das Betriebssystem auf dem aktuellen Stand installiert wird. Außerdem spart man wertvolle Zeit, da nach der Installation des Betriebssystems kein initialer Patch-Lauf mehr notwendig ist und die Endpoints gleich ausgeliefert werden können.

MS Patches zum Installationsmedium hinzufügen

Im selben Zuge können wir weitere sicherheitsrelevante Einstellungen am Installationsmedium vornehmen. Das BSI empfiehlt hier beispielsweise, die Telemetrie-Funktionen einzuschränken. Außerdem empfiehlt es sich, Synchronisations-Verläufe zu sperren. Dies verhindert, dass Anwender ihre Zwischenablage mit ihren Heim-PCs synchronisieren, und so sensible Daten aus dem Unternehmen abfließen.