Product Hardening (Security)
Ziel
Das Ziel des Produkt Hardening ist es, die Möglichkeiten der Ausnutzung von Verwundbarkeiten zu reduzieren, um dadurch besser vor Angriffen geschützt zu sein.
Verwundbarkeiten werden z.B. für einen Identitätsdiebstahl ausgenutzt, resultierend daraus für die anstehende Erpressung oder Betriebsspionage. Aus diesem Grund sollten entsprechende Schutzmaßnahmen aktiviert werden, die folgende Ziele verfolgen:
- Reduktion der Möglichkeiten zur Ausnutzung von Verwundbarkeiten
- Minimierung der möglichen Angriffsmethoden
- Beschränkung der einem Angreifer nach einem erfolgreichen Angriff zur Verfügung stehenden Werkzeuge
- Minimierung der einem Angreifer nach einem erfolgreichen Angriff zur Verfügung stehenden Privilegien
- Erhöhung der Wahrscheinlichkeit der Entdeckung
Grundsätzliche Empfehlungen
Matrix42 empfiehlt, einige grundsätzliche Dinge bei der Konfiguration und des Betriebs von Empirum zu berücksichtigen. Einige darüberhinausgehende Konzepte zur Absicherung der allgemeinen IT-Betriebssicherheit (beispielsweise Microsoft ESAE und Abschirmung des Netzwerkes mittels Firewalls und ähnliches) sind nicht Teil dieses Dokuments.
Benutzer und System Accounts
Verwenden Sie möglichst für jede Aufgabe dedizierte Active Directory Accounts bzw. lokale Accounts. Insbesondere auf den Servern verwendete Accounts für Dienste, Synchronisationsaufgaben oder Administration sollten nicht als Accounts für Agent-Zugriffe zum Server bzw. Domain-Join während der Betriebssysteminstallation genutzt werden.
- Vergeben Sie so wenig Rechte wie möglich und so viele Rechte wie nötig.
Grundsätzlich kann Empirum so konfiguriert werden, dass auf einem verwalteten Computer keine Benutzer und Passwortinformationen hinterlegt werden müssen. Dies wird durch die Verwendung der zertifikatbasierten Authentifizierung oder der Anmeldung per Computer Domänen Account beim Zugriff vom Client/Depot auf den Empirum Server ermöglicht.
Agent Konfiguration
Der UEM-Agent Windows ermöglicht die Verwendung des so genannten Software-Push. Diese Methode ist eine Ad-hoc-Alternative zum standardmäßigen Pull-basierten Installationsbefehl. Sie verwendet einen offenen UDP-Port 10043, der es dem Empirum-Masterserver ermöglicht, Installationsbefehle direkt an den Computer zu senden. Da diese Operation derzeit keine Authentifizierung verwendet, empfehlen wir, die Einstellung "Software-Push zulassen" in der Konfiguration des Agententemplates zu deaktivieren, da unerwünschte Installationsbefehle gesendet werden können, um Installationen aus der Empirum-Softwarebibliothek durchzuführen oder den Computer neu zu starten.
Verwenden von Passwörtern in Empirum
Matrix42 bietet Kunden die Möglichkeit, in Software Paketen eigene Variablen mit dem Typ Passwort zu verwenden, um diese während der Ausführung nutzen zu können. Diese sind zwar nicht lesbar gespeichert, können aber wieder im Klartext ausgegeben werden, um sie in Installationsskripts verwenden zu können. Dies ist systembedingt nicht zu verhindern. Grundsätzlich haben normale Benutzer keinen Zugriff auf die Steuerdateien mit den verschlüsselten Daten, lokale Administratoren können diesen aber erlangen. Somit wird empfohlen, diese Skript-Passwörter nur dann zu nutzen, wo keine Alternativen (Single Sign on, Matrix42 MyWorkspace) zur Verfügung stehen.
Zusätzlich zu den in Skripten verwendbaren Passwörtern nutzt Empirum für die internen Komponenten (Depotserver Synchronisation mit EmpSync, Agenten) eine auf AES256 basierte Verschlüsselungsvariante, für die keine Komponente bereitgestellt wird, die diese wieder in Klartext umwandeln kann. Da diese Variante auf einem Shared Secret Verfahren beruht, kann nicht ausgeschlossen werden, dass mit lokalem Zugriff auch eine Entschlüsselung möglich sein kann.
Matrix42 empfiehlt diese für alle Empirum Agent Konfigurationen und Depotsynchronisation zu verwenden, wo eine Nutzung von Zertifikaten oder Computer Konten nicht möglich ist.
