Client Security mit Microsoft Cyber Security für den modernen Arbeitsplatz

Der moderne Arbeitsplatz mit Zugriff auf Cloud Funktionen, setzt sich immer mehr durch. Zum Teil werden Microsoft Produkte nur noch als Cloud Produkte/Dienste angeboten, die auf einen vollständigen Cloud Betrieb setzen, wie z.B. „Microsoft Teams“. Zweifellos bieten Cloud Produkte vielfältigen Vorteile, bringen aber auch Risiken mit sich, welche von den unterschiedlichen Umgebungssituationen wie On-Premise, Home-Office, Zugriff aus einem Hotel oder Internet-Café hervorgerufen werden können. Daher ist ein durchgängiges Client-Security-Konzept unumgänglich!

Was bietet der Hersteller Microsoft an Sicherheitsfunktionen für Client und Cloud-Funktionen bzw. Cloud-Applikationen an, um Schadcode und Schadsoftware zu verhindern und den modernen Arbeitsplatz sicher zu machen?

Neben der inzwischen weit verbreiteten Multi-Faktor Authentifizierung, um z.B. Identitätsdiebstahl zu verhindern oder sicheren Zugriff zu ermöglichen, schauen wir heute auf die Sicherheitskomponente Microsoft Defender Advanced Threat Protection (ATP), welche auf diversen Clients als Endpoint Schutz eingesetzt werden kann.

Microsoft Cyber Security, stellt eine umfassende Suite dar, die sich aus etlichen Bausteinen zusammensetzt. Dabei handelt es sich um einen vollständigen Endpunktschutz, welcher über das Windows Betriebssystem hinaus auch für folgende Clients, wie Smartphones, MacOS und Linux verfügbar ist. Auf diesen Clients muss Microsoft Defender ATP installiert werden, dies gilt ebenso für die Windows Server Reihe. Dadurch kann man sicherstellen, dass die Sicherheit für jede Clientumgebung vollständig aufrechterhalten werden kann – ein Vorteil den nicht jedes Wettbewerbsprodukt leisten kann!

Funktionen von Microsoft Defender ATP im Überblick:

Microsoft Defender ATP

Microsoft Defender ATP_Blogbeitrag_Login Consultants

Microsoft Cloud Plattformen

Schauen wir kurz in die Microsoft Cloud Plattformen O365, Azure, Intune oder Azure-AD, stellen wir schnell fest, dass hier die Funktion Advanced Threat Protection auch implementiert ist und Teilkomponenten wie z.B.: Sharepoint, Cloud-Apps, oder Azure SQL, usw. ebenso mit dieser Suite geschützt werden. Nicht zu vergessen, die Integration in Cloud-Funktionen wie Information Protection oder Graph API und ähnlichen.

Mit weltweit einigen Security Center, die auf Threats und Besonderheiten sofort reagieren, macht Microsoft sehr große Aufwände, um die Erkennung, Funktion und Stabilität ständig zu verbessern. Durch die sehr große Integration im Microsoft Cloud Backend ist der Schutz umfassend und sehr performant ausgeprägt.

Lizensierung von Microsoft Defender ATP

Microsoft Sicherheitskomponente „Microsoft Defender ATP“ wird über die Microsoft Cloud Lizenz „Microsoft 365 E5“ lizenziert. Durch diesen Produktnamen kommt es leicht zu Verwechselungen mit dem Microsoft Produkt „Office 365 E5“.

Hinweis: In der Praxis wird das erste Produkt oft als M5 und das Office Produkt als E5 bezeichnet.

Im größeren Paket M5 ist O365 E5 voll umfänglich enthalten. Das kleinere MS365 E5 Produkt, beinhaltet Advanced Threat Protection Funktionalität nur für die O365 Cloud Komponenten, wie Sharepoint, Teams, usw. Leider erhöht das nicht unbedingt die Transparenz der Produktbestellung. Je nach Unternehmensstrategie kann es durchaus Sinn machen, nur mit dem Funktionsumfang von O365 auszukommen, z.B.: Bring Your Own Device (BYOD) und O365 Lizenz für „Cooperation & Collaboration“.

