Neue Seite
Notfallkonzept
Client Management Wiederherstellung der SUEM Empirum
Infrastruktur nach Totalausfall
(Hackerangriff)
Version 1.2023.04
Erstellt am 05.04.2023 Erstellt von Ralf Bachmann
Wir machen Kunden zu Helden.
Inhalt
4 Empfehlungen der Consulting4IT GmbH .......................................................... 8
5 Ansprechpartner und Kommunikation ............................................................ 9
5.4 Definition Kommunikationswege ................................................................... 11
6.3.2 Portübersicht in Tabellarischer Form ......................................................... 17
Seite 2 von 34
7.2.1 SUEM Empirum Infrastruktur ..................................................................... 22
7.2.2 Planung der Bereitstellung der Clients und Clientdesign ......................... 22
7.2.6 Definition Umgang mit kompromittierter Hardware ................................ 23
7.3 Matrix42 SUEM Empirum Installationsquellen .............................................. 24
9 Basis Installation Client Management ............................................................ 25
10 DKFZ / Notfallkonzept aufbauend auf vorherige Kapitel .............................. 26
10.1 Vorbereitung aktives Empirum System .......................................................... 26
10.1.1 Datenbank aktives Empirum ....................................................................... 27
10.2 Vorbereitung Autarke Empirum Installationsstraße ..................................... 27
10.2.3 Interne Infrastrukturverschlüsselung ......................................................... 29
10.3.1 Umgang mit externen Firmen ..................................................................... 30
10.4 Aufbau eigener Installationsumgebung ......................................................... 31
Seite 3 von 34
1 Urheberrechtshinweis
Alle Rechte vorbehalten, Copyrights © Consulting4IT GmbH.
Dieses Dokument ist urheberrechtlich geschützt. Alle Rechte liegen bei der Consulting4IT GmbH. Jede andere Nutzung, insbesondere die Weitergabe an Dritte wie z.B. Wettbewerber, Verbreitung, Bearbeitung, Vortrag, Aufführung und Vorführung sind untersagt. Dies gilt sowohl für das gesamte Dokument als auch für Teile.
Alle verwendeten Produktnamen und Warenzeichen sind Eigentum ihrer jeweiligen Besitzer.
Seite 4 von 34
2 Ansprechpartner Consulting4IT
Ralf Bachmann
Teamleiter Client Management
Tel.: +49 7243 2058-651
Mobil: +49 172 6381553
E-Mail: ralf.bachmann@consulting4it.de
Seite 5 von 34
2.1 Änderungskontrolle
|
Version |
Datum |
Beschreibung, Bemerkung |
Name |
|
1.2023.04 |
05.04.23 |
Neues Design (Corp.) |
R. Bachmann |
|
2.2023.07 |
25.07.23 |
Neue Links / Konzept DKFZ |
R. Bachmann |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
2.2 Verteiler
|
Funktion |
Name |
Abteilung |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Seite 6 von 34
3 Management Summary
Dieses Dokument dient der Beschreibung eines Notfallkonzepts und entsprechende Handlungsempfehlungen für die schnelle und saubere Bereitstellung des Computerarbeitsplatzes nach einem Totalausfall (Hackerangriff).
Für die automatisierte Installation der betroffenen Clients wird die Client Management Lösung Secure Unified Endpoint Management Empirum und eventuell weitere Komponenten eingesetzt.
Das Notfallkonzept ist mit allen Beteiligten abzustimmen und so gestaltet, dass dritte in der L age sind, diese Notfallmaßnahmen bei einem Kunden der Consulting4IT GmbH durchführen zu können.
Für einen zügigen Projektablauf sind folgende Punkte entsprechend zu definieren:
> Im Bereich der eingesetzten Personen:
o Die Verantwortlichkeiten auf beiden Seiten
▪ Ansprechpartner
▪ Weitere Abteilungen
o Wie findet die Kommunikation statt
▪ Regelmäßige Statusmeetings
▪ Kurzfristiger Klärungsbedarf
o Rollen Definition auf Kunden- und Consutling4IT Seite
▪ Projektleitung
▪ Eskalationsmanager
▪ Entscheider
▪ Consultant
▪ Administratoren
> Workshop
o Lagebeschreibung
▪ IST Aufnahme der Situation
o Grobkonzept zur Wiederherstellung des SUEM Empirum und weitere Komponenten
▪ welche Empfehlungen werden durch Consulting4IT GmbH ausgesprochen
▪ welche Entscheidungen trifft der Kunde
> Umsetzung des Konzeptes auf Basis der Kundenentscheidung
Seite 7 von 34
4 Empfehlungen der Consulting4IT GmbH
Aus Sicherheitsgründen empfehlen wir eine generelle Neuinstallation und Neuaufbau der Client Management Lösung SUEM Empirum. Dies umfasst sowohl das Produkt SUEM Empirum, als auch die eingesetzten Softwarepakete und Quellen.