Bei der Konfiguration der "Subdepot" und "Subdepot Webservices Configuration" Pakete ist die Nutzung von Variablen notwendig, da bei der Installation diverse PowerShell Skripts verwendet werden. Die relevanten INI Dateien, in denen diese Informationen gespeichert werden, werden nicht auf verwaltete Computer kopiert bzw. dort vorgehalten, sondern stehen nur diesen Servern zur Verfügung.
Ablage der Konfigurationsdateien
Die Konfigurationsdateien, in denen Kennwörter hinterlegt werden, sind durch NTFS Berechtigungen vor unprivilegiertem Zugriff auf den verwalteten Computern geschützt.
- Computername.ini: Computer und benutzerspezifische Datei mit Konfigurationsinformationen für Installationspakete. Es wird jeweils nur die eigene Datei lokal gespeichert.
- AgentTemplate.xml: Allgemeine Konfigurationsdateien des Empirum Software Management Agent und der OS Installation. Es werden alle Konfigurationsdateien lokal gespeichert. Diese Datei enthält bei Nutzung der zertifikatbasierten oder Computer Konten Authentifizierung keine Kennwörter.
Der Interpreter Setup.exe
Der Interpreter "Setup.exe" wird für die Abarbeitung von Empirum Skripten durch den Empirum Agenten verwendet. Hier gibt es im Abschnitt [Encryption] in der Standard-Setup.inf die Möglichkeit, die Empirum eigenen Verschlüsselungen (Setup, Sync) entschlüsseln zu lassen, um sie in der Skriptabarbeitung an Befehle übergeben zu können.
Das heißt, ein solches Passwort (Setup, Sync) kann durch einen einfachen ECHO-Befehl im Klartext ausgegeben werden.
Betroffene Verschlüsselungsmethoden: Setup, Sync
Konfiguration des Master Servers
Die Standard Empirum Installation ist so konzipiert, dass diese möglichst in jeder Kunden-Konstellation direkt funktionsfähig ist.
Um einen Betrieb zu gewährleisten, der erhöhten Sicherheitsanforderungen genügt, empfiehlt es sich, einige konfigurative Maßnahmen durchzuführen. Zudem sind je nach Kundensituation, beispielsweise wenn Computer aus dem Internet direkt auf Empirum Server im eigenen Netzwerk zugreifen sollen, weitere Maßnahmen notwendig.
ODBC Verbindungen
Verwenden Sie die neueren Microsoft ODBC Treiber für SQL-Server, die ab Empirum v18.0 direkt unterstützt werden. Diese unterstützen Kerberos und TLS.
Absichern der Windows Dienste auf dem Empirum Server
Verwaltete Dienstkonten (Managed Service Accounts) sind bestimmte Benutzerkonten im Active Directory, die zur Verwendung als Benutzerkonto von lokalen Diensten geeignet sind. Nicht Administratoren verwalten die Kennwörter dieser Konten, sondern das Active Directory übernimmt diese Tätigkeit automatisch. Administratoren müssen das Kennwort weder kennen noch ändern.
Absichern der Empirum Freigaben
Matrix42 liefert “Best Practice” Vorgaben für einen abgesicherten Betrieb in einer AD Umgebung in der Online-Hilfe. Diese können manuell entsprechend der Tabelle konfiguriert, oder mittels des Empirum Subdepot Pakets automatisiert konfiguriert werden. Dazu muss auf dem Masterserver die Variable SET_NTFS_RIGHTS vor dessen Ausführung auf 1 gesetzt werden und im Anschluss wieder auf 0 (ansonsten würde dies bei jeder Installation des Paketes wiederholt werden). Auf Empirum Depot-Servern wird dies bei der ersten Installation automatisiert erfolgen.
Zusätzlich ist es möglich, die NTFS-Rechte Lesen und Ausführen für die Gruppe Jeder im Ordner Confgurator\User zu entfernen. Stellen Sie sicher, dass nur UEM-Agent-basierte Methoden für die Installation und Ausführung von Inventory und Personal Backup verwendet werden. Die Ausführung von Inventory über Configurator$\User\InvScan_XML.bat als Benutzer wird beispielsweise nicht funktionieren. Es ist geplant, in einer kommenden Empirum-Version standardmäßig die sicherere Rechtestruktur zu verwenden.
Sogenannte NULL Session Shares werden nicht mehr benötigt und können entfernt werden. Neuinstallationen legen diese nicht mehr an.
