Archiv der Kategorie: Sicherheit

WhatsApp über Contentfilter

Der Kanton St. Gallen verlangt von den Schulen, dass sie für Internetzugänge “Web Content Screening” einsetzen. In diesem Beitrag wird beschrieben, wie man das mit einer Sophos UTM Firewall umsetzt. Da das Aufbrechen von SSL Verbindungen ein Eingriff in die Privatsphäre der Benutzer ist, haben wir auf unserer Schulhomepage neben Anleitungen zur Installation unseres Zertifikats auch ein Dokument veröffentlicht, das auch technisch nicht so versierten Benutzern erklären soll, was da passiert. Nun funktionierte WhatsApp, wahrscheinlich seit der Umstellung auf Ende zu Ende verschlüsselten Verbindungen, nicht mehr aus unserem Netzwerk.

Weiterlesen

Schulnetzwerk vor Malware schützen

Ich möchte hier mal exemplarisch aufzeigen, wie ich versuche, unser Netzwerk zu schützen.

Bemerkung am Rande: Nach dem Ruag Hack hat Melanie einen Bericht mit Best Practices veröffentlicht. Die lassen sich leider aber nicht alle in einem Schulnetzwerk umsetzen, da ansonsten Lehrpersonen und Schüler/-innen viel zu stark eingeschränkt sind (z.B. AppLocker). Wir „leben“ also damit, nicht die besten Schutzmassnahmen umzusetzen, damit wir arbeiten können (es ist was anderes in einer Firma mit wenigen Applikationen und wenig „Freiheit“ für den Benutzer). Daher bleibt in so einem Fall nur auf den gesunden Menschenverstand der Benutzer zu setzen und wenigstens alle möglichen anderen Sicherheitsmassnahmen umzusetzen, die aber die Benutzer nicht zu stark einschränken.

Weiterlesen

E-Mail Alarm bei Erkennung von Malware

Ich habe mir angewöhnt jeden Monat einmal zu überprüfen, ob das Erkennen von Malware funktioniert. Diesen Monat auch für die erst wenigen mit SCCM 2012 R2 verwalteten Windows 10 Clients. Zum Überprüfen kann man einfach eine Eicar-Testdatei erstellen, indem man die folgenden Zeichen in eine ausführbare Datei kopiert:

X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

Nach einem Test wird in SCCM eine Warnung generiert.

image

Schneller reagieren kann man aber, wenn zudem noch eine Meldung per Mail verschickt wird, sobald Malware erkannt wurde.

Damit man zusätzlich zu den Warnungen auch noch eine Mail erhält, muss man bei “Überwachung” -> “Warnungen” -> “Abonnements” ein “Abonnement erstellen”.

image

Danach funktioniert auch der Alarm per Mail.

image

Windows Defender ersetzt Endpoint Protection

Microsoft bietet einen eigenen Virenschutz an, den man mit SCCM (System Center Configuration Manager) verwalten kann. Da aber SCCM auch viele Vorteile bei der Verteilung von Software und Betriebssystemimages bietet, ist das für eine grössere Schule mit Schweizer Schulkonditionen eine empfehlenswerte Kombination, vor allem, weil die Kombination aus SCCM und Virenschutz günstiger als die meisten anderen Antivirenlösungen ist.

Wie man Endpoint Protection zusammen mit SCCM konfiguriert wird im Technet oder in dieser Schritt für Schritt Anleitung beschrieben. Bei der Installation von Windows 10 wird der Defender als Virenschutz installiert. Dieser wird aber bei der Installation des SCCM Clients mit aktiviertem “Endpoint Protection-Punkt” nicht wie erwartet mit Endpoint Protection ersetzt.

image

Neu bleibt Windows Defender installiert. Dieser erhält aber trotzdem über SCCM Updates und Richtlinien (Policies).

Wichtig ist also, dass man bei der Konfiguration des Softwareupdatepunkts auch an diesen Umstand denkt. Unter “Klassifizierungen” sollte also “Definitionsupdates” aktiviert und bei Produkte “Windows Defender” ausgewählt sein.

image 

Ansonsten habe ich alles analog dieser Anleitung für Endpoint Protection konfiguriert.

Dass die Richtlinien greifen, kann man überprüfen, indem man bei “Hilfe” –> “Info” auswählt.

image

Wenn man auf Einstellungen geht, stellt man auch fest, dass beispielsweise der Echtzeitschutz ausgegraut ist und nicht mehr vom Benutzer deaktiviert werden kann.

image