Sie können Ihren Jamf Server auf verschiedenen Betriebssystemen wie macOS, Windows und Linux hosten.

Sie müssen dabei sicherstellen, dass der Jamf Server und alle unterstützenden Technologien, einschließlich des Server-Betriebssystems, Java, Apache Tomcat und MySQL, auf dem neuesten Stand sind und Ihren eigenen internen Sicherheitsstandards entsprechen. Dieses Dokument enthält einige grundlegende Empfehlungen, mit denen Sie Ihren Jamf Server und die zugrunde liegende Infrastruktur stets auf dem neuesten und sichersten Stand halten.

Absicherung Ihres Jamf Servers

Weitere Informationen darüber, wie ie mit Jamf Pro eine individuell zugeschnittene

Lernerfahrung in Ihrer Organisation schaffen, finden Sie unter www.jamf.com/de

WHITE PAPER

INHALT:

Serverbetriebssystem

Sie können den Server auf jedem Server hosten, der die im Abschnitt „Requirements“ des „Jamf Pro Administrator’s Guide“ (http://www.jamf.com/resources/casper-suiteadministrators- guide/) genannten Anforderungen bzw. die Systemanforderungen für Jamf Pro (http://www.jamf.com/resources/casper-suite-systemrequirements/) erfüllt. Gegebenenfalls sollten Sie jedoch weitere Maßnahmen treffen, um das Serverbetriebssystem zusätzlich abzusichern. Die konkreten Maßnahmen hängen vom jeweiligen Betriebssystem ab: • Gastzugang deaktivieren • Automatische Anmeldung deaktivieren • Nicht benötigte Service-Accounts entfernen • Alle Standardpasswörter entfernen bzw. zurücksetzen • Berechtigungen der Accounts auf das erforderliche Minimum beschränken • Prozesse auf das erforderliche Minimum beschränken • Verfügbare Ports und Netzwerkdienste kontrollieren

Java

Der Jamf Server und die zugrunde liegenden Technologien (Apache Tomcat) basieren auf dem Java Development Kit (JDK) mit unbegrenzt leistungsfähigen Java Cryptography Extensions (JCE). Es wird empfohlen, die neueste Version von JDK auszuführen, die auf dem gewählten Betriebssystem unterstützt wird: Jamf Nation Informationsdatenbankartikel—https://jamf.com/jamf-nation/articles/28/installing-java-and-mysql

• Update auf die neueste Version von JDK, einschließlich JCE-Dateien mit unbegrenzter Leistungsfähigkeit (ggf. manuelle Installation erforderlich)

Jamf Server

JAMF SERVER Serverbetriebssystem

Java Apache Tomcat

MySQL Jamf Server

VERTEILUNG VON INHALTEN Dateifreigaben

Skripte

VERWALTETE GERÄTE macOS Computer

FileVault 2

Apache Tomcat

Apache Tomcat ist ein Open-Source-Webserver, der von der Apache Software Foundation entwickelt und gepflegt wird und für den Betrieb des Jamf Servers verwendet wird. Die folgenden Empfehlungen sollen Sie dabei unterstützen, die Aktualität und Sicherheit von Apache Tomcat zu gewährleisten: Die meisten der folgenden Empfehlungen für Tomcat stammen von OWASP: https://www.owasp.org/index.php/Securing_tomcat

• Datei server.xml ändern

• Nur HTTPS nutzen, HTTP deaktivieren: comment <!-- --> non-SSL HTTP connector on port 8080/9006: • Starke Verschlüsselung konfigurieren: bei SSL-Connector an Port 8443 Option „ciphers“ wählen:

Jamf Nation Informationsdatenbankartikel—https://www.jamf.com/jamf-nation/articles/384/configuring- suppported-ciphers-for-tomcat-https-connections

Empfehlungen von OWASP (siehe unten)—https://www.owasp.org/index.php/Securing_tomcat#Encryption

<!-- <Connector URIEncoding=”UTF-8” executor=”tomcatThreadPool” port=“9006” protocol=”HTTP/1.1” connectionTimeout=”20000” maxPostSize=”8388608” redirectPort=”8443” /> -->

<Connector URIEncoding=”UTF-8” executor=”tomcatThreadPool” port=”8443” protocol=”HTTP/1.1” SSLEnabled=”true” ...

