Zum Hauptinhalt springen
Version: 15.1

Sicherheits-Checkliste

Das folgende Kapitel befasst sich mit sicherheitsrelevanten Einstellungen und Konfigurationsoptionen, die nicht oder nicht in allen Fällen von der Standardkonfiguration des ADOIT Web-Client abgedeckt werden und daher in dieser Checkliste angeführt werden.

Allgemeine Empfehlungen

  1. Die Server-Hardware des ADOIT Web-Clients sollte sich in einer sicheren Umgebung (nicht für jedermann physisch zugänglich) befinden.

  2. Es sollte sichergestellt werden, dass das Betriebssystem, auf dem der ADOIT Web-Client installiert ist, bei der Installation up-to-date ist und in Zukunft regelmäßig aktualisiert wird.

  3. Es sollte sichergestellt werden, dass die Version von Java, mit der der Apache Tomcat Web-Server ausgeführt wird, die neueste Version Ihres Java Haupt-Release ist (neueste Java 8 oder 11 Version) und in Zukunft regelmäßig aktualisiert wird.

Apache Tomcat Web-Server absichern

  1. Entfernen Sie alle Webapplikationen aus "<Tomcat Installation>/webapps" (docs, examples, ROOT,...), die nicht benötigt werden.

  2. Entfernen Sie die Dateien "<Tomcat Installation>/conf/Catalina/localhost/host-manager.xml" und "<Tomcat Installation>/conf/Catalina/localhost/manager.xml", wenn sie verfügbar sind.

  3. Deaktivieren Sie den Tomcat Shutdown-Port. Ändern Sie dazu in der Datei "<Tomcat Installation>/conf/server.xml" im ersten Tag <Server> den Port auf -1, z. B. <Server port="-1" shutdown="SHUTDOWN>.

  4. Fügen Sie eine Server-Bezeichnung zum Konnektor hinzu. Suchen Sie dazu in der Datei "<Tomcat Installation>/conf/server.xml" das Tag <Connector>, das den Port definiert, unter dem der Web-Client zugänglich ist. Fügen Sie an dieser Stelle den Parameter server="Tomcat" hinzu, z. B. <Connector port="8000" server="Tomcat"/>.

Weitere Informationen zum Absichern des Apache Tomcat Web-Servers stellt das Open Web Application Security Project (OWASP) unter https://www.owasp.org/index.php/Securing_tomcat bereit.

Zugangsvoraussetzungen für den technischen Betrieb

Die Benutzerrechte der Benutzer, die den Apache Tomcat Web-Server und den ADOIT Applikations-Server als Dienst ausführen, sollten so weit wie möglich eingeschränkt werden. Die folgenden Berechtigungen stellen die mindestens erforderlichen dar, damit die Dienste funktionieren.

ADOIT Applikations-Server Berechtigungen

Der Benutzer, der den ADOIT Applikations-Server als Dienst ausführt, benötigt:

  • Schreibrechte im temporären Verzeichnis (%TEMP%).

  • Schreibrechte im Verzeichnis, in das die Log-Dateien geschrieben werden (siehe "ADOIT Applikations-Server konfigurieren").

  • Lese- und Ausführungsrechte im Installations-Verzeichnis des ADOIT Applikations-Servers.

Apache Tomcat Web-Server Berechtigungen

Der Benutzer, der den Apache Tomcat Web-Server als Dienst ausführt, benötigt:

  • Schreibrechte im temporären Verzeichnis (%TEMP%).

  • Schreibrechte und Änderungs-/Löschrechte im Verzeichnis der ADOIT Webapplikation (<Tomcat installation>/webapps/ADOIT15_1“) und allen Unterverzeichnissen.

  • Schreibrechte im Verzeichnis, in das die Log-Dateien geschrieben werden. Standardmäßig ist das das Verzeichnis <Tomcat Installation>/logs“.

  • Leserechte im Apache Tomcat Installations-Verzeichnis.

Führen Sie Apache Tomcat nicht mit lokalen Administratoren-Rechten aus. Führen Sie Apache Tomcat nicht mit Domänen-Benutzer Rechten aus, wenn diese nicht benötigt werden. Wenn Sie Apache Tomcat mit einem Domänen-Benutzer ausführen, sollten die Zugriffsrechte auf das Minimum beschränkt werden.

ADOIT Rich-Client Berechtigungen

Jeder Benutzer, der einen ADOIT Rich-Client ausführt, benötigt:

  • Schreibrechte im temporären Verzeichnis (%TEMP%).

  • Lese- und Ausführungsrechte im Installations-Verzeichnis von ADOIT.

Sichere Konfiguration des ADOIT Web-Clients

Sichere Passwörter

Die unten angeführten Passwörter sollten sichere Passwörter sein:

  • Die Standard-Passwörter von Apache Tomcat in der Datei "<Tomcat Installation>/conf/tomcat-users.xml" (siehe "Apache Tomcat Web-Server konfigurieren").

  • Die Passwörter für alle Test-Accounts, Admin-Benutzer usw.

Es folgen einige allgemeine Empfehlungen zum Erstellen sicherer Kennwörter.

Starke Passwörter sollten:

  • Mindestens 8 Zeichen haben.

  • Klein- und Großbuchstaben enthalten (z.B. A-Z, a-z).

  • Mindestens ein numerisches Zeichen enthalten (z.B. 0-9).

  • Mindestens ein Sonderzeichen enthalten (z.B. @#§\$%&\^!()_+~-=).

Starke Passwörter sollten nicht:

  • Ein Wort sein, das leicht in einem Wörterbuch gefunden werden kann oder das sich direkt auf das Unternehmen bezieht.

  • Ein Wort sein, das mit einer Zahl anfängt oder aufhört.

  • Auf persönlichen Informationen basieren, die leicht erraten werden können (z.B. Familienname, Haustier, Geburtstag, etc.).