= Brauchen Sie Rat zur Sicherung des Netzwerks =

![ ](httpswww.redditstatic.com/desktop2x/img/renderTimingPixel.png)

Hallo Redditor-Kollegen. Bitte geben Sie mir alle offenen Ratschläge.

Ich habe eine neue Herausforderung bekommen, eine neue Rolle, ein neues Umfeld. Und nach einigen jüngsten „böswilligen Aktivitäten von Seiten böser Schauspieler“ ist die Sicherheit von größter Bedeutung.

Was ist

Sie haben also ein kleines virtuelles Rechenzentrum, das extern gehostet wird. Business-App-Server, AD- und DFS-Dateiserver, Citrix-Infrastruktur, einige Citrix-Desktop-Server. Benutzer melden sich bei den Citrix-Desktops an, führen ihre M365- und Geschäftsanwendungen aus und erledigen ihre Arbeit. Die colo-Hosts kümmern sich um regelmäßige Backups, EP-Schutz, helfen bei Admin-Aufgaben etc.

Benutzer haben MS365-Konten für E-Mail und Anwendungen. Die meisten Daten befinden sich immer noch auf dem FS, aber einige davon wurden nach Teams/SP/OneDrive verschoben. Es besteht keine Verbindung zwischen dem Colo-AD und den MS365-Konten.

Desktops in den verschiedenen Büros sind ein heißes Durcheinander. Die sind meistens Windows 10, aber es gibt kein AD. Sie werden im Wesentlichen als Terminals eingerichtet, wobei sich jeder über Chrome beim Citrix-Setup anmeldet. AV ist eine Kombination aus Trend (meistens) und Windows Defender.

**Was ist passiert**

Die bösen Jungs kamen herein, machten Unfug und verursachten Ausfallzeiten. Da wurde ich gerufen. In Zusammenarbeit mit den Hosts konnten wir Maschinen und Daten aus Backups wiederherstellen, wieder in Betrieb nehmen und die gewonnenen Erkenntnisse gewinnen.

**Was wir gemacht haben**

In der Zwischenzeit haben wir frühere schlechte Praktiken wieder aufgeholt. Alle Server wurden auf den aktuellen Stand gepatcht. Passwörter mussten laufend geändert werden. 2FA wird so schnell wie möglich für alle Benutzer eingeführt. Die Anzahl der Admin-Konten wurde stark reduziert. IPS auf der Firewall. Aggressive Schutzpolitik. Im Idealfall tun wir alles Sinnvolle, um „das Rechenzentrum“ zu sichern.

**Was wir machen müssen**

Sobald wir einen Perimeter um das Colo-DC (100 % 2FA) gesichert haben, möchte ich unbedingt die Desktops sichern. Wir haben weder eine Infrastruktur für lokale DCs noch ein Site-to-Site-WAN. Ich brauche hier Rat.

Kann ich bestehende MS365-Konten als eine Art „AD in der Cloud“ nutzen? Ich weiß, dass wir MS-Konten verwenden können, um uns bei einem Windows 10-PC anzumelden – fügen Sie ihn unserer MS365-Domäne hinzu, da es keinen besseren Begriff gibt – aber ich habe keine Ahnung, was uns das bringt? Welche Art von Kontrolle, Sichtbarkeit? Richtlinien?

Gibt es dafür eine robustere Ressource (Azure AD und wenn ja, Vor- und Nachteile? Kosten?


Vorschläge, wie man diese verschiedenen Katzen (PCs) am schnellsten und effektivsten bekämpft? Möchten Sie die Möglichkeit haben, einige grundlegende Richtlinien zu entfernen, zu überwachen, zu erzwingen, Software und Einstellungen von einer Konsole hinzuzufügen/zu entfernen/durchzusetzen?

Vorschläge für ein AV-Paket. Die Hälfte von dem, was ich gelesen habe, besagt, dass Defender in Ordnung ist. Die andere Hälfte scheint anderer Meinung zu sein und besteht darauf, dass wir etwas Drittes brauchen. Ich bin mir ziemlich sicher, dass es keine "Defender Console"gibt?

Angesichts der allgemeinen Situation, was würde jemand, jeder empfehlen? Danke für das konstruktive Feedback!

Ich gehe davon aus, dass sich diese MS365-Konten alle im selben Mandanten befinden und Sie ein Azure AD haben, das Sie bereits verwalten?

Dieser Thread kann bei einigen Ihrer Fragen helfen: httpswww.reddit.com/r/Office365/comments/jjf8j9/azure_ad_microsoft_intune_to_replace_onprem_ad/

Aber im Grunde wollen Sie sich ansehen, was inTune ist. Dadurch können Richtlinien (wie GPOs) vom Portal auf Ihre Flotte angewendet werden.

Defender ist für ein AV in Ordnung, aber Microsoft Defender for Endpoints (Aka ATP) ist das, was Sie für die zusätzlichen Sicherheitsebenen benötigen.

httpsdocs.microsoft.com/en-us/windows/security/threat-protection/microsoft-defender-atp/microsoft-defender-advanced-threat-protection

Wissen Sie, wie es zu dem Verstoß kam? Das herauszufinden, sollte Teil des Umweltschutzes sein. Sehen Sie sich den CISA Alert (AA20-275A) Potential for China Cyber ​​Response to Heightened U.S.â Tensions für spezifische Citrix-Schwachstellen an, die von staatlich geförderten und anderen böswilligen Akteuren genutzt werden, um zu erfahren, wie etwas passiert ist, um Schritte zu unternehmen um es zu verhindern.

Was ist Ihr Budget im Allgemeinen für diese Übung?

== Über die Gemeinschaft ==

Mitglieder

Online