Sicherheits-Checkliste
Das folgende Kapitel befasst sich mit sicherheitsrelevanten Einstellungen und Konfigurationsoptionen, die nicht oder nicht in allen Fällen von der Standardkonfiguration des ADOIT Web-Client abgedeckt werden und daher in dieser Checkliste angeführt werden.
Allgemeine Empfehlungen
Die Server-Hardware des ADOIT Web-Clients sollte sich in einer sicheren Umgebung (nicht für jedermann physisch zugänglich) befinden.
Es sollte sichergestellt werden, dass das Betriebssystem, auf dem der ADOIT Web-Client installiert ist, bei der Installation up-to-date ist und in Zukunft regelmäßig aktualisiert wird.
Es sollte sichergestellt werden, dass die Version von Java, mit der der Apache Tomcat Web-Server ausgeführt wird, die neueste Version Ihres Java Haupt-Release ist (neueste Java 8 oder 11 Version) und in Zukunft regelmäßig aktualisiert wird.
Apache Tomcat Web-Server absichern
Entfernen Sie alle Webapplikationen aus "<Tomcat Installation>/webapps" (docs, examples, ROOT,...), die nicht benötigt werden.
Entfernen Sie die Dateien "<Tomcat Installation>/conf/Catalina/localhost/host-manager.xml" und "<Tomcat Installation>/conf/Catalina/localhost/manager.xml", wenn sie verfügbar sind.
Deaktivieren Sie den Tomcat Shutdown-Port. Ändern Sie dazu in der Datei "<Tomcat Installation>/conf/server.xml" im ersten Tag
<Server>
den Port auf-1
, z. B.<Server port="-1" shutdown="SHUTDOWN>
.Fügen Sie eine Server-Bezeichnung zum Konnektor hinzu. Suchen Sie dazu in der Datei "<Tomcat Installation>/conf/server.xml" das Tag
<Connector>
, das den Port definiert, unter dem der Web-Client zugänglich ist. Fügen Sie an dieser Stelle den Parameterserver="Tomcat"
hinzu, z. B.<Connector port="8000" server="Tomcat"/>
.
Weitere Informationen zum Absichern des Apache Tomcat Web-Servers stellt das Open Web Application Security Project (OWASP) unter https://www.owasp.org/index.php/Securing_tomcat bereit.
Zugangsvoraussetzungen für den technischen Betrieb
Die Benutzerrechte der Benutzer, die den Apache Tomcat Web-Server und den ADOIT Applikations-Server als Dienst ausführen, sollten so weit wie möglich eingeschränkt werden. Die folgenden Berechtigungen stellen die mindestens erforderlichen dar, damit die Dienste funktionieren.
ADOIT Applikations-Server Berechtigungen
Der Benutzer, der den ADOIT Applikations-Server als Dienst ausführt, benötigt:
Schreibrechte im temporären Verzeichnis (
%TEMP%
).Schreibrechte im Verzeichnis, in das die Log-Dateien geschrieben werden (siehe "ADOIT Applikations-Server konfigurieren").
Lese- und Ausführungsrechte im Installations-Verzeichnis des ADOIT Applikations-Servers.
Apache Tomcat Web-Server Berechtigungen
Der Benutzer, der den Apache Tomcat Web-Server als Dienst ausführt, benötigt:
Schreibrechte im temporären Verzeichnis (
%TEMP%
).Schreibrechte im Verzeichnis der ADOIT Webapplikation (“<Tomcat installation>/webapps/ADOIT12_0“) und allen Unterverzeichnissen.
Schreibrechte im Verzeichnis, in das die Log-Dateien geschrieben werden. Standardmäßig ist das das Verzeichnis „<Tomcat Installation>/logs“.
Leserechte im Apache Tomcat Installations-Verzeichnis.
Führen Sie Apache Tomcat nicht mit lokalen Administratoren-Rechten aus. Führen Sie Apache Tomcat nicht mit Domänen-Benutzer Rechten aus, wenn diese nicht benötigt werden. Wenn Sie Apache Tomcat mit einem Domänen-Benutzer ausführen, sollten die Zugriffsrechte auf das Minimum beschränkt werden.
ADOIT Rich-Client Berechtigungen
Jeder Benutzer, der einen ADOIT Rich-Client ausführt, benötigt:
Schreibrechte im temporären Verzeichnis (
%TEMP%
).Lese- und Ausführungsrechte im Installations-Verzeichnis von ADOIT.
Sichere Konfiguration des ADOIT Web-Clients
- Es wird empfohlen, SSL/TLS Kommunikation im ADOIT Web-Client zu verwenden (siehe "(Optional) Apache Tomcat Web-Server für die Verwendung mit SSL/TLS konfigurieren").
Sichere Passwörter
Die unten angeführten Passwörter sollten sichere Passwörter sein:
Die Standard-Passwörter von Apache Tomcat in der Datei "<Tomcat Installation>/conf/tomcat-users.xml" (siehe "Apache Tomcat Web-Server konfigurieren").
Die Passwörter für alle Test-Accounts, Admin-Benutzer usw.
Es folgen einige allgemeine Empfehlungen zum Erstellen sicherer Kennwörter.
Starke Passwörter sollten:
Mindestens 8 Zeichen haben.
Klein- und Großbuchstaben enthalten (z.B. A-Z, a-z).
Mindestens ein numerisches Zeichen enthalten (z.B. 0-9).
Mindestens ein Sonderzeichen enthalten (z.B. @#§\$%&\^!()_+~-=).
Starke Passwörter sollten nicht:
Ein Wort sein, das leicht in einem Wörterbuch gefunden werden kann oder das sich direkt auf das Unternehmen bezieht.
Ein Wort sein, das mit einer Zahl anfängt oder aufhört.
Auf persönlichen Informationen basieren, die leicht erraten werden können (z.B. Familienname, Haustier, Geburtstag, etc.).