Maßnahmen zur Absicherung Ihrer On Premises-Server für ConnectWise Automate und Control

Es ist äußerst wichtig, für On-Premises-Installationen von ConnectWise Automate und ConnectWise Control die geeigneten Sicherheitsmaßnahmen zu ergreifen, um die Bedrohung durch Schadsoftware zu minimieren. Folgende Maßnahmen sind hierbei zu empfehlen: 

Halten Sie Ihre Automate-Installation auf dem neuesten Stand

Halten Sie Ihre Control-Installation auf dem neuesten Stand

Benutzer und Berechtigungen
  • Richten Sie für alle Benutzer in ConnectWise Automate und ConnectWise Control eine 2-Faktor-Authentifizierung ein. Zusätzlich empfiehlt es sich, ein möglichst komplexes Passwort zu verwenden, das in einem Passwortmanager (beispielsweise N-able Passportal) gespeichert wird.
  • Deaktivieren Sie alle Benutzer, die nicht aktiv benötigt werden, und geben Sie Benutzern nur die unbedingt nötigen Berechtigungen.

Weitere Konfigurationen
  • Richten Sie in Ihrer Firewall Geoblocking ein, sofern Ihre Kunden nur Rechner in Deutschland, Österreich oder der Schweiz betreiben. Wenn sich alle Rechner und Netzwerkgeräte in vertrauenswürdigen Netzwerken mit festen IP-Adressen befinden, dann blockieren Sie alle fremden IP-Adressen.
  • Sollten Ihr ConnectWise Automate- und Ihr Control-Server von Ihrem internen Hauptnetzwerk aus erreichbar sein, dann verschieben Sie sie in ein isoliertes Netzwerk und schränken Sie den Zugriff von anderen Bereichen Ihres Netzwerks aus ein. Dann kann Ihr eigenes internes Netz nicht als Ausgangspunkt für einen potenziellen Angriff genutzt werden.
  • Überprüfen Sie alle Port-Weiterleitungen. Nötig sind nur 443 TCP und 75 UDP (Heartbeat), alle anderen Ports, die ggf. noch offen sind, können geschlossen werden.
  • Stellen Sie sicher, dass ein Endpoint-Schutz wie z.B. der ESET Enterprise Inspector auf dem ConnectWise Automate- und dem Control-Server installiert ist. Überlegen Sie, bei allen Kunden von einer Antivirus- auf eine Endpoint-Detection-Lösung zu wechseln.
  • Aktivieren Sie, sofern möglich, IP-Blacklisting oder -Whitelisting für ConnectWise Control wie hier beschrieben.
  • Ein unabhängiger Dienstleister bietet für ConnectWise Automate und Control einen Reverse Proxy an, der Ihre Systeme effektiv vor Massenangriffen schützen kann.

Weiterführende Links
Allgemeine Informationen zur Sicherheit der ConnectWise-Lösungen: 
Compliance-Informationen zu ConnectWise Automate: 
Technische Informationen zu ConnectWise Automate (z.B. welche Übertragungswege nutzt der Agent?): 
Übersichtsseite zum Thema Sicherheit: 
Informationen zu (geschlossenen) Sicherheitslücken: 
SOC 2- und SOC 3-Zertifizierungen (vergleichbar mit ISO 27001):