Porovnávané verzie

Stará verzia 5

changes.mady.by.user D2000 Dev Team

Uložené

porovnané s

Nová verzia Aktuálny

changes.mady.by.user D2000 Dev Team

Uložené

Kľúč

  • Tento riadok sa pridal
  • Riadok je odstránený.
  • Formátovanie sa zmenilo.

...

Príkazy odporúčame spúšťať z príkazového riadku spusteného s administrátorskými právami, inak sa niektoré nemusia vykonať korektne (napr. premenovanie účtu).

  

...


Zabránenie pripojeniu klientských diskov pri pripojení cez RDP (nastavenie zároveň znemožňuje kopírovanie súborov cez RDP)

...

Zakázanie služby DHCP Client (za predpokladunepotrebné, že ak sa používajú fixné IP adresy)

...

Zrušenie autoštartu služby "IKE and AuthIP IPsec Keying Modules" (nepotrebné, ak sa z počítača nevytvárajú VPN spojenia).

sc config "IKEEXT" start= disabled

Zrušenie autoštartu služby "IPsec Policy Agent" (nepotrebné, ak sa z počítača nevytvárajú VPN spojenia).

sc config "PolicyAgent" start= disabled

...

Zrušenie zraniteľných šifrovacích sád

powershell -command "Disable-TlsCipherSuite -Name "TLS_RSA_WITH_AES_256_GCM_SHA384""
powershell -command "Disable-TlsCipherSuite -Name "TLS_RSA_WITH_AES_128_GCM_SHA256""
powershell -command "Disable-TlsCipherSuite -Name "TLS_RSA_WITH_3DES_EDE_CBC_SHA""
powershell -command "Disable-TlsCipherSuite -Name "TLS_RSA_WITH_NULL_SHA256""
powershell -command "Disable-TlsCipherSuite -Name "TLS_RSA_WITH_NULL_SHA""
powershell -command "Disable-TlsCipherSuite -Name "TLS_PSK_WITH_AES_256_GCM_SHA384""
powershell -command "Disable-TlsCipherSuite -Name "TLS_PSK_WITH_AES_128_GCM_SHA256""

Zablokovanie použitia komunikačného protokolu SMBv1 a zapnutie SMBv2

powershell -command "Get-SmbServerConfiguration | Select EnableSMB1Protocol"
powershell -command "Set-SmbServerConfiguration -EnableSMB1Protocol $false"
powershell -command "Get-SmbServerConfiguration | Select EnableSMB2Protocol"
powershell -command "Set-SmbServerConfiguration -EnableSMB2Protocol $true"


Kotva
other
other
Ďalšie odporúčania:

  • Odporúčame zapnúť šifrovanie D2000 komunikácie medzi procesmi.
  • Odporúčame použiť D2000 Security Access Server na prístup klientov z vonkajších sietí.
  • Odporúčame použiť SFTP namiesto FTP v mechanizme aktualizácie klientských inštalácií D2000 (D2u_*).
  • Pokiaľ sú niektoré systémové procesy (napr. OPC UA Server, KOM proces, Event Handler) v oddelenej sieti s nižšou úrovňou bezpečnosti, je možné nakonfigurovať reverzné pripojenie (D2000 Server sa pripája na príslušný proces).
  • Odporúčame pre šifrovanú komunikáciu používať certifikáty vydané známou certifikačnou autoritou (internou alebo externou), ktorých pravosť je možné jednoznačne overiť a ktoré poskytujú dostatočnú záruku svojho pôvodu. Odporúčanie sa týka služieb ako Terminal Services, HTTPS a iné.

...