Entscheidet sich ein Kunde, die Umgebung aus dem Backup, oder dem Altsystem wieder in Betrieb zu nehmen, sind aus Haftungsgründen folgende Schritte zu beachten:
> Schriftliche Freigabe des betroffenen Systems durch die Sicherheitsprüfung
> Klar definierte Prozesse, wie die Systeme einzusetzen sind (Löschung, Tausch Festplatte etc.)
> schriftliche Freigabe / Anweisung der Geschäftsleitung des Kunden
Aus den vergangenen Einsätzen hat sich der Einsatz als zweier-Team für die Bewältigung der anstehenden Aufgaben als „Best Practise“ herausgestellt. Daher stellt die C4IT für diese Notfälle immer mindestens zwei erfahrene Consultants bereit.
Betrifft es mehrere Produkte welche die C4IT bereitstellt, werden entsprechend eine Projektleitung und weitere Consultants bereitgestellt.
Es kann im Vorfeld schon besprochen werden, welche Vorbereitungen durch den Kunden durchgeführt werden können:
> entsprechende Serversysteme für SUEM und DB bereitstellen
> Active Directory sollte bereitstehen
> Infrastruktur sollte grundlegend betriebsbereit sein
> Umgang mit kompromittierter Hardware geklärt
> Definition minimal Anforderung Standardclient
Wir empfehlen die Neuvergabe von:
> Name der Serversysteme
> Name der benötigten Servicebenutzer
Seite 8 von 34
5 Ansprechpartner und Kommunikation
5.1 Ansprechpartner
> In diesem Kapitel werden die im Projekt notwendigen Personen und Rollen genannt
o Kontaktdaten
o Vertreter
> Bitte auch die Ansprechpartner der weiter benötigten Abteilungen angeben (Sicherheit,
Netzwerk, AD, Firewall, Datenbanken…)
Lei tung Notfallmanagement Kunde
Kommunikation/Steuerung
C4It
Kommunikation/Steuerung Kunde
Cons ultant Cons ultant
Beteiligte MA/Abteilungen
de s Kunden
Seite 9 von 34
5.2 Übersicht der Personen
|
Kunde/C4 |
Name |
Telefon |
|
Rolle |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
5.3 Rollen und Funktionen
|
Rolle / Funktion |
Aufgaben |
Kompetenzen |
|
Leitung Notfallmanagement Kunde |
Leitung und Koordination |
Genehmigung von Ressourcen |
|
Kommunikation/Steuerung C4IT |
Project Office Evtl. Projektleitung durch C4IT |
Planung der Ressourcen |
|
Kommunikation/Steuerung Kunde |
Unterstützung der externen Dienstleister und Steuerung der Mitarbeiter auf Kundenseite |
Gemäß Auftrag der Leitung |
|
Consultant |
Wiederherstellung IT-Betrieb SUEM Empirum |
Umsetzung |
|
Mitarbeiter/Beteiligte Abteilungen des Kunden |
Bereitstellung der notwendigen Systeme, Zugänge und Voraussetzungen auf Kundenseite |
Kontakt mit Consultants C4IT Zugriff auf Passwörter |
Seite 10 von 34
5.4 Definition Kommunikationswege
Wir empfehlen eine klare Kommunikationsstrategie, die ein inhaltlich und argumentativ einheitliches Auftreten in der Krise garantiert. Sie gibt den Rahmen und die Grundsätze für die Kommunikation vor.
Da es in Notfallsituationen immer zu schnellen Entscheidungen kommen muss, empfehlen wir die Kommunikationswege im Vorfeld zu definieren. Diese umfassen:
> Eindeutige Ansprechpartner abgeleitet aus 4.2
> Wer berichtet wem?
> Eskalationsmanagement
Die entsprechende Übersicht sollte als Information für alle Beteiligten bereitstehen.
5.5 Beraterarbeitsplatz
Der Arbeitsplatz der C4IT Consultants sollte möglichst nahe bei den Kollegen der
„Installationsstraße“ eingerichtet werden, da nach der Bereitstellung der SUEM Empirum
Infrastruktur erfahrungsgemäß zügig mit den ersten Testinstallationen begonnen werden soll.
> Die Projekterfahrung hat gezeigt, dass hier die „kurzen Wege“ maßgeblich den Erfolg des
Rollouts bestimmen.
