Sicherheits-Checkliste
Das folgende Kapitel befasst sich mit sicherheitsrelevanten Einstellungen und Konfigurationsoptionen, die nicht oder nicht in allen Fällen von der Standardkonfiguration von ADONIS abgedeckt werden und daher in dieser Checkliste angeführt werden.
Allgemeine Empfehlungen
Die Server-Hardware von ADONIS sollte sich in einer sicheren Umgebung (nicht für jedermann physisch zugänglich) befinden.
Es sollte sichergestellt werden, dass die Betriebssysteme der Server- Rechner, auf denen ADONIS installiert ist, bei der Installation up-to-date sind und in Zukunft regelmäßig aktualisiert werden.
Es sollte sichergestellt werden, dass die Version von Java, mit der der Apache Tomcat Web-Server ausgeführt wird, die neueste Version Ihres Java Haupt-Release ist (neueste Java 17 Version) und in Zukunft regelmäßig aktualisiert wird.
Apache Tomcat Web-Server absichern
Entfernen Sie alle Webapplikationen aus "<Tomcat Installation>/webapps" (docs, examples, ROOT,...), die nicht benötigt werden.
Entfernen Sie die Dateien "<Tomcat Installation>/conf/Catalina/localhost/host-manager.xml" und "<Tomcat Installation>/conf/Catalina/localhost/manager.xml", wenn sie verfügbar sind.
Deaktivieren Sie den Tomcat Shutdown-Port. Ändern Sie dazu in der Datei "<Tomcat Installation>/conf/server.xml" im ersten Tag
<Server>
den Port auf-1
, z. B.<Server port="-1" shutdown="SHUTDOWN>
.Fügen Sie eine Server-Bezeichnung zum Konnektor hinzu. Suchen Sie dazu in der Datei "<Tomcat Installation>/conf/server.xml" das Tag
<Connector>
, das den Port definiert, unter dem ADONIS zugänglich ist. Fügen Sie an dieser Stelle den Parameterserver="Tomcat"
hinzu, z. B.<Connector port="8000" server="Tomcat"/>
.
Weitere Informationen zum Absichern des Apache Tomcat Web-Servers stellt das Open Web Application Security Project (OWASP) unter https://www.owasp.org/index.php/Securing_tomcat bereit.
Zugangsvoraussetzungen für den technischen Betrieb
Die Benutzerrechte der Benutzer, die den Apache Tomcat Web-Server und den ADONIS Applikations-Server als Dienst ausführen, sollten so weit wie möglich eingeschränkt werden. Die folgenden Berechtigungen stellen die mindestens erforderlichen dar, damit die Dienste funktionieren.
ADONIS Applikations-Server Berechtigungen
Der Benutzer, der den ADONIS Applikations-Server als Dienst ausführt, benötigt:
Schreibrechte im temporären Verzeichnis (
%TEMP%
).Schreibrechte im Verzeichnis, in das die Log-Dateien geschrieben werden (siehe "ADONIS Applikations-Server konfigurieren").
Lese- und Ausführungsrechte im Installations-Verzeichnis des ADONIS Applikations-Servers.
Apache Tomcat Web-Server Berechtigungen
Der Benutzer, der den Apache Tomcat Web-Server als Dienst ausführt, benötigt:
Schreibrechte im temporären Verzeichnis (
%TEMP%
).Schreibrechte und Änderungs-/Löschrechte im Verzeichnis der ADONIS Webapplikation (“<Tomcat installation>/webapps/ADONIS16_1“) und allen Unterverzeichnissen.
Schreibrechte im Verzeichnis, in das die Log-Dateien geschrieben werden. Standardmäßig ist das das Verzeichnis „<Tomcat Installation>/logs“.
Leserechte im Apache Tomcat Installations-Verzeichnis.
Führen Sie Apache Tomcat nicht mit lokalen Administratoren-Rechten aus. Führen Sie Apache Tomcat nicht mit Domänen-Benutzer Rechten aus, wenn diese nicht benötigt werden. Wenn Sie Apache Tomcat mit einem Domänen-Benutzer ausführen, sollten die Zugriffsrechte auf das Minimum beschränkt werden.
Sichere Konfiguration der ADONIS Webapplikation
- Es wird empfohlen, die Kommunikation zwischen dem Client (= Webbrowser) und dem Apache Tomcat Web-Server mit SSL/TLS zu verschlüsseln (siehe "(Optional) Apache Tomcat Web-Server für die Verwendung mit SSL/TLS konfigurieren").
Sichere Passwörter
Die unten angeführten Passwörter sollten sichere Passwörter sein:
Die Standard-Passwörter von Apache Tomcat in der Datei "<Tomcat Installation>/conf/tomcat-users.xml" (siehe "Apache Tomcat Web-Server konfigurieren").
Die Passwörter für alle Test-Accounts, Admin-Benutzer usw.
Es folgen einige allgemeine Empfehlungen zum Erstellen sicherer Kennwörter.
Starke Passwörter sollten:
Mindestens 8 Zeichen haben.
Klein- und Großbuchstaben enthalten (z.B. A-Z, a-z).
Mindestens ein numerisches Zeichen enthalten (z.B. 0-9).
Mindestens ein Sonderzeichen enthalten (z.B. @#§\$%&\^!()_+~-=).
Starke Passwörter sollten nicht:
Ein Wort sein, das leicht in einem Wörterbuch gefunden werden kann oder das sich direkt auf das Unternehmen bezieht.
Ein Wort sein, das mit einer Zahl anfängt oder aufhört.
Auf persönlichen Informationen basieren, die leicht erraten werden können (z.B. Familienname, Haustier, Geburtstag, etc.).