Aanbevelingen voor de beveiliging van de voorkeursserver

Aanbevolen beveiligingspraktijken voor de voorkeursserverconfiguratie

In dit artikel worden belangrijke beveiligingsaanbevelingen beschreven voor het configureren van voorkeursservers om een veilige en efficiënte toepassing van updates in uw omgeving te garanderen. Deze richtlijnen hebben betrekking op het gebruik van HTTPS- en SMB-protocollen, de juiste authenticatiemethoden, FQDN-vereisten (Fully Qualified Domain Name) en configuraties die de risico's die gepaard gaan met onveilige verbindingen, minimaliseren.

Belangrijkste beveiligingsaanbevelingen

1. Vermijd het gebruik van IP-adressen

   Voorkeursservers moeten worden geconfigureerd om volledig gekwalificeerde domeinnamen (FQDN's) te gebruiken in plaats van gewone IP-adressen. Dit garandeert compatibiliteit en veiligheid tussen protocollen:

   • Voor HTTPS:

     • Certificaten moeten overeenkomen met de FQDN van de server. Als u een IP-adres gebruikt voor de server-URL, wordt het certificaat ongeldig.

     • Een ongeldig certificaat kan de integriteit van gegevens in gevaar brengen en het volledig uitschakelen van certificaatvalidatie verhoogt het risico aanzienlijk omdat het man-in-the-middle-aanvallen mogelijk maakt.

     • Controleer altijd of de certificaten kloppen. Als ze niet overeenkomen, blokkeer dan de verbinding om de veiligheid te behouden.

   • Voor SMB (UNC-paden):

     • Kerberos-verificatie is de voorkeursmethode en vereist het gebruik van een FQDN. Zonder deze verificatie wordt teruggevallen op NTLM, wat minder veilig is.

2. Geef de voorkeur aan Kerberos-verificatie

   Kerberos zou waar mogelijk de standaardverificatiemethode moeten zijn, omdat het veiliger is dan NTLM:

   • Waarom Kerberos beter is:

     • Wachtwoorden worden nooit naar de doelserver verzonden. In plaats daarvan gebruikt Kerberos ondertekende tickets die door een domeincontroller worden gevalideerd om servertoegang te verlenen.

     • Tickets zijn serverspecifiek en kunnen niet worden hergebruikt om toegang te krijgen tot andere machines. Hierdoor wordt het risico op misbruik van referenties verminderd.

   • Terugval naar NTLM:

     • NTLM v1 mag nooit worden gebruikt omdat het zeer kwetsbaar is voor aanvallen zoals hash cracking.

     • NTLM v2 kan als fallback worden gebruikt, maar is minder veilig dan Kerberos. Maak wachtwoorden langer om de NTLM v2-beveiliging tegen brute force-aanvallen te versterken.

3. SMB-protocolversie en -configuratie

   SMB-protocolversies en -configuraties spelen een belangrijke rol bij het beveiligen van bestandsoverdrachten. Volg deze richtlijnen:

   • SMB v1 uitschakelen:

     • Het is verouderd, onveilig en standaard uitgeschakeld op moderne systemen. Schakel SMB v1 nooit in of gebruik het niet.

   • SMB-ondertekening inschakelen (SMB v2):

     • Beschermt tegen replay-aanvallen door ervoor te zorgen dat elk bericht wordt geverifieerd.

   • Geef de voorkeur aan SMB v3 met codering:

     • SMB v3 ondersteunt zowel ondertekening als codering. Codering beschermt gegevens tijdens de overdracht, zodat zelfs gebruikers op hetzelfde netwerk de inhoud van bestanden niet kunnen bekijken.

4. Schrijven vs. Leesreferenties

   Maak onderscheid tussen schrijfreferenties (gebruikt door de synchronisatieagent) en leesreferenties (gebruikt door eindpunten) bij het configureren van voorkeursservers:

   • Schrijfreferenties:

     • Deze zijn gevoeliger omdat ze de synchronisatieagent in staat stellen bestanden te uploaden naar de voorkeursserver. Zorg altijd voor veilige configuraties (bijvoorbeeld Kerberos of SMB v3 met codering) voor schrijfbewerkingen.

   • Leesreferenties:

     • Wordt door eindpunten gebruikt om updates op te halen. Hoewel veilige configuraties de voorkeur hebben, kan het beperken tot alleen veilige protocollen compatibiliteitsproblemen met oudere systemen tot gevolg hebben. Zorg voor een evenwicht tussen beveiligingsvereisten en operationele behoeften.

5. Standaardbeveiligingsmodi

   De volgende standaardbeveiligingsinstellingen worden aanbevolen voor omgevingen om voorkeursserverconfiguraties te beschermen:

   • Veilige verbindingen afdwingen voor schrijfbewerkingen:

     • De synchronisatieagent mag alleen veilige SMB-configuraties gebruiken bij het schrijven naar de voorkeursserver. Wijs onveilige instellingen af, zoals SMB v1 of NTLM v1.

     • Als de beheerder ervoor kiest om onveilige SMB-verbindingen toe te staan, zal dit het risico vergroten.

   • Onveilige verbindingen toestaan voor leesbewerkingen (optioneel):

     • Voor eindpunten die leesreferenties gebruiken, kunt u indien nodig het gebruik van minder veilige protocollen toestaan ter ondersteuning van oudere of niet-gepatchte systemen. Beperk dit echter tot specifieke scenario's en wees u bewust van de risico's.

6. Wachtwoord- en referentiebeveiliging

   Zorg voor sterke verificatiepraktijken:

   • Gebruik complexe wachtwoorden, bij voorkeur langer dan 14 tekens, om brute force-wachtwoordkraken voor NTLM v2 te beperken.

   • Vermijd basisverificatiemethoden, zoals het verzenden van gebruikersnamen en wachtwoorden in platte tekst of base64-codering.

Overzicht

Door de bovenstaande aanbevelingen op te volgen, kunt u de blootstelling aan beveiligingsrisico's verminderen en tegelijkertijd de compatibiliteit binnen uw organisatie behouden. Geef altijd prioriteit aan Kerberos-authenticatie, gebruik FQDN's, pas SMB v3-versleuteling toe en valideer certificaten zorgvuldig om een veilige voorkeursserverconfiguratie te realiseren.

Voor verdere assistentie kunt u contact opnemen met Ivanti Support.