Sie sehen die Flagge von Österreich

BMD
Österreich

Sie sehen die Flagge von Deutschland

BMD
Deutschland

Sie sehen die Flagge der Schweiz

BMD
Schweiz

Sie sehen die Flagge von Ungarn

BMD
Magyarország

Sie sehen die Flagge der Slowakei

BMD
Slovensko

Sie sehen die Flagge von Tschechien

BMD
Česko

Sie sehen die englische Flagge

BMD
International

Sie sehen die Flagge von Österreich AT
Suchen

NTCS Hardening Guide

1. ALLGEMEINES

Diese Anleitung dient dazu eine bestehende NTCS-Installation möglichst sicher zu gestalten. Dabei werden sowohl Einstellungen seitens des Betriebssystems als auch der NTCS beschrieben bzw. empfohlen.

Diese Anleitung richtet sich an versierte Administratoren. Es ist kundenseitig abzuwägen, welche Einstellungen umgesetzt werden können, ohne andere Software, welche ebenfalls im Einsatz ist, negativ zu beeinflussen. Bei dieser Anleitung wird von einem System ausgegangen, bei dem ausschließlich die NTCS Software im Einsatz ist.

Bei einigen Maßnahmen ist eine sichere Umgebung vorrangiger als ein bestimmter Komfortgewinn.
 

2. BETRIEBSSYSTEME

Grundvoraussetzung ist, dass das aktuellste Microsoft Betriebssystem sowohl am Client als auch am Server verwendet wird, welche laut Systemvorausetzungen freigegeben sind.
 

2.1. Betriebssystem Patches

Das Betriebssystem muss auf den aktuellsten Patchstand sein und nur die unbedingt notwendige Software sollte darauf installiert sein. Im Sinne eines ganzheitlichen Sicherheitskonzeptes muss jegliche zusätzliche installierte Software ebenfalls entsprechend auf dem aktuellen Stand gehalten und mögliche Sicherheitslücken müssen geschlossen werden.
 

2.2. Verwendete SSL Protokolle

Es sollten alle derzeit unsichere Protokolle für die SSL-Verschlüsselung am Server deaktiviert werden. Dies gilt vor allem für SSL 3.0. Zusätzlich sollten die Verschlüsselungsverfahren auf nur sicher geltende Verfahren eingeschränkt werden.

Dazu empfiehlt es sich entweder über diverse Drittanbieter die notwendigen Einstellungen vorzunehmen ( www.nartac.com/Products/IISCrypto ) oder alternativ die Settings via GPO oder Registry Werte anzupassen (siehe https://support.microsoft.com/en-us/help/245030/how-to-restrict-the-use-of-certain-cryptographic-algorithms-and-protoc ).

Wird der Server auch als Webserver eingesetzt, so muss bzw. kann die Prüfung der aktiven Protokolle sehr einfach über diverse Webdienste erfolgen (https://www.SSLlabs.com/ssltest/).
 

3. SQL-SERVER

3.1. SQL CU

Der SQL-Server muss nach der Installation mit allen relevanten Servicepacks oder CU Updates upgedatet werden. Auf dem BMD Setup Medium befindet sich nicht das aktuellste CU von Microsoft.
Auf dieser Seite kann das aktuellste CU heruntergeladen und installiert werden.
https://docs.microsoft.com/en-us/sql/database-engine/install-windows/latest-updates-for-microsoft-sql-server?view=sql-server-ver15
 

3.2. SQL-Verschlüsselung

Um die Kommunikation zwischen SQL-Server und SQL-Client zu verschlüsseln, ist es notwendig, dies am Server zu aktivieren.

Dies ist entsprechend der Microsoft-Anleitung durchzuführen:
https://docs.microsoft.com/de-de/sql/database-engine/configure-windows/enable-encrypted-connections-to-the-database-engine?view=sql-server-ver15 

Es ist empfohlen, ein öffentliches Zertifikat zu verwenden oder ein Zertifikat von einer internen CA, welchem alle Rechner vertrauen.

Für Testzwecke kann auch ein selbsterstelltes Zertifikat verwendet werden.
 

3.3. SQL-Account

Das NTCS Setup installiert die SQL-Dienste unter dem Account „Local System“. Da dieser Account sehr weitrechende Rechte am System hat, sollte ein eigenes SQL-Dienstekonto verwendet werden.
Sowohl das Dienstekonto des SQL-Servers (MSSQL$BMD) als auch des SQL-Agent (SQLAgent$BMD) sollten entsprechend angepasst werden.

