Checkliste zur Härtung

Bereitstellung des Administrationsservers

• Installieren Sie den Administrationsserver auf einem dedizierten physischen oder virtuellen Server.
• Verwenden Sie den dedizierten Server nicht, um andere Dienste auszuführen.
• Installieren Sie den Administrationsserver (im Weiteren auch "Server" genannt) nicht auf einem:
  • Domänencontroller
  • Terminalserver
  • Benutzergerät

Verbindungssicherheit

• Konfigurieren Sie eine Firewall, um den Zugriff auf das Gerät des Servers über alle Ports und Protokolle, mit Ausnahme der vom Server benötigten Ports, einzuschränken. Erlauben Sie den Zugriff auf das Gerät des Servers nur von vertrauenswürdigen Geräten.
• Konfigurieren Sie eine Allow-Liste mit IP-Adressen für die Server-Ports, die zur Verbindung der Kaspersky Security Center Web Console (im Weiteren auch "Web Console" genannt) mit dem Server verwendet werden.
• Konfigurieren Sie die Firewall, um den Zugriff auf den Server mittels Web Console nur von vertrauenswürdigen Geräten zu erlauben.
• Konfigurieren Sie das TLS-Protokoll in Version 1.2 oder höher auf dem Server.
• Konfigurieren Sie eine Firewall, um den Zugriff auf das Gerät mit dem installierten DBMS des Servers einzuschränken.
• Konfigurieren Sie die SSL-Authentifizierung zwischen dem Server und dem DBMS (MySQL oder PostgreSQL).

Benutzerkonten und Autorisierung

• Konfigurieren Sie Zwei-Faktor-Authentifizierung (TOTP, RFC 6238) für den Serverzugriff.
• Installieren Sie die Authentifikator-Anwendung nicht auf demselben Gerät, von dem aus die Verbindung zum Server über die Web Console hergestellt wird.
• Verwenden Sie für den Zugriff auf den Server eine Multi-Faktor-Authentifizierung (MFA) anhand eines Tokens, einer Smartcard oder Ähnlichem.
• Erstellen Sie eine dedizierte Administrationsgruppe für das Gerät des Servers und erstellen Sie eine spezielle Sicherheitsrichtlinie dafür.
• Schränken Sie die Anzahl der Benutzer mit der Rolle "Hauptadministrator" ein.
• Konfigurieren Sie die Berechtigungen zum Zugriff auf Serverfunktionen basierend auf Rollen von Benutzern und Gruppen.
• Erlauben Sie die Remote-Installation von Anwendungen nur für ein separates Benutzerkonto.
• Überprüfen Sie regelmäßig auf dem Gerät des Servers alle Benutzer.

Verwaltung des Schutzes des Administrationsservers

• Installieren Sie auf dem Gerät des Servers eine Sicherheitsanwendung:
  • Für einen physischen Server: Kaspersky Endpoint Security
  • Für einen virtuellen Server: Kaspersky Security for Virtualization
• Erstellen Sie eine separate Richtlinie für den Schutz des Servers und wenden Sie diese an (separat von den Sicherheitsrichtlinien anderer verwalteter Geräte).
• Aktivieren Sie in der Sicherheitsanwendung alle verfügbaren Schutzmodule.

Erstellung von Richtlinien und Aufgaben für verwaltete Kaspersky-Anwendungen

• Erstellen und wenden Sie Richtlinien für die folgenden Anwendungen auf alle verwalteten Geräte oder auf die Gruppe mit neuen verwalteten Geräten an:
  • Administrationsagent
  • Kaspersky Endpoint Security für Windows/Linux/macOS
  • Kaspersky Endpoint Agent (oder andere Kaspersky-Anwendungen)
• Aktivieren Sie den Kennwortschutz gegen die Deaktivierung des Schutzes oder die Deinstallation von Kaspersky-Anwendungen.
• Sperren Sie die Richtlinieneinstellungen ( schließen Sie das "Schloss"), um zu verhindern, dass diesen Einstellungen auf verwalteten Geräten Änderungen zugewiesen werden.
• Erstellen Sie eine geplante Aufgabe zur vollständigen Untersuchung aller Geräte.
• Aktivieren Sie die Verwendung von Kaspersky Security Network (KSN) und akzeptieren Sie die aktuellste KSN-Erklärung.
• Konfigurieren Sie die Gerätesuche und geben Sie eine Standard-Administrationsgruppe für neu erkannte Geräte an.
• Schränken Sie die Verwendung automatischer Regeln für das Verschieben von Geräten zwischen Administrationsgruppen ein.
• Schützen Sie Verteilungspunkte vor unbefugtem Zugriff.
• Vermeiden Sie die automatische Zuweisung von Verteilungspunkten in kleinen oder kritischen Netzwerken.

Wartung des Administrationsservers

• Löschen oder deaktivieren Sie nicht die folgenden Aufgaben:
  • Backup
  • Wartung des Administrationsservers
• Installieren Sie regelmäßig Updates für das Betriebssystem und die Software von Drittanbietern.

Übertragung von Ereignissen an Systeme von Drittanbietern

• Konfigurieren Sie die Überwachung und Berichterstattung von Sicherheitsereignissen.
• Konfigurieren Sie den Export von Ereignissen in ein SIEM-System.
• Konfigurieren Sie Serverbenachrichtigungen für:
  • Audit-Ereignisse
  • Kritische Ereignisse
  • Fehlerereignisse und Warnungen

Sicherheitsempfehlungen für Drittanbieter-Informationssysteme

• Wenden Sie die Sicherheitsempfehlungen der CIS-Benchmarks auf die verwendeten Betriebssysteme, DBMS und Hypervisoren an.
• Befolgen Sie für Astra Linux die Sicherheitsempfehlungen der entsprechenden Version des Red Books.
• Befolgen Sie für RED OS die Empfehlungen aus der offiziellen RED OS-Dokumentation.

Nach oben