Absicherung Ihres Jamf Servers 2018. 4. 10.آ  Befehlszeilen- und Scripting-Tools, z.B. mit...

download Absicherung Ihres Jamf Servers 2018. 4. 10.آ  Befehlszeilen- und Scripting-Tools, z.B. mit أ¤lteren

If you can't read please download the document

  • date post

    24-Jan-2021
  • Category

    Documents

  • view

    0
  • download

    0

Embed Size (px)

Transcript of Absicherung Ihres Jamf Servers 2018. 4. 10.آ  Befehlszeilen- und Scripting-Tools, z.B. mit...

  • Sie können Ihren Jamf Server auf verschiedenen Betriebssystemen wie macOS, Windows und Linux hosten.

    Sie müssen dabei sicherstellen, dass der Jamf Server und alle unterstützenden Technologien, einschließlich des Server-Betriebssystems, Java, Apache Tomcat und MySQL, auf dem neuesten Stand sind und Ihren eigenen internen Sicherheitsstandards entsprechen. Dieses Dokument enthält einige grundlegende Empfehlungen, mit denen Sie Ihren Jamf Server und die zugrunde liegende Infrastruktur stets auf dem neuesten und sichersten Stand halten.

    Absicherung Ihres Jamf Servers

    Weitere Informationen darüber, wie ie mit Jamf Pro eine individuell zugeschnittene

    Lernerfahrung in Ihrer Organisation schaffen, finden Sie unter www.jamf.com/de

    WHITE PAPER

  • INHALT:

    Serverbetriebssystem

    Sie können den Server auf jedem Server hosten, der die im Abschnitt „Requirements“ des „Jamf Pro Administrator’s Guide“ (http://www.jamf.com/resources/casper-suiteadministrators- guide/) genannten Anforderungen bzw. die Systemanforderungen für Jamf Pro (http://www.jamf.com/resources/casper-suite-systemrequirements/) erfüllt. Gegebenenfalls sollten Sie jedoch weitere Maßnahmen treffen, um das Serverbetriebssystem zusätzlich abzusichern. Die konkreten Maßnahmen hängen vom jeweiligen Betriebssystem ab: • Gastzugang deaktivieren • Automatische Anmeldung deaktivieren • Nicht benötigte Service-Accounts entfernen • Alle Standardpasswörter entfernen bzw. zurücksetzen • Berechtigungen der Accounts auf das erforderliche Minimum beschränken • Prozesse auf das erforderliche Minimum beschränken • Verfügbare Ports und Netzwerkdienste kontrollieren

    Java

    Der Jamf Server und die zugrunde liegenden Technologien (Apache Tomcat) basieren auf dem Java Development Kit (JDK) mit unbegrenzt leistungsfähigen Java Cryptography Extensions (JCE). Es wird empfohlen, die neueste Version von JDK auszuführen, die auf dem gewählten Betriebssystem unterstützt wird: Jamf Nation Informationsdatenbankartikel—https://jamf.com/jamf-nation/articles/28/installing-java-and-mysql

    • Update auf die neueste Version von JDK, einschließlich JCE-Dateien mit unbegrenzter Leistungsfähigkeit (ggf. manuelle Installation erforderlich)

    Jamf Server

    JAMF SERVER Serverbetriebssystem

    Java Apache Tomcat

    MySQL Jamf Server

    VERTEILUNG VON INHALTEN Dateifreigaben

    Skripte

    VERWALTETE GERÄTE macOS Computer

    FileVault 2

  • Apache Tomcat

    Apache Tomcat ist ein Open-Source-Webserver, der von der Apache Software Foundation entwickelt und gepflegt wird und für den Betrieb des Jamf Servers verwendet wird. Die folgenden Empfehlungen sollen Sie dabei unterstützen, die Aktualität und Sicherheit von Apache Tomcat zu gewährleisten: Die meisten der folgenden Empfehlungen für Tomcat stammen von OWASP: https://www.owasp.org/index.php/Securing_tomcat

    • Datei server.xml ändern

    • Nur HTTPS nutzen, HTTP deaktivieren: comment non-SSL HTTP connector on port 8080/9006: • Starke Verschlüsselung konfigurieren: bei SSL-Connector an Port 8443 Option „ciphers“ wählen:

    Jamf Nation Informationsdatenbankartikel—https://www.jamf.com/jamf-nation/articles/384/configuring- suppported-ciphers-for-tomcat-https-connections

    Empfehlungen von OWASP (siehe unten)—https://www.owasp.org/index.php/Securing_tomcat#Encryption

  • • Aktivierte SSL-Protokolle konfigurieren: ‘sslEnabledProtocols’ bei SSL-Connector an Port 8443 verwenden Das Attribut “sslEnabledProtocols” aerfordert ggf. auch „SSLv2Hello“ für die Verwendung mit bestimmten

    Befehlszeilen- und Scripting-Tools, z.B. mit älteren Versionen von cURL; und „SSLv3“ ist ggf. noch für die Verwendung mit JDS Version 9.6 oder früher erforderlich, ist aber auch für POODLE anfällig. „TLSv1.2“ ist das bevorzugte Protokoll, doch „TLSv1“ bzw. „TLSv1.1“ sind möglicherweise noch erforderlich, um ältere Browser und Betriebssysteme zu unterstützen.