> Die C4IT Hardware des Consultants darf nicht an das Kundensystem angebunden werden.
Einen Zugang zum Internet muss hier über eine eigene SIM-Karte erfolgen.
> Für die Arbeiten im Kundennetzwerk stellt der Kunde einen Arbeitsplatz mit Internetzugang zur Verfügung.
> Falls kein Internetzugang möglich ist, wird ein USB-Stick mit entsprechenden Quellen der
|
|
C4IT Consultants bereitgestellt, Empirum unterstützt in diesem |
Falle |
kein |
|
Patchmanagement. |
|
|
|
|
> |
Benötigte Sourcen werden über diesen Arbeitsplatz bereitgestellt. |
|
|
|
> > |
kein Einsatz von Kunden USB-Stick/externer Datenträger am C4IT Notebook C4IT USB-Sticks sind bei Bedarf vom Kunden zu prüfen und freizugeben |
|
|
Seite 11 von 34
5.6 Einsatzplanung
Die Einsatzplanung der C4IT Consultants erfolgt generell über das Projektoffice der C4IT. Dies erfolgt in enger Abstimmung mit den beteiligten Personen (C4IT und Kunde).
Aufgrund der Notfallsituation ist es oftmals nötig, sehr kurzfristig geplante Termine bei weiteren Kunden durch das Projektoffice abzusagen. Die Priorisierung erfolgt in Abstimmung mit dem Vertrieb.
5.7 Sicherheitsbeauftragte/r
> Die Wiederherstellung der SUEM Empirum und den Clients, welche neu installiert werden, erfolgt in Enger Abstimmung mit den Sicherheitsbeauftragten.
> Daher sollten die Kontaktdaten allen bekannt sein, damit im Bedarfsfalle schnelle Lösungen
und Entscheidungen getroffen werden können.
Bei Unstimmigkeiten im Wiederherstellungsprozess (z.B.: fehlenden Säuberungs-Prozess) bei den betroffenen Endgeräten (Clients) wird C4IT den Kontakt zu den Sicherheitsbeauftragten aufnehmen, und um entsprechende Klärung bitten.
5.8 Dokumentation
C4IT erstellt eine Dokumentation der durchgeführten Arbeiten. Der Tiefe-Grad kann mit dem Kunden entsprechend abgestimmt werden (je detaillierter, umso höher der Aufwand)
Die Dokumentation umfasst folgende Punkte:
> Aufgenommener Ist Zustand
> Grobkonzept mit Handlungsempfehlungen und Kundenentscheidung
> Basisinstallation gemäß Konzept o Genaue Versionsangaben o Bereitgestellte OS
o Bereitgestellte Hardwareprofile
o Basis OS Installation
> Softwaredepot
o Bereitgestellte Pakete
> Paketierung falls erforderlich
> Übersicht der offenen und erledigten Punkte
> Verzögerungen (z.B.: durch fehlende Portfreigaben in der Firewall)
Seite 12 von 34
5.9 Umgang mit Passwörtern
Für die korrekte Funktionsweise werden entsprechende Service Benutzer benötigt. Die einzelnen Voraussetzungen sind im Bereich Infrastruktur angegeben. Als Grundlage können wir das Dokument „Umgang mit Benutzerkonten“ der C4IT nutzen.
> Generell verwalten wir keine Passwörter der benötigten Service Accounts.
> Wir empfehlen diese in einem entsprechenden Passwortsafe zu hinterlegen,
> oder über Managed Service Accounts umzusetzen.
Sollte der Kunde eigene Accounts für die Consultants bereitstellen, so verwaltet jeder Consultant sein eigenen Account. Es soll kein Consultant-Account übergreifend genutzt werden.
6 Infrastruktur
Damit SUEM Empirum zeitnah wieder zur Verfügung steht, ist die Zusammenarbeit der folgenden Abteilungen und Dienste nötig
6.1 Active Directory
Für die Installation und den Betrieb von SUEM Empirum sind einige Voraussetzungen in der AD nötig. Hierzu zählen folgende Punkte:
> Servicebenutzer für
o Installation Empirum o Agent Kommunikation o Domain Join
o Client Installation
> DNS Dienst
o Eine funktionierende Namensauflösung
6.2 Netzwerk
> DHCP Dienst
o PXE Optionserweiterung (43,60,128,129)
oder
> IP-Helper
> MAC Adressfilterung
Seite 13 von 34
6.2.1 Servicebenutzer
Die benötigten Servicebenutzer werden vor der Installation angelegt und entsprechend berechtigt. Die Passwortvorgaben sollten entsprechend komplex sein, und in einem Passwortsafe hinterlegt werden. Bitte beachten Sie die entsprechenden Passwortrichtlinien, sowie die nicht zulässigen Zeichen.