ciphers=”TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA,TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA256, TLS_ECDH_ECDSA_WITH_AES_128_GCM_SHA256,TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA, TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA384,TLS_ECDH_ECDSA_WITH_AES_256_GCM_SHA384, TLS_ECDH_RSA_WITH_AES_128_CBC_SHA,TLS_ECDH_RSA_WITH_AES_128_CBC_SHA256, TLS_ECDH_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDH_RSA_WITH_AES_256_CBC_SHA, TLS_ECDH_RSA_WITH_AES_256_CBC_SHA384,TLS_ECDH_RSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256, TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA, TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384,TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256, TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 ... >

• Aktivierte SSL-Protokolle konfigurieren: ‘sslEnabledProtocols’ bei SSL-Connector an Port 8443 verwenden Das Attribut “sslEnabledProtocols” aerfordert ggf. auch „SSLv2Hello“ für die Verwendung mit bestimmten

Befehlszeilen- und Scripting-Tools, z.B. mit älteren Versionen von cURL; und „SSLv3“ ist ggf. noch für die Verwendung mit JDS Version 9.6 oder früher erforderlich, ist aber auch für POODLE anfällig. „TLSv1.2“ ist das bevorzugte Protokoll, doch „TLSv1“ bzw. „TLSv1.1“ sind möglicherweise noch erforderlich, um ältere Browser und Betriebssysteme zu unterstützen.

• Zugriffsprotokollierung aktivieren: Kommentierung aufheben bzw. Folgendes hinzufügen: Valve className=“org.apache.catalina.valves.AccessLogValve”:

• Connector so ändern, dass der Serverversions-String in Antwortheadern nicht aufgeführt wird:

„server=”Apache”“ bei Connector-Definitionen:

• ServerInfo.properties aktualisieren, um eine Offenlegung der Serverversion zu verhindern: CATALINA_HOME/server/lib/catalina.jarorg/apache/catalina/util/ServerInfo.properties

• standardmäßige Fehlerseite ersetzen, um eine Offenlegung der Serverversion zu verhindern)

• gültiges SSL-Zertifikat – Herausgeber, Common Name (CN), Ablauf

• bei Bedarf web.xml so ändern, dass bestimmte Web-Applikationsservlets eingeschränkt werden

<Connector URIEncoding=”UTF-8” executor=”tomcatThreadPool” port=”8443” protocol=”HTTP/1.1” SSLEnabled=”true” ... sslProtocol=”TLSv1.2” sslEnabledProtocols=”TLSv1.2,TLSv1.1,TLSv1” ... >

<Connector URIEncoding=”UTF-8” executor=”tomcatThreadPool” port=”8443” protocol=”HTTP/1.1” SSLEnabled=”true” ... server=”Apache” ... >

<Valve className=”org.apache.catalina.valves.AccessLogValve” directory=”logs” prefix=”localhost_access_log.” suffix=”.txt” pattern=”%h %l %u %t &quot;%r&quot; %s %b” resolveHosts=”false”/>

MySQL

MySQL ist ein relationales Datenbankverwaltungsprogramm, das von Oracle entwickelt und gepflegt wird. Der Jamf Server verwendet MySQL als Datenbank-Backend für die Speicherung und Pflege der Systemdaten. Sie müssen zusätzlich darauf achten, dass diese Technologie stets auf dem neuesten Stand und sicher ist. Bei dieser Aufgabe können Sie die folgenden Empfehlungen unterstützen:

• Falls verfügbar, führen Sie das standardmäßige, im Lieferumfang von MySQL enthaltene Skript ‘mysql_secure_installation’ aus:

• Falls „mysql_secure_installation“ nicht verfügbar ist, gehen Sie folgendermaßen vor: • Legen Sie ein Passwort für den Benutzer „root“ von MySQL fest • Entfernen Sie alle Berechtigungen für den anonymen Benutzer • Entfernen Sie die Datenbank „test“ und alle zugehörigen Berechtigungen

• Ändern Sie den Vorgabewert der Anmeldedaten (jamfsoftware/jamfsw03) für den MySQL-Benutzer jamfsoftware und beschränken Sie die Berechtigungen auf das erforderliche Minimum:

Hinweis: Wird das Datenbankpasswort aus der Konfigurationsdatei entfernt, muss es beim Start der Webanwendung von Jamf Server sowie auch bei jedem einzelnen Knoten in einer Cluster-Umgebung eingegeben werden.