    • Zugriffsprotokollierung aktivieren: Kommentierung aufheben bzw. Folgendes hinzufügen: Valve className=“org.apache.catalina.valves.AccessLogValve”:

    • Connector so ändern, dass der Serverversions-String in Antwortheadern nicht aufgeführt wird:

    „server=”Apache”“ bei Connector-Definitionen:

    • ServerInfo.properties aktualisieren, um eine Offenlegung der Serverversion zu verhindern: CATALINA_HOME/server/lib/catalina.jarorg/apache/catalina/util/ServerInfo.properties

    • standardmäßige Fehlerseite ersetzen, um eine Offenlegung der Serverversion zu verhindern)

    • gültiges SSL-Zertifikat – Herausgeber, Common Name (CN), Ablauf

    • bei Bedarf web.xml so ändern, dass bestimmte Web-Applikationsservlets eingeschränkt werden

  • MySQL

    MySQL ist ein relationales Datenbankverwaltungsprogramm, das von Oracle entwickelt und gepflegt wird. Der Jamf Server verwendet MySQL als Datenbank-Backend für die Speicherung und Pflege der Systemdaten. Sie müssen zusätzlich darauf achten, dass diese Technologie stets auf dem neuesten Stand und sicher ist. Bei dieser Aufgabe können Sie die folgenden Empfehlungen unterstützen:

    • Falls verfügbar, führen Sie das standardmäßige, im Lieferumfang von MySQL enthaltene Skript ‘mysql_secure_ installation’ aus:

    • Falls „mysql_secure_installation“ nicht verfügbar ist, gehen Sie folgendermaßen vor: • Legen Sie ein Passwort für den Benutzer „root“ von MySQL fest • Entfernen Sie alle Berechtigungen für den anonymen Benutzer • Entfernen Sie die Datenbank „test“ und alle zugehörigen Berechtigungen

    • Ändern Sie den Vorgabewert der Anmeldedaten (jamfsoftware/jamfsw03) für den MySQL-Benutzer jamfsoftware und beschränken Sie die Berechtigungen auf das erforderliche Minimum:

    Hinweis: Wird das Datenbankpasswort aus der Konfigurationsdatei entfernt, muss es beim Start der Webanwendung von Jamf Server sowie auch bei jedem einzelnen Knoten in einer Cluster-Umgebung eingegeben werden.

    • Datenbank-Backups terminieren:

    Jamf Nation Informationsdatenbankartikel—https://www.jamf.com/jamf-nation/articles/126/backing-up-the- database

    macOS: /usr/local/mysql/bin/mysql_secure_installation

    Ubuntu: /usr/bin/mysql_secure_installation

    Windows (included as part of the MySQL Installer for Windows MSI; requires Perl to run separately or after installation): perl C:\Program Files\MySQL\MySQL Server x.x\bin\mysql_secure_installation.pl

    ## For stand-alone web application or master node in clustered environments: GRANT INSERT, SELECT, UPDATE, DELETE, CREATE, DROP, ALTER, INDEX, LOCK TABLES ON .* TO ‘’@’’ IDENTIFIED BY ‘’;

    ## For child node in clustered environments: GRANT INSERT, SELECT, UPDATE, DELETE, LOCK TABLES ON .* TO ‘’@’’ IDENTIFIED BY ‘’;

    ## To view connections from cluster nodes with different MySQL users: GRANT PROCESS ON *.* TO ‘’@’’ IDENTIFIED BY ‘’;

  • • peichern Sie die Anmeldedaten nicht in der Datei DataBase.xml – entfernen Sie den Schlüssel oder geben Sie einen leeren Wert ein:

    Jamf Servereinstellungen

    Der Jamf Server verfügt über zusätzliche sicherheitsrelevante Einstellungen, die aktiviert werden können, um sicherzustellen, dass die Verwaltungskonsole so sicher wie möglich ist. Bitte beachten Sie die folgenden Empfehlungen für die Einstellungen in der Jamf Serverkonsole:

    • Konfigurieren der Kennwortrichtlinie für Jamf Server-Benutzer-Accounts: „Einstellungen“ > „Systemeinstellungen“ > „Jamf Server Benutzeraccounts & Gruppen“ > „Kennwortrichtlinie“ • Passwortanforderungen: Mindestlänge, minimale/maximale Gültigkeit, Verlauf, Komplexität • Accountsperrung • Zurücksetzen von Passwörtern: Benutzern das Zurücksetzen erlauben • Erforderliches Minimum an Berechtigungen für alle Accounts und Gruppen • Protokollierung der Änderungsverwaltung aktivieren (bei Jamf Cloud-Instanzen automatisch aktiviert): „Einstellungen“ > „Systemeinstellungen“ > „Änderungsverwaltung“ • Das Leeren des Protokolls in angemessenen Zeitabständen terminieren: „Einstellungen“ > „Systemeinstellungen“ > „Protokoll leeren“ • Zertifikatsbasierte Authentifizierung aktivieren: „Computer“ > „Verwaltungseinstellungen“ > „Sicherheit“ • Verifizierung des SSL-Zertifikats aktivieren (prüfen Sie, ob der Jamf Server über ein gültiges Webserverzertifikat verfügt, bevor Sie diese Option aktivieren): „Computer“ > „Verwaltungseinstellungen“ > „Sicherheit“ • Für Self-Service Benutzerauthentifizierung verlangen: „Computer“ > „Verwaltungseinstellungen“ > „Self- Service“

    Dateifreigaben

    Der Jamf Server gestattet das Verteilen von Inhalten an Client-Computer. Daher müssen Sie sich überlegen, wie Sie die Verteilung von Inhalten absichern. Beachten Sie bitte die folgenden Empfehlungen:

    • HTTPS nutzen, HTTP deaktivieren • Authentifizierung für Downloads konfigurieren – Anmeldedaten der Benutzer oder Zertifikat • Möglichst Client-Zertifikat/gegenseitige SSL-Validierung verlangen • Service-Accounts mit Lese- bzw. Lese- und Schreibberechtigungen voneinander trennen

    ... jamfsoftware jamfsoftware