20
Fragen zu interner Sicherheitsprüfung
Hallo zusammen,
wir wollen eine interne Sicherheitsprüfung mit unseren Mitarbeitern machen.
Nach einer Präsentation zum Thema IT-Sicherheit will ich das ganze auf zwei Arten testen:
- Auslage von USB Sticks
- Senden von Mails
Hierzu zwei Fragen:
Zu 1.
Bat Dateien werden ja nicht automatisch gestartet. Hat jemand eine Idee wie ich das einstecken eines Sticks zentral registrieren kann?
Zu 2.
- Ich würde in der Mail gern einen Link unterbringen der auf eine Fake Seite führt. Gibt es hier eine Möglichkeit per php oder js den rechnernamen oder angemeldeten User abzufragen?
Stelle ich mir ziemlich fatal vor, aber vielleicht gehts ja trotzdem.
- Gibt es offene Relais über die ich so eine Mail verschicken kann? Alternativ registriere ich mir irgendeine passende Domain.
Viele Grüße
Theo
wir wollen eine interne Sicherheitsprüfung mit unseren Mitarbeitern machen.
Nach einer Präsentation zum Thema IT-Sicherheit will ich das ganze auf zwei Arten testen:
- Auslage von USB Sticks
- Senden von Mails
Hierzu zwei Fragen:
Zu 1.
Bat Dateien werden ja nicht automatisch gestartet. Hat jemand eine Idee wie ich das einstecken eines Sticks zentral registrieren kann?
Zu 2.
- Ich würde in der Mail gern einen Link unterbringen der auf eine Fake Seite führt. Gibt es hier eine Möglichkeit per php oder js den rechnernamen oder angemeldeten User abzufragen?
Stelle ich mir ziemlich fatal vor, aber vielleicht gehts ja trotzdem.
- Gibt es offene Relais über die ich so eine Mail verschicken kann? Alternativ registriere ich mir irgendeine passende Domain.
Viele Grüße
Theo
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 438419
Url: https://administrator.de/contentid/438419
Printed on: April 20, 2024 at 07:04 o'clock
20 Comments
Latest comment
Hallo,
1. Sollte Dir Deine Sicherheitssoftware melden, so Du denn welche hast. MItarbeitern das einstecken zu verbieten ist ja ganz nett und sinnvoll, aber bist Du Dir auch sicher das nur Mitarbeiter an laufenden Computern vorbeilaufen und da was einstecken können?
2. Dafür gibt es professionelle Anbieter die auch passende Templates haben. z. Sophos oder Proofpoint
1. Sollte Dir Deine Sicherheitssoftware melden, so Du denn welche hast. MItarbeitern das einstecken zu verbieten ist ja ganz nett und sinnvoll, aber bist Du Dir auch sicher das nur Mitarbeiter an laufenden Computern vorbeilaufen und da was einstecken können?
2. Dafür gibt es professionelle Anbieter die auch passende Templates haben. z. Sophos oder Proofpoint
Hallo,
1. Die Rechner stehen in abgeschlossenen Maschinenräumen und sind per KVM Angeschlossen. Betriebsbedingt ist es erlaubt, dass Mitarbeiter HDDs anschließen, aber nur firmeneigene verschlüsselte. Es geht also darum herauszufinden ob auch "private" und unsichere Medien angeschlossen werden.
2. Die Templates gucke ich mir mal an aber ich denke eine fertig Lösung wirds nicht werden.
lg
Theo
1. Die Rechner stehen in abgeschlossenen Maschinenräumen und sind per KVM Angeschlossen. Betriebsbedingt ist es erlaubt, dass Mitarbeiter HDDs anschließen, aber nur firmeneigene verschlüsselte. Es geht also darum herauszufinden ob auch "private" und unsichere Medien angeschlossen werden.
2. Die Templates gucke ich mir mal an aber ich denke eine fertig Lösung wirds nicht werden.
lg
Theo
Zitat von @theoberlin:
Hallo,
1. Die Rechner stehen in abgeschlossenen Maschinenräumen und sind per KVM Angeschlossen. Betriebsbedingt ist es erlaubt, dass Mitarbeiter HDDs anschließen, aber nur firmeneigene verschlüsselte. Es geht also darum herauszufinden ob auch "private" und unsichere Medien angeschlossen werden.
Hallo,
1. Die Rechner stehen in abgeschlossenen Maschinenräumen und sind per KVM Angeschlossen. Betriebsbedingt ist es erlaubt, dass Mitarbeiter HDDs anschließen, aber nur firmeneigene verschlüsselte. Es geht also darum herauszufinden ob auch "private" und unsichere Medien angeschlossen werden.
Einfach mitloggen und auswerten.