• Datenbank-Backups terminieren:

Jamf Nation Informationsdatenbankartikel—https://www.jamf.com/jamf-nation/articles/126/backing-up-the-database

macOS: /usr/local/mysql/bin/mysql_secure_installation

Ubuntu: /usr/bin/mysql_secure_installation

Windows (included as part of the MySQL Installer for Windows MSI; requires Perl to run separately or after installation): perl C:\Program Files\MySQL\MySQL Server x.x\bin\mysql_secure_installation.pl

## For stand-alone web application or master node in clustered environments: GRANT INSERT, SELECT, UPDATE, DELETE, CREATE, DROP, ALTER, INDEX, LOCK TABLES ON <database>.* TO ‘<username>’@’<hostname>’ IDENTIFIED BY ‘<password>’;

## For child node in clustered environments: GRANT INSERT, SELECT, UPDATE, DELETE, LOCK TABLES ON <database>.* TO ‘<username>’@’<hostname>’ IDENTIFIED BY ‘<password>’;

## To view connections from cluster nodes with different MySQL users: GRANT PROCESS ON *.* TO ‘<username>’@’<hostname>’ IDENTIFIED BY ‘<password>’;

• peichern Sie die Anmeldedaten nicht in der Datei DataBase.xml – entfernen Sie den Schlüssel <DataBasePassword> oder geben Sie einen leeren Wert ein:

Jamf Servereinstellungen

Der Jamf Server verfügt über zusätzliche sicherheitsrelevante Einstellungen, die aktiviert werden können, um sicherzustellen, dass die Verwaltungskonsole so sicher wie möglich ist. Bitte beachten Sie die folgenden Empfehlungen für die Einstellungen in der Jamf Serverkonsole:

• Konfigurieren der Kennwortrichtlinie für Jamf Server-Benutzer-Accounts: „Einstellungen“ > „Systemeinstellungen“ > „Jamf Server Benutzeraccounts & Gruppen“ > „Kennwortrichtlinie“ • Passwortanforderungen: Mindestlänge, minimale/maximale Gültigkeit, Verlauf, Komplexität • Accountsperrung • Zurücksetzen von Passwörtern: Benutzern das Zurücksetzen erlauben • Erforderliches Minimum an Berechtigungen für alle Accounts und Gruppen • Protokollierung der Änderungsverwaltung aktivieren (bei Jamf Cloud-Instanzen automatisch aktiviert): „Einstellungen“ > „Systemeinstellungen“ > „Änderungsverwaltung“ • Das Leeren des Protokolls in angemessenen Zeitabständen terminieren: „Einstellungen“ > „Systemeinstellungen“ > „Protokoll leeren“ • Zertifikatsbasierte Authentifizierung aktivieren: „Computer“ > „Verwaltungseinstellungen“ > „Sicherheit“ • Verifizierung des SSL-Zertifikats aktivieren (prüfen Sie, ob der Jamf Server über ein gültiges Webserverzertifikat verfügt, bevor Sie diese Option aktivieren): „Computer“ > „Verwaltungseinstellungen“ > „Sicherheit“ • Für Self-Service Benutzerauthentifizierung verlangen: „Computer“ > „Verwaltungseinstellungen“ > „Self-Service“

Dateifreigaben

Der Jamf Server gestattet das Verteilen von Inhalten an Client-Computer. Daher müssen Sie sich überlegen, wie Sie die Verteilung von Inhalten absichern. Beachten Sie bitte die folgenden Empfehlungen:

• HTTPS nutzen, HTTP deaktivieren • Authentifizierung für Downloads konfigurieren – Anmeldedaten der Benutzer oder Zertifikat • Möglichst Client-Zertifikat/gegenseitige SSL-Validierung verlangen • Service-Accounts mit Lese- bzw. Lese- und Schreibberechtigungen voneinander trennen

<!-- NOTE: Default values included for reference only, recommend changing in production environments --> <DataBase> ... <DataBaseName>jamfsoftware</DataBaseName> <DataBaseUser>jamfsoftware</DataBaseUser> <DataBasePassword></DataBasePassword ... </DataBase>

