Sicherheit in Netzwerken bedeutet:
Restriktive Dateirechte
Jeder Benutzer im Netzwerk hat nur die Rechte, die er auch zum Arbeiten braucht. Jede Datei, auf die ein Benutzer unnötiger Weise Zugriff hat, wird unnötig gefährdet, weil sie unbeabsichtigt gelöscht oder verändert werden könnte. Bei einer Übernahme eines PCs oder Benutzerkontos durch einen Hacker können alle Dateien gelöscht, entwendet oder verschlüsselt werden, auf die auch Benutzer zugreifen könnte. Auf eine Datei auf die der Benutzer keinen Zugriff hat, kann der Hacker nicht zugreifen. Die Angriffsfläche wird so minimiert.
Regelmäßige Datensicherung
Die Daten werden regelmäßig gesichert. Die Sicherungen sind physisch nicht an der gleichen Stelle wie die Server gelagert. Wichtig ist, dass die Sicherungen lange genug aufbewahrt werden. Oftmals werden veränderte oder gelöschte Dateien erst spät bemerkt, evtl. fällt erst nach Monaten auf, dass Daten fehlen oder verschlüsselt wurden. Wenn dann eine ältere Datensicherung nicht zur Verfügung steht, weil diese älteren Datensicherungen nicht mehr zur Verfügung stehen, dann hat man ein Riesenproblem.
Redundante Festplatten (RAID)
Festplatten, ob magnetische oder SSDs, können ausfallen. Deshalb müssen die Festplatten in Servern ausfallsicher sein. Dazu wird im einfachsten Fall jede Festplatte doppelt eingebaut und beide Festplatten werden durch eine Hard- oder Softwarelösung auf dem gleichen Stand gehalten. Man nennt das spiegeln oder RAID 1. Die Zusätzlichen Kosten sind das kleinere Übel. Die Wiederbeschaffung verlorener Daten ist evtl. gar nicht möglich oder kostet ein Vielfaches.
Unterbrechungsfreie Stromversorgungen für die Server
Server-Systeme können sehr empfindlich auf eine plötzlichen Stromausfall reagieren. Deshalb sind alle Server mit unterbrechungsfreien Stromversorgungen, im Prinzip Akkus mit einer Elektronik, die aus Akku-Gleichstrom wieder Wechselstrom macht, vor Stromausfall zu schützen.
Wichtige Ersatzteile vorrätig haben
Server laufen 24 Stunden täglich, 365 Tage im Jahr. Die Server, insbesondere die Festplatten, sind oftmals hochbelastet. Irgendwann kommt es zu Fehlfunktionen, wenn die sichere Lebenserwartung der Hardware überschritten wird. Möglichst viele Komponenten sind ausfallsicher auszuführen. Möglich und üblich sind ausfallsicherer Arbeitsspeicher (ECC RAM), redundante Festplatten (oben schon bestrochen), Netzwerkkarten, Netzteile und Lüfter. Ersatz-Festplatten, -Netzteile und auch -Netzwerkkarten sollten bereit liegen, damit bei einem Ausfall einer solchen Komponente diese sofort ersetzt werden kann. Eine Beschaffung erst im Fehlerfall ist ein vermeidbares Risiko, weil bei einem redundanten System ein Ausfall kompensiert werden kann. Folgt ein weiterer Ausfall in so kurzem Abstand, dass die Redundanz noch nicht wiederhergestellt wurde, dann sind trotzdem alle Daten verloren. Alle hochwertigen ausfallsicheren Festplattensysteme ermöglichen die Definition von Ersatzfestplatten (Spare), die schon vor dem Ausfall eingebaut werden können und dann automatisch den Betrieb aufnehmen, wenn eine der regulären Festplatten ausfällt.
Komplexe Kennwörter
Die Kennwörter von Benutzern sind hinreichend komplex. Der Administrator legt eine Mindestlänge für die Kennwörter fest, ich empfehle mindestens 8 Zeichen. Evtl. erfolgt auch eine verbindliche Minischulung, wie man geeignete Kennwörter findet. Weitverbreitet sind Kennwörter wie "12345678", das eigene Geburtsdatum oder Namen von Kindern, Frauen und Haustieren. Jemand, der einfache Kennwörter benutzt gefährdet alle Daten, auf die er Zugriff hat.
