Complete gids voor het harden van systemen [Checklist]

Systems Hardening Checklist

Leer hoe systeemverhardingsmethoden kunnen helpen uw netwerken, hardware en waardevolle data te beschermen door uw totale bedreigingsprofiel te verkleinen.

Complete gids voor harden
Best practices voor het harden van servers en endpoints.

Cyberbeveiliging is een van de populairste onderwerpen geworden in zowel de informatietechnologie- als de bedrijfswereld, maar het onderwerp kan nogal overweldigend lijken voor de gemiddelde bedrijfseigenaar of C-level executive. Cybersecurity is nu eenmaal een complexe aangelegenheid, en zelfs inzicht in een handvol geavanceerde beveiligingsprotocollen of een set conformiteitsnormen kan al een hele uitdaging zijn.

Gelukkig is cybersecurity een meerlaags raamwerk en kunnen we het beschermen van een organisatie voor een belangrijk deel al begrijpen door naar een van de lagen aan het oppervlak te kijken: systeemverharding. Systeemverharding legt het fundament voor een veilige IT-infrastructuur — vergelijkbaar met een ‘grote schoonmaak’ voorafgaan aan de introductie van meer geavanceerde tools en protocollen die samen een volledige beveiligingsstrategie vormen. 

In dit bericht wordt het volgende besproken:

  • Wat betekent systeemverharding?
  • Waarom is systeemverharding belangrijk?
  • Normen en best practices op het gebied van systeemverharding
  • De vijf gebieden van systeemverharding
  • Voorbeeld van een checklist voor systeemverharding

Waarom is systeemverharding belangrijk?

Systeemverharding verwijst naar de tools, methoden en best practices die worden ingezet ter verkleining van het aanvalsoppervlak in technologie-infrastructuur, inclusief software, datasystemen en hardware. Het doel van systeemverharding is om het totale ‘bedreigingsprofiel’ ofwel de kwetsbare delen van het systeem te verkleinen. Systeemverharding betreft een methodische aanpak van auditering, identificatie en herstel van mogelijke zwakke plekken in de beveiliging waar dan ook binnen een organisatie, vaak met nadruk op hett aanpassen van verschillende standaardinstellingen en -configuraties om deze veiliger te maken.  

Bij systeemverharding is het doel om zoveel mogelijk beveiligingsrisico’s te elimineren. Als het aanvalsoppervlak tot een minimum wordt beperkt, hebben partijen met slechte bedoelingen minder toegangsmogelijkheden of potentiële houvasten om een cyberaanval in te kunnen zetten.

Het aanvalsoppervlak is gedefinieerd als een combinatie van alle mogelijke fouten en achterdeurtjes in technologie die benut zouden kunnen worden. Deze zwakke plekken omvatten doorgaans:

  • Standaardwachtwoorden of -aanmeldingsgegevens die in toegankelijke bestanden zijn opgeslagen
  • Ongepatchte software en firmware 
  • Ongecodeerde data 
  • Slecht geconfigureerde infrastructuurapparaten
  • Het achterwege blijven van het correct instellen van gebruikersmachtigingen
  • Onjuist ingestelde cyberbeveiligingstools

Wat zijn de voordelen van systeemverharding?

Het harden van systemen is een essentiële functie voor zowel beveiliging als compliance en een cruciaal onderdeel van een bredere informatiebeveiligingsstrategie. Het duidelijkste voordeel van systeemverharding is het verminderde risico van cyberaanvallen en bijbehorende downtime en boetes van regulerende instanties. 

Vanuit een beveiligingsoogpunt is systeemverharding een belangrijke prioriteit voor/in combinatie met de implementatie van beveiligingsoplossingen zoals EDR-tools. Gebruik van dergelijke oplossingen op slecht geconfigureerde systemen is immers alsof men een huis voorziet van tralies en voor de ramen en beveiligingscamera’s, maar vervolgens de achterdeur open laat staan. Hoe geavanceerd de beveiligingstools ook zijn, een onverhard systeem zal waarschijnlijk nog steeds zwakke plekken hebben die het mogelijk maken deze maatregelen te omzeilen.

Systeemverharding moet gedurende de hele IT-levenscyclus in overweging worden genomen, vanaf de oorspronkelijke installatie, via configuratie en onderhoud tot aan dee voltooiing van de gebruikscyclus. Systeemverharding wordt ook geëist door alle vooraanstaande conformiteitsraamwerken, zoals PCI, DSS en HIPAA.

5 typen systeemverharding

Hoewel de definitie van systeemverharding voor de hele IT-infrastrcuuur van een organisatie van toepassing is, zijn er voor verschillende subsets van het concept verschillende benaderingen en tools nodig. 