Nutzung von https mit einem gültigen Zertifikat
Alternativ zur Nutzung von SMB ist es möglich, Softwareverteilung, Betriebssysteminstallation, Patch Management, Inventarisierung und auch die Synchronisierung der Depots per https zu betreiben. Damit entfällt die Notwendigkeit, dass End-Benutzer bzw. der Agent auf die Windows Freigaben der Depots zugreifen muss. Zudem überprüft der Agent die Echtheit des Zertifikats um sogenannte “Man-in-the-Middle” Attacken zu unterbinden. Zusätzlich ist eine Authentifizierung der Computer mittels Zertifikats möglich (siehe unten).
Absichern des Transport Layer Security (TLS)
TLS besteht aus den beiden Hauptkomponenten TLS Handshake und TLS Record. Abhängig vom dort verwendeten Verschlüsselungsalgorithmus und der Größe des Records ist es Angreifern durch vorheriges Mitlesen von verschlüsselten Nachrichten möglich, eine erfolgreiche Attacke durchzuführen. Betroffen ist hierbei die Kommunikation zwischen IIS und den Clients, so dass die vorzunehmenden Einstellungen auf dem oder den Depot(s) durchzuführen ist.
Weiterführende Informationen zu diesem Thema finden Sie in den beiden folgenden Links:
https://bobcares.com/blog/how-to-fix-sweet32-birthday-attacks-vulnerability-cve-2016-2183/2/
Verwendung der Paketvalidierung
Softwarepakete werden vor der Ausführung - mittels eines Hash - auf ihre Unversehrtheit überprüft. Diese Validierung stellt sicher, dass ein Softwarepaket über die gesamte Transportkette hinweg nicht bewusst oder versehentlich manipuliert wurde. Diese Einstellung wird ausdrücklich empfohlen.
Verwendung der Digitalen Signatur von Metadaten
Um die Herkunft der Pakete zweifelsfrei sicherstellen zu können, werden die relevanten Metadateien mit einer digitalen Signatur versehen. Diese Einstellung wird empfohlen.
Weitere Informationen entnehmen Sie der Online-Hilfe.
Empirum Depot Synchronisation
Bis zur Empirum Version 20.0 wird das Programm EmpSync zur Depotsynchronisation verwendet. Die Konfiguration des verwendeten Benutzer Accounts erfolgt über Variablen. Der verwendete Benutzer benötigt gemäß der Berechtigungsvorgaben in der Hilfe entsprechende Lese- und Schreibrechte auf dem Empirum Master Server. Der Benutzer sollte ausschließlich für diesen Zweck verwendet werden. Die Kennwörter werden mit AES256-Verschlüsselung hinterlegt, um eine Entschleierung mit Bordmitteln zu verhindern.
Ab Empirum Version 20.0 besteht die Möglichkeit, die in den UEM Agent integrierte Depot Synchronisation zu verwenden. In diesem Fall gelten die für den UEM Agent konfigurierten Einstellungen zum Zugriff auf den Empirum Master Server. Dies ermöglicht die Nutzung der passwortlosen Authentifizierung und wird daher empfohlen.
Datenbankzugriff auf aktive Depots
Aktive Depots mit PXE/WOL-Diensten können in einer Online- und Offline-Variante betrieben werden. Bei der Online-Methode werden die Informationen zum Datenbankzugriff lokal auf dem Depot-Server in der computer.ini (Passwortvariable) und der Registry gespeichert. Bei der Offline-Methode werden keine Datenbankzugriffsinformationen auf dem Depotserver gespeichert, da die Kommunikation über Dateien und den bereits etablierten Dateisynchronisationsmechanismus des Depotservers erfolgt.
LDAP Sync
Der LDAP-Sync Dienst unterstützt die sichere Verbindung über Port 636 zum Active Directory out-of-the-box. Dafür ist keine spezielle Einstellung für den Dienst notwendig.
E-Mail-Versand
Der E-Mail-Versand für konfigurierte Alarme erfolgt immer über eine sichere Verbindung (TLS) mit Benutzerauthentifizierung.
Zugriff der verwalteten Computer auf den Empirum Server
Der Empirum Agent (Windows UEM Agent bzw. Advanced Agent und macOS Agent) arbeitet lokal mit einem System-Account. Zur Anmeldung am Empirum Server (Master oder Depot) werden mehrere Varianten angeboten:
- Benutzer Account: Wir empfehlen hier einen normalen Domänen Benutzer ohne weitere AD Gruppen Berechtigungen zu verwenden. Eine interaktive Anmeldung muss nicht erlaubt werden. Im Agent Template ist ein AES256 verschlüsseltes Passwort hinterlegt. Beachten Sie den Hinweis zur Passwortverschlüsselung.
- Zertifikatbasierte Authentifizierung: Sehr sicher. Im Agent Template sind Dummy Benutzer und Passwörter hinterlegt. Dies ist aktuell nur für https Kommunikation unterstützt.
