Ist es ein Vogel? Ist es ein Flugzeug? Nein, es ist das MDVM!
Hallo Allerseits,
gefühlt jeden Monat kommt ein neues Microsoft Defender Produkt auf den Markt. Da fällt es mitunter schwer, dieses technisch und fachlich zuordnen bzw. einschätzen zu können. Darüber hinaus kommt dann noch die Komplexität des Lizenz-Dschungels hinzu. In Sachen Lizenzen halte ich mich raus, hier müsst ihr die Machete selbst schärfen und euch durchkämpfen. Eine grobe Orientierung zum Lizenzthema beim Microsoft Defender Vulnerability Management (MDVM) findet ihr hier: Compare Microsoft Defender Vulnerability Management plans and capabilities | Microsoft Learn
Intro
Kommen wir zu den technischen Features. Das Microsoft 365 Defender Portal (https://security.microsoft.com/) ist die zentrale Security-Instanz für Unternehmen, welche Produkte aus dem Microsoft Defender Kosmos einsetzen. In diesem Portal werden die Daten von vielen Defender-Produkten angezeigt und miteinander verzahnt (MDI, MDE, MDO, MDCA, MDAV, um nur einige Produkt-Abkürzungen zu nennen). Früher mussten wir dazu viele verschiedene Portale übereinanderlegen und gegen das Licht halten, um die Zusammenhänge verschiedener Defender Produkte zu erahnen, heute wird dies zum Glück korreliert angeboten. Die jetzige Herausforderung liegt allerdings darin, in der schieren Menge an Informationen nicht unterzugehen.
Microsoft Defender Vulnerability Management (MDVM) ist eine Erweiterung für Microsoft Defender for Endpoint (MDE). Die neuen MDVM-Optionen integrierten sich in die altbekannte MDE-Optik. Die integrierte Verzahnung wird auch in der Lizenz-Vergleichsliste eindeutig (siehe Link). Ist keine Lizenz vorhanden, dann bemerkt man die nicht vorhandenen MDVM Features bei Betrachtung eines Computers (Registerkarte „Advanced features“) im „Device Inventory“:
Ist die Lizenz hingegen vorhanden, dann kommen verschiedene neue Features hinzu, welche ich hier kurz vorstellen mag. Zwingende Voraussetzung für MDVM ist das Onboarding der Endpoints (Clients + Server) in MDE.
MDVM Features
- Hardware + Firmwarebewertung
Verschiedene Hardware-Faktoren (Laptop-, Desktop-, Servermodell-, Prozessor- und BIOS-Bestand) werden eingesammelt und seitens MDVM bewertet. Der Bestand und die Bewertungen können dann im Security Portal unter „Endpoints -> Inventories“ eingesehen werden. Durch die Bewertungen können Empfehlungen abgeleitet werden, wie z.B. Firmware- oder Treiberupdates einzuleiten. Die Notwendigkeit BIOS Firmware Updates durchzuführen, wurde uns in jüngster Vergangenheit wieder eindrucksvoll klargemacht.
2. Bewertung von Browsererweiterungen
Browsererweiterungen können ohne administrativen Kontext installiert werden. Sollte die Installation von Browsererweiterungen nicht zentral unterbunden werden, dann können Endanwender aus einem riesigen Portfolio an Erweiterungen frei wählen. Leider gibt es in diesem Umfeld auch ein paar schwarze Schafe. Hier hilft die Bewertung seitens MDVM, welches die Browsererweiterungen nach Kritikalität bewertet. Die zentrale Steuerung der erwünschten oder nicht erwünschten Browsererweiterungen ist somit die logische Konsequenz aus dieser Bewertung.
3. Bewertung durch Security Baselines
Security Baselines werden dazu verwendet, um den eigenen Gerätezoo mit branchenspezifischen Sicherheitsvergleichstests abzugleichen. Hierzu werden sogenannte Baselines verwendet, welche mit den Unternehmensrechnern (Clients + Server) verglichen werden. Abweichungen von diesen Baselines werden dann durch einen Konformitätsstatus dargestellt. Diese Baseline Bewertungen sind eine spannende Angelegenheit, wichtig sind natürlich die daraus resultierenden Umsetzungen von aufgezeigten Verbesserungsmöglichkeiten.
4. Bewertung des Zertifikatsbestands
Durch die Inventur des im Unternehmen vorhandenen Zertifikatsbestands können abgelaufene oder bald ablaufende Zertifikate identifiziert werden. Darüber hinaus können Sicherheitsrisiken z.B. aufgrund schwacher Signaturalgorithmen erkannt werden. Der daraus entstehende Arbeitsablauf ist aus meiner Sicht nicht zu unterschätzen, da hierfür gegebenenfalls verschiedene Zertifikatsspeicher bereinigt und erneuert werden müssen.
5. Anfällige Anwendungen blockieren
Das Blocken von anfälligen Anwendungen kann als Sofortmaßnahme verstanden werden. Damit kann den zuständigen Teams Zeit gegeben werden, potenziell anfällige Anwendungen zu patchen oder zu ersetzen. Hierzu wird eine Wartungsanforderung im Security Portal erstellt, welche dann z.B. die betroffene Anwendung auf eine Block-Liste setzt. Sobald die Wartungsarbeiten dann erledigt worden sind, kann die Anwendung wieder freigegeben werden.
6. Netzwerkfreigabeanalyse
Mit der Netzwerkfreigabeanalyse können sicherheitsanfällige Netzwerkfreigaben einfach identifiziert werden. Allein der Wildwuchs an Netzwerkfreigaben in größeren Netzwerkumgebungen ist häufig schon katastrophal. Wenn diese dann auch noch von Haus aus Schwachstellen aufweisen, ist dies ein gefundenes Fressen für Angreifer. Klasse sind die Sicherheitsempfehlungen, welche die Korrekturmaßnahmen direkt mitliefern.
7. Authentifizierter Scan für Windows
Ähnlich wie bei Defender for IoT oder der Netzwerkgeräteerkennung kommt hier ein zu installierender Scanner zum Einsatz. Dieser kann auf speziell dafür auserwählten Clients oder Servern installiert werden. Dieser Scanner wird dann dazu verwendet, um ungemanagte Geräte zu scannen und auf Softwarerisiken zu überprüfen. Die bessere Idee wäre natürlich, die betroffenen Geräte in einen gemanagten Zustand zu bringen.
Fazit
MDVM bringt aus meiner Sicht ein paar interessante Betrachtungen mit. Meine persönlichen Highlights sind die Kritikalitäts-Bewertungen der Browsererweiterungen, sowie der eingesetzten Firmwareversionen. Für sehr hilfreich halte ich auch die Netzwerkfreigabeanalyse, die wertvolle Ergebnisse und die dazugehörigen Korrekturmaßnahmen liefert.
Machen wir uns aber nichts vor: die Informationsmenge wird durch die MDVM Erweiterung noch weiter erhöht. Wer mit den Microsoft 365 Defender Produkten arbeiten will, der sollte gut organisiert sein, um den Benefit der aufgearbeiteten Daten auch gewinnbringend umsetzen zu können.
Die IT-Security-Szene ist gerade in den letzten Jahren auf Grund diverser Umstände sehr stark in Bewegung. Microsoft beweist durch die stetige Weiterentwicklung seiner Defender Produkte, hier durchaus mithalten zu können.
Produktwebseite: https://www.microsoft.com/en-us/security/business/threat-protection/microsoft-defender-vulnerability-management