Aus Sicherheitsgründen sollten die Servicebenutzer nicht den gleichen Namen der Altinstallation haben.
Möchte man einen höheren Sicherheitsstandard erreichen, so bestehen mehrere Möglichkeiten.
> Einrichten von Managed Servicebenutzer
> Nutzen von Clientzertifikaten
Im gemeinsamen Workshop werden hier die verschiedenen Wege dargestellt und eine Entscheidung für die Umsetzung herbeigeführt.
Grundlage:
> C4IT Dokumentation SUEM_Client_Management_Security
> M42 Server Hardening (Online Handbuch Empirum)
Seite 14 von 34
6.3 Firewall
> Für den Betrieb von SUEM Empirum und entsprechender Absicherung des Netzwerkes durch eine oder mehrere Firewalls, werden folgende Ports zur Kommunikation benötigt: Da sich mit neuen Versionen hier die Anforderungen ändern können, bitte die aktuellen Anforderungen aus der Online-Dokumentation als Grundlage nutzen:
http://helpfiles.matrix42- web.de/2023_DE/M42_WebDocu.htm#WM/Manuals/MISC_Empirum_Ports.htm?Toc Path=Unified%2520Endpoint%2520Management%257CHandb%25C3%25BCcher%2 57CPorts%2520(Empirum)%257C 0
> Matrix42 SUEM Empirum setzt auf die üblichen standardisierten Netzwerkprotokolle der jeweiligen Betriebssysteme (Microsoft, Linux, RFC) auf und hat für spezielle Funktionen eigene Ports definiert. Nachfolgend sind die von Empirum in einer Standardumgebung verwendeten Ports, mit Angabe der Kommunikationsrichtung angegeben. Für eine kundenspezifische Installation sind nicht unbedingt alle Ports erforderlich.
> Neben den Ports sind auch Anwendungen in der Firewall von Windows Server zu berechtigen; z.B. sqlservr.exe auf dem Datenbank Server.
Seite 15 von 34
6.3.1 Portfreigabe als Schaubild
Seite 16 von 34
6.3.2 Portübersicht in Tabellarischer Form:
Seite 17 von 34
> Wird das Matrix42 Patch Management v4 eingesetzt, werden Zugriffe ins Internet benötigt, um die Patche und Servicepacks bereitzustellen
o Download Patchkatalog auf Masterserver
o Download der benötigten Patche und Servicepacks auf den Masterserver
> Übersicht der unterstützten Produkte und Freigaben auf der Firewall:
o http://helpfiles.matrix42-web.de/EXT/UEM_2023/PM/DownloadURLs.csv
Seite 18 von 34
6.4 Datenbank
Für den Betrieb von SUEM Empirum werden mehrere Datenbanken auf einem MS SQL-Server benötigt. Da die Datenbanken oftmals auf einem zentralen Datenbankserversystem installiert werden, sind zur Basisinstallation, und dem weiteren Betrieb die entsprechenden Berechtigungen zu setzen.
> Für die Basis-Installation der Datenbanken benötigen wir die Unterstützung der entsprechenden Administratoren des MS SQL-Servers.
> Für den Datenbankzugriff erstellen wir einen Service Benutzer mit den entsprechenden Berechtigungen und Rollenzuweisungen.
o Für die initiale Erstellung der Empirum Datenbanken (EmpLocations, Standort- Datenbank) in einer Instanz wird die Serverberechtigung CREATE ANY DATABASE oder die Rolle dbcreator benötigt.
o Zusätzlich wird lesender Zugriff auf die Registry des SQL Servers benötigt (A uslesen von Informationen aus HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSQLServer).
o Für das Aktualisieren der Datenbank ist nur die dbo Rolle (Database Owner) notwendig.
o Für das Erstellen und Bearbeiten von Benutzern in DBUtil ist die SQL -Rolle securityadmin notwendig.
> Die freigegebenen SQL-Server-Versionen können dem Dokument „System Requirements“
entnommen werden.
o https://help.matrix42.de/010_SUEM/020_UEM/20Client_Management/Installation_u nd_Konfiguration/Version_23.0/Empirum_23.0_ -_Systemvoraussetzungen
o Bitte die entsprechenden ODBC Treiberversionen beachten.
Seite 19 von 34
6.5 Installationsstraße
Einen entscheidenden Anteil am Erfolg der zügigen Bereitstellung der PC -Arbeitsplätze liegt im Durchsatz der Installationsstraße, und den dort arbeitenden Mitarbeitern.
