NIERO@net e.K. – Corporate Blog

Wir sichern Ihre digitalen Unternehmenswerte!

Gute Kennwörter-leicht zu merken: Passphrasen

Kennwörter sind immer ein leidiges Thema.

Sind Sie zu schwach, öffnet man das Tor für “Brut-Force-“ und “Dictonary-Attacken”, sind sie zu komplex, landen sie als Zettel unter der Tatstatur Ihrer Mitarbeiter.

Kennwörter müssen den Komplexitäts-Voraussetzungen entsprechen und leicht zu merken sein.

Schauen wir uns die Komplexitäts- und sonstigen Voraussetzungen an:

  • Das Kennwort sollte mindestens 8 Zeichen lang sein.

  • Das Kennwort sollte Zeichen aus mindestens 3 der folgenden 6 Kategorien enthalten:

    • Großbuchstaben (A – Z)

    • Kleinbuchstaben (a – z)

    • Zahlen (0 – 9)

    • Symbole (z.B.: !, $, #, oder %)

    • Unicode Zeichen

    • ein oder mehrere Leerstellen

  • Das Kennwort sollte keinen Teil Ihres Namens, Benutzernamens oder Ihrer E-Mail-Adresse enthalten.

  • Das Kennwort darf kein einziges sein, was in irgendeinem Wörterbuch gefunden werden kann.

  • Benutzen Sie nicht die letzten 24 Kennwörter.

  • Das Kennwort sollte mindestens 8-12 mal im Jahr geändert werden (alle 42-90 Tage).

  • Es ist empfehlenswert das minimale Kennwortalter auf 2 Tage fest zu setzen.

Es gibt zwei Möglichkeiten diesem Dilemma zu entrinnen.

Eine gute Idee sind Password-Manager. Sie müssen sich nur noch das Master-Kennwort für Ihre Kennwort-Datenbank merken.

Wir setzen RoboForm von Siber Systems auf unseren devices ein und können dies guten Gewissens empfehlen.

Das hat primär die folgenden Gründe:

  • starke Verschlüsslung der Daten (AES 256)
  • gutes Preis-/Leistungs-Verhältnis
  • integriertes Generieren sicherer Passwörter, die gleich gespeichert werden können
  • sehr gute Erkennung von Logins und Formularen
  • geringer Overhead als Menüleiste im Internet Explorer (Normalerweise sind wir Gegner jeglicher Arten von Menüleisten von Software im IE)
  • sehr gute Erkennung von Eingabefeldern in Applikationen

Eine weitere – auch oft empfohlene – Methode ist der Einsatz von Kennwortphrasen (Passphrasen).

Sätze oder Gebilde aus mindestens 2 Wörtern, die man sich leicht merkt, in die man weitere Merkmale einbauen kann, wie das Ersetzen von Buchstaben durch Symbole (“P@ulP@ulsen" ), Phonetik ("Run for the hills" ="R0n4dHiLLs!" ).

Nutzen Sie einprägsame Personen oder Ereignisse, die Sie mit Symbolen (“ P@ul$$chul@bschlu$$” ) ersetzen, oder nutzen Sie nur die jeweils ersten Buchstaben jedes Worts eines Satzes ("Meine Tochter Sabine geht auf die internationale Schule." ="MtSgadiS." ), zusätzlich mit Symbolen ("MtSgadiS." = “MtSgadi$.” ).

Passphrasen sollten mindestens 2 persönlich einprägsame Dinge sein, die Sie mit o.g. Elementen miteinander verbinden (“Katze + * + Maus" = "Katze*Maus" oder “k@tze*M@u$”).

Weitere Beispiele für Passphrasen:

  • D@$ ist eine P@ssphr@$e?
  • Jetzt 1l0ggen…
  • Smiling 2004 ;-

Wir alle haben eine schier riesige Masse an Kennwörtern und je digitaler die Welt, umso mehr Kennwörter. – und alle wollen regelmäßig geändert und gemerkt werden.

