Synchroniseer alle systemen met een betrouwbare tijdsbron (NTP).
Zorg dat de Windows Firewall actief is. Open uitsluitend de noodzakelijke ANVA-poorten (systeemeisen ANVA-software) en beperk toegang tot vertrouwde bronnen.
Geef toegang door specifiek de betreffende executable toe te staan (niet "public" openzetten). Dit geldt onder andere voor:
Alle anva-isbalancer services;
Alle anva-isserver services;
Alle anva-jboss services.
Linux server
Synchroniseer alle systemen met een betrouwbare tijdsbron (NTP).
Zorg dat de firewall daemon actief is. Open uitsluitend de noodzakelijke ANVA-poorten (systeemeisen ANVA-software) en beperk toegang tot vertrouwde bronnen.
Accounts en rechtenbeheer t.b.v. ANVA-server
Onjuist ingerichte rechten vormen één van de grootste beveiligingsrisico’s.
Ken rechten toe via groepen, niet rechtstreeks aan individuele gebruikers. Verwijder gebruikers direct uit groepen zodra zij uit dienst gaan.
Overweeg het inzetten van Multi-