Gespeicherte Credentials für RDP verbieten

Die Zugangsdaten einer Remote-Desktop Verbindung zu speichern, ist eine willkommene Erleichterung der täglichen Arbeit. Erlaubt sie doch schnellen Wechsel zwischen Serversystemen, ohne jedesmal das Passwort erneut einzugeben.

Genau hierin besteht jedoch das Problem. Erhält ein Angreifer Zugriff auf ein Endgerät mit gespeicherten Verbindungsdaten, so hat er damit auch Zugriff auf die dort hinterlegten RDP Verbindungen.

Dazu braucht er nicht unbedingt Zugang zum Firmengelände. Das Büro ist heute überall. Jeder kann sein Notebook, sein Tablet, oder sein Smartphone mit nach Hause nehmen. Endgeräte können entweder durch einen Exploit übernommen, oder physisch gestohlen werden.

Wie so oft stehen Sicherheit und Komfort an diametral verschiedenen Enden des Spektrums. „Gespeicherte Credentials für RDP verbieten“ weiterlesen

Verwendung von Wechselmedien per GPO verbieten

USB Sticks sind ein handliches Werkzeug um Daten offline zu übertragen, oder zu sichern. Dank USB 3 Standard lassen sich in kürzester Zeit mehrere Gigabyte an Daten transferieren. Und genau darin besteht das Problem für Unternehmen. Vorbei an Firewall und Packetfilter lassen sich ungeschützt Daten ins Firmen-LAN bringen, oder sensible Nutzdaten von Dort entwenden. Für  Sicherheitsbeauftragte sind tragbare Speichermedien ein Albtraum. Diese ganz zu verbieten erhöht zwar die Sicherheit, erschwert die Arbeit. Man denke beispielsweise an Personen, die Digitalbilder von einer Kamera übertragen müssen. Auch dies sind Wechselmedien.

Wieder einmal geht die Schere zwischen Komfort und Sicherheit auseinander. Maximale Sicherheit bedeutet minimalen Komfort und umgekehrt. Absolute Sicherheit wird es nicht geben. Und während man vermeintlich einen Zugang durch ein Bollwerk versperrt und so auch die Produktivität behindert, sucht sich der Angreifer einen kleinen, ungeschützten Seiteneingang.

Besser ist ein Kompromiss, bei dem zunächst global allen Nutzern der Gebrauch von Wechselmedien untersagt wird und darüber hinaus gezielt einzelne Anwender autorisiert werden. Diese Schlüsselgruppe kann zuvor über die Risiken geschult werden. „Verwendung von Wechselmedien per GPO verbieten“ weiterlesen

Fine grained password policy

Seit Windows Server 2008 gibt es die Möglichkeit, granuläre Passwortrichtlinien für einzelne User oder Sicherheitsgruppen zu erstellen. Unterschiedliche Passwortrichtlinien sind mit Gruppenrichtlinien nicht realisierbar, da es pro Domäne nur eine Kennwortrichtlinie mittels GPO geben kann.

Voraussetzungen

Die Domäne muss sich in der Domänenfunktionsebene Server 2008 (oder höher) befinden.

Active Directory Benutzer und Computer > Domäne > Eigenschaften > Allgemein

fgpp17Nur für Benutzer und für globale Sicherheitsgruppen (nicht universal, oder domain local) „Fine grained password policy“ weiterlesen