Steht üblicherweise im Eventlog.
lks
Hi Lks,
danke dir, das wäre dann mein Notfallplan. Ich wollte eigentlich nicht in jedes Log gucken aber schauen wir mal.
lg
Theo
danke dir, das wäre dann mein Notfallplan. Ich wollte eigentlich nicht in jedes Log gucken aber schauen wir mal.
lg
Theo
Wie willst Du denn dann private Datenträger überprüfen?
garnicht, deswegen dürfen sie ja auch nicht angeschlossen werden. NUR firmeneigene Transferplatten. Deswegen ja der Test ob auch unauthorisierte Sticks angeschlossen werden.
Ja, aber mit Deinem Test kannst Du ja eben keine privaten Platten testen, sondern nur die, die Du vorher präparierst.
Faktisch testest Du damit nur ob jemand so blöd ist eine Platte/Stick die rumliegt einzustecken, nicht aber ob jemand seine privaten Platten anschliesst um Daten abzugreifen oder Musik zu hören oder oder oder.
Faktisch testest Du damit nur ob jemand so blöd ist eine Platte/Stick die rumliegt einzustecken, nicht aber ob jemand seine privaten Platten anschliesst um Daten abzugreifen oder Musik zu hören oder oder oder.
Wenn die PCs vernetzt sind, dann brauchst Du das auch nicht. Logs kann man zentralisiert auswerten.
Zitat von @theoberlin:
Hi Lks,
danke dir, das wäre dann mein Notfallplan. Ich wollte eigentlich nicht in jedes Log gucken aber schauen wir mal.
Hi Lks,
danke dir, das wäre dann mein Notfallplan. Ich wollte eigentlich nicht in jedes Log gucken aber schauen wir mal.
Da guckt man nicht persönluch rein, sondern schreibt sich ein Script, daß die Logs durchschaut und meldet, wenn einer sich nicht an die Anweisung hält.
lks
Zu den Datenträgern: Nimm EgoSecure. Damit können nur registrierte Datenträger genutzt werden. Alle anderen werden abgewiesen. Nutzen wir auch.
EgoSecure gucke ich mir mal an. Und ein Log Script ebenfalls.
Habt ihr noch eine Idee bezüglich der Webgeschichte? Ich würde gern das klicken auf den Link schon registrieren und von wem.
Im ungünstigsten Fall präpariere ich halt für jeden einzelne Links die eine ID beim aufruf übergeben.
lg
Theo
Habt ihr noch eine Idee bezüglich der Webgeschichte? Ich würde gern das klicken auf den Link schon registrieren und von wem.
Im ungünstigsten Fall präpariere ich halt für jeden einzelne Links die eine ID beim aufruf übergeben.
lg
Theo
Hallo,
eine Sache fehlt mir hier:
Hast du das OK der Geschäftsleitung und vom Betriebsrat für diese Aktion?
Gibt es eindeutige Betriebsvereinbarungen die die Verbote klar regeln?
Ansonsten mag dich danach keiner mehr ....
VG,
Deepsys
eine Sache fehlt mir hier:
Hast du das OK der Geschäftsleitung und vom Betriebsrat für diese Aktion?
Gibt es eindeutige Betriebsvereinbarungen die die Verbote klar regeln?
Ansonsten mag dich danach keiner mehr ....
VG,
Deepsys
Hi Deepsys,
ja das ist mit der Geschäftsführung abgesprochen bzw. wurde von ihnen angesprochen.
Regeln gibt es im Mitarbeiterhandbuch. Im vorhinein gibts auch noch mal eine Weiterbildung für alle. Ich warte dann so 4-6 Wochen und dann kommt der Test.
lg
Theo
ja das ist mit der Geschäftsführung abgesprochen bzw. wurde von ihnen angesprochen.
Regeln gibt es im Mitarbeiterhandbuch. Im vorhinein gibts auch noch mal eine Weiterbildung für alle. Ich warte dann so 4-6 Wochen und dann kommt der Test.
lg
Theo
Bei Sophos Central kann man da alles mögliche recht gut abfangen. Jegliche Hardware über VID whitelisten/blacklisten etc. Schließt jemand einen fremden Stick an kriegst du eine Mail.
Ich weiß aber nicht ob man dann direkt den ganzen AV kaufen muss oder ob es nur das als Modul gibt. Vorstellen könnte ich es mir.
Ich weiß aber nicht ob man dann direkt den ganzen AV kaufen muss oder ob es nur das als Modul gibt. Vorstellen könnte ich es mir.
Zentrale Auswertung von Logfiled kann man sehr bequem mit GrayLog bewerkstelligen.
Sers,
Mach die Tests nicht auf eigene Faust.