- Computer Domänen Konto: Sehr sicher. Im Agent Template sind Dummy Benutzer und Passwörter hinterlegt. Die ist aktuell nur für SMB Kommunikation unterstützt.
Agent Anmeldung mit Benutzer und Passwort
Verwenden Sie bei der Konfiguration des Agent Benutzers über die SUBDEPOT Variablen PASSWORD_1 - _3 die interne Empirum Verschlüsselung (AES256).
Bei Verwendung von DHCP Optionen besteht die Möglichkeit, nur den Servernamen zu nutzen und keinen Benutzer und Passwort anzugeben. In diesem Fall wird die im Agent Template hinterlegte Authentifizierung des Ausfall-Servers verwendet. Sollten Sie DHCP Optionen mit Benutzer und Passwort verwenden, empfehlen wir die AES256 Variante zu verwenden.
Matrix42 empfiehlt die Nutzung der zertifikatbasierten Authentifizierung, oder des Computer Domänen Accounts. In diesen Fällen werden keine nutzbaren Passwörter im Agent Template gespeichert.
Weitere Informationen entnehmen Sie der Online-Hilfe.
Agent Anmeldung mit zertifikatbasierter Authentifizierung
Durch die alternative Verwendung von https mit zertifikatsbasierter Authentifizierung kann auch ohne Benutzer Accounts in den Konfigurationsdateien auf den Computern gearbeitet werden. Der Empirum Agent (Windows und macOS) verwendet ein Computer Zertifikat zur Authentifizierung. In den Steuerdateien sind keine verschlüsselten Agent Benutzer Passwörter lokal vorhanden.
Die Verwaltung und Konfiguration der Zertifikate inkl. der https Unterstützung auf den Empirum Servern erhöht die Komplexität und muss abgewogen werden. Empirum bietet mit dem "Webservice Configuration" Paket eine komfortable Lösung zur Konfiguration der Empirum Server. Zudem existiert ein Knowhow-Center Beitrag zur Einrichtung einer AD Zertifikatsstelle.
Weitere Details können der Online-Hilfe entnommen werden.
Agent Anmeldung mit Computer Domänen Konto
Durch die Verwendung des Computer Domänen Kontos (Windows UEM Agent mit SMB Protokoll) kann auch ohne Benutzer Accounts in den Konfigurationsdateien auf den Computern gearbeitet werden. Der verwaltete Computer nutzt das Computer Konto im Active Directory. Dies ermöglicht ein dediziertes Entziehen der Berechtigung durch Deaktivieren oder Entfernen des Computer Kontos.
Beachten Sie, dass die Freigaben und NTFS Berechtigungen auf den Empirum Servern entsprechend erweitert werden.
Betriebssysteminstallation (WinPE basiert)
Die Betriebssysteminstallation erfolgt per WinPE und verwendet zur Konfiguration des Server-Zugriffs ein Agent Template. Zusätzlich werden Variablen verwendet, um einige Paketspezifische Einstellungen vorzunehmen.
Verwenden Sie einen dedizierten Benutzer Account mit eingeschränkten Rechten zum Zugriff auf den Empirum (Depot) Server. Dieser wird ausschließlich während der Installationsphase genutzt und dessen Information ist später auf dem verwalteten Computer nicht mehr vorhanden.
Matrix42 empfiehlt die Verwendung von verwalteten lokalen Administratorkennwörtern (LAPS), anstatt ein allgemein verwendetes Kennwort über die WindowsInstallationsvariablen "BuiltinAdministratorActive" und "BuiltinAdministratorPassword" anzugeben.
Domain-Join während oder nach der Betriebssysteminstallation
Im Zuge der Installation eines Microsoft Windows Betriebssystems ist i.d.R. der Join (die Aufnahme) des Computers in die Domäne erwünscht. Dafür ist eine Authentifizierung mit einem Benutzer erforderlich, der mindestens über die Berechtigung eines Kontenoperator verfügt. Hierfür wird ein dedizierter Benutzer empfohlen, der keine weiterführenden Rechte besitzt.
Empirum Web Console (EWC)
Die Empirum Web Konsole verwendet eine mitgelieferte Apache Tomcat Version und Open JDK Java Treiber. Diese werden regelmäßig bei Updates der Empirum Version aktualisiert. Wir empfehlen Kunden, die nicht regelmäßig die neueste Empirum Version einsetzen, bei Bekanntwerden von Sicherheitskritischen Fehlern, diese zu aktualisieren.
Matrix42 bietet Kunden einen Knowledge-Base Artikel zur Installation eines Reverse Proxy im IIS um eine Nutzung via https zu ermöglichen.