Das Mirage-Dateiportal wird unter Windows Server 2008 oder höher ausgeführt. Dieser Host muss vor regulären Sicherheitslücken des Betriebssystems geschützt werden.
Verwenden Sie Spyware-Filter, Erkennungssysteme für Eindringversuche und weitere Sicherheitsmaßnahmen entsprechend den Richtlinien Ihres Unternehmens.
Stellen Sie sicher, dass alle Sicherheitsmaßnahmen einschließlich Betriebssystem-Paches auf dem aktuellen Stand sind.
Tabelle 1.
Schutzkonfiguration für Code MFP01
| Konfigurationselement |
Beschreibung |
| Code |
MFP01 |
| Name |
Sorgt für die ordnungsgemäße Patchanwendung auf das Mirage-Dateiportal. |
| Beschreibung |
Wenn die Betriebssystem-Patches auf dem aktuellen Stand sind, wird das Risiko von Sicherheitslücken des Betriebssystems reduziert. |
| Risiko oder Kontrolle |
Wenn sich ein Angreifer Zugriff auf das System verschafft und Berechtigungen auf dem Mirage-Dateiportal neu zuweist, kann er über das Mirage-Dateiportal auf alle Dateiübertragungen zugreifen. |
| Empfohlene Ebene |
Enterprise |
| Bedingung oder Schritte |
Es wird ein System verwendet, um dafür zu sorgen, dass das Mirage-Dateiportal bei Patches immer auf dem aktuellen Stand gemäß Branchenstandard-Richtlinien bzw. internen Richtlinien ist. |
Tabelle 2.
Schutzkonfiguration für Code MFP02
| Konfigurationselement |
Beschreibung |
| Code |
MFP02 |
| Name |
Bietet Betriebssystemschutz auf dem Host des Mirage-Dateiportals. |
| Beschreibung |
Durch den Schutz auf Betriebssystemebene wird das Risiko von Sicherheitslücken beim Betriebssystem reduziert. Dieser Schutz beinhaltet Antiviren- und Antischadsoftware sowie weitere ähnliche Maßnahmen. |
| Risiko oder Kontrolle |
Wenn sich ein Angreifer Zugriff auf das System verschafft und Berechtigungen auf dem Mirage-Dateiportal neu zuweist, kann er über das Mirage-Dateiportal auf alle Dateiübertragungen zugreifen. |
| Empfohlene Ebene |
Enterprise |
| Bedingung oder Schritte |
Bietet Betriebssystemschutz (z. B. Antivirensoftware) gemäß Branchenstandard-Richtlinien bzw. internen Richtlinien. |
Tabelle 3.
Schutzkonfiguration für Code MFP03
| Konfigurationselement |
Beschreibung |
| Code |
MFP03 |
| Name |
Beschränkung der zur Anmeldung berechtigten Benutzer. |
| Beschreibung |
Nur wenige Benutzer sollten sich beim Mirage-Dateiportal als Administrator anmelden dürfen. |
| Risiko oder Kontrolle |
Falls sich ein nicht autorisierter Benutzer Zugriff auf das Mirage-Dateiportal verschafft, ist das System anfällig für nicht autorisierte Änderungen bei Dateidownloads. |
| Empfohlene Ebene |
Enterprise |
| Bedingung oder Schritte |
Erstellen Sie für die Benutzer Anmeldekonten mit speziellen Berechtigungen. Diese Konten sollten Bestandteil der lokalen Administratorgruppe sein. |
Tabelle 4.
Schutzkonfiguration für Code MFP04
| Konfigurationselement |
Beschreibung |
| Code |
MFP04 |
| Name |
Implementieren einer administrativen Kennwortrichtlinie. |
| Beschreibung |
Legen Sie eine Kennwortrichtlinie für das gesamte Mirage-Dateiportal fest. Das Kennwort sollte bestimmte Parameter berücksichtigen.
- Minimale Kennwortlänge
- Sonderzeichen erzwingen
- Kennwortänderung in bestimmten Abständen erzwingen
|
| Risiko oder Kontrolle |
Falls sich ein nicht autorisierter Benutzer Zugriff auf das Mirage-Dateiportal verschafft, ist das System anfällig für nicht autorisierte Änderungen. |
| Empfohlene Ebene |
Enterprise |
| Bedingung oder Schritte |
Legen Sie eine Kennwortrichtlinie für das Mirage-Dateiportal fest. |
Tabelle 5.
Schutzkonfiguration für Code MFP05
| Konfigurationselement |
Beschreibung |
| Code |
MFP05 |
| Name |
Entfernen unnötiger Netzwerkprotokolle. |
| Beschreibung |
Für das Mirage-Dateiportal wird ausschließlich die IPv4-Kommunikation verwendet. Andere Dienste sollten entfernt werden, etwa die Datei- und Druckerfreigabe von NFS, Samba-Server, Novell IPX usw. |
| Risiko oder Kontrolle |
Wenn nicht notwendige Protokolle aktiviert sind, ist das Mirage-Dateiportal anfälliger für Netzwerkangriffe. |
| Empfohlene Ebene |
Enterprise |
| Bedingung oder Schritte |
Entfernen Sie in der Systemsteuerung oder über das Verwaltungstool im Betriebssystem des Mirage-Dateiportals nicht benötigte Protokolle bzw. deinstallieren Sie sie. |
Tabelle 6.
