:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1e/e0/1ee07bf5cbd627475c53ce32cf023a8a/0110575489.jpeg "Unternehmen, die von Datenlecks betroffen sind, haben ein 7-fach höheres Risiko, auch einen Angriff durch Ransomware zu erleiden. Das zeigen Ergebnisse der Darknet-Studie von Botiguard. (Bild: Arthur Kattowitz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/20/ac20783291a95cf067da1ec768834933/0110551872.jpeg "Der Threat Report von Arctic Wolf Labs für 2023 zeigt, dass Cyberangriffe immer raffinierter werden und Unternehmen zunehmend Schwierigkeiten haben, mit der Bedrohung durch Ransomware, Social Engineering und Supply-Chain-Angriffe umzugehen. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/47/21/4721b85a3c99b2a726f2c14f10595d75/0110512209.jpeg "Eavesdropping-Angriffe zielen darauf ab, während einer Datenübertragung, Informationen wie Passwörter, Kartendetails und andere sensible Daten zu erbeuten. (Bild: Thaut Images - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/32/74/3274604501b9d26401961bf864f1dc65/0109811934.jpeg "Mit dem Security Monitoring Tool Zeek, das auch mit kommerziellen IDS- und SIEM-Werkzeugen zusammenarbeitet, lassen sich mittlere und große Umgebungen überwachen. (Bild: The Zeek Project)")
:quality(80)/p7i.vogel.de/wcms/91/75/9175edeb1bd68cad2b5c77f653f79036/0110576453.jpeg "Unternehmen müssen robuste IT-Security-Maßnahmen implementieren, die sowohl ihre IT- als auch ihre OT-Systeme schützen. (Bild: panuwat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6c/65/6c65a1a9648d14f9555e7e8e008a7f9c/0109735694.jpeg "Mit dem App Traffic Optimizer von Bitdefender können Nutzer jeder Anwendung Bandbreite auf Wunsch zuteilen. (Bild: Bitdefender)")
:quality(80)/p7i.vogel.de/wcms/97/16/97161bc650bf4d7681114ab563c92d70/0110588372.jpeg "Der Update-Dienst „Azure Update Management“ ermöglicht die einfache Aktualisierung von Windows- und Linux-VMs und auch von lokalen Servern. (Bild: Miha Creative - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/da/64/da64bfed6115566a6d71e7aaa4b64bbb/0109715450.jpeg "Ein wesentlicher Bestandteil für eine erfolgreiche Strategie gegen Ransomware-Angriffe ist die Resilienz des Systems und der Daten. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/90/02/90023abcb6d26dbfda9c9abb4b0e3c73/0110590578.jpeg "Messenger sind ein zentrales Kommunikationstool in Unternehmen und sollten die gleiche Sicherheit aufweisen, wie die gesamte IT-Infrastruktur. (Bild: ra2 studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/33/6f/336f669803411ad2c995f22cae0a8bd7/0110318812.jpeg "Eine SBOM listet sämtliche Komponenten einer Softwareanwendung samt wichtiger Informationen zu Lizenzierung und Sicherheit. (Bild: <a href=https://pixabay.com/users/camellia_sasanqua-2366387/>sasanqua camellia</a>)")
:quality(80)/p7i.vogel.de/wcms/87/4c/874c0af5c15ec80f0d2e20afd9ca476b/0109840850.jpeg "Open-Source-Software birgt Risiken. Synopsys untersucht jährlich, welche das sind. (Bild: © – Words Collage Cloud – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fe/90/fe90d3face7af97b97babf86c0001d32/0110317541.jpeg "Privileged-Access-Management-Lösungen unterstützen Unternehmen bei der Abwehr von Cyberangriffen. Doch IT-Verantwortliche bemängeln, dass die PAM-Lösungen häufig zu komplex für einen nutzerfreundlichen Einsatz sind. (Bild: magele-picture - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc3f3ceb1b8e33ad874eb0fd6d3e225/0110390941.jpeg "So knacken Hacker Passwörter und das kann man als Schutz dagegen tun. (Bild: jariyawat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4c/b9/4cb9d66fafd8d20bf909bfd236e254b6/0110382436.jpeg "Zwar existiert heute noch kein Quantencomputer, der aktuelle Verschlüsselungsmethoden knacken kann, aber Unternehmen sollten dennoch schon heute entsprechende Vorbereitungen für den Tag treffen, wenn der Fall