Maßnahmen zur Absicherung Ihrer On Premises-Server für ConnectWise Automate und ScreenConnect

Es ist äußerst wichtig, für On-Premises-Installationen von ConnectWise Automate und ConnectWise ScreenConnect die geeigneten Sicherheitsmaßnahmen zu ergreifen, um die Bedrohung durch Schadsoftware zu minimieren. Folgende Maßnahmen sind hierbei zu empfehlen:

Halten Sie Ihre Automate-Installation auf dem neuesten Stand

Spielen Sie alle verfügbaren Patches und Sicherheitsupdates so schnell wie möglich auf Ihrem Automate-Server ein. Eine Upgrade-Anleitung haben wir hier veröffentlicht. Ob ein neuer Patch verfügbar ist, können Sie unter folgenden Links prüfen:
- https://university.connectwise.com/University/automateresources/productsandupdates.aspx
- https://docs.connectwise.com/ConnectWise_Automate_Documentation/100?psa=1
Informationen zu wichtigen Sicherheitsupdates finden Sie darüber hinaus unter https://www.connectwise.com/company/trust/security-bulletins.
Beachten Sie die Security-Artikel sowie im Best Practice Guide genannten Punkte.
Zusätzlich zu den vom Hersteller bereitgestellten Informationen empfehlen wir Ihnen, den Thread "Patch Upgrade Guide" im MSPGeek-Forum regelmäßig zu besuchen.
Installieren Sie zeitnah verfügbare Updates für alle aktiven Plugins. Alle Informationen zu diesem Thema haben wir hier zusammengefasst. Deaktivieren Sie darüber hinaus alle Plugins, die Sie nicht aktiv nutzen, über den Plugin Manager.

Halten Sie Ihre Automate-Datenbank auf dem neuesten Stand

Prüfen Sie, auf welcher MySQL-Version Ihre Automate-Datenbank läuft. Innerhalb des Automate Control Centers ist die MySQL-Version unter Help > Server Status zu finden. Sollte Ihre Datenbank auf Version 5.7 oder älter laufen, aktualisieren Sie bitte schnellstmöglich auf die Version 8.0.
- Upgrade auf MySQL 8.0 (Voraussetzung: Die Automate-Version 2021.10 oder neuer ist installiert):
  https://docs.connectwise.com/ConnectWise_Automate_Documentation/020/030/020/030?psa=1
- Tipp: Wenn Sie vorher noch nie ein Datenbank-Upgrade durchgeführt haben, machen Sie sich vor dem Upgrade unter https://dev.mysql.com/doc mit den Eigenheiten von MySQL vertraut.
Prüfen Sie, ob Sie den neuesten Patch für Ihre MySQL-Version installiert haben. Für MySQL 8.0 erscheint etwa alle drei Monate ein neuer Patch.
- Release Notes für MySQL 8.0: https://dev.mysql.com/doc/relnotes/mysql/8.0/en
- Den passenden Installer für den jeweils neuesten Patch finden Sie unter https://dev.mysql.com/downloads/installer. Bitte beachten Sie: Durch ein bekanntes Problem mit dem MySQL Installer 8.0.27 kann es zu Problemen kommen. Nutzen Sie hier bitte eine neuere Version.
Gern führen unsere Experten aus dem EBERTLANG Supportteam die Aktualisierung für Sie durch. Hier können Sie ganz einfach einen Termin buchen.

Halten Sie Ihre ScreenConnect-Installation auf dem neuesten Stand

Hinweise auf verfügbare Patches finden Sie unter https://screenconnect.connectwise.com/download. Die Installation erfolgt wie hier beschrieben.
Beachten Sie die im Security Guide und im Best Practice Guide genannten Punkte.
Halten Sie auch Extensions immer aktuell und deaktivieren Sie nicht benötigte Extensions wie hier beschrieben.