Abgesehen von Unternehmensumgebungen, wo Kennwort-Richtlinien umgesetzt werden, lohnt es sich vielleicht die benutzten Konten in Kategorien zu unterteilen:

  • niedrig (das gleiche Kennwort kann 1x-5x genutzt werden, geringe Komplexität, geringe Anzahl von Kennwortänderungen): Alle Konten, die keine sensiblen Daten speichern (Kreditkarten), die Zahlinformationen jedes Mal neu anfordern, oder bei denen es erst gar nicht um Geld geht. Nur geringer Schaden ist zu befürchten, z.B. Online-Spiele oder ein Blumenversand.
  • hoch (hohe Komplexität, regelmäßige Änderungen, geringe Kennwortwiederholung): Alle Konten, deren Kompromittierung einen finanziellen Schaden verursacht (gespeicherte Kreditkartendaten, etc.), z.B. Amazon und andere Onlineshops.
  • kritisch (hohe Komplexität, Änderung alle 30 Tage, keine Kennwortwiederholung): Alle Konten, die einen großen wirtschaftlichen und finanziellen Schaden verursachen können und deren Kompromittierung unter Umständen auch ein Verstoß gegen gesetzliche oder standesrechtliche Vertrauensvorschriften bedeutet. Hierzu gehören beispielsweise alle Arten geschäftlich genutzter Cloudservices, z.B. Lohnabrechnungen, etc.

Wir haben das Wichtigste in Kürze hier als pdf für Sie zum Download bereitgestellt:


Unsere Aufgabe ist es, Ihnen bei der Verwaltung Ihrer Netzwerke zu helfen, damit Sie sich um Ihr Geschäft kümmern können. Lassen Sie uns Ihnen helfen, die Methoden und Richtlinien zu entwerfen, die Ihr Unternehmen noch erfolgreicher machen.

Managed Services und Microsoft Office 365 Dienste für kleine und mittelständische Unternehmen in der Region Hamburg.

27. Juni 2013 Posted by | NIERO@net e.K. ServiceDesk | , , , , , , , , , , , , | Kommentare deaktiviert für Gute Kennwörter-leicht zu merken: Passphrasen

Verteilen von EMET via Gruppenrichtlinien

Die aktuelle 0-Day-Lücke im Internet Explorer bringt uns zu der Frage, wie man EMETv3 mangels SCCM via Group Policies verteilt.

Das Benutzerhandbuch von EMET beschreibt nur einen kleinen Teil des Weges:

EMET 3.0 comes with group policy support. When you install EMET, EMET.admx and EMET.adml files are also installed to the “Deployment\Group Policy Files” folder. These files can then be copied onto \Windows\PolicyDefinitions and \Windows\PolicyDefinitions\en-US folders respectively. Once this is done, EMET system and application mitigation settings can be configured via Group Policy.

There are three sets of policies that EMET exposes. Below is a description of each. More information can be found at the policy editor for each policy.
1. System Mitigations: Named ASLR, DEP and SEHOP, these policies are used to configure system mitigations. Please note that modifying system mitigation settings may require a reboot to be effective.
2. Default Protection Profiles: There are three: Internet Explorer, Office applications and other popular software. Protection Profiles are pre-configured EMET settings that cover common home and enterprise software. Apply these policies to enable them.
3. Application Settings: This leads to a freeform editor where you can configure any additional applications not part of the default protection profiles. The syntax is application executable name followed by an optional list of mitigations you don’t want to enable. If you don’t specify any mitigation, all seven EMET application mitigations will be enabled.

Once you enable EMET Group Policies, they will be written out to the registry at HKLM \SOFTWARE\Policies\Microsoft\EMET. To make them effective in EMET, you have to run the following command using the EMET Command Line Tool.

EMET_Conf –refresh

Please note that when you apply a Group Policy in Windows, there is often a short delay before Group Policy writes them out to the registry.
You can run this command separately, at startup or at logon time according to your deployment strategy.
To view the Group Policy controlled EMET settings, run the following command using the EMET Command Line Tool.

EMET_Conf –list

The settings controlled by Group Policy start with the ‘>’ character. In this example, we have 2 settings and the Internet Explorer one has been configured by Group Policy, while the program.exe setting has been configured either through the EMET Graphical User Interface or the EMET Command Line Tool.

It is important to note that the settings configured via Group Policy take precedence over the settings configured locally using the EMET GUI or the EMET Command Line Tool. Also, Group Policy controlled settings can only be modified or deleted via Group Policy. For example, running

EMET_Conf –delete_all

in the situation above would only delete the program.exe settings, and leave Internet Explorer settings intact.”

