Im zweiten Teil dieser Blogserie werden wir die Funktionen von Google Chrome- und Microsoft Edge-Browsern in Unternehmen heute untersuchen. Diese Apps sind im Laufe der Zeit immer leistungsfähiger geworden und bieten nun Funktionen, die Sie überraschen könnten.
Das letzte Mal wir haben uns eine Richtlinie namens DefaultWebBluetoothGuardSetting angesehen, wodurch Websites direkt mit Bluetooth-Geräten kommunizieren können. Dieses Mal werden wir uns mit einer Richtlinie namens „RemoteAccessHostAllowRemoteAccessConnections“ befassen.
Diese Richtlinie dient der Verwaltung und Steuerung der Fernzugriffsfunktionen. Obwohl die Richtlinie angeblich dafür konzipiert ist, in Unternehmen Dienste wie Helpdesk und IT-Fernsupport, Fernschulung/-entwicklung und sogar Fernzugriff und Arbeitsunterstützung bereitzustellen, sind sich sowohl das Center for Internet Security (CIS) als auch die Security Technical Implementation Guides (STIG) einig, dass diese Richtlinie ausdrücklich deaktiviert und gesperrt werden sollte. Schauen wir uns an, warum.
Die Sicherheitsrisiken
Die geschäftlichen Anwendungsfälle für diese Richtlinie scheinen ziemlich einfach zu sein. Die meisten von uns hatten schon einmal Gelegenheit, die IT- oder Helpdesk-Teams zu fragen, was auf unseren Endgeräten passiert. Oft führt dies dazu, dass der Support gefragt wird, ob er die Kontrolle über das Gerät übernehmen kann, um ein Problem zu beheben oder eine Konfiguration zu korrigieren. Diese Richtlinie dient der Kontrolle und Verbesserung der Sicherheit von Remoteverbindungen, insbesondere bei der Verwendung von Chrome Remote Desktop, und legt fest, ob eine Chrome-Instanz eine Verbindung zu einem Remote-Host herstellen kann, wenn eine Remote-Verbindung initiiert wird.
Die Ergebnisse dieser Fähigkeit wären wahrscheinlich beeindruckend — wenn wir nur in einer Welt leben würden, in der Bedrohungsakteure nicht ständig auf der Suche nach Angriffen sind, die zur Ausnutzung des Unternehmens genutzt werden könnten. Da dies nicht unser Umfeld ist, muss das Unternehmen genau hinschauen, da es eine Vielzahl von Möglichkeiten gibt, wie diese scheinbar hilfreiche Politik missbraucht werden könnte.
Das erste Problem bei dieser Richtlinie besteht darin, dass Angreifer sie nutzen könnten, um unbefugten Fernzugriff herzustellen, insbesondere bei Remote-Verbindungen, die keine starke Authentifizierung bieten. Damit die Verbindung funktioniert, muss der Zielendpunkt eingeschaltet und entsperrt sein, sodass der Remote-Angreifer keine Anmeldeinformationen benötigt. Darüber hinaus kann der Angreifer jede Bewegung visualisieren, die der Zielbenutzer während der Remote-Sitzung ausführt, um auf Anwendungen oder Informationen zuzugreifen.
Ein weiteres Problem, das auftreten kann, betrifft Datenlecke/Datenexfiltration. Wenn ein Angreifer in einem Netzwerk Zugriff auf den Computer des Ziels erhält, kann diese Verbindung verwendet werden, um Daten extern zu übertragen. Die Möglichkeit eines Netzwerkeinbruchs, bei dem der Angreifer die Verbindung nutzt, um einen Brückenkopf aufzubauen und sich seitlich zu bewegen, ist durchaus möglich. Diese Richtlinie kann auch eine Problemumgehung für Sicherheitskontrollen bieten.
Maßnahmen ergreifen
In den meisten Fällen ist es am sichersten, diese Richtlinie zu deaktivieren. Beachten Sie, dass es dem Aktivieren dieser Richtlinie gleichkommt, wenn diese Richtlinie nicht eingerichtet ist. Beachten Sie auch, dass diese Richtlinie Teil der atomaren Gruppe der Fernzugriffsrichtlinien von Chrome ist. In dieser Gruppe gibt es insgesamt 24 verschiedene Richtlinien. Wenn Sie dies manuell tun, müssten Sie sich jede einzelne ansehen... und natürlich die Tausenden anderer Richtlinien berücksichtigen, die festgelegt werden können.
Ein besserer Weg: Menlo Browser Posture Manager
Browser Posture Manager, von Menlo Security, macht diesen Vorgang einfach. Wir nutzen jahrzehntelange Erfahrung in der Sicherung von Browsern für führende Unternehmen.
Mit Browser Posture Manager können Sie mit nur wenigen Klicks sehen, wie Ihre aktuellen Browserrichtlinien im Vergleich zu den Benchmarks der Sicherheitsbranche abschneiden. Laden Sie einfach Ihre Browsereinstellungen als.JSON-Datei hoch und wählen Sie den Benchmark aus, den Sie sehen möchten. Sie erhalten sofort eine vollständige Liste Ihrer aktuellen Richtlinien sowie eine einfache Erklärung, was die einzelnen Richtlinien tatsächlich bewirken.
Das Beste ist jedoch, dass Menlo Browser Posture Manager diese Optionen nicht für Sie vorschreibt. Unsere Erfahrung mit der Sicherung des Browsers für einige der größten Organisationen der Welt hat unsere Überzeugung bestätigt, dass jedes Unternehmen anders ist.
Erfahren Sie mehr darüber, wie Browser Posture Manager von Menlo Sicherheit einfach machen kann hier.