Auf Basis der durchgeführten Projekte empfehlen wir hier einen Arbeitsplatz für die C4IT Consultants bereitzustellen.
Es sollten hier die entsprechenden „Entscheider“ eng mit eingebunden, und der
Installationsprozess entsprechend definiert und freigegeben sein. Dadurch erreichen wir folgende Vorteile:
> Kurze Kommunikationswege
> Direktes Eingreifen und gemeinsames Lösen im Problemfalle
> Schnelles Bereitstellen der benötigten Hardwareprofile
> Kontinuierliche Optimierung des Installationsprozesses
Es sollten regelmäßige Besprechungen stattfinden um
> Status Rückmeldungen zu erfassen
> Optimierungspotential zu erörtern und umzusetzen
> Entscheidungen zu treffen
> Offen Fragen zu klären
Folgende Personengruppen sollten an den Besprechungen teilnehmen:
> Leiter oder Stellvertreter der Installationsstraße
> IT-Leiter / Entscheider oder Krisenmanagement
> C4IT Consultant
> Je nach Besprechung: Mitarbeiter / Entscheider aus den Fachabteilungen
Seite 20 von 34
7 Projektablauf vor Ort
7.1 Aktueller Ausgangssituation
Im ersten Schritt müssen wir uns einen Überblick über die Lage machen. Hier geht es von der Beschreibung der kompromittierten Umgebung bis zu dem aktuellen IST Zustand der neuen Infrastruktur.
Auf dieser Basis werden wir zusammen mit dem Kunden die entsprechenden Handlungsempfehlungen erarbeiten und nach Freigabe entsprechend durchführen.
Da zu diesem Zeitpunkt schon ein erhöhter Sicherheitsstandard gefordert wird, gilt es abzuwägen, wie weit man diesen direkt bereitstellt, damit die Installationsstraße schnell in Betrieb gehen kann. Dies bedeutet folgendes:
> Ist die neue Infrastruktur bereitgestellt, und entsprechend abgesichert (Freigabe der Sicherheitsbeauftragten vorhanden?)
> Bereitstellung der Systemvoraussetzungen an den Kunden
> Prüfen der umgesetzten Systemvoraussetzungen
> Umsetzung der Basisinstallation auf Basis des Product Hardening der Matrix42
> Umsetzung mit entsprechenden Managed Service Benutzeraccounts
> Absicherung der Shares and Rights
> Einsatz der Empirum internal Infrastruktur Kommunikation (AES256)
Nachdem der Basisbetrieb wiederhergestellt wurde, sollten die weiteren Sicherheitsmaßnahmen umgesetzt werden:
> Einsatz von Clientzertifikaten für die Authentifikation
> Empirum Depot in der DMZ bereitstellen
> Softwarepaket Validierung einschalten
> Softwarepakete signieren
> Kommunikation nur noch über https
> OS Installation über https
Seite 21 von 34
7.2 Implementierungs-Workshop
In diesem gemeinsamen Workshop werden die entsprechenden Handlungsempfehlungen zur Wiederherstellung der SUEM Empirum Infrastruktur beschrieben und definiert, um unnötige Show Stopper zu vermeiden.
Da es in den Projekten an der Stelle zu zeitlichen Engpässen kommen kann, werden wir diesen so kurz wie möglich halten.
7.2.1 SUEM Empirum Infrastruktur:
Hier werden die Basisinformationen zur Bereitstellung von SUEM Empirum erfasst und dokumentiert
> Planung der Bereitstellung entsprechend der Vorgaben
> Einrichtung Managed Service Benutzerkonten
> Basis Installation SUEM Empirum
> Basis Konfiguration SUEM Empirum
7.2.2 Planung der Bereitstellung der Clients und Clientdesign
Ermitteln der entsprechenden Clientinformationen
> Welche OS/SW Versionen/Editionen
> Lizenzierung der OS/SW
> Welche Hardwareprofile müssen bereitgestellt werden
7.2.3 Definition der Clientsicherheit
> Virenscanner (Ausnahmen beachten)
> Firewall
> Egosecure
> FortiEDR o.ä
7.2.4 Definition Standard Client
> OS
> Patchmanagement
Seite 22 von 34
> Benötigte Softwarepakete (für schnelle Inbetriebnahme)
> Wird Paketierungsunterstützung benötigt?
