Sicherheitsempfehlungen für bevorzugte Server

Empfohlene Sicherheitspraktiken für die Konfiguration "Bevorzugte Server"

Dieser Artikel beschreibt wichtige Sicherheitsempfehlungen für die Konfiguration "Bevorzugte Server", um eine sichere und effiziente Anwendung von Updates in Ihrer Umgebung zu gewährleisten. Diese Leitlinien behandeln die Verwendung von HTTPS- und SMB-Protokollen, geeignete Authentifizierungsmethoden, FQDN-Anforderungen (Fully Qualified Domain Name) und Konfigurationen, die darauf ausgelegt sind, die mit unsicheren Verbindungen verbundenen Risiken zu minimieren.

Wichtige Sicherheitsempfehlungen

1. Verwendung von IP-Adressen vermeiden

   Bevorzugte Server müssen so konfiguriert werden, dass sie vollqualifizierte Domänennamen (FQDNs) anstelle von Roh-IP-Adressen verwenden. Dadurch sind Kompatibilität und Sicherheit über alle Protokolle hinweg gewährleistet:

   • Für HTTPS:

     • Zertifikate müssen mit dem FQDN des Servers übereinstimmen. Die Verwendung einer IP-Adresse für die Server-URL führt zur Ungültigkeit des Zertifikats.

     • Ein ungültiges Zertifikat kann die Datenintegrität gefährden. Die vollständige Deaktivierung der Zertifikatsvalidierung erhöht das Risiko erheblich, da Man-in-the-Middle-Angriffe nicht mehr ausgeschlossen sind.

     • Überprüfen Sie Zertifikate immer und blockieren Sie die Verbindung, wenn die Zertifikate nicht übereinstimmen, um die Sicherheit zu gewährleisten.

   • Für SMB (UNC-Pfade):

     • Die Kerberos-Authentifizierung ist die bevorzugte Methode und erfordert die Verwendung eines FQDN. Ohne diese Option wird die Authentifizierung auf NTLM zurückgegriffen, das weniger sicher ist.

2. Kerberos-Authentifizierung bevorzugen

   Kerberos sollte nach Möglichkeit die Standard-Authentifizierungsmethode sein, da es sicherer ist als NTLM:

   • Vorteile von Kerberos:

     • Kennwörter werden zu keinem Zeitpunkt an den Zielserver gesendet. Stattdessen verwendet Kerberos signierte Tickets, die von einem Domänencontroller validiert werden, um Serverzugriff zu gewähren.

     • Tickets sind serverspezifisch und können nicht für den Zugriff auf andere Maschinen wiederverwendet werden, wodurch das Risiko eines Missbrauchs der Anmeldeinformationen verringert wird.

   • Fallbacks auf NTLM:

     • NTLM v1 sollte in keinem Fall verwendet werden, da es sehr anfällig für Angriffe wie Hash-Cracking ist.

     • NTLM v2 kann als Fallback verwendet werden, ist aber weniger sicher als Kerberos. Erhöhen Sie die Kennwortlänge, um den NTLM v2-Schutz vor Brute-Force-Angriffen zu verstärken.

3. SMB-Protokollversion und -Konfiguration

   SMB-Protokollversionen und -Konfigurationen spielen eine wichtige Rolle bei der Sicherung von Dateiübertragungen. Beachten Sie folgende Leitlinien:

   • SMB v1 deaktivieren:

     • SMB v1 ist veraltet, unsicher und auf modernen Systemen standardmäßig deaktiviert. Aktivieren oder verwenden Sie niemals SMB v1.

   • SMB-Signierung aktivieren (SMB v2):

     • Schützt vor Replay-Angriffen, indem sichergestellt wird, dass jede Nachricht überprüft wird.

   • SMB v3 mit Verschlüsselung bevorzugen:

     • SMB v3 unterstützt sowohl Signierung als auch Verschlüsselung. Durch die Verschlüsselung werden die Daten während der Übertragung geschützt, sodass selbst Benutzer im selben Netzwerk den Dateiinhalt nicht einsehen können.

4. Schreib- und Lese-Anmeldeinformationen

   Unterscheiden Sie beim Konfigurieren bevorzugter Server zwischen Schreib-Anmeldeinformationen (werden vom Synchronisierungsagenten verwendet) und Lese-Anmeldeinformationen (werden von Endpunkten verwendet):

   • Schreib-Anmeldedaten:

     • Diese sind sensibler, da sie dem Synchronisierungsagenten das Hochladen von Dateien auf den bevorzugten Server ermöglichen. Erzwingen Sie für Schreibvorgänge immer sichere Konfigurationen (z. B. Kerberos oder SMB v3 mit Verschlüsselung).

   • Lese-Anmeldedaten:

     • Werden von Endpunkten zum Abrufen von Updates verwendet. Obwohl sichere Konfigurationen zu bevorzugen sind, kann die Beschränkung auf ausschließlich sichere Protokolle zu Kompatibilitätsproblemen mit älteren Systemen führen. Bringen Sie daher Sicherheitsanforderungen und betriebliche Erfordernisse in Einklang.

5. Standardsicherheitsmodi

   Zum Schutz bevorzugter Serverkonfigurationen werden für Umgebungen die folgenden Standardsicherheitseinstellungen empfohlen:

   • Sichere Verbindungen für Schreibvorgänge erzwingen:

     • Der Synchronisierungsagent sollte beim Schreiben auf den bevorzugten Server nur sichere SMB-Konfigurationen verwenden. Lehnen Sie unsichere Einstellungen wie SMB v1 oder NTLM v1 ab.

     • Wenn der Administrator unsichere SMB-Verbindungen zulässt, erhöht dies das Risiko.

   • Unsichere Verbindungen für Lesevorgänge zulassen (optional):

     • Erlauben Sie für Endpunkte, die Lese-Anmeldeinformationen verwenden, bei Bedarf die Verwendung weniger sicherer Protokolle, um ältere oder nicht gepatchte Systeme zu unterstützen. Beschränken Sie dies jedoch auf bestimmte Szenarien und seien Sie sich der Risiken bewusst.

6. Sicherheit von Kennwörtern und Anmeldeinformationen

   Stellen Sie starke Authentifizierungsverfahren sicher:

   • Verwenden Sie komplexe Kennwörter, vorzugsweise mit mehr als 14 Zeichen, um das Knacken von Kennwörtern mit Brute-Force-Methoden für NTLM v2 zu verhindern.

   • Vermeiden Sie grundlegende Authentifizierungsmethoden, wie die Übertragung von Benutzernamen und Kennwörtern im Klartext oder in Base64-Kodierung.

Übersicht

Wenn Sie die oben genannten Empfehlungen befolgen, können Sie die Anfälligkeit für Sicherheitsrisiken verringern und gleichzeitig die Kompatibilität in Ihrem Unternehmen aufrechterhalten. Priorisieren Sie stets die Kerberos-Authentifizierung, verwenden Sie FQDNs, erzwingen Sie die SMB v3-Verschlüsselung und validieren Sie Zertifikate sorgfältig, um eine sichere Einrichtung bevorzugter Server zu erreichen.

Wenden Sie sich für weitere Unterstützung an den Ivanti Support.