Die Client-Server-Kommunikation der baramundi Management Suite verhält sich je nach Gerätetyp und Kommunikationskanal unterschiedlich. Hauptkanäle zwischen Geräten verwenden mTLS-Verschlüsselungen zur Absicherung. Andere Kanäle, wie beispielsweise PXE, sind standardmäßig nicht verschlüsselbar. Hier müssen Risiken anderweitig reduziert werden.
Datenbankkommunikation
Beachten Sie, dass die Kommunikation zwischen Ihrer Datenbank und der bMS standardmäßig unverschlüsselt ist. Wir empfehlen, diese Verbindung zu verschlüsseln. Anleitungen für diese Umstellung finden Sie für MS SQL Server auf der Microsoft-Webseite oder besuchen Sie unsere Schulung.
Des Weiteren sollten Sie für die Anbindung einen dedizierten Datenbankbenutzer verwenden. Der sa-Benutzer ist nicht empfohlen.
baramundi Management Agent für Windows
Beachten Sie für den bMA die folgende Hinweise.
Aktualisierung
Achten Sie nach einem Update der bMS auf die durchgängige Aktualisierung der Agents. Das erfolgt in aller Regel automatisch (Prüfen Sie die Einstellung Automatische Aktualisierung unter Konfiguration > Server > Grundeinstellungen: Management Agent). Für einzelne Systeme oder Umgebungen kann es erforderlich sein, die Aktualisierung der Windows-Geräte manuell vorzunehmen. Einen Überblick häufig eingesetzter Methoden können Sie dem Anwenderforum entnehmen.
Installationsart
Die bMS bietet verschiedene Methoden zur automatischen Installation und
Aktualisierung von Agents auf Windows-Geräten. Bei der Verwendung veralteter
Methoden können Geräte aufgrund von Schwächen angreifbar werden. Bitte verwenden
Sie
daher einen der aktuellen Standards (Push Transfer über die bMS oder
LocalSystem). Diese stellen sicher, dass der bMA-Wartungsdienst
(bfcrx) nur solange wie notwendig auf den Systemen betrieben wird. Sie vermeiden
zudem die Übermittlung von Benutzerkonteninformationen. Sollten Sie den baramundi
Management Agent für Windows manuell oder durch Drittmechanismen (bspw. Active
Directory-Gruppenrichtlinien) verteilen, achten Sie bitte auf folgende Parameter
bei
der Installation:
Options = 131072ServerKey = <IhrServerSchlüssel>
Der Parameter Options stellt sicher, dass der Wartungsdienst
schnellstmöglich wieder entfernt wird. Damit der Agent schon bei der ersten
Verbindungsaufnahme die Identität des bMS-Servers prüft, setzen Sie mit
ServerKey den öffentlichen Schlüssel des
TLS-Serverzertifikats.
Firewall-Konfiguration
Prüfen Sie im Rahmen einer bMS-Aktualisierung auch etwaige Änderungen in den Kommunikationsschemata. Entfernen Sie nicht mehr verwendete Ports aus Ihrer FirewallKonfiguration.
Netzwerk-Boot (PXE)
PXE-Verbindungen sind ein notwendiger Bestandteil von Betriebssysteminstallationen über das Netzwerk. Sie bieten jedoch standardmäßig keine Möglichkeit zur Absicherung des Datenaustauschs zwischen Client und Server. Aus diesem Grund müssen Netzwerk-Boot-Vorgänge stets über das baramundi Management Center angewiesen werden. Da aus einem Boot-Image kein Zugriff auf das Client-Zertifikat eines Windows-Geräts möglich ist, wird mit der Aktivierung des Netzwerk-Boots das Zertifikats-Pinning zurückgesetzt. Ab diesem Zeitpunkt ist keine kryptografisch sichere Identifikation des Geräts mehr möglich. Der Server muss unsichere Kriterien wie UUID, Hostname oder MAC-Adresse benutzen, um Geräte zu identifizieren. Sobald eine Verbindung zum Management Agent mit Zugriff auf ein lokales Zertifikat besteht, wird wieder das Zertifikat zur Identifikation herangezogen. Verwenden Sie Jobs mit Windows-PE-Schritten daher nur wenn nötig.
HINWEIS |
|
|---|---|
 |
Es empfiehlt sich ein eigenes Netzwerk für WinPE-Vorgänge einzurichten, die einen längeren Zeitraum in WinPE verweilen; zum Beispiel OSInstall, Restore, Wipe. |
Manuelle Prüfung von Client-Zertifikaten
Die baramundi Management Suite verwendet Client-Zertifikate zur Identifikation von verwalteten Geräten. Die öffentlichen Schlüssel werden dazu beim ersten Verbindungsaufbau ausgetauscht. Ab diesem Zeitpunkt werden alle weiteren Verbindungen anhand der gespeicherten Schlüssel gesichert. Während des initialen Schlüsselaustauschs besteht die Möglichkeit eines Man-in-the-Middle-Angriffs. Aufgrund der komplexen Voraussetzungen für einen solchen Angriff ist das Risiko für reguläre Geräte gering.
Für sicherheitstechnisch sensible Systeme können Sie den tatsächlichen und
gespeicherten Zertifikatsschlüssel manuell prüfen. In den Eigenschaften eines
Windows-Geräts finden Sie im Reiter Zertifikat den in der
Datenbank gespeicherten öffentlichen Schlüssel sowie dessen Fingerabdruck. Den
können Sie mit dem im bMA.log protokollierten Fingerabdruck des lokalen öffentlichen
Schlüssels abgleichen und so die Identität des verwalteten Geräts validieren.
Umgekehrt speichert das Windows-Gerät den öffentlichen Schlüssel des Servers in
der
Registrierung im Schlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\baramundi software
AG\BMS\Client im Wert ServerPublicKey. Der Server
protokolliert seinen öffentlichen Schlüssel beim Dienststart in der Protokolldatei
des baramundi Management Server-Dienstes.