7.2.5 Softwaredepot
> Einbinden der Matrix42 Package Cloud
> Bei Paketierungsunterstützung
o Planung weiterer Ressourcen o Grundlagen zur Paketierung o Paketsteckbriefe
o Planung über die weiteren Softwarepakete
7.2.6 Definition Umgang mit kompromittierter Hardware
Die Bereitstellung der kompromittierten Hardware kann nur nach einem ausgiebigen Löschprozess umgesetzt werden. Hier müssen wir auf die Erfahrungswerte der Kollegen aus der Forensik- Abteilung zurückgreifen, und dies gemeinsam im laufenden Projekt ausarbeiten.
Prozessdefinition: Wie gehen wir mit befallener Hardware um.
> Löschkonzept definieren
o Festplatte:
|
|
▪ |
Sicheres Löschen der Festplatte |
|
▪ |
alternativ Einbau einer neuen Festplatte, und Zerstörung der alten Festplatte |
|
|
o |
BIOS ▪ |
UEFI/BIOS neu installieren (flashen) |
o Weitere zu beachtende Punkte aus der Forensik
> Schriftliche Freigabe durch Sicherheitsbeauftragten erforderlich
> Ein PXE Boot darf erst nach erfolgreichem Löschkonzept des Clients im neuen Netzwerk durchgeführt werden.
Seite 23 von 34
7.2.7 C4IT Bootstick
Damit wir im bei Verdacht auch einen „Schnelltest“ auf Virenbefall an einem Client durchführen
können, nutzen wir einen Multibootstick (Linux Umgebung) mit mehreren Virenscannern. Der USB-Stick muss vor dem Einsatz durch den Kunden geprüft und freigegeben werden.
7.3 Matrix42 SUEM Empirum Installationsquellen
Die aktuellen Installationsquellen werden durch die C4IT bereitgestellt.
> Diese werden auf einem USB-Stick bereitgestellt.
> Vor dem Einsatz muss der USB-Stick durch den Kunden geprüft und freigegeben werden.
Folgender Inhalt ist im aktuellen Stand auf dem USB-Stick vorhanden:
> SUEM Empirum Version
o Vorhandene Patch
o Letzter Hotfix Installer
> Microsoft ADK und WinPE
> PreOS Pakete WinPE
> UEM Agent
> SDK
> Sysinternals
> Matrix42 Toolbox
Seite 24 von 34
9 Basis Installation Client Management
Durchführen der Basisinstallation SUEM Empirum auf Basis des Notfallkonzeptes. Die einzelnen Schritte zur Installation entnehmen wir dem Dokument: Client Management SUEM Empirum Security.docx
In diesem Dokument wurden alle Sicherheitsfeatures des Produktes SUEM Empirum zum Zeitpunkt der Erstellung in die Installation mit eingebaut.
Seite 25 von 34
10 DKFZ / Notfallkonzept aufbauend auf vorherige Kapitel
Das DKFZ erstellt aktuell mehrere Notfallkonzepte, und Wege zur schnellen Wiederherstellung der Betriebsbereitschaft.
Einige Schritte können auch schon vorab definiert und installiert werden, um im Bedarfsfalle auf schon konkrete Vorgaben zurückgreifen zu können.
10.1 Vorbereitung aktives Empirum System
Folgende weitere Schritte und Maßnahmen empfehlen wir am Produktivsystem vorbeugend durchzuführen:
> Regelmäßiges Backup der Datenbank und des Filesystems
o Rücksicherung geprüft?
> Produkthardening des Empirumservers
o Setzen der Berechtigungen auf Dateien und Freigaben
o Entfernen der Null Session Shares
o Windows Firewall aktivieren
o Portfreigaben entsprechend M42 konfigurieren
o Benutzer prüfen
▪ Passwörter AES 256 verschlüsseln
▪ Interne Infrastrukturverschlüsselung aktivieren
▪ Gruppenzugehörigkeit der Service Benutzer prüfen
o Agenttemplates prüfen
o Update Tomcat
o https von extern / intern SMB / Protokolle prüfen
> Erstellen einer Paketliste, welche im Bedarfsfall benötigt, werden
o Liste erstellen
o Pakete aktualisieren
o Pakete auf Virus testen
o Pakete exportieren
> Erstellen eines Reports
o Zuweisungen Clients / Softwarepakete / Benutzer
▪ Basis: Inventory
▪ Export PDF
▪ Export CSV
o Regelmäßige Erzeugung des Reports
Seite 26 von 34
10.1.1Datenbank aktives Empirum
Ist das Produktivsystem von einem Virenbefall betroffen, so sollte die Datenbank vor der Nutzung in einem neuen System, auf Virusbefall getestet und freigegeben werden.