Wir haben aber sicherlich mehrere Computer auf denen wir EMET installieren wollen und – wie man oben sieht – müssen wir zur Übernahme des vorher konfigurierten EMET-GPO ein “EMET_Conf –refresh” auf jeder Maschine ausführen. Genau das ist die Krux.

Die Lösung ist – neben einem Startskript – das kleine Tool psexec von Sysinternals. Mark erklärt in einem Artikel die Benutzung.

Angemerkt sei hier, das “EMET-Conf –refresh” als Administrator ausgeführt werden muss.

Welche Schritte haben wir nun?

1. Herunterladen von EMET

2. Installation von EMET auf einem Referenzcomputer

3. Konfiguration des EMET-GPO:

Diese befinden sich – wie oben geschrieben – im Ordner /EMET/Deployment/Group Policy Files und müssen in den Ordner /Windows/PolicyDefinitions kopiert oder besser in einen Central Store unter sysvol.

EMET GPO

Continue reading

21. September 2012 Posted by | Lessons learned: Notes from the field | , , , , , , , , , , , , , , , , , | Kommentare deaktiviert für Verteilen von EMET via Gruppenrichtlinien

Das Microsoft Application Compatibility Toolkit 5.6 (ACT)

Mit dem Microsoft Application Compatibility Toolkit 5.6 (ACT) bekommen Sie verschiedene Tools zur Sicherstellung Anwendungskompatibiltät in Windows 7.

Das ACT enthält

  • Application Compatibility Manager
  • Compatibility Administrator
  • Internet Explorer Compatibility Test Tool
  • Setup Analysis Tool (Das eigenständige und das virtuelle Setupanalysetool werden unter keiner 64-Bit-Version des Betriebssystems unterstützt.)
  • Standard User Analyzer
  • StockViewer-Demoanwendung und das Onlinehilfe-Lernprogramm (Korrigieren von Problemen mithilfe von Kompatibilitätspatches)

Der Application Compatibility Manager ermöglicht die Sammlung und Analyse von Kompatibilitätsdaten im gesamten Netzwerk (Hardware, Software, Geräte) in einer SQL-Datenbank über Agenten.

Der Compatibility Administrator ermöglicht die Behebung von Anwendungskompatibilitätsproblemen bei der Bereitstellung älterer Anwendungen über bereits in der Datenbank vorhandene oder selbst zu erstellende (custom database) Kompatibilitätsfixes (shims) und Kompatibilitätsmodi (Sammlung von shims).

Mit dem Internet Explorer Compatibility Test Tool können Websites auf ihre Kompatibilität mit dem IE überprüft werden.

Das Setup Analysis Tool überwacht die Aktivitäten von Installationsprogrammen um Probleme mit Kernelmodustreibern, 16-Bit-Komponenten, GINA-DLL und der Änderung an geschützten Dateien oder Registrierungsschlüsseln zu analysieren.

Der Standard User Analyzer hilft Probleme ältere Anwendungen mit der UAC zu erkennen.

ACT 5.6 beinhaltet darüber hinaus die StockViewer-Demoanwendung und das Onlinehilfe-Lernprogramm (Korrigieren von Problemen mithilfe von Kompatibilitätspatches). Mithilfe des Tools und des Lernprogramms können Sie schrittweise den Prozess zum Suchen nach Problemen mit der Benutzerkontensteuerung unter Verwendung des Standardbenutzeranalyse-Tools und des Compatibility Administrators üben.

Mehr hierzu finden Sie in der Microsoft TechNet unter “Microsoft-Anwendungskompatibilitäts-Toolkit (Application Compatibility Toolkit, ACT), Version 5.6”.

Hier ein zugegebenermaßen kleines Beispiel.

Der “Backup File Unlocker”, ein kleines Programm, welches hilft, Outlook-Dateien im laufenden Betrieb zu sichern und erwiesenermaßen unter einem Standardbenutzer funktioniert, löst beim manuellen Start und auch über die Aufgabenplanung einen UAC-Prompt aus, obwohl dieses Programm kompatibel zu Windows 7 ist und auch unter einem Standardbenutzer funktioniert.

