Das Chromium-basierte Edge bietet Unternehmen die Möglichkeit, auf einen Browser zu standardisieren. Hier sind die wichtigsten Sicherheitseinstellungen, die Sie kennen müssen. [...]
Ich bin alt genug, um mich an das kreischende Geräusch eines Modems zu erinnern, wenn es sich mit dem Internet verbindet. Heute haben wir mehr Technologie in der Tasche als ich mit Netscape Navigator und Altavista, um das World Wide Web zu erkunden, und Webbrowser sind das Portal geworden, über das wir auf die meisten unserer wichtigen Anwendungen und Dienste zugreifen. Mit dem Eintritt in die Ära des Cloud Computing und dem Ende von Adobe Flash ist es für Unternehmen an der Zeit, nicht nur einen Webbrowser zu standardisieren, sondern auch sicherzustellen, dass Ihre Einstellungen und Implementierungen so sicher wie möglich sind.
Standardisierung auf den Chromium-basierten Edge-Browser
Viele Jahre lang mussten wir mehrere Browser installieren, weil die Hersteller keine integrierten Browser unterstützten oder ihre Anwendungen auf einen Browser ausgerichtet waren. Mit dem Chrome-basierten Edge ist es möglich, zu einem einzigen Browser zurückzukehren, ohne dass Ihr Anwendungsökosystem darunter leidet.
Microsoft hat eine Sicherheits-Baseline für Microsoft Edge Version 85 veröffentlicht. Außerdem hat es das Microsoft Security Compliance Toolkit 1.0 zur Verfügung gestellt, das Informationen und Empfehlungen enthält. Mit diesem Kit können Sie Gruppenrichtlinien oder Skripte verwenden, um Ihren Edge-Browser besser gegen Bedrohungen zu härten.
Verwendung von SHA-1 signierten Zertifikaten beenden
Eine neue Einstellung im Kit für Edge Version 85, „Mit SHA-1 signierte Zertifikate zulassen, wenn sie von lokalen Vertrauensankern ausgestellt wurden“, ist veraltet (nicht mehr in der aktiven Entwicklung), wird aber benötigt, um die Migration von SHA-1 signierten Zertifikaten zu unterstützen. Microsoft wird diese Einstellung Mitte 2021 aus dem Browser entfernen und es wird keine Möglichkeit mehr geben, SHA-1 signierte Zertifikate mit Edge zu unterstützen. Migrieren Sie so schnell wie möglich von SHA-1 weg, da alle großen Browser die Unterstützung eingestellt haben. NIST hat SHA-1 im Jahr 2011 veraltet und Microsoft hat es 2017 aus Edge und Internet Explorer entfernt, da der Hash-Algorithmus anfällig für Kollisionsangriffe ist, die die Erstellung von gefälschten Zertifikaten ermöglichen.
Definieren, welche externen Apps gestartet werden sollen
Die Baseline-Dokumentation enthält auch Anleitungen für IT-Experten, um browserbasierte Anwendungen zu definieren, die eine externe Anwendung starten können. Wenn Ihr Unternehmen beispielsweise Online-Word, -Excel oder -Teams verwendet, können Sie sicherstellen, dass Ihre Benutzer keine Eingabeaufforderung erhalten, sondern die Anwendung geöffnet wird.
Erlaubte und blockierte Erweiterungen definieren
Sie können Gruppenrichtliniendateien und Vorlagen herunterladen, um den Browser besser zu steuern. So können Sie beispielsweise Richtlinien für Erweiterungen wie „ExtensionInstallAllowlist“ und „ExtensionInstallBlcoklist“ festlegen. Sie steuern, welche Erweiterungen installiert werden können bzw. nicht installiert werden können. Dies ist ähnlich wie die von Google Chrome unterstützte Gruppenrichtlinie. Ein Blocklist-Wert von „*“ bedeutet, dass alle Erweiterungen blockiert werden, sofern sie nicht explizit in der „allowlist“ aufgeführt sind.
Diese befinden sich in der Windows-Registrierung unter:
SOFTWARE\Policies\Microsoft\Edge\ExtensionInstallBlocklist
Sie setzen dann den Namen des Wertes als Zahlen wie 1, 2 oder 3 und den Namen der zu blockierenden Erweiterung als REG_SZ-Wert. Ich empfehle, zu überprüfen, welche Erweiterungen Sie im Edge-Browser installieren möchten. Angreifer oder bösartige Werbung schlängeln sich oft über Erweiterungen in Systeme ein. Ich habe auch schon erlebt, dass Erweiterungen verwendet wurden, um die Standardsuchmaschine zu übernehmen. Legen Sie eine Basislinie von Erweiterungen fest, die in Ihrem Unternehmen erlaubt sind. Prüfen und genehmigen Sie kodierte Software-Erweiterungen von Drittanbietern in einer sicheren Umgebung.
Verwenden Sie SmartScreen-Einstellungen
Eine weitere wichtige Browser-Einstellung ist SmartScreen, eine Technologie von Microsoft, die Websites scannt, um festzustellen, ob sie sicher sind. Microsoft überprüft den Inhalt von Websites und deren Reputation. Es stellt automatisch die folgenden Schutzmaßnahmen in Ihrem Browser bereit:
- Anti-Phishing- und Anti-Malware-Unterstützung
- Reputationsbasierter URL- und App-Schutz
- Integration in das Betriebssystem
- Verbesserte Heuristik und Diagnosedaten
- Verwaltung über Gruppenrichtlinien und Microsoft Intune
- Blockieren von URLs, die mit potenziell unerwünschten Anwendungen verbunden sind
Untersuchung der Browser-Isolierung
Die US Cybersecurity and Infrastructure Security Agency (CISA) empfiehlt, den Einsatz von Browser-Isolation zu untersuchen. Diese Browser-Barriere schafft eine Sperre zwischen dem Browser und dem Betriebssystem. Der gesamte Webverkehr ist nicht vertrauenswürdig. Anstatt den Browser auf der Workstation mit Gruppenrichtlinien und anderen Einstellungen zu sichern, wie in der Sicherheits-Baseline angegeben, wird durch die Browser-Isolierung die Möglichkeit geschaffen, in einer Remote-Sitzung auf einer Cloud-Bereitstellung oder einem Server im Internet zu surfen.
Die Isolationstechnologie ist nicht neu; sie wurde bisher eher von größeren Unternehmen und Regierungsbehörden verwendet. Zwei Technologien unterstützen die Browser-Isolation:
Die clientseitige Browser-Isolierung ist möglicherweise nicht so robust wie die serverseitige Browser-Isolierung, da sie keine lückenlose oder physische Isolierung bietet. Software-Schwachstellen im Betriebssystem oder in der Client-seitigen Browser-Technologie könnten zu einer Gefährdung führen.
Die Serverseitige Browser-Isolierung – oder heutzutage Cloud-basierte Browser-Isolierung – stellt eine ultimative Luftlücke zwischen Ihnen und dem Web dar. Unternehmen wie Webgap und Authentic8 ermöglichen Ihnen eine komplette Barriere zwischen Ihren Anwendern und deren Browsing-Erlebnis, ebenso wie andere Anbieter.
*Susan Bradley schreibt unter anderem für CSO.com.
Be the first to comment