Verteilung von Inhalten

Skripte

Benutzerdefinierte oder vorkonfigurierte Skripte sind eine gängige Methode, um Befehle in macOS auszuführen. Sie können mit Jamf Server auf einfache Weise zu einer Richtlinie hinzugefügt werden. Beachten Sie bei der Nutzung von Skripten bitte die folgenden Empfehlungen:

• Verwenden Sie keine fest programmierten Zugangsdaten für Administratoren von Jamf Server oder für lokale Administratoren

macOS Computer

Neben der Sicherheit Ihrer Jamf Server-Umgebung müssen Sie sich auch Gedanken darüber machen, wie die Client-Mac-Computer mit dem Jamf Server interagieren sollen. Beachten Sie ggf. die folgenden Einstellungen auf den Client-Mac-Computern, um Ihre Umgebung zu schützen:

• Registrierung in einer vertrauenswürdigen Umgebung durch einen vertrauenswürdigen Benutzer • Eingeschränkter Zugang zu SSH • SSH-Managementaccount ausblenden • Zufällige Passwörter für SSH-Managementaccounts per Terminplanung (alle 30/60/90 Tage o.Ä.) erstellen • Fernzugriff mit SSH, ARD bzw. VNC kontrollieren FileVault 2

Sie können die vollständige Datenträgerverschlüsselung mit FileVault (FileVault 2) nutzen, um den Zugriff auf Dokumente und andere Daten zu verhindern, die auf den Startlaufwerken der verwalteten Endgeräte gespeichert sind. Der Jamf Server kann wichtige Workflows vereinfachen, indem er Konfigurationseinstellungen von FileVault 2 auf verwalteten Endgeräten meldet, verwaltet und korrigiert. Befolgen Sie die nachstehenden Tipps, um diese Funktion optimal zu nutzen:

Technische Dokumente von Jamf—http://www.jamf.com/resources/administering-filevault-2-on-os-x-yosemite-with-the-casper-suite-version-9-6-or-later/

• SSH-Managementaccount aktivieren oder individuelle Wiederherstellungsschlüssel nutzen, um FileVault 2 Korrekturworkflows zu ermöglichen (neue Schlüssel für einzelne Benutzer bzw. für Institutionen herausgeben, Benutzer hinzufügen/entfernen)

• Mit einem institutionellen Wiederherstellungsschlüssel kann eine mit FileVault 2 verschlüsselte Partition entsperrt und entschlüsselt werden; dieser kann jedoch nicht für Korrekturworkflows genutzt werden

• Mit den Konfigurationen der Festplattenverschlüsselung die FileVault 2 Einstellungen direkt in Jamf Server verwalten und bereitstellen – Abschnitte „Managing Disk Encryption Configurations“, „Deploying Disk Encryption Configurations“ und „Issuing a New FileVault 2 Recovery Key“ des „Jamf Pro Administrator’s Guide“

• Mit macOS Konfigurationsprofilen die Einstellungen in macOS 10.9 oder neuer verwalten und bereitstellen – Abschnitt „macOS Configuration Profiles“ des „Jamf Pro Administrator’s Guide“

Verwaltete Geräte

Fazit

Die Sicherheit ist und bleibt eine wesentliche Voraussetzung für den Erfolg eines Unternehmens. Wir von Jamf wissen, dass Unternehmen die richtigen Tools benötigen, um die Privatsphäre ihrer Mitarbeiter zu schützen, Unternehmensressourcen und -geräte zu schützen und eine nahtlose Integration mit den Tools anderer Anbieter zu erzielen, um auf diese Weise ein komplettes Sicherheits-Ökosystem bereitzustellen.

www.jamf.com

© copyright 2018 Jamf. Alle Rechte vorbehalten.

Wenn Sie verfolgen möchten, wie wir unsere eigenen Geräte sichern, schauen Sie sich unsere interne Sicherheitsseite an unter

jamf.com/de/produkte/jamf-pro/sicherheit/

Wenn Sie jedoch bereit sind und die Gewährleistung der Sicherheit Ihrer Geräte in Angriff nehmen möchten, fordern Sie eine

kostenlose Testversion von Jamf Pro an.