eintritt. (Bild: Siarhei - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/dc/af/dcaf041113e7b5b8202309088e3893f1/0110591636.jpeg "„Wer sein Unternehmen erfolgreich führen will, muss Cybersecurity zu einem wichtigen Teil der Unternehmensstrategie machen“, meint Markus Robin, Managing Director von SEC Consult Deutschland. (Bild: jirsak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/ff/56ff577ef3d84e5690210417e4e551c5/0110554219.jpeg "Das Handbuch "Management von Cyber-Risiken" widmet sich einer umfassenden Unternehmenskultur, die Cyber-Sicherheit jederzeit berücksichtigt und so die Resilienz der Unternehmen erhöht. (Bild: jijomathai - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/50/84501585e0f44b12e33125acd91fa5dd/0109580130.jpeg "Unicode ist ein Standard für die universelle Codierung von allen weltweit bekannten Textzeichen in Binärdarstellung. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/ac/ec/acec2e8899c63372cfa6416fb2c12cb8/0109580606.jpeg "Microservices sind kleine, unabhängige Dienste für bestimmte Aufgaben einer Anwendung und bilden einen Gegenentwurf zu monolithischen Anwendungen. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/b1/68/b168e398bcf5fb44337e5a40214e5f56/0109580616.jpeg "Eine API ist eine Schnittstelle zum strukturierten Austausch von Befehlen und Informationen zwischen Programmen oder Programmteilen, mit vorgegebener Syntax. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Anbindung übers Web – schneller und sicherer als VPN DirectAccess mit Windows Server 2016 und Windows 10
Mit DirectAccess bietet Microsoft bereits seit den Vorgängerversionen von Windows 10 und Windows Server 2016 die Möglichkeit, Arbeitsstationen über das Internet schnell und sicher an das Firmennetz anzubinden. Vorteil: keine Zusatzkosten und ein wesentlich einfacheres Handling für Anwender all bei anderen VPN-Lösungen.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087fe6e823c7/arvatosystems-logo-600x600.jpg "ArvatoSystems-Logo_600x600.jpg (Arvato Systems)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/62/53/6253dca7c4ba3/square-keeper-coin-color-2x.jpeg "square-keeper-coin-color-2x (https://www.keepersecurity.com/de_DE/)")
Im Gegensatz zu VPN-Verbindungen müssen Anwender beim Verbindungsaufbau mit DirectAccess keinen VPN-Client öffnen und keine dedizierte VPN-Verbindung aufbauen. Administratoren konfigurieren die Arbeitsstation für DirectAccess und stellen die notwendigen Server im Netzwerk zur Verfügung. Anwender arbeiten wie gewohnt.
Sobald eine Arbeitsstation oder ein Notebook erkennt, dass es sich nicht im sicheren internen Netzwerk befindet, baut der Rechner im Hintergrund automatisch eine verschlüsselte Verbindung zum internen Netzwerk auf. Der Anwender kann somit unterwegs vollkommen transparent und in gewohnter Art und Weise mit den gleichen Anwendungen arbeiten, wie im Firmennetzwerk; auf eine Absicherung seiner Verbindung muss er nicht achten. Sicherheitsrichtlinien und Gruppenrichtlinien werden außerdem auch über das Internet auf den Arbeitsstationen angewendet. Auch Anmeldungen an Active Directory sind möglich. Mit Windows Server 2012 R2 und Windows 8.1 hat Microsoft die Administration von DirectAccess vereinfacht und den Funktionsumfang erweitert.
:quality(80)/images.vogel.de/vogelonline/bdb/1250500/1250533/original.jpg "DirectAccess wird als Rollendienst der Serverrolle „Remotezugriff“ installiert.")
:quality(80)/images.vogel.de/vogelonline/bdb/1250500/1250534/original.jpg "Die Einrichtung von DirectAccess erfolgt über einen Assistenten, der im Servermanager integriert ist.")
:quality(80)/images.vogel.de/vogelonline/bdb/1250500/1250535/original.jpg "Über den Assistenten wird auch festgelegt, welche Arbeitsstationen sich mit DirectAccess verbinden können. Die Arbeitsstationen werden über Gruppenrichtlinien automatisch konfiguriert.")
