Maßnahmen zur Absicherung Ihrer On Premises-Server für ConnectWise Automate und ScreenConnect

Es ist äußerst wichtig, für On-Premises-Installationen von ConnectWise Automate und ConnectWise ScreenConnect die geeigneten Sicherheitsmaßnahmen zu ergreifen, um die Bedrohung durch Schadsoftware zu minimieren. Folgende Maßnahmen sind hierbei zu empfehlen:

Halten Sie Ihre Automate-Installation auf dem neuesten Stand

Spielen Sie alle verfügbaren Patches und Sicherheitsupdates so schnell wie möglich auf Ihrem Automate-Server ein. Eine Upgrade-Anleitung haben wir hier veröffentlicht. Ob ein neuer Patch verfügbar ist, können Sie unter folgenden Links prüfen:
Informationen zu wichtigen Sicherheitsupdates finden Sie darüber hinaus unter https://www.connectwise.com/company/trust/security-bulletins.
Beachten Sie die Security-Artikel sowie im Best Practice Guide genannten Punkte.
Zusätzlich zu den vom Hersteller bereitgestellten Informationen empfehlen wir Ihnen, den Thread "Patch Upgrade Guide" im MSPGeek-Forum regelmäßig zu besuchen.
Installieren Sie zeitnah verfügbare Updates für alle aktiven Plugins. Alle Informationen zu diesem Thema haben wir hier zusammengefasst. Deaktivieren Sie darüber hinaus alle Plugins, die Sie nicht aktiv nutzen, über den Plugin Manager.

Halten Sie Ihre Automate-Datenbank auf dem neuesten Stand

Prüfen Sie, auf welcher MySQL-Version Ihre Automate-Datenbank läuft. Innerhalb des Automate Control Centers ist die MySQL-Version unter Help > Server Status zu finden. Sollte Ihre Datenbank auf Version 5.5 oder 5.6 laufen, aktualisieren Sie mindestens auf Version 5.7, besser auf Version 8.0.
- Upgrade auf MySQL 5.7: https://docs.connectwise.com/ConnectWise_Automate_Documentation/020/030?psa=1
- Upgrade auf MySQL 8.0 (Voraussetzung: Die Automate-Version 2021.10 oder neuer ist installiert): https://docs.connectwise.com/ConnectWise_Automate_Documentation/020/030/020/030?psa=1
- Tipp: Wenn Sie vorher noch nie ein Datenbank-Upgrade durchgeführt haben, machen Sie sich vor dem Upgrade unter https://dev.mysql.com/doc mit den Eigenheiten von MySQL vertraut.
Prüfen Sie, ob Sie den neuesten Patch für Ihre MySQL-Version installiert haben. Sowohl für MySQL 5.7 als auch für MySQL 8.0 erscheint etwa alle drei Monate ein neuer Patch.
- Release Notes für MySQL 5.7: https://dev.mysql.com/doc/relnotes/mysql/5.7/en
- Release Notes für MySQL 8.0: https://dev.mysql.com/doc/relnotes/mysql/8.0/en
- Den passenden Installer für den jeweils neuesten Patch finden Sie unter https://dev.mysql.com/downloads/installer. Bitte beachten Sie: ConnectWise unterstützt aktuell (Stand November 2022) nur die Version 8.0.30!

Halten Sie Ihre ScreenConnect-Installation auf dem neuesten Stand

Hinweise auf verfügbare Patches finden Sie unter https://screenconnect.connectwise.com/download. Die Installation erfolgt wie hier beschrieben.
Beachten Sie die im Security Guide und im Best Practice Guide genannten Punkte.
Halten Sie auch Extensions immer aktuell und deaktivieren Sie nicht benötigte Extensions wie hier beschrieben.

Benutzer und Berechtigungen

Richten Sie für alle Benutzer in ConnectWise Automate und ConnectWise ScreenConnect eine 2-Faktor-Authentifizierung ein. Zusätzlich empfiehlt es sich, ein möglichst komplexes Passwort zu verwenden, das in einem Passwortmanager (beispielsweise N-able Passportal) gespeichert wird.
Deaktivieren Sie alle Benutzer, die nicht aktiv benötigt werden, und beachten Sie das Prinzip der geringsten Privilegien in Automate, der Automate-Datenbank und ScreenConnect.

Weitere Konfigurationen

Beschränken Sie den Zugriff auf das Automate Control Center auf einen definierten IP-Adressbereich. Dieser KB-Artikel beschreibt die Vorgehensweise im Detail.
Richten Sie in Ihrer Firewall Geoblocking ein, sofern Ihre Kunden nur Rechner in Deutschland, Österreich oder der Schweiz betreiben. Wenn sich alle Rechner und Netzwerkgeräte in vertrauenswürdigen Netzwerken mit festen IP-Adressen befinden, dann blockieren Sie alle fremden IP-Adressen.
Aktivieren Sie die Windows-Firewall sowie UAC auf Ihrem Automate- und Ihrem ScreenConnect-Server.
Sollten Ihr ConnectWise Automate- und Ihr ScreenConnect-Server von Ihrem internen Hauptnetzwerk aus erreichbar sein, dann verschieben Sie sie in ein isoliertes Netzwerk und schränken Sie den Zugriff von anderen Bereichen Ihres Netzwerks aus ein. Dann kann Ihr eigenes internes Netz nicht als Ausgangspunkt für einen potenziellen Angriff genutzt werden.
Überprüfen Sie alle Port-Weiterleitungen zum Automate-Server. Nötig sind nur 443 TCP und 75 UDP (Heartbeat), alle anderen Ports, die ggf. noch offen sind, sollten geschlossen werden.
Stellen Sie sicher, dass ein Endpoint-Schutz wie z.B. der ESET Enterprise Inspector auf dem ConnectWise Automate- und dem ScreenConnect-Server installiert ist. Überlegen Sie, bei allen Kunden von einer Antivirus- auf eine Endpoint-Detection-Lösung zu wechseln. Gern steht unser Security-Fachteam unter security@ebertlang.com für Ihre Fragen zur Verfügung.
Aktivieren Sie, sofern möglich, IP-Blacklisting oder -Whitelisting für ConnectWise ScreenConnect wie hier beschrieben.
Ein unabhängiger Dienstleister bietet für ConnectWise Automate und ScreenConnect einen Reverse Proxy an, der Ihre Systeme effektiv vor Massenangriffen schützen kann.