Eine Anleitung ist hier zu finden:
https://docs.microsoft.com/en-us/sql/database-engine/configure-windows/scm-services-change-the-service-startup-account?view=sql-server-ver15 

Idealerweise sollte für die beiden Konten nach Möglichkeit ein Managed Service Account verwendet werden. Dies hat den Vorteil, dass das Kennwort des Kontos vom Betriebssystem in regelmäßigen Abständen selbstständig verändert wird. Somit ist ein zusätzlicher Sicherheitsgewinn gegeben.

Unter folgendem Link ist eine entsprechende Anleitung zu finden:
https://docs.microsoft.com/en-us/sql/database-engine/configure-windows/configure-windows-service-accounts-and-permissions?view=sql-server-ver15 
 

3.4. SQL-Serververschlüsselung (TDE)

Um die komplette Datenbank zu verschlüsseln, kann die sogenannte „Transparent Data Encryption“ verwendet werden. Diese ermöglicht es, dass alle Inhalte der Daten automatisch verschlüsselt werden.
Dieses Feature erfordert bis zur SQL-Serverversion 2017 die Enterprise Edition. Mit der SQL-Serverversion 2019 ist dies nun auch in der Standard Edition vorhanden.

Unter folgendem Link ist die entsprechende Anleitung zur Aktivierung zu finden:
https://docs.microsoft.com/en-us/sql/relational-databases/security/encryption/transparent-data-encryption?view=sql-server-ver15 
 

3.5. SQL-Backupverschlüsselung

Das SQL-Backup sollte auf jeden Fall verschlüsselt gespeichert werden. Dazu muss der entsprechende SQL-Backupjob angepasst werden, so dass die Verschlüsselung beim Erstellen des Backups durchgeführt wird.

Dazu sind folgende zusätzliche Schritte notwendig:
https://docs.microsoft.com/en-us/sql/relational-databases/backup-restore/create-an-encrypted-backup?view=sql-server-ver15 

Im Anschluss empfiehlt es sich, das SQL-Backup nach den BMD Vorgaben einzurichten (siehe www.bmd.com/technische-dokumentation/einrichten-einer-sql-sicherung-fuer-bmd-ntcs.html) und dann die vorgegebenen Backupjobs um die Verschlüsselung zu erweitern.
 

4. NTCS INSTALLATION

4.1. User BMD

Der Benutzer BMD wird automatisch durch das Setup der Datenbank angelegt und kann mit dem Konto „Administrator“ in Windows verglichen werden. Bereits bei der Installation sollte ein sehr komplexes Kennwort festgelegt werden und dieser Benutzer ist nicht für den laufenden Betrieb gedacht.
Jeder NTCS-Benutzer muss über einen eigenen Datenbankuser verfügen, ansonsten können Änderungen in der Datenbank nicht richtig nachvollzogen werden, wenn nicht jeder Benutzer auf eine natürliche Person schließen lässt.

Für administrative Aufgaben in der NTCS ist empfohlen einen getrennten Admin-Account zu verwenden. So kann sauber zwischen täglichen Arbeiten und administrativen Tätigkeiten (Anpassungen Berechtigungen, Anpassung globaler Parameter usw.) unterschieden werden. Das hat auch den Vorteil, dass Berechtigungsanpassungen mit dem „normalen“ Account getestet werden können.
 

4.2. NTFS Berechtigungen anpassen

Durch die NTCS-Installation werden drei Freigaben angelegt. BMDNTCS_PGM, BMDNTCS_PGMDATA und BMDNTCS_DBMGR. Für alle drei Freigaben gibt es keine Einschränkungen, was den Zugriff betrifft. Daher sollten folgende Anpassungen nach der Installation vorgenommen werden:

BMDNTCS_DBMGR
Diese Freigabe sollte entfernt werden (das Verzeichnis muss am Server aber bestehen bleiben). Diese ist nur bei Einsatz von einer Oracle-Datenbank notwendig. Bei einer SQL-Installation wird die Netzwerkfreigabe nicht benötigt.

BMDNTCS_PGMDATA
In dieser Freigabe befinden sich alle Verzeichnisse, auf welche die Benutzer, welche mit der NTCS Software arbeiten, Schreibrechte benötigen. Dort werden u.a. Log-Dateien erzeugt oder auch temporäre Dateien geschrieben. Auch werden dort exportierte Daten abgelegt und ähnliches.

