Den folgenden Bereichen der bMS sollten Sie aufgrund ihrer hohen Sicherheitsrelevanz besondere Aufmerksamkeit widmen.
Sichtbare Ausführung
Nach Möglichkeit sollten Sie sämtliche Applikationen mit unsichtbarer Ausführung paketieren. Sind für eine Applikation sowohl ein Sicherheitskontext mit erhöhten Rechten als auch der Desktop erforderlich, aktivieren Sie unbedingt die Job Option Vor Jobstart abmelden und verwenden Sie den lokalen Installationsbenutzer. Die Maus und Tastatursperre kann in fremden Sitzungen keinen vollständigen Schutz gewährleisten.
baraDIP-Konfigurationsdaten dürfen von jedem Benutzer gelesen/geschrieben werden
Problem: In bMS-Versionen älter als 2017 R2 darf jeder Benutzer auf das \Apache\conf-Verzeichnis der baraDIP-Installation lesen und schreiben. Das ist problematisch, weil hier sensible Daten liegen, wie der Passwort-Hash oder das private Serverzertifikat (mycert.key) für die SSL-Kommunikation.
Lösung: Um die Konfigurationsdaten Ihrer baraDIP-Installation zu schützen, empfehlen wir dringend, den Zugriff auf das Verzeichnis …\barDip\Apache\conf nurmehr den folgenden Personengruppen zu gestatten:
-
Lokale Administratoren
-
Lokales Systemkonto
HINWEIS |
|
|---|---|
 |
Die Absicherung lässt sich leicht mittels eines Deploy-Skripts durchführen, das Sie via Job an alle Unternehmens-DIPs verteilen. |
Für bMS-Versionen ab 2017 R2 erfolgt die o.g. Absicherung des Verzeichnisses automatisch, es sei denn, Sie benutzen den baraDIP-Dienst in einem abweichenden Nutzerkontext – also ungleich LocalSystem. In dem Fall müssen Sie das Verzeichnis, wie oben beschrieben, manuell absichern. Es ist jedoch grundsätzlich ratsam, den baramundi-Server-Zugriff lediglich befugten Personen zu erlauben.
INFORMATION |
|
|---|---|
 |
|