Neu Das Whitepaper zur kontinuierlichen Sicherheitsvalidierung 2026 ist verfügbar. Whitepaper lesen →
Referenz · 8 Defensive Operations & Governance

Host- & Netzwerk-Härtung.

Linux-Operator-Härtung, TCP/IP-operative Notizen für Detection-Engineers, AD-Defense aus Defender-Sicht und Data-Center-Host-Härtung, wo physischer Zugriff und Hersteller-Patches sich kreuzen.

Linux-Operator-Hygiene

  • Account-Disziplin.
    • Keine geteilten interaktiven Accounts; ein Mensch → ein Account → ein SSH-Key.
    • Service-Accounts: kein Passwort, keine Shell, nur sshd-ForceCommand oder systemd-managed.
    • sudo statt su; Per-Command-Grants in /etc/sudoers.d/, kein Blanket-ALL.
    • SSH-Key-Rotation: Enrollment via Central-CA (SSH-Certificates mit TTL) statt authorized_keys-Files.
    • Root-SSH-Login disabeln (PermitRootLogin no), Password-Auth disabeln (PasswordAuthentication no).
  • Package-Supply-Chain.
    • Signed-Package-Erzwingung: gpgcheck=1 + repo_gpgcheck=1 auf yum/dnf; apt-secure-Defaults intakt.
    • Keine untrusted Repositories; trusted Upstream in internes Repo mit signed Metadata mirroren.
    • Für Container: Image-Signing (cosign/Notation) + Admission-Policy, die Unsigned ablehnt.
    • SBOM-Generierung pro Build (syft, trivy); Diff gegen letzten Build am Gate.
  • Kernel-Surface-Verschärfung.
    • sysctl kernel.kptr_restrict=2, kernel.dmesg_restrict=1, kernel.yama.ptrace_scope=2.
    • Module-Loading: kernel.modules_disabled=1 nach Boot wenn dynamisches Laden nicht benötigt.
    • AppArmor/SELinux im Enforcing-Mode für Daemons.
    • auditd-Rules für Module-Load, Executable-Mmap-from-Tmp, Sensitive-File-Access.
    • IMA / dm-verity für Boot-Time-Integrity auf Appliance-style Hosts.

TCP/IP-Notizen für Detection-Engineers

  • Scanner-Handshake-Tells.
    • nmap-SYN-Scan: RST returned bei Closed; kein RST bei Open (SYN-ACK gefolgt von RST vom Scanner).
    • masscan: extrem hohe Source-Port-Rotation, kein Kernel-State, SYN-only.
    • zmap: ähnlich, distinktive IP-ID = 54321 by default.
  • Fragmentations-Evasion. IDS, das nicht reassembled, verpasst fragmentierte Signaturen. Moderne Suricata/Zeek reassemblen. Auf winziges erstes Fragment mit Header-truncating Offsets achten.
  • State-Table-Sizing. Conntrack-Limits (net.netfilter.nf_conntrack_max) — Exhaustion droppt neue Connections. Hash-Size nf_conntrack_buckets = max/4. Auf tatsächlichen Peak-Concurrent-Flow tunen.
  • Timeout-Wahlen.
    • TCP-Established: 5 Tage Default; auf 1 Tag reduzieren bei Speicher-Druck.
    • UDP: 30 Sek Default; per-Flow lang-laufendes UDP braucht Increase.
  • JA3/JA4-Fingerprinting. Hash der TLS-ClientHello-Felder. Gleiche Client-Software = gleicher Fingerprint unabhängig von Source-IP. Mächtige Detektionsachse für Stuffer-Traffic.

AD-Defense — Begleiter zur AD-Pentest-Referenz

  • Kerberoasting-Detektion. Event 4769 mit TGS-Request für SPN eines User-Accounts mit RC4 (eType=0x17). Auf Volumen zu einem einzelnen User alarmieren.
  • AS-REP-Roasting. "Do not require Kerberos preauthentication"-Attribut auf allen Accounts disabeln. Auf 4768 AS-REQ mit Preauth=0 alarmieren.
  • DCSync-Detektion. Event 4662 mit Properties die 1131f6aa-9c07-11d1-f79f-00c04fc2dcd2 (DS-Replication-Get-Changes) enthalten. Bekannte Replikations-Accounts filtern.
  • Golden-Ticket-Detektion. 4624 mit LogonType=3, NetworkInfo-Blank-Fields. Mimikatz-style PAC-Anomalien. Vorgebaute Rule in Defender for Identity, Microsoft DART-Playbooks.
  • Constrained-Delegation-Missbrauch. msDS-AllowedToDelegateTo-Änderungen auditen (Event 5136). Unconstrained-Delegation überall wo möglich inventorisieren und entfernen.
  • Tier-0-Isolation. Domain-Controller, AD-Admins, PKI — eigene dedizierte Tier ohne shared Workstations, shared Service-Accounts, separate Jump-Hosts.
  • LAPS. Local-Admin-Password-Solution. Random pro Host, rotiert, nur von autorisierten Accounts abrufbar. Killt Pass-the-Hash-Lateral.
  • Credential-Guard / RDP-Restricted-Admin. Verhindert NTLM-/Kerberos-Credential-Exposure auf Jump-Hosts.

Data-Center-Host-Härtung

  • Firmware / BMC. iLO, iDRAC, IPMI auf Management-VLAN, nicht in Produktion. Default-Credentials geändert. Firmware auf dokumentierter Kadenz gepatched; Vendor-Advisories monitort.
  • Secure-Boot + Measured-Boot. TPM-backed wo unterstützt. PCR-Werte monitort; Drift = mögliches Firmware-Tamper.
  • Physischer Zugriff. Bezel-Locks, Cage-/Cabinet-Access-Logs, Tamper-Evident-Seals auf Chassis. Console (Serial / KVM) via auditierbarem Terminal-Server, nicht direkt.
  • Disk-Verschlüsselung. LUKS (Linux) / BitLocker (Windows) mit TPM-gebundenem Key. Mitigiert Drive-Pull-Diebstahl. Nicht Online-Kompromittierung.
  • Out-of-Band-Update-Path. Plan für "wir müssen patchen, aber können nicht durch normales Change-Window" — physische oder BMC-Console.
FaustregelFür die meisten Enterprises ist der größte Hardening-ROI "LAPS + Tier-0-Isolation + Credential-Guard" auf Windows-Seite und "SSH-CA + Sudoers-per-Command + auditd-Module-Load" auf Linux-Seite. Alles andere ist inkrementell darauf.

Verwandte Notizen in dieser Domain

Von der Referenz zum Befund

Validieren Sie das in Ihrer eigenen Umgebung.