Es empfiehlt sich daher, eine eigene Gruppe anzulegen (z. B. Gruppe-NTCS-Benutzer). In diese Gruppe sind alle Windows-Accounts der Benutzer aufzunehmen, welche die NTCS Software verwenden. Die NTFS-Berechtigungen (und auch die Freigabe Rechte) sind dann so anzupassen, dass nur mehr diese Gruppe Schreibrechte auf das Verzeichnis hat.

BMDNTCS_PGM
In dieser Freigabe befinden sich alle notwendigen Daten, welche der NTCS Client benötigt um lauffähig zu sein. Dort befinden sich u.a. diverse globale Konfigurationsdateien. Auf dieses Verzeichnis benötigen die NTCS Benutzer grundsätzlich nur Leserechte. NTCS Power User oder Administratoren benötigen dort Schreibrechte. Schreibrechte sind zB notwendig um NTCS Updates oder Patches zu installieren oder um administrative Tätigkeiten durchführen. Dazu zählt unter anderem die Anpassung der BMD.INI oder BMDGLOBAL.INI-Datei. Dort werden z. B SQL-Aliasnamen verwaltet, globale Einstellung für das BMDCallCenter usw.

Es empfiehlt sich daher, die oben genannte „Gruppe-NTCS-Benutzer“ mit Leserechten zu beschränken (sowohl NTFS- als auch Freigabe-Berechtigung).

Zusätzlich sollte eine eigene Gruppe angelegt werden (z. B Gruppe-NTCS-Admin-Benutzer). In dieser Gruppe sind alle Windows-Accounts der Benutzer aufzunehmen, welche oben genannte administrative Tätigkeiten in der NTCS Software durchführen. Die NTFS-Berechtigungen (und auch die Freigabe Rechte) sind dann so anzupassen, dass nur mehr diese Gruppe Schreibrechte auf das Verzeichnis hat.
 

4.3. BMD Client Service deaktivieren

Die NTCS Software installiert auf allen Clients und auch am Server einen eigenen Server namens „BMD Client Service“. Dieser Service ist normalerweise notwendig, damit jeder Benutzer auf seiner Workstation auch ohne administrative Rechte eine vollständige Aktualisierung des NTCS Clients durchführen kann.

Folgender Ablauf findet dabei statt:
Ein Benutzer meldet sich auf seiner Workstation an. Dabei wird automatisch (via Autor uns) die Datei C:\ProgramData\BMDNTCS\BMDNTCSClients\“Servername“\BMDNetclient.exe gestartet. Diese vergleicht den lokal installierten Programmstand mit der Serverversion. Werden Unterschiede gefunden, so versucht die BMDNetClient.exe den lokalen Programmstand zu aktualisieren. Dabei kann es u.a. auch notwendig sein z. B. neue Komponenten (.Net Version, SQL Native Client) zu installieren oder bestimmte DLLs zu registrieren. Reichen die Rechte des angemeldeten Benutzers dazu nicht aus, so wird diese Aufgabe dem „BMD Client Service“ übergeben. Da dieses unter „Local System“ läuft, kann es mit den weitreichenden Rechten die Änderungen am System durchführen.

Ist dieses Verhalten nicht gewünscht, so kann über die BMD.INI im BMDNTCS_PGM Verzeichnis die Installation diese Services unterbunden werden. Dazu muss folgender Eintrag hinzugefügt werden:
[BMD\BMDNetClient]
DisableClientService=1

Der Eintrag verhindert, dass das Service installiert wird. Auf bereits bestehenden Rechnern muss der Service manuell entfernt (Dos Box -> sc delete BMDClientSvc) oder deaktiviert werden.
In diesem Fall muss eine Aktualisierung des NTCS Clients im Bedarfsfall mit administrativen Rechten manuell durchgeführt werden.
 

4.4. NTCS Loginverfahren anpassen

In der Standardinstallation verwendet die NTCS Software ein Login-System mit einem gemeinsamen SQL-User (BMDSA) – die Verwaltung der Benutzerrechte innerhalb der NTCS Software wird über ein eigenes Berechtigungskonzept geregelt. Da der BMDSA-Benutzer sowohl das Recht für die Verbindung zum SQL-Server als auch DBOwner Rechte auf die BMD Datenbank hat, kann dies ein Sicherheitsrisiko darstellen.

