...
Zakázanie služby DHCP Client (za predpokladunepotrebné, že ak sa používajú fixné IP adresy)
...
Zrušenie autoštartu služby "IKE and AuthIP IPsec Keying Modules" (nepotrebné, ak sa z počítača nevytvárajú VPN spojenia).
sc config "IKEEXT" start= disabled
Zrušenie autoštartu služby "IPsec Policy Agent" (nepotrebné, ak sa z počítača nevytvárajú VPN spojenia).
sc config "PolicyAgent" start= disabled
...
Zrušenie zraniteľných šifrovacích sád
powershell -command "Disable-TlsCipherSuite -Name "TLS_RSA_WITH_AES_256_GCM_SHA384""
powershell -command "Disable-TlsCipherSuite -Name "TLS_RSA_WITH_AES_128_GCM_SHA256""
powershell -command "Disable-TlsCipherSuite -Name "TLS_RSA_WITH_3DES_EDE_CBC_SHA""
powershell -command "Disable-TlsCipherSuite -Name "TLS_RSA_WITH_NULL_SHA256""
powershell -command "Disable-TlsCipherSuite -Name "TLS_RSA_WITH_NULL_SHA""
powershell -command "Disable-TlsCipherSuite -Name "TLS_PSK_WITH_AES_256_GCM_SHA384""
powershell -command "Disable-TlsCipherSuite -Name "TLS_PSK_WITH_AES_128_GCM_SHA256""
Zablokovanie použitia komunikačného protokolu SMBv1 a zapnutie SMBv2
powershell -command "Get-SmbServerConfiguration | Select EnableSMB1Protocol"
powershell -command "Set-SmbServerConfiguration -EnableSMB1Protocol $false"
powershell -command "Get-SmbServerConfiguration | Select EnableSMB2Protocol"
powershell -command "Set-SmbServerConfiguration -EnableSMB2Protocol $true"
Kotva | ||||
---|---|---|---|---|
|
- Odporúčame zapnúť šifrovanie D2000 komunikácie medzi procesmi.
- Odporúčame použiť D2000 Security Access Server na prístup klientov z vonkajších sietí.
- Odporúčame použiť SFTP namiesto FTP v mechanizme aktualizácie klientských inštalácií D2000 (D2u_*).
- Pokiaľ sú niektoré systémové procesy (napr. OPC UA Server, KOM proces, Event Handler) v oddelenej sieti s nižšou úrovňou bezpečnosti, je možné nakonfigurovať reverzné pripojenie (D2000 Server sa pripája na príslušný proces).
- Odporúčame pre šifrovanú komunikáciu používať certifikáty vydané známou certifikačnou autoritou (internou alebo externou), ktorých pravosť je možné jednoznačne overiť a ktoré poskytujú dostatočnú záruku svojho pôvodu. Odporúčanie sa týka služieb ako Terminal Services, HTTPS a iné.
...