Zusätzlich zu den Sicherheitsfeatures MS-Defender-ATP, enthält das M5 Paket weitere wichtige Vorteile, wie z.B. die Variante des Windows 10 Enterprise Betriebssystems oder das Recht einen Windows Virtual Desktop einsetzten zu dürfen. Das Microsoft Mietmodell, sieht vor, dass bis zu 5 Windows Endgeräte mit dieser Lizenz abgedeckt sind. In großen Unternehmen ist es oft auch so, dass die M5 Lizenz bereits vorhanden ist, da man sich unter anderen Aspekten bereits dafür entschieden hat. Somit sind die Mehrkosten von aktuell $22 pro Benutzer von O365 E5 auf Microsoft 365 E5, ein sehr günstiges Angebot, da andere Sicherheitsprodukte oft „per Device“ abgerechnet werden.

Technische Ausprägung und Konfiguration von Microsoft Defender ATP

Das Prinzip: Die Windows Sicherheitskomponente Microsoft Defender ATP wird als Client Agent auf dem jeweiligen Betriebssystem, Windows oder Linux, installiert. Danach wird die Steuerung über die Microsoft Cloud Plattform vorgenommen. Hier laufen auch Meldungen und Alarme auf. Diese Alarme können per E-Mail, SMS, usw. direkt an entsprechendes Fachpersonal weitergeleitet werden. Damit können Gegenmaßnahmen umgehend eingeleitet werden. Das System arbeitet regelbasierend, wobei zahlreiche Microsoft Regeln die Standardsicherheit und Maßnahmen sicherstellen. Diese Regeln können verfeinert und an spezifische Vorgaben angepasst werden. Durch dieses Verfahren, wird sichergestellt, dass eine schnelle Aktualisierung auf eine große Geräteanzahl leicht bewältigt werden kann.

Um die Komplexität des Gesamtsystems zu verdeutlichen, wird dieses Chart: „Cyber Security Referenz Architecture“ (s.u.) von Microsoft bereitgestellt.
Systemisch kann der Agent über die folgenden Funktionen ausgerollt werden: Microsoft Intune, System Center Configuration Manager, Group Policies, Local Script. Diese Bereitstellungsvorgänge können in den entsprechenden Architekturskizzen eingesehen werden.

Im Folgenden möchte ich auf die Betriebsart „Co-management Architecture“ eingehen, hierbei wird sowohl On-Premise Microsoft System Center Configuration Manager Plattform als auch Intune verwendet. Dies ist besonders interessant, weil einige Unternehmen bereits Microsoft System Center Configuration Manager einsetzen.

Die technischen Abläufe werden anhand der Ablaufnummern verdeutlicht:

Onboard devices to Microsoft Defender ATP using Microsoft Intune
and Configuration Manager

Cyber Security Referenz Architecture von Microsoft_Blogbeitrag_Login Consultants
Cyber Security Referenz Architecture_Erläuterung

Damit Intune funktioniert, muss das Client-System Azure-AD joined sein (AAD-Lizenz vorausgesetzt). Das wird über zwei Möglichkeiten erreicht, die Client-Systeme werden nur in das Azure-AD integriert (keine Verwaltung über Active Directory GPO’s mehr möglich) oder das Azure-AD und das lokale Active Directory wird im Hybrid-Modus betrieben. Dabei muss sichergestellt sein, dass nicht nur Benutzerkonten, sondern auch Computerkonten in das Azure-AD synchronisiert werden. Dies ist in der Regel nicht standardmäßig der Fall, was eine Neukonfiguration des Azure-AD-Connect Tool erforderlich macht, damit eine Synchronisation der Computerkonten stattfindet. In diesem Fall lassen sich beide Methoden zum Clientmanagement verwenden.

Microsoft Defender ATP ist ein sehr mächtiges Instrument, welches uns Microsoft an die Hand gab. Zur Client-Sicherheit gehören natürlich auch Funktionen wie Secure-Boot und Device-Guard oder Secure Guard, diese Funktionen werden in einem späteren Blog betrachtet.

Tamper-Protection vs. Microsoft Defender ATP

An Beispiel von Tamper-Protection (dt. Manipulationsschutzeinstellung) möchte ich die Unterschiede im Management von Microsoft Defender ATP aufzeigen. Zum Beispiel kann Intune die Funktion Tamper-Protection ein-/ausschalten, um das Gerät zu verwalten. Bei Microsoft System Center Configuration Manager ist diese Funktion nicht verfügbar.