Wir empfehlen bei einer Neuinstallation von Empirum eine neue Datenbank anzufangen.
Die alte Datenbank kann nach Freigabe als Read Only bereitgestellt werden, alternativ in einer gekapselten Empiruminstallation.
10.2 Vorbereitung Autarke Empirum Installationsstraße
Um im Notfall schnellstens wieder Clients zur Verfügung stellen zu können, wird im Vorfeld schon ein autarkes Installationsnetzwerk aufgebaut.
Sollte die AD im Notfall innerhalb von zwei bis drei Tagen wieder zur Verfügung stehen, empfehlen wir die Umsetzung direkt in der neuen AD Struktur durchzuführen. (ohne Autarkie)
Für ein autarkes Installationsnetzwerk sind einige Voraussetzungen zu definieren und zu erstellen.
Seite 27 von 34
10.2.1 Service Benutzer
Um die Sicherheit zu erhöhen, empfehlen wir eigene Service Accounts für Empirum zu nutzen. Die Namen der Servicebenutzer sollten entsprechend der Namenskonvention des Kunden
angepasst werden.
> EmpAdmin / Kundeneigener Benutzer: <tbd>
o Standard Domänen Benutzer
o administrativ berechtigt auf den Empirumservern
o DB-Creator und Security Admin auf der Datenbank Instanz
> EmpService / Kundeneigener Benutzer: <tbd>
o Standard Domänen-Benutzer
o Rolle: EmpServices
> EmpAgent1 und EmpAgent2 / Kundeneigene Benutzer: <tbd>und <tbd>
o Standard Domänen-Benutzer
o Transportuser für ClientServer
o Für Passwortwechsel empfehlen wir 2 Benutzer (Änderung der Passwörter im Wechsel, damit die Clients immer eine Verbindung aufbauen können)
o Alternativ: Clientzertifikat oder Computerbasierter Authentifizierung
> EmpInstall
o Rolle Kontenoperator
o User für den Domain-Join
Seite 28 von 34
> Empirum Administratoren
o GR_EmpirumAdmin (volle Administrationsrechte und Konfigurationsrechte in Empirum)
o GR_HelpDesk (nur die Administrationsseite in Empirum)
o GR_ReadOnly
o Wir empfehlen die Administratoren und Benutzer über die Gruppen zu berechtigen.
> Managed Service Accounts
Es besteht die Möglichkeit den EmpService Benutzer als Managed Service Account einzurichten / Weitere Infos im Product Hardening
10.2.2 Passwort Grundlagen
> Kennwörter mit interner Infrastruktur Verschlüsselung verwenden
> Kennwortrichtlinien beachten Matrix42 Dokumentation - Verschlüsselung mit EmpCrypt.exe (matrix42-web.de) (Anlage 02)
> Diese Sonderzeichen sind NICHT zu verwenden:
% , ; ' " \ / | < > [ ] = und Leerzeichen!
> Kennwörter werden ausschließlich durch den Kunden verwaltet und bereitgestellt.
10.2.3 Interne Infrastrukturverschlüsselung
> Es ist darauf zu achten, dass die Interne Infrastrukturverschlüsselung in Empirum aktiviert wird. Hier wird das Passwort auf AES256 Basis verschlüsselt.
10.3 Ansprechpartner im Notfall
Bitte definieren Sie vorab die entsprechenden Ansprechpartner und das Rollenmodell mit deren Kontaktdaten, damit hier im Notfall schnell reagiert und entschieden werden kann.
Bitte beachten Sie die Kontaktwege, da evtl. aufgrund des Vorfalles kein Email oder Telefon zur Verfügung steht.
Eine Liste ist unter Punkt 5.1 eingefügt.
Die entsprechende Liste sollte allen Beteiligten zur Verfügung stehen, evtl. mit privaten Notfallkontakt.
Seite 29 von 34
10.3.1 Umgang mit externen Firmen
Bitte stellen Sie sicher, dass externe Personen (Firmen), welche für die Wiederherstellung der Umgebung benötigt werden, entsprechende Ansprechpartner und Arbeitsplatz zur Verfügung gestellt werden.
Auch hier die externen Clients nur nach einer Sicherheitsüberprüfung in das interne Netzwerk aufnehmen (z.b. MRT Steuerung)
10.3.2 Jour Fix
Wir empfehlen regelmäßige Jour Fix Termine während der Projektphase durchzuführen.
> Jeden Morgen eine kurze Besprechung, über den Ist Zustand und die geplanten Schritte
> Jeden Abend eine Statusübersicht, und weitere Planung
Seite 30 von 34
10.4 Aufbau eigener Installationsumgebung
Um eine autarke Empirum Installationsstraße schnellstens in Betrieb nehmen zu können, kann vorab schon ein entsprechendes System aufgebaut und konfiguriert werden.