Du willst doch eigentlich nur wissen, ob wer den Stick eingesteckt hat. Entweder deine Antiviren / "Endpoint Protection" Lösung bringt das mit, oder du löst es mit Bordmitteln:
In der Ereignisanzeige musst du folgendes Log aktivieren:
"Anwendungs- und Dienstprotokolle > Microsoft > Windows > DriverFrameworks-UserMode > Operational"
Eine Anleitung zum Windows Event Forwarding findet du in den Microsoft Docs
Samt passendem Microsoft Blog mit [Artikel: https://blogs.technet.microsoft.com/jepayne/2015/11/23/monitoring-what-m ... Schritt-für-Schritt Anleitung]
Am besten streust du Sticks von einem bestimmten Hersteller, der (noch) nicht (offiziell) in der Firma eingesetzt wird.
Grüße,
Philip
Zitat von @theoberlin:
Hallo zusammen,
wir wollen eine interne Sicherheitsprüfung mit unseren Mitarbeitern machen.
Nach einer Präsentation zum Thema IT-Sicherheit will ich das ganze auf zwei Arten testen:
Eine gute Idee. Sofern die Geschäftsführung und der Betriebsrat zustimmen.Hallo zusammen,
wir wollen eine interne Sicherheitsprüfung mit unseren Mitarbeitern machen.
Nach einer Präsentation zum Thema IT-Sicherheit will ich das ganze auf zwei Arten testen:
Mach die Tests nicht auf eigene Faust.
- Auslage von USB Sticks
- Senden von Mails
Hierzu zwei Fragen:
Zu 1.
Bat Dateien werden ja nicht automatisch gestartet. Hat jemand eine Idee wie ich das einstecken eines Sticks zentral registrieren kann?
Ich würde den Stick entweder leer lassen, oder maximal die Präsentation drauf speichern. Denk dran, der Stick könnte auch in den Händen eines Dritten landen.- Senden von Mails
Hierzu zwei Fragen:
Zu 1.
Bat Dateien werden ja nicht automatisch gestartet. Hat jemand eine Idee wie ich das einstecken eines Sticks zentral registrieren kann?
Du willst doch eigentlich nur wissen, ob wer den Stick eingesteckt hat. Entweder deine Antiviren / "Endpoint Protection" Lösung bringt das mit, oder du löst es mit Bordmitteln:
In der Ereignisanzeige musst du folgendes Log aktivieren:
"Anwendungs- und Dienstprotokolle > Microsoft > Windows > DriverFrameworks-UserMode > Operational"
Eine Anleitung zum Windows Event Forwarding findet du in den Microsoft Docs
Samt passendem Microsoft Blog mit [Artikel: https://blogs.technet.microsoft.com/jepayne/2015/11/23/monitoring-what-m ... Schritt-für-Schritt Anleitung]
Am besten streust du Sticks von einem bestimmten Hersteller, der (noch) nicht (offiziell) in der Firma eingesetzt wird.
Grüße,
Philip
Hallo zusammen,
vielen Dank für eure Beiträge.
USB Sticks werde ich über die Logs auslesen. Für die Mails werde ich .html Dateien anhängen wo das "Bewerbungs PDF" angezeigt wird aber parallel ein Link übergeben der userspezifisch ist.
lg
Theo
vielen Dank für eure Beiträge.
USB Sticks werde ich über die Logs auslesen. Für die Mails werde ich .html Dateien anhängen wo das "Bewerbungs PDF" angezeigt wird aber parallel ein Link übergeben der userspezifisch ist.
lg
Theo
Hallo,
du könntest eine ASP.NET Seite mit SSO aufsetzen. Über HttpContext.Current.Request.LogonUserIdentity.Name bekommst du das AD Konto.
du könntest eine ASP.NET Seite mit SSO aufsetzen. Über HttpContext.Current.Request.LogonUserIdentity.Name bekommst du das AD Konto.
Hallo David,
Das wird doch aber nur bei IE/Edge übergeben oder?
Aufgrund einer anderen ASP Application verwenden alle Firefox.
LG
Theo
Das wird doch aber nur bei IE/Edge übergeben oder?
Aufgrund einer anderen ASP Application verwenden alle Firefox.
LG
Theo
Hallo,
vermutlich hast du recht. Wir verwenden hier den IE und an einigen Stationen Chrome. Mit dieser Kombination funktioniert es.
Nach einer Kurzrecherche scheint Firefox zwar auch SSO zu unterstützen, muss davor aber konfiguriert werden. Ich weiß allerdings nicht, ob man diese Schritte auch per GPO durchführen könnte.
vermutlich hast du recht. Wir verwenden hier den IE und an einigen Stationen Chrome. Mit dieser Kombination funktioniert es.
Nach einer Kurzrecherche scheint Firefox zwar auch SSO zu unterstützen, muss davor aber konfiguriert werden. Ich weiß allerdings nicht, ob man diese Schritte auch per GPO durchführen könnte.
