Vertec Sicherheit - immer die neueste Version einsetzen wenn Vertec im Internet steht!

    • Offizieller Beitrag

    Ich möchte ein Thema hervorholen, das uns sehr am Herzen liegt, aber beim dem auch Sie, liebe Vertec User und IT-Admins, eine wichtige Rolle spielen: nämlich die Sicherheit einer Vertec Installation. Es gibt einen sehr guten Artikel in der KB, von dem habe ich folgende Grafik:

    Es geht im Wesentlichen um diese 3 Szenarien:

    • Szenario 1 - Sie nutzen das Vertec Cloud Abo: In diesem Falle kümmern wir uns um vieles, z.B. die neueste Vertec Version oder die Sicherheit der Server. Unter dem Titel Cloud Abo ist zusammengefasst, für was Sie verantwortlich sind: Sichere Passwörter und der Einsatz des 2FA Schutzes, den Vertec mitbringt.
    • Szenario 2 - Sie nutzen Vertec On Premises, es ist aber über das Internet verfügbar: in jedem Fall müssen Sie die neueste Vertec Version einsetzen, denn wir erhöhen laufend das Sicherheitsniveau der Vertec Apps und Services. Zulässig sind dabei höchstens der aktuelle Major Release (aktuell 6.6) sowie die vorherige Version (aktuell 6.5) - besser jedoch immer eine Version des aktuellen Major Releases. Unter den jeweiligen Titeln ist aufgeführt, was Sie in welchem Betriebsszenario noch beachten müssen. So muss dringend die Sicherheit der eigenen Vertec Installation erhöht werden durch das Einschalten (resp. nicht Ausschalten) der zusätzlichen Schutzmassnahmen.
    • Szenario 3 - Ihr Vertec ist nur im lokalen Netzwerk verfügbar: dies beinhaltet auch Zugriffe via firmeneigene VPNs. Auch in diesem Szenario sind die meisten Vertec Apps verfügbar, die Phone App ist hingegen auf ein echtes Zertifikat auf dem Vertec Cloud Server angewiesen. Da Vertec nicht im Internet steht, sind die Minimalbedingungen an die Sicherheit 1. ein sicheres Datenbankpasswort zu verwenden und 2. sind sichere Vertec-Passwörter natürlich immer noch empfohlen.
    • Offizieller Beitrag

    Ich möchte das Thema nochmals pushen, weil wir feststellen, wie viele Kunden die Vertec On Premises haben aber dieses via Webaccess (oder selber) ins Internet stellen die minimalen Sicherheitsstandards nicht einhalten.

    Dazu gehört zwingend das Absichern der eigenen Vertec Installation mit diesen 3 Vertec.ini Parameter in der Section [CloudServer]:

    Code
    Restrict Scripting=True
    Restrict Filesystem Access=True
    Restrict Session Process=True

    Für eine Detaildokumentation siehe https://www.vertec.com/kb/sicherheit-…hutzmechanismen.

    Warum können wir diese Optionen nicht einfach setzen bei einem nächsten Update? Weil das Risiko besteht, dass wichtige Betriebsprozesse bei Ihnen nachher nicht mehr laufen! So verhindert z.B. das Restrict Scripting dass gewisse Python Module geladen werden können (die allenfalls im LAN benötigt werden), und es laufen keine VBScripts mehr. Das Restrict Session Process bewirkt, dass der Vertec Session Prozess nur als Low Integrity Prozess ausgeführt wird, was es einem Angreifer erschwert, sich auf dem Zielsystem auszubreiten. So können z.B. keine Subprozesse mehr gestartet werden, auch das etwas, was bei Ihnen vielleicht aktuell benötigt wird.

    Sind aber diese 3 Parameter nicht gesetzt, so darf Vertec ausschliesslich im LAN verwendet werden!