Firewall
Das Unternehmensnetzwerk ist gegenüber dem Internet mit einer Firewall geschützt. Unkontrollierte Zugriffe von außen auf das Firmennetzwerk werden so grundsätzlich erst mal verhindert.
Antiviren-Software
Auf allen Rechnern läuft eine zentralverwaltete Antiviren-Software. Auch die Email-Server sind in das Konzept mit eingebunden. Alle Emails, ob ein oder ausgehend, durchlaufen erst einen Virencheck. Alle großen Hersteller haben entsprechende Produkte im Angebot. Ich habe gute Erfahrungen mit Symantec Antivirus gemacht.
BIOS schützen und restriktiv einstellen
Es muss verhindert werden, dass der PC von einem USB-Stick oder einer externen Festplatte gestartet werden kann. Denn wenn man mit einem Fremd-Betriebssystem Zugriff auf die interne Festplatte bekommen kann, dann sind weder die Daten noch die Benutzerkennwörter der lokalen Benutzer, insbesondere der lokalen Administratoren, sicher. Die Boot-Reihenfolge sollte so eingestellt werden, dass nur von der lokalen Festplatte gestartet werden kann, kein USB-Boot, kein CD-ROM-Boot. Evtl. ist auch noch ein Starten per Netzwerkkarte über PXE sinnvoll, aber auch das ist ein gewisses Sicherheitsrisiko.
Das BIOS muss mit einem Kennwort geschützt werden, damit nicht jeder diese Einstellungen verändern kann. Das Gehäuse muss gegen das Öffnen geschützt werden, damit das BIOS-Kennwort nicht einfach durch Eingriffe im Inneren gelöscht werden kann.
Administrator-Rechte auf den Arbeitsstationen
Keine normaler Benutzer sollte auf den Arbeitsstationen Administratorrechte haben. Administratorrechte würden dafür sorgen, dass alle Benutzer auf dem lokalen System kompromittiert werden können. Es gibt dann Wege und Möglichkeiten. Es kommt noch schlimmer: Wenn man lokale Administratorrechte hat, dann können auch Benutzerkonten die auf den Server (der Domäne) angelegt wurden kompromittiert werden. Das ist vermutlich den meisten nicht bekannt, ist aber so.
Ich weiß, dass manche Anwendungs-Software nicht richtig funktioniert, wenn diese nicht als Administrator ausgeführt wird. Dies darf aber kein Grund sein, das gesamte Netzwerk zu gefährden. Richtig ist, beim Hersteller der Software darauf zu drängen, dass die Software auch ohne Adminrechte läuft oder auf ein Produkt eines anderen Herstellers zu wechseln, dessen Entwickler ihr Handwerk beherrschen und ohne Adminrechte auskommen. Technisch ist das nämlich kein Problem.
Alle lokale Administratoren müssen nach dem Beitritt in die Domäne deaktiviert, damit diese nicht dazu verwendet werden können, um Macht über die Arbeitsstationen zu bekommen.
Netzwerkkennung
Einen kleinen Betrag zur Sicherheit leistet noch die Option die Netzwerkkennung abzuschalten. Über die Netzwerkumgebung kann ein Angreifer sonst relativ bequem sehen, welche anderen Arbeitsstationen es sonst noch im Netzwerk gibt.
Die Netzwerkkennung ist standardmäßig ausgeschaltet, kann aber aus verschiedenen Gründen aktiviert worden sein. Eine gründliche Möglichkeit besteht darin, die Netzwerkkennung über Gruppenrichtlinien für alle Arbeitsstationen zu deaktivieren.
Natürlich ist mir auch bekannt, dass es Netzwerkscanner gibt, die auch ohne aktivierte Netzwerkkennung herausbekommen, welche Arbeitsstationen im Netzwerk vorhanden sind.