Hierfür wird folgende Umgebung empfohlen:
> Ein eigenes Netzwerk mit einem ausreichend dimensionierten Switch (24 Port, >= 1 GHz)
> DSL Router für einen separaten Zugang in das Internet (Empirum Server) Beschreibung des All-in-One Gerätes für die Umgebung
> Ein All-in-One Server mit folgender Installation
o Windows Server 2019 oder höher
o Aktuell gepatcht / muss im Standby aktuell gehalten werden
o Installierte Features
▪ DC
▪ DHCP
▪ DNS
▪ Bitte an das Konzept der AD Kollegen anlehnen
o Anlegen der Service Benutzer gemäß der Definition
o Zugang ins Internet über den DSL Router
▪ PM Updates, Virenschutz Pattern
o Installierter Virenschutz
o Aktivierte Firewall
o Durchgeführte Systemhärtung M42
o Installierter SQL Server 2019 Standard mind. CU2 oder höher
o Größenbeschränkung der DB einrichten (16GB)
o Installiertes und Konfiguriertes Empirum
▪ PXE / TFTP
▪ Inventory
▪ Patch Management
▪ Importierte benötigte Softwarepakete
▪ OS Installation
▪ Treiberintegration
▪ Definition der StandardClients
▪ Vorbereitung der Zuweisungen
• Auf Basis des Reports (Aktivsystem)
Seite 31 von 34
10.4.1Serversizing
Anbei das empfohlene Serversizing mit Blick auf die Skalierbarkeit:
Empirum All in One Herstellerempfehlung / skalieren
Bemerkung Gemeinsamer Server App und DB
Funktion DC, App und Database Server
Anzahl Server 1
CPU 2,5GHz
Cores 8 / 16 / 24 / 32
Chipset 64bit
RAM 132 GB / 64GB / 96GB / 128GB
HDD System >100GB
HDD Daten >300GB*
HDD Log >100GB
Netzwerk 1000MBit
Windows Server 2019 x64 oder höher
OS
SQL
akt. SP
Microsoft SQL Server 2019 oder höher akt. SP
10.4.2Installationsstraße
Sobald der Empirum All-in-One Server bereitsteht, können die ersten Clients entsprechend installiert werden. Wir empfehlen erstmal nur mit dem nötigsten zu starten.
> Die Bearbeitung der Aufträge sollte entsprechend geregelt und priorisiert sein
> Die Ansprechpartner sollten angegeben sein
> Wir empfehlen einen Mitarbeiter für die Annahme und Herausgabe zu definieren, damit die weiteren Administratoren die Installationen in Ruhe durchführen können.
> Vor der Herausgabe sollten die Clients komplett geprüft und das Prüfergebnis dokumentiert werden.
> Wir empfehlen einen vorab definierten Sicherheitshinweis an die Kollegen mit auszugeben
Seite 32 von 34
10.4.3Neue Clients
Beim Einsatz von neuen Clients oder einer Neuinstallation nach Freigabe (Virentest) empfehlen wir folgende Schritte einzuhalten:
> Definition der Standardclients
> MAC Filterung
> Namenskonvention einhalten
Hier können wir über einen Einsatz des Selfprovisioning nachdenken
10.4.4Sonderfälle
> Es werden Clients über Empirum installiert, und danach aus dem Netzwerk entfernt und im Controllnetz bereitgestellt.
> MAC Clients werden manuell installiert
> LINUX Clients werden manuell installiert
10.4.5Weitere Applikationen
Es sind weitere Applikationen von Matrix42 im Einsatz. Bitte betrachten Sie auch die Themen bei
> Silverback
> Ego Secure
> Enterprise Service Management
Seite 33 von 34
10.4.6Prioritätsliste
Die Liste der Geräte kann im Vorfeld zu einem „Sicherheitsvorfall“ schon definiert und entsprechend vorbereitet werden.
Bitte beachten Sie auch die kritischen Geräte, welche mit Empirum verwaltet / gemanaged werden müssen.
Wer benötigt wie schnell welche Clients und Software um den Betrieb wieder zum Laufen zu bekommen.
Hier können externe Clients mit eingebunden werden müssen, welche von Drittherstellern (z.b. MRT) bereitgestellt werden.
Bitte prüfen Sie eingehend diese Clients, bevor diese in das Netzwerk des DKFZ aufgenommen werden.
Seite 34 von 34
No Comments