Schutzkonfiguration für Code MFP06
| Konfigurationselement |
Beschreibung |
| Code |
MFP06 |
| Name |
Deaktivieren nicht notwendiger Dienste. |
| Beschreibung |
Für das Mirage-Dateiportal ist ein Minimum an Diensten für das Betriebssystem erforderlich. Durch die Deaktivierung nicht notweniger Dienste wird die Sicherheit optimiert. Dadurch wird verhindert, dass die Dienste beim Booten automatisch gestartet werden. |
| Risiko oder Kontrolle |
Wenn nicht notwendige Dienste ausgeführt werden, ist das Mirage-Dateiportal anfälliger für Netzwerkangriffe. |
| Empfohlene Ebene |
Enterprise. |
| Bedingung oder Schritte |
Stellen Sie sicher, dass keine Serverrollen aktiviert sind. Deaktivieren Sie Dienste, die nicht erforderlich sind. Es sind verschiedene Windows-Dienste unter Server 2008 vorhanden, die standardmäßig gestartet werden, aber nicht erforderlich sind. Sie sollten diese Dienste deaktivieren.
- Anwendungserfahrung
- Anwendungsmanagement
- Zertifikatverteilung
- COM+-Ereignissystem
- DHCP-Client
- Client für die Überwachung verteilter Verknüpfungen
- Distributed Transaction Coordinator
- Diagnoserichtliniendienst
- IPsec-Richtlinien-Agent
- Druckwarteschlange
- Benachrichtigungsdienst für Systemereignisse
|
Das Mirage-Dateiportal wird im Allgemeinen in einer DMZ oder einem internen Rechenzentrum bereitgestellt, um Browserzugriffe und Benutzerdaten über potenziell schädliche Netzwerke wie das Internet zu kontrollieren. In einer DMZ oder einem internen Rechenzentrum ist es wichtig, eine Firewall zur Kontrolle des Netzwerkprotokollzugriffs zu verwenden.
Tabelle 7.
Schutzkonfiguration für Code MFP07
| Konfigurationselement |
Beschreibung |
| Code |
MFP07 |
| Name |
Verwenden Sie eine externe Firewall in der DMZ, um den Netzwerkzugriff zu kontrollieren. |
| Beschreibung |
Das Mirage-Dateiportal wird normalerweise in einer DMZ bereitgestellt. Sie müssen kontrollieren, welche Protokolle und Netzwerk-Ports zulässig sind, damit die Kommunikation mit dem Mirage-Dateiportal auf das erforderliche Minimum beschränkt wird. Das Mirage-Dateiportal sendet Anforderungen automatisch anMirage-Verwaltungsserver innerhalb eines Rechenzentrums und gewährleistet, dass der gesamte weitergeleitete Datenverkehr durch authentifizierte Benutzer erfolgt. |
| Risiko oder Kontrolle |
Nicht notwendige Protokolle und Ports können das Risiko eines Angriffs durch böswillige Benutzer erhöhen, insbesondere bei Protokollen und Ports für die Netzwerkkommunikation über das Internet. |
| Empfohlene Ebene |
Konfigurieren Sie eine Firewall auf beiden Seiten des Mirage-Dateiportals, um Protokolle und Netzwerk-Ports auf das erforderliche Minimum zwischen Browsern und dem Mirage-Datenspeicher zu beschränken. Sie sollten das Mirage-Dateiportal auf einem isolierten Netzwerk bereitstellen, um den Gültigkeitsbereich von Frame-Broadcasts zu begrenzen. Mit dieser Konfiguration kann ein böswilliger Benutzer im internen Netzwerk daran gehindert werden, die Kommunikation zwischen dem Mirage-Dateiportal und dem Mirage-Verwaltungsserver zu überwachen. Sie sollten möglicherweise erweiterte Sicherheitsfunktionen auf Ihrem Netzwerk-Switch verwenden, um die böswillige Überwachung der Mirage-Gateway-Kommunikation mit Mirage-Servern zu verhindern und vor Überwachungsangriffen (ARP Cache Poisoning) zu schützen. |
| Parameter- oder Objektkonfiguration |
Weitere Informationen zu den für eine DMZ-Bereitstellung erforderlichen Firewallregeln finden Sie im VMware Mirage-Installationshandbuch. |
Tabelle 8.
Schutzkonfiguration für Code MFP08
| Konfigurationselement |
Beschreibung |
| Code |
MFP08 |
| Name |
Verwenden Sie auf dem Mirage-Dateiportal keine standardmäßigen, selbstsignierten Serverzertifikate. |
| Beschreibung |
Bei der Erstinstallation des Mirage-Dateiportals ist der HTTPS-Server erst funktionsfähig, wenn signierte Zertifikate vorbereitet wurden. Das Mirage-Dateiportal und der HTTPS-Server benötigen von einer kommerziellen Zertifizierungsstelle (Certificate Authority, CA) oder einer Zertifizierungsorganisation signierte SSL-Serverzertifikate. |
| Risiko oder Kontrolle |
Durch die Verwendung selbstsignierter Zertifikate ist die SSL-/TSL-Verbindung anfälliger für Man-in-the-Middle-Angriffe. Durch die Verwendung von signierten Zertifikaten einer vertrauenswürdigen Zertifizierungsstelle wird das Risiko derartiger Angriffe reduziert. |
| Empfohlene Ebene |
Enterprise |
| Bedingung oder Schritte |
Weitere Informationen zum Einrichten von Mirage-Dateiportal-Zertifikaten finden Sie im VMware Mirage-Installationshandbuch. |
| Test |
Verwenden Sie ein Tool für die Suche nach Sicherheitslücken für die Verbindung mit dem Mirage-Dateiportal. Überprüfen Sie, ob es von der entsprechenden Zertifizierungsstelle signiert ist. |