Den Gedanke daher lediglich auf Intune für die Steuerung des Clients einzusetzen, verwirft man schnell wieder:

  • Intune allein ist eher für BYOD gedacht und kann kein leeres System mit einem OS bestücken! Deshalb wäre Intune lediglich für ein Management nach dem OS-Setup mit installiertem Intune Agent möglich.

  • Am obigen Beispiel sehen Sie, dass die Auswirkungen und Möglichkeiten im Zusammenwirken nicht einfach zu beantworten sind. Best Practice Vorschlag ist, dass man zunächst eine Anforderungsmatrix erstellt und im Anschluss einen Proof of Concept durchführt. Hierbei kommt die Microsoft Defender ATP Client/Managers Betriebsart „scan“ (do nothing) sehr gut zum Einsatz, um einen ersten Überblick zu gewinnen.

Die Anforderungsmatrix für die Client Steuerung sollte sich dabei mit folgenden Themen beschäftigten:

  • welche AD-Integration vorrangig verwendet wird
  • welche Cloud-Funktionen zum Einsatz kommen
  • welche infrastrukturelle Standortbedingungen wie Routing/Firewall/Bandbreite wichtig sind
  • Die erwähnte Betriebsart „scan“ (do nothing) ermöglicht, dass das Microsoft Security Operation Center lernen und später Vorschläge machen kann. Diese Vorschläge können im Anschluss sehr leicht umgesetzt werden. Damit wird der Übergang von Implementation in voll gehärteten Client sehr leicht ermöglicht.

Um die Entscheidung für Microsoft Defender ATP zu erleichtern, möchte ich zum Schluss auf die Studie „The Total Economic Impact™ Of Microsoft Windows Defender Advanced Threat Protection“ hinweisen. Diese Studie belegt sehr umfangreich die Vorteile des Produkts.

Vorteile der Microsoft Windows Defender ATP

  • um 16% schneller als die Wettbewerbsprodukte,

  • es erkennt 1,7 Mal so viel Bedrohungen und

  • es reduziert das Risiko einer Datenbeschädigung um 40% gegenüber dem Wettbewerb.

Der finanzielle Aspekt, bzw. Kostenvorteil, kann in einer aus der Studie stammenden Kostenübersicht leicht aufgezeigt werden:

Quantified Benefit And Cost Data as Applied to the Composite

Microsoft Defender ATP_Kostenvorteile_Blogbeitrag_Login Consultants

Fazit

Nach der Analyse des technischen Funktionsumfangs und den anfallenden Kosten bewerte ich den Einsatz von Microsoft Windows Defender Advanced Threat Protection ist sehr empfehlenswert!

Für diejenigen, die bereits über einen Microsoft M5 Lizenz verfügen, entstehen keine zusätzlichen Softwarekosten. Eine evtl. benötigte Lizenzerweiterung ist sehr kostengünstig. Die technische Implementation kann sehr leicht realisiert werden. Die “Kunst” besteht darin, eigene Regeln gut zu prüfen und nur nach einem sorgfältigen Testbetrieb in die Produktion einzubringen. Hier sollte ein Stufenkonzept zum Einsatz kommen.

Sicherlich lassen sich Einsparungen durch Verringerung der Bestandsvielfalt realisieren, z.B. wird keine Lizenz und Serverplattform für bisherige AV-Software benötigt. Ebenso ist davon auszugehen, dass sich der Managementaufwand für den Betrieb der AV-Funktion verringert.

Zur Vollständigkeit sehen Sie im angehängtem Chart alle Microsoft Defender Komponenten: „Cyber Security Referenz Architecture“. Daran erkennt man ein vollkommen homogenes Produkt.

Cyber Security Reference Architecture

Cyber Security Architecture_Client Security_Blogbeitrag_Login Consultants

Quellen:

Was ist Ihre Herausforderung?

Was ist Ihre Herausforderung?

Tatiana Rhode

Marketing Specialist

Tatiana Rhode

Marketing Specialist

Bild-TR
Jetzt Kontakt aufnehmen!
Summary