Wenn man dies weiß, dann kann man den Fix “RunAsInvoker” (“Wenn die Anwendung den aktuellen Kontext anhebt, weil der Entwickler in einem Manifest die requireAdministrator-Ausführungsebene angegeben hat, sollte dieser Kompatibilitätsfix verwendet werden. Der Fix legt fest, dass für die Anwendung keine erhöhten Rechte erforderlich sind”) verwenden.

Mehr Beschreibungen der Fixes und Modi finden Sie in der Microsoft TechNet unter “Bekannte Kompatibilitätspatches, Kompatibilitätsmodi und Meldungen der Anwendungshilfe”.

Um – in diesem Beispiel – nun also einen Fix anzuwenden, öffnet man den Compatibility Administrator und legt mit “new” eine custom database an.

ACT1

Der Assistent ist selbsterklärend und am Schluss kann man die Anwendung testen, bevor man die Datenbank installiert.

Wichtig ist es die Datenbank via “save” zu speichern und sie dann über das Kontextmenü der angelegten Datenbank oder über “file” mit dem Befehl “install” zu installieren.

Will man den Fix überarbeiten, muss man die Datenbank deinstallieren “uninstall”, schließen “close” und sie danach mit “open” wieder laden. Klickt man dann auf seinen Fix kann man diesen mit Hilfe eines Assistenten editieren.

In unserem Beispiel sieht der fertige Fix so aus:

ACT2

Continue reading

9. Mai 2012 Posted by | Learning (Lab Labour, Certification) | , , , , , , , , , | Kommentare deaktiviert für Das Microsoft Application Compatibility Toolkit 5.6 (ACT)

perfide Bedrohung: "Ransomware"

Es scheint, als nähme die Bedrohung durch „Ransomeware“, wie dem sog. „BKA-Trojaner“, wieder zu (Zumindest wird meines Erachtens wieder verstärkt darüber gesprochen):

clip_image001[4]

Ransomeware ist eine Phishingmethode, die mit der Angst der Benutzer spielt, indem der Computer wegen angeblich illegaler Aktivitäten durch das BKA, die Bundespolizei oder die GEMA gesperrt wird und erst gegen Zahlung eines bestimmten Betrags freigeschaltet wird.

Deutschland ist nicht das einzige betroffene Land, es gibt lokalisierte Versionen für Spanien, die Schweiz u.a.

Das perfide ist, das sich diese Bedrohung via Drive-By-Downloads, auch über legitime Websites verbreitet, die auf Servern liegen, die von den Angreifern kompromittiert wurden.

Das Microsoft Malware Protection Center (MMPC) hat eine Grafik angefertigt, die zeigt, wie ein Angriff abläuft:

One scenario is that a user visits a legitimate website that has been compromised with malicious JavaScript code. This results in the browser being redirected to a URL in which the exploit kit is hosted. Another possible way one can land on a Blackhole domain is by clicking on a spammed link. We are aware of several spam campaigns that contain links to the exploit kit and we know that some of the spam is generated by the Cutwail botnet.

The Blackhole exploit kit checks for the presence of several vulnerabilities on the system, as visible in Figure 2. If the user hasn’t installed all of the available Microsoft security updates or is using a browser with vulnerable plug-ins, malware may be downloaded and executed automatically, without human intervention.

clip_image003[4]

Wie Sie sehen, scannt der Trojaner das System nach bekannten Schwachstellen, die vom „Blackhole Exploit Toolkit“ ausgenutzt werden können.

Neben der üblichen professionellen Firewall und dem üblichen professionellen, aktuellen AV-System sind demnach 2 Dinge wichtig:

  • Stets die Software aktuell halten und kritische Patches der verschiedenen Hersteller umgehend installieren
  • Stets mit den minimalsten, benötigten Rechten arbeiten und auf administrative Berechtigungen verzichten (Software, die heute noch administrative Berechtigungen benötigt, ist definitiv unprofessionell geschrieben und sollte getauscht werden!)

Deutschland ist laut MMPC am meisten betroffen, wie die folgende Grafik zeigt:

clip_image005[4]

 

Continue reading

19. April 2012 Posted by | Lessons learned: Notes from the field | , , , , , , | Kommentare deaktiviert für perfide Bedrohung: "Ransomware"