In einem Fachartikel zum Thema forensische Nachbearbeitung von Angriffen wurde ich auf einen interessanten Punkt aufmerksam.
Tatsächlich ist es manchmal gar nicht so einfach, die Quelle eines Angriffes nachzuverfolgen.
Die Auswertung der “Browser-History” wird erschwert, wenn diese deaktiviert wurde.
Aber auch andere Gründe sprechen dafür, einen “Proxy” einzusetzen.
Im Grunde funktioniert das ganz einfach.
Die Computer im Netzwerk dürfen nicht mehr direkt auf das Internet zugreifen sondern alle nutzen dafür den Proxy. Der funktioniert als “Verteiler”.
Die notwendigen Einstellungen dafür sind in den Programmen bereits enthalten.
In größeren Unternehmen, bei denen die Windows- und Programm Aktualisierungen zentral verwaltet werden, kann man einen weiteren Vorteil daraus ziehen.
Nutzt man z.B. einen alternativen Browser wie z.B. Firefox, dann wird nur dort der Proxy eingetragen. Im Windows System dagegen nicht.
Schadsoftware, die auf den Computer gelangt ist in der Regel relativ “klein” und muss sich aus dem Internet weitere Komponenten nachladen.
Da der Internetzugang aber blockiert und der Proxy auch nicht als Standard im System eingetragen wurde, werden die Zugriffe jedoch blockiert.
So gelangt zwar das eigentliche Schadprogramm auf den Computer.
Weil das “Nachladen” aber nicht möglich ist, werde meist keine Aktionen ausgeführt.
Ein einfacher und wirksamer, zusätzlicher Schutz.