Die Windows-Firewall ist ein entscheidendes Windows-Feature, das oft vernachlässigt wird und nur dann betrachtet wird, wenn zusätzliche Ports für neue Software geöffnet werden müssen. Die kürzliche Outlook-Sicherheitslücke (CVE-2023-23397) hat jedoch gezeigt, dass es riskant sein kann, sich ausschließlich auf Netzwerk-Firewalls zum Schutz zu verlassen, da die Bewertung und Konfiguration der Hunderte von Netzwerk-Firewalls in einer Organisation eine herausfordernde Aufgabe sein kann. In diesem Artikel werden wir die Bedeutung der Windows-Firewall und wie Organisationen sie nutzen können, um eine robuste erste Verteidigungslinie zu schaffen, erörtern.
Standardkonfiguration
Standardmäßig geht die Windows-Firewall davon aus, dass Bedrohungen für eine Organisation externen Ursprungs sind, und blockiert daher Verbindungen zu Windows-Geräten, es sei denn, sie werden ausdrücklich zugelassen, während ausgehende Verbindungen zugelassen werden, es sei denn, sie werden ausdrücklich blockiert. Im Fall von CVE-2023-23397 erstellt jedoch eine bösartige E-Mail, die in Outlook heruntergeladen wird, eine TCP/445-Verbindung vom Gerät zum Server des Angreifers, die vom Gerät selbst ausgeht und standardmäßig nicht von der Windows-Firewall blockiert wird. Dies ist nur ein Beispiel dafür, wie Angreifer die Standardkonfigurationen der Windows-Firewall ausnutzen können und verdeutlicht die Notwendigkeit, dass Cybersecurity-Ingenieure mit den Windows-Firewall-Konfigurationen vertraut sind und diese absichern.
Was die Windows-Firewall bietet
Die Windows-Firewall ermöglicht es uns, Regeln für bestimmte Programme/Dienste unter Verwendung des Protokolltyps und der Portnummer, einer Kombination aus beidem oder vordefinierten Regeln zu konfigurieren. Bei der Regel-Erstellung können wir auch angeben, welche IP-Ziele in die Regel einbezogen oder ausgeschlossen werden, was es uns ermöglicht, die Kommunikation auf eine bestimmte Gruppe von Geräten zu beschränken, unter anderem.
Abmilderung von CVE-2023-23397
Durch die Konzentration auf die Absicherung des Domänenprofils in der Windows-Firewall erlaubt standardmäßig eine Firewall-Regel namens Core Networking - Gruppenrichtlinie (NP-Out) TCP/445-Verbindungen zu jedem Ziel, wobei herkömmliche Netzwerk-Firewalls zum Schutz des Perimeters genutzt werden. Eine schnelle und einfache Lösung besteht jedoch darin, die Regel so zu ändern, dass SMB-Verbindungen nur zu Netzwerken zugelassen werden, die Domänencontroller, Dateiserver und Druckinfrastruktur enthalten. Nachdem dies erfolgt ist, konfigurieren Sie das Domänenprofil der Windows-Firewall so, dass ausgehende Verbindungen blockiert werden, wobei zu beachten ist, dass keine Standardregel vorhanden ist, die ausgehenden ICMP-Verkehr zulässt.
Fazit
Zusammenfassend hat dieser Artikel die Bedeutung und Auswirkung der Windows-Firewall hervorgehoben, eines Features, das von Organisationen oft übersehene Funktionen bietet. Die Absicherung der Konfigurationen der Windows-Firewall kann herausfordernd sein, insbesondere in Umgebungen mit vielen Anwendungen, aber die Vorteile können immens sein. Die Windows-Firewall kann als starke erste Verteidigungslinie in einer Cybersicherheitsstrategie dienen, und Organisationen sollten ihre Fähigkeiten nutzen, um ihre Gesamtsicherheitslage zu verbessern.
Comments