Daher besteht die Möglichkeit, dass NTCS Login-System umzustellen, so dass mit 2 SQL-Accounts gearbeitet wird. Dabei wird die Verbindung zum SQL-Server mit einem Account vorgenommen, anschließend wird mit dem zweiten Account eine Verbindung zur Datenbank aufgebaut. Jeder der beiden Accounts hat nur die jeweilige Berechtigung – somit wird einem Missbrauch vorgebeugt (Stichwort SQL Application Role).

Um dieses neue Login-System zu verwenden, sind folgende Anpassungen durchzuführen:
Direkt am Server BMDDBUpdate.exe starten. Dort mit dem BMD-Benutzer einsteigen und unter „Extras“ – „Diverse Serviceroutinen“ – „Umstellung des Authentifizierungsverfahren“ auswählen. Im neuen Fenster muss dann mit „Übernehmen“ die Aktivierung bestätigt werden.
 

NTCS Hardening Guide: Umstellung NTCS-Anmeldung

Dabei werden am SQL Server 2 neue Accounts angelegt und entsprechend berechtigt. Zusätzlich wird in der BMD.INI in der Sektion [BMD\ALIASCONFIG] der Wert „SQLSERVER\INSTANZ:DATENBANK“=EXTENDED eingetragen.

Im SQL-Management-Studio sind die neuen Accounts ersichtlich – diese werden mit einer zufällig erzeugten SID angelegt.
 

NTCS Hardening Guide: SQL-Logins

Der bestehende Benutzer BMDSA sollte nun deaktiviert werden. Nach einem erfolgreichen Testeinstieg in die NTCS Software sollte dieser dann endgültig gelöscht werden.

Sind Webapplikationen auf einem getrennten Webserver im Einsatz so wird das neue Authentifizierungsverfahren gegebenenfalls vom BMDNTCS Update Dienst auch dort aktiviert. Ansonsten muss direkt im Verzeichnis der jeweiligen Webapplikation in der BMD.INI der entsprechende [BMD\ALIASCONFIG] Eintrag gesetzt werden.
 

4.5.    BMDNTCS Soap User mit minimalen Rechten

Um die NTCS-Stapelverarbeitung nutzen zu können, muss ein passender Betriebssystembenutzer hinterlegt werden, mit dem direkt am Server die Aufgabenplanung angesprochen wird und die NTCS-Prozesse gestartet werden. Um eine möglichst sichere Umgebung zu gewährleisten, sollte dieser Benutzer nur die minimal erforderlichen Rechte haben und es sollte dazu kein administrativer Account verwendet werden.

Zusätzlich sollte der BMDNTCSSOAPSvc am Server von Account „Local System“ auf einen eigenen Windows Account umgestellt werden.

Folgende Betriebssystemrechte sind notwendig:

  • das Recht „Anmelden als Stapelverarbeitungsauftrag“
  • das Recht „Anmelden als Dienst“ 
  • Zusätzlich noch:
  • Zugriffsrechte auf die BMDNTCS-Verzeichnisse (NTFS + Share)
    • Lesen auf - C:\Program Files\BMDSoftware und auch BMDNTCS_PGM 
    • Ändern auf C:\Users\Public\Documents\BMDSOFTWARE\BMDNTCS und auch BMDNTCS_PGMDATA
  • Ändern auf %WinDir%\Temp 
  • Ändern auf %Temp% 
     

4.6. BMDNTCSSvc Konto anpassen

Das NTCS Setup installiert den BMDNTCSSvc-Dienst standardmäßig unter Local System. Dieser Dienst ist u.a. dafür zuständig Archivdokumente zu speichern bzw. abzurufen im Dateisystem oder wird auch als Updateservice für die Webapplikation verwendet.

Da der Local System Account sehr weitreichende Rechte im System hat, wird empfohlen, den Dienst unter einem eingeschränkten Konto laufen zu lassen.