:quality(80)/images.vogel.de/vogelonline/bdb/1250500/1250536/original.jpg "Der Webanwendungsproxy ist eine ideale Ergänzung zu DirectAccess, wenn es um die Anbindung externer Clients geht.")
Die Einrichtung von DirectAccess ist allerdings auch in Windows Server 2016 und Windows 10 noch immer keine Aufgabe, die schnell erledigt ist. Zwar hat Microsoft in den neuen Versionen die Einrichtung deutlich vereinfacht, dennoch sollten Administratoren vorsichtig bei der Konfiguration sein. Denn mit DirectAccess können sich Rechner aus dem Internet mit dem Unternehmensnetzwerk verbinden. Daher sollte hier über entsprechende Maßnahmen auch die Sicherheit der Infrastruktur berücksichtigt werden.
Zur Einrichtung von DirectAccess gehören stets auch einige Server- und Client-Konfigurationen sowie Gruppenrichtlinien und Zertifikate. Ganz ausführlich zeigt Microsoft die Einrichtung eines DirectAccess-Servers auf einer eigenen Internetseite.
Unternehmen, die DirectAccess produktiv einsetzen wollen, sollten den Einsatz der dazugehörigen Server und die Anpassungen der Firewalls gut planen. Microsoft hilft in diesem Fall mit dem Whitepaper „Plan an Advanced DirectAccess Deployment“. Alle Möglichkeiten, die Microsoft für den Remotezugriff zur Verfügung stellt, sind wiederum auf der Seite „Remote Access and Server Management“zusammengefasst.
Netzwerk für DirectAccess vorbereiten
Um DirectAccess zu nutzen, muss im Netzwerk auf einem Server die Rolle „Remotezugriff“ installiert werden. Diese verfügt über den Rollendienst „DirectAccess und VPN (RAS)“. Über diesen Dienst wird die Anbindung vorgenommen (siehe Abbildung 1). Die Installation kann über den Server-Manager oder in der PowerShell mithilfe des zugehörigen CMDlets Install-WindowsFeature RemoteAccess -IncludeManagementTools erfolgen.
Die Einrichtung des Dienstes erfolgt erst nach der Installation über den Server-Manager und einen eigenen Assistenten, der im Kontextmenü des Servers zur Verfügung steht (siehe Abbildung 2). Der Server sollte über mindestens zwei Netzwerkadapter verfügen. Ein Adapter ist über die Firewall mit dem Internet verbunden, die andere Schnittstelle mit dem internen Netzwerk.
Für eine bessere Verwaltung sollten die Server, die Bestandteil des DirectAccess-Netzwerks sind, Mitglied einer eigenen Gruppe in Active Directory sein. Auch die Arbeitsstationen, die sich später über DirectAccess verbinden sollen und dürfen, sollten Mitglied einer speziellen Active-Directory-Gruppe sein. Im Rahmen der Einrichtung können diese Gruppe ausgewählt werden. Im Rahmen der Einrichtung werden dann Gruppenrichtlinien erstellt, die automatisch auf die Computerkonten angewendet werden, welche sich in der DirectAccess-Clientgruppe befinden. Dadurch wird die Anbindung der Arbeitsstationen weitgehend automatisiert.
Einrichtung von Arbeitsstationen für DirectAccess
Damit DirectAccess funktioniert, müssen Unternehmen auf Windows 7, Windows 8/8.1 oder besser auf Windows 10 setzen. Die Sicherheit wird durch Zertifikate sichergestellt. Hier bietet es sich an, entweder auf ein gekauftes Zertifikat zu setzen, oder eine interne Zertifizierungsstelle einzusetzen – zum Beispiel mit den Active-Directory-Zertifikatsdiensten. Im Rahmen der Einrichtung von DirectAccess werden auch die Computergruppen festgelegt, die Zugriff auf DirectAccess erhalten. Auf Arbeitsstationen müssen keine Anpassungen vorgenommen werden, um DirectAccess zu nutzen.