1) Netwerkverharding

Netwerkapparaten worden verhard ter bestrijding van niet-geautoriseerde toegang tot de infrastructuur van een netwerk. Bij dit type verharding worden zwakke plekken in apparaatbeheer en -configuraties opgespoord en gecorrigeerd om te voorkomen dat deze worden benut door partijen met kwade bedoelingen die toegang tot het netwerk willen krijgen. Steeds vaker maken hackers gebruik van zwakke plekken in netwerkapparaatconfiguraties en routeringsprotocollen om aanwezig te blijven in een netwerk in plaats van specifieke eindpunten aan te vallen.

2) Serververharding

Het hardeningproces van een server draait om het beveiligen van de gegevens, poorten, componenten, functies en rechten van een server. Deze protocollen worden systeembreed op de hardware-, firmware- en softwarelagen uitgevoerd.

3) Toepassingsverharding

Bij toepassingsverharding gaat het om software die op het netwerk is geïnstalleerd. Een belangrijk aspect van toepassingverharding — soms ook wel softwareverharding of softwaretoepassingsverharding genoemd — betreft het uitvoeren van patches en updates gericht op zwakke plekken. Patchbeheer via automatisering vormt vaak een belangrijke tool bij deze aanpak.

Toepassingsverharding omvat ook het bijwerken of herschrijven van toepassingscode voor verdere verbetering van de beveiliging ervan, of de implementatie van aanvullende op software gebaseerde beveiligingsoplossingen.

4) Databaseverharding

Databaseverharding draait om het terugdringen van zwakke plekken in digitale databases en databasebmanagementsystemen (DBMS). Het doel is verharding van data-archieven en van de software die wordt gebruikt voor interactie met die data.

5) Verharding van besturingssystemen

Bij verharding van besturingssystemen gaat het om het beveiligen van een algemeen doel van cyberaanvallen: het besturingssysteem van een server. Zoals ook bij andere typen software geldt, gaat het bij verharding van een besturingssysteem in het algemeen om patchbeheer waarbij updates, patches en servicepacks automatisch gemonitord en geïnstalleerd kunnen worden.

Wat zijn de best practices voor het harden van systemen?

Begin met het uitstippelen van uw aanpak van systeemverharding. Verharding van een volledig netwerk kan een nogal imponerende taak lijken, en daarom is het ontwikkelen van een strategie op basis van progressieve wijzigingen meestal de beste manier om het proces te beheren. Ken prioriteiten toe aan de risico’s die binnen uw technologisch ecosysteem zijn geïdentificeerd en pas een incrementele aanpak toe om de defecten in een logische volgorde onder handen te nemen.

Pak patchen en updaten onmiddellijk aan. Een geautomatiseerde en uitgebreide tool voor patchbeheer is essentieel voor het harden van systemen. Deze stap kan meestal heel snel worden uitgevoerd en zal een grote bijdrage leveren aan het afsluiten van potentiële instappunten.

Best practices voor netwerkverharding

  • Ervoor zorgen dat uw firewall juist is geconfigureerd en dat alle regels regelmatig geauditeerd en waar nodig bijgewerkt worden.
  • Externe-toegangspunten en gebruikers via externe toegang beveiligen
  • Eventuele onnodige netwerkpoorten blokkeren
  • Ongebruikte of overbodige protocollen en services uitschakelen en verwijderen
  • Netwerkverkeer coderen
  • Gratis resource: PowerShell-script voor het uitvoeren van externe poortscans van CyberDrain

Best practices voor serververharding

  • Alle servers moeten zich in een veilig datacenter bevinden
  • Servers verharden voordat deze met het internet of externe netwerken worden verbonden
  • Installatie van onnodige software op een server vermijden
  • Servers compartimenteren vanuit een beveiligingsperspectief
  • Het principe van minste privilege toepassen bij het instellen van superuser- en beheerdersrollen
  • Gratis resource: Checklist Endpoint Hardening
  • Gratis resource: Checklist voor verharding van Windows Server van Netwrix

Best practices voor toepassingsverharding

Best practices voor databaseverharding

  • Toegangsbeheer en machtigingen gebruiken om te beperken wat gebruikers in een database kunnen doen
  • Ongebruikte accounts verwijderen
  • Node-controle voor gebruikersverificatie inschakelen
  • Data tijdens overdracht en in rust coderen
  • Beveiligde wachtwoorden afdwingen

Best practices voor verharding van besturingssystemen

 

Naast het bovenstaande moet bovendien worden benadrukt dat het opsporen en verwijderen van onnodige accounts en privileges binnen heel uw IT-infrastructuur cruciaal is voor effectieve systeemverharding.