Folgende Betriebssystemrechte sind notwendig:

  • das Recht „Anmelden als Dienst“ 


Zusätzlich noch:

  • Zugriffsrechte auf die BMDNTCS-Verzeichnisse (NTFS + Share)
    • Ändern auf - C:\Program Files\BMDSoftware und auch BMDNTCS_PGM 
    • Ändern auf C:\Users\Public\Documents\BMDSOFTWARE\BMDNTCS und auch BMDNTCS_PGMDATA
  • Ändern auf %WinDir%\Temp 
  •  Ändern auf %Temp% 
  • Ändern auf alle hinterlegten DMS Pfade (DMS - Pfade)
    • Dabei ist darauf zu achten, dass auf alle hinterlegten Pfade Änderungsrechte notwendig sind:

 

4.7. DMS Verzeichnis Überwachung

 

Das NTCS Archiv erkennt grundsätzlich jede Manipulation an archivierten Dokumenten. Allerdings kann es schwierig sein, festzustellen wodurch eine Veränderung der Dateien passiert ist. So kann eine Manipulation auch außerhalb der NTCS Software durchgeführt werden (Administrator direkt am DMS Server)
Um solchen Zugriff zu überwachen sind seitens des Betriebssystems die entsprechenden Protokolle zu aktivieren und diese sind auch zu schützen.

Dazu ist es notwendig folgende Überwachung zu aktivieren auf den zu überwachenden Ordnern.
 

NTCS Hardening Guide: Überwachung

Folgende Überwachungseinträge müssen aktiviert werden:
 

File/Folder ChangesEveryoneSuccess and FailureCreate Files/Write Data
Create Folders/Append Data
Write Attributes
Write Extended Attributes
Delete Subfolders and Files
Delete
This Folder, Subfolder and Files
Folder Permissions and Owner ChangesEveryoneSuccess and FailureTake Ownership
Change Permissions
This Folder, Subfolder and Files
File ReadEveryoneSuccess and FailureList Folder/Read DataFiles only
Folder Read FailureEveryoneFailureList Folder/Read DataThis Folder, Subfolder


Damit wird sichergestellt, dass im Eventlog des DMS-Servers die Änderungen im Dateisystem entsprechend protokolliert werden

Es wird auch empfohlen, eine Software einzusetzen, welche diese Veränderungen in einer externen Datenbank speichert. Der Eventlog des DMS-Servers wird regelmäßig überschrieben bzw. kann auch der Administrator diesen absichtlich löschen. Ein solches Tool bietet zum Beispiel der Hersteller Manage Engine mit dem Tool ADAuditPlus (https://www.manageengine.com/products/active-directory-audit/). Diese überwacht die entsprechenden Verzeichniszugriffe und speichert die Änderungen in einer separaten Datenbank). Auf diese Datenbank darf dann der DMS-Administrator natürlich keinen Zugriff haben.
 

5. NTCS PARAMETER ANPASSUNGEN

5.1. Verschlüsselung der Log-Files

Viele Log-Files der NTCS werden in der Serverfreigabe BMDNTCS_PGMDATA im Unterverzeichnis LOG gespeichert. Aus diesen Log-Files können u.a. sensible Informationen gelesen werden. Daher wird empfohlen, die Log-Files verschlüsselt zu speichern. Dies hat den Vorteil, dass die Log-Files nur mehr mit dem NTCS Log Viewer (Tools – Administration – Protokolle – Log-Dateien) angesehen werden können. Der Aufruf des Log Viewers muss im NTCS Berechtigungssystem entsprechend eingeschränkt werden.

Die Verschlüsselung der Log-Files muss über folgenden Parameter aktiviert werden:

Tools – Überblick über alle Tools Parameter – Berechtigung – Allgemeine Einstellungen – Berechtigung – Log-Dateien verschlüsseln -> JA
 

NTCS Hardening Guide: Log Datei verschlüsseln

Zusätzlich muss noch unter „Passwort für Log-Dateien“ ein Kennwort vergeben werden. Dieses ist notwendig, wenn z. B. auf einem anderen System die Log-Dateien gelesen werden müssen. Muss der BMD Support beispielsweise solche Log Files analysieren, so benötigt dieser das entsprechende Kennwort.

Sobald die NTCS nun neu gestartet wird, können die Log-Files nicht mehr im Klartext gelesen werden.
 

5.2. Verschlüsselung BMDNTCSSvc aktivieren

Um zum Beispiel Archivdokumente vom NTCS Archiv zum Client zu übertragen, wird der BMDNTCSSvc verwendet. Der NTCS Client baut eine TCP-Verbindung zu dem Dienst am Server auf und diese überträgt dann die notwendigen Dateien (oder speichert diese im Archiv am Server).