Sobald sich ein Computer in der entsprechenden Computergruppe befindet, wird er durch die dazugehörige Gruppenrichtlinie automatisch angebunden (siehe Abbildung 3). Wenn sich der Computer nicht mehr im internen Netzwerk befindet, bindet er sich mit DirectAccess an. In der PowerShell kann die Verbindung mit dem CMDlet Get-DaConnectionStatus getestet werden. In der Eingabeaufforderung kann die Konfiguration mit netsh name show effectivepolicy überprüft werden.
Da die Einrichtung von DirectAccess über Gruppenrichtlinien erfolgt, sollten Arbeitsstationen, die diese Funktion nutzen, mindestens einmal im lokalen Netzwerk gestartet werden, damit die Gruppenrichtlinien auch angewendet werden. Im laufenden Betrieb kann das mit gpudapte /force erfolgen.
Nachdem die Anbindung erfolgreich vorgenommen wurde, können Anwender auch mobil sicher auf Ressourcen im internen Netzwerk zugreifen – auch auf Dateifreigaben, wenn das gewünscht ist. Die Verwaltung erfolgt über die Remoteverwaltungs-Konsole auf dem DirectAccess-Server. Auf den Arbeitsstationen müssen keinerlei Einstellungen vorgenommen oder Tools installiert werden.
Webanwendungsproxy in Windows Server 2016 einsetzen
Neben DirectAccess kann auch der Webanwendungsproxy (Web Application Proxy, WAP) in Windows Server 2016 ein wertvolles Hilfsmittel sein, wenn es darum geht, Clientanfragen aus dem Internet auf interne Ressourcen umzuleiten. WAP und DirectAccess lassen sich parallel und ergänzend im Netzwerk einsetzen. Der Webanwendungsproxy (WAP) stellt eine sichere Schnittstelle vom internen Netzwerk zum Internet dar – vor allem für die Veröffentlichung von Serverdiensten.
Mit diesem Server-Feature können Unternehmen Webdienste wie zum Beispiel Exchange Outlook Web App und andere Webdienste wie SharePoint aus dem internen Netzwerk im Internet bereitstellen. Das Feature arbeitet mit den Active-Directory-Verbunddiensten zusammen. Der Webanwendungsproxy erlaubt die sichere Kommunikation der Anwender aus dem Internet mit Outlook Web App und den SharePoint-Apps und ist eine ideale Ergänzung zu DirectAccess.
In Windows Server 2016 lassen sich Exchange ActiveSync-Geräte stabiler anbinden. Diese verbinden sich über den Webanwendungsproxy und authentifiziert durch ADFS mit Exchange. In Windows Server 2012 R2 war das durch die nicht kompatible Authentifizierung noch nicht ohne weiteres möglich. Außerdem kann der Webanwendungsproxy in Windows Server 2016 HTTP-Anfragen automatisch zu HTTPS-Adressen weiterleiten.
Webanwendungsproxy ist ein Rollendienst der Serverrolle Remotezugriff, genauso wie DirectAccess. Rollendienste installieren Administratoren im Server-Manager über Verwalten / Rollen und Features hinzufügen (siehe Abbildung 4). Der Assistent zur Einrichtung nach der Installation des Rollendienstes startet über das Benachrichtigungscenter im Server-Manager. Im ersten Schritt muss bei der Einrichtung des Anwendungsproxys der ADFS-Server angegeben werden, der für die Authentifizierung verwendet werden soll. Für Testzwecke kann hier auch mit selbstsignierten Zertifikaten gearbeitet werden. Ein solches Zertifikat wird zum Beispiel in der PowerShell erstellt. Die Syntax hierzu lautet: New-SelfSignedCertificate -certstorelocation cert:\localmachine\my -dnsname <FQDN des Servers> (siehe Abbildung 5).
(ID:44765334)
:quality(80)/images.vogel.de/vogelonline/bdb/1765600/1765674/original.jpg "Sicherheit muss nicht immer Geld kosten. Windows Server 2016 lässt sich auch mit Microsoft Defender und der Microsoft Defender Firewall grundlegend absichern. (monsitj - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1962600/1962619/original.jpg "Der Azure AD-Anwendungsproxy kann Anfragen aus dem Internet annehmen und an interne Server weiterleiten. Dadurch werden Zugriffe sicherer und unkomplizierter, ohne dass Firewalls im Unternehmen angepasst werden müssen. (ra2 studio - stock.adobe.com)")