Benutzer und Berechtigungen

Richten Sie für alle Benutzer in ConnectWise Automate und ConnectWise ScreenConnect eine 2-Faktor-Authentifizierung ein. Zusätzlich empfiehlt es sich, ein möglichst komplexes Passwort zu verwenden, das in einem Passwortmanager (beispielsweise N-able Passportal) gespeichert wird.
Deaktivieren Sie alle Benutzer, die nicht aktiv benötigt werden, und beachten Sie das Prinzip der geringsten Privilegien in Automate, der Automate-Datenbank und ScreenConnect.

Weitere Konfigurationen

Beschränken Sie den Zugriff auf das Automate Control Center auf einen definierten IP-Adressbereich. Dieser KB-Artikel beschreibt die Vorgehensweise im Detail.
Richten Sie in Ihrer Firewall Geoblocking ein, sofern Ihre Kunden nur Rechner in Deutschland, Österreich oder der Schweiz betreiben. Wenn sich alle Rechner und Netzwerkgeräte in vertrauenswürdigen Netzwerken mit festen IP-Adressen befinden, dann blockieren Sie alle fremden IP-Adressen.
Aktivieren Sie die Windows-Firewall sowie UAC auf Ihrem Automate- und Ihrem ScreenConnect-Server.
Sollten Ihr ConnectWise Automate- und Ihr ScreenConnect-Server von Ihrem internen Hauptnetzwerk aus erreichbar sein, dann verschieben Sie sie in ein isoliertes Netzwerk und schränken Sie den Zugriff von anderen Bereichen Ihres Netzwerks aus ein. Dann kann Ihr eigenes internes Netz nicht als Ausgangspunkt für einen potenziellen Angriff genutzt werden.
Überprüfen Sie alle Port-Weiterleitungen zum Automate-Server. Nötig sind nur 443 TCP und 75 UDP (Heartbeat), alle anderen Ports, die ggf. noch offen sind, sollten geschlossen werden.
Stellen Sie sicher, dass ein Endpoint-Schutz wie z.B. der ESET Enterprise Inspector auf dem ConnectWise Automate- und dem ScreenConnect-Server installiert ist. Überlegen Sie, bei allen Kunden von einer Antivirus- auf eine Endpoint-Detection-Lösung zu wechseln. Gern steht unser Security-Fachteam unter security@ebertlang.com für Ihre Fragen zur Verfügung.
Aktivieren Sie, sofern möglich, IP-Blacklisting oder -Whitelisting für ConnectWise ScreenConnect wie hier beschrieben.
Ein unabhängiger Dienstleister bietet für ConnectWise Automate und ScreenConnect einen Reverse Proxy an, der Ihre Systeme effektiv vor Massenangriffen schützen kann.

Weiterführende Links

Allgemeine Informationen zur Sicherheit der ConnectWise-Lösungen:
- https://docs.connectwise.com/ConnectWise_Business_Knowledge/200?psa=1
Technische Informationen zu ConnectWise Automate (z.B. welche Übertragungswege nutzt der Agent?):
- https://university.connectwise.com/content/University_Partner_Kits/pdf/Automate/ConnectWise_Automate_Evaluation-Guide-v12.pdf
Security Toolkit für ConnectWise ScreenConnect:
- https://docs.connectwise.com/ConnectWise_ScreenConnect_Documentation/Supported_extensions/Administration/Security_Toolkit
Übersichtsseite zum Thema Sicherheit:
- https://www.connectwise.com/company/trust
Informationen zu (geschlossenen) Sicherheitslücken:
- https://www.connectwise.com/company/trust/security-bulletins
SOC 2- und SOC 3-Zertifizierungen (vergleichbar mit ISO 27001):
- https://www.connectwise.com/company/trust/compliance
Hilfreiches Video zur Absicherung des ConnectWise Automate-Servers im LAN:
- https://www.youtube.com/watch?v=utkFSTckJAQ
Unabhängiger Anbieter von Services rund um die Sicherheit von ConnectWise Automate:
- https://automationtheory.org/

Article ID: 1231, Created: 7/5/2021 at 12:21 PM, Modified: 10/20/2023 at 11:58 AM

Maßnahmen zur Absicherung Ihrer On Premises-Server für ConnectWise Automate und ScreenConnect

Was this article helpful?

Share this article