En in geval van twijfel: CIS. Alle vooraanstaande conformiteitsraamwerken, inclusief PCI-DSS en HIPAA, verwijzen naar CIS Benchmarks als alom aanvaarde best practice. Als uw organisatie conform een of meer raamwerken moet blijven, is inachtneming van CIS Benchmarks dus vereist. Leer meer over CIS Benchmarks en CIS Controls.

Voorbeeld van een checklist voor systeemverharding

Netwerkverharding

  • Firewallconfiguratie
  • Regelmatige netwerkauditering
  • Gebruikers beperken en toegangspunten beveiligen
  • Ongebruikte netwerkpoorten blokkeren
  • Netwerkverkeer coderen
  • Geen anonieme toegang toestaan

Serververharding

  • Beheerstoegang en -rechten evalueren en toewijzen (minste privilege)
  • Servers bevinden zich in een beveiligd datacenter
  • Het in gang zetten van uitschakeling zonder verificatie niet toestaan
  • Onnodige software verwijderen

Toepassingsverharding

  • Toepassingstoegangsbeheer instellen
  • Patchbeheer automatiseren
  • Standaardwachtwoorden verwijderen
  • Best practices voor hygiëne van wachtwoorden implementeren
  • Beleid voor accountvergrendeling configureren

Databaseverharding

  • Beheerdersbeperkingen bij toegang implementeren
  • Data tijdens overdracht en in rust coderen
  • Nodeherstel inschakelen
  • Ongebruikte accounts verwijderen

Verharding van besturingssystemen

  • Pas noodzakelijke updates en patches automatisch toe
  • Onnodige bestanden, bibliotheken, stuurprogramma’s en functionaliteit verwijderen
  • Alle activiteiten, fouten en waarschuwingen vastleggen
  • Gebruikersmachtigingen en groepsbeleid instellen
  • Bestandssysteem- en registermachtigingen configureren

→ Verbeter uw IT security door NinjaOne’s Endpoint Hardening Checklist te downloaden

Hoe kan NinjaOne helpen?

NinjaOne is een krachtig, gebruiksvriendelijk platform voor bewaking en beheer op afstand dat één enkel overzicht biedt van alle eindpunten binnen een organisatie, en alle tools die IT-teams nodig hebben om de levering te verbeteren. Ons platform vereenvoudigt en automatiseert het dagelijks werk van managed service providers en IT-professionals, zodat die op complexe, meerwaarde biedende services, op de relatie met eindgebruikers en op strategische projecten kunnen focussen.

  • Van maand tot maand: geen langetermijncontracten
  • Flexibele prijzen per apparaat
  • Gratis onbeperkte onboarding
  • Gratis onbeperkte training
  • De nummer 1 op het gebied van support

gratis trial voor rmm

Volgende Stappen

Om een efficiënt en effectief IT-team op te bouwen, is een gecentraliseerde oplossing nodig die fungeert als uw belangrijkste servicetool. NinjaOne stelt IT-teams in staat om al hun apparaten te bewaken, beheren, beveiligen en ondersteunen, waar ze zich ook bevinden, zonder de noodzaak van een complexe infrastructuur op locatie.

Wellicht ook interessant voor u

Bent u klaar om een IT-Ninja te worden?

Ontdek hoe NinjaOne u kan helpen IT-Management te vereenvoudigen.
Bekijk een demo×
×

Zie NinjaOne in actie!

Door dit formulier in te dienen geef ik aan akkoord te gaan met het privacybeleid van NinjaOne.

Start een Gratis Trial van de #1 RMM op G2

NinjaOne Terms & Conditions

By clicking the “I Accept” button below, you indicate your acceptance of the following legal terms as well as our Terms of Use:

  • Ownership Rights: NinjaOne owns and will continue to own all right, title, and interest in and to the script (including the copyright). NinjaOne is giving you a limited license to use the script in accordance with these legal terms.
  • Use Limitation: You may only use the script for your legitimate personal or internal business purposes, and you may not share the script with another party.
  • Republication Prohibition: Under no circumstances are you permitted to re-publish the script in any script library belonging to or under the control of any other software provider.
  • Warranty Disclaimer: The script is provided “as is” and “as available”, without warranty of any kind. NinjaOne makes no promise or guarantee that the script will be free from defects or that it will meet your specific needs or expectations.
  • Assumption of Risk: Your use of the script is at your own risk. You acknowledge that there are certain inherent risks in using the script, and you understand and assume each of those risks.
  • Waiver and Release: You will not hold NinjaOne responsible for any adverse or unintended consequences resulting from your use of the script, and you waive any legal or equitable rights or remedies you may have against NinjaOne relating to your use of the script.
  • EULA: If you are a NinjaOne customer, your use of the script is subject to the End User License Agreement applicable to you (EULA).