Um die verschlüsselte Übertragung dieser Kommunikation zu aktivieren, ist wie folgt vorzugehen:
Tools - Überblick über alle Tools Parameter – Gesamtsystem – BMD NTCS-Service – Sicheren Zugriff verwenden-> 3 – TLS Version 1.2
 

NTCS Hardening Guide

Unter dem Punkt „Serverzertifikat“ kann im Bedarfsfall noch die Schlüssellänge erhöht werden. Das Zertifikat wird beim nächsten Neustart des BMDNTCSSvc Dienstes erzeugt und von den Clients dann verwendet.
 

5.3. Kennwortrichtlinie aktivieren

Bei NTCS Installation welche schon länger im Einsatz sind, ist möglicherweise die Kennwortrichtlinie noch nicht aktiviert. Diese sollte unbedingt aktiviert werden um sicherzustellen, dass alle NTCS Benutzer zum einen Ihre Kennwörter regelmäßig ändern und dabei die vorgegebene Komplexität einhalten.

Zur Aktivierung ist wie folgt vorzugehen:

Tools → Überblick über alle Tools-Parameter → Berechtigungen → Allgemeine Einstellungen → Kennwort muss der Parameter für „Überprüfung der Kennwortrichtlinie“ auf 1 oder 2 gesetzt sein
 

NTCS Hardening Guide: Kennwortrichtlinie

Zusätzlich können die gewünschten Parameter für die Kennwortrichtlinie angepasst werden.
 

5.4. SMTP Versand 

Die NTCS Software bietet verschiedene Möglichkeiten, wie Mails erzeugt bzw. versendet werden können. Bei den verschiedenen Varianten ist immer zwischen Sicherheit und Komfort abzuwägen. Um ein möglichst sicheres System zu betreiben, bei dem es nicht notwendig ist, die SMTP Zugangsdaten innerhalb der NTCS zu speichern, ist folgender Parameter zu aktivieren:

Tools – Überblick über alle Tools Parameter – Gesamtsystem – Allgemeine Einstellungen – Standard E-Mail – SMTP-Mail Versandsystem

Dort ist der Parameter auf „2 - Direkt über Mailserver mit DefaultNetworkCredentials“ zu setzen.
 

NTCS Hardening Guide: SMTP Globel

Dies setzt voraus, dass der eingesetzte Mailserver den lokal angemeldeten Windowsuser erkennt und automatisch authentifizieren kann. Diese ist beispielsweise bei einem Microsoft Exchange Server der Fall.

Zusätzlich muss noch der SMTP-Server im Parameter global hinterlegt werden. Ebenso ist der entsprechende Port zu definieren. Der Parameter „TLS für SMTP aktivieren“ ist auf 3 – TLS Version 1.2 zu setzen. Der SMTP-Server muss dies natürlich unterstützen.
Sobald diese globalen Daten hinterlegt sind, können die Benutzer direkt via SMTP aus der NTCS Mail versenden. Dabei wird die bei Ihnen hinterlegte Mailadresse aus den Mitarbeiterstammdaten verwendet. Für diese Mailadresse muss der jeweilige Windowsbenutzer, mit dem die NTCS gestartet wurde, auch am Mailsystem berechtigt sein.
Vorteil dieser Konfiguration ist, wie schon erwähnt, dass keinerlei SMTP-Zugangsdaten innerhalb der NTCS gespeichert werden müssen.

Nachteil ist aber natürlich, dass ein asynchroner Mailversand in dieser Konstellation nicht möglich ist. Beim asynchronen Mailversand übernimmt der BMDNTCSSoapService den Versand der Mails via SMTP. Dabei werden diese vorab in der Datenbank gespeichert und dann erst übertragen. Somit ist es nicht notwendig, dass die NTCS Applikation den Versand von jedem Mail abwarten muss (z. B. Standardbrief). Dazu müssen die SMTP Daten allerdings in der Datenbank gespeichert werden. 

Eine detaillierte Erklärung zu den verschiedenen SMTP Einstellungen finden Sie in der Online Hilfe unter:
http://www.bmd.at/Portaldata/1/Resources/help/23.02/OES/Documents/1372702529000101160.html 
 

6. WEBSERVER

6.1. 2-Faktor-Authentifizierung

Da beim Einsatz der BMD Web- und BMD Com-Webapplikationen natürlich zwangsweise ein Zugriff aus dem Internet stattfindet, wird empfohlen alle NTCS Benutzer-Accounts, welche die Webportale benutzen dürfen, mit der 2-Faktor-Authentifizierung auszustatten.

Details zur Einrichtung können der NTCS Online Hilfe entnommen werden:
http://www.bmd.at/Portaldata/1/Resources/help/23.02/OES/Documents/1372780407000202280.html 
Zusätzlich muss auch der Parameter kontrolliert werden, um sicherzustellen, dass bei fehlerhaften Anmeldeversuchen das entsprechende Benutzerkonto auch gesperrt wird. Dieser Parameter ist unter Tools – Überblick über alle Tools Parameter – Berechtigung – Allgemeine Einstellung zu finden.
Hier muss der Parameter „Fehlanmeldesperre nach n Versuchen“ auf den gewünschten Wert gesetzt werden (Empfehlung <= 5)
 

NTCS Hardening Guide: Fehlversuche

6.2. SSL Kommunikation Webseite

Grundvorausetzung ist, dass der Webserver auf einem eigenen Server in einer abgeschotteten DMZ betrieben wird (siehe www.bmd.com/fileadmin/user_upload/bmd-com-technischer-aufbau.pdf).

Es wird nicht empfohlen, die Webseite für die BMD Web-Applikationen direkt auf dem BMD Server zu betreiben.

Die Webseite bzw. der Webserver, auf dem die BMD Web-Applikationen laufen, darf nur via SSL erreichbar gemacht werden.

Dazu ist systemseitig ein entsprechendes Zertifikat am Webserver zu hinterlegen. Es wird dringend empfohlen, ein öffentliches Zertifikat zu verwenden und die Webseite sowohl intern als auch extern unter dem gleichen DNS-Namen ansprechbar zu machen.
Für Testzwecke kann auch ein selbst ausgestelltes Zertifikat verwendet werden.
https://www.bmd.com/technische-dokumentation/erstellen-eines-selbstsignierten-zertifikats.html 
Zusätzlich sind alle als nicht sicher geltende SSL Protokolle und Verschlüsselungsverfahren zu deaktivieren (siehe 2.2 – SSL Protokolle)
Zusätzlich sollte am Webserver die „Strict-Transport-Security“ aktiviert werden um den Client mitzuteilen, dass die Webseite ausschließlich via HTTPS angesprochen werden darf.
 

NTCS Hardening Guide

Die Webseite sollte nach der Konfiguration unbedingt einem SSL Test unterzogen werden um sicherzustellen, dass die Konfiguration richtig durchgeführt wurde. Dies kann via ssllabs.com erfolgen – dort sollte die Note A erreicht werden.

6.3. HTTP Response Headers entfernen

Um bei externem Zugriff nicht unnötige Informationen preiszugeben, sollten die entsprechenden Response Header entfernt werden. Damit kann z. B. nicht sofort ausgelesen werden, um welchen Webserver es sich handelt, oder ob .Net verwendet wird.
Um dies umzusetzen, gibt es mehrere Möglichkeiten.

Diese sind hier beschrieben:
https://techcommunity.microsoft.com/t5/iis-support-blog/remove-unwanted-http-response-headers/ba-p/369710 

Wir empfehlen die Variante „URLRewrite“ – dabei muss das IIS Modul installiert werden ( www.iis.net/downloads/microsoft/url-rewrite ) und es müssen dann die entsprechenden Outbound Rules angelegt werden.
 

NTCS Hardening Guide: IIS Header Rewriting

Bereich:

Installationsanleitung NTCS/BMD55/Allgemein


Autor:

BMD-Technik



Betriebliche GesundheitsförderungBMD ist Partner von "Familie und Beruf"TÜV für unser revisionssicheres ArchivSicherheitszertifikat ISO 27001BMD Systemhaus auf Platz 2 im trend-Arbeitergeberranking der besten 300 Arbeitgeber in ÖsterreichBMD ist Gewinner des Best Workplace Award 2019

BMD Systemhaus GesmbH

Sierninger Straße 190

A-4400 Steyr

+43 50 883 oder 0043 7252 883

bmd@bmd.at

Das könnte Sie auch interessieren

Produkte

Akademie

Support & Technik

Karriere

Das ist BMD

Follow us

Folgen Sie uns auf Facebook
Folgen Sie uns auf Xing
Folgen Sie uns auf LinkedIn
Folgen Sie uns auf YouTube
Folgen Sie uns auf Kununu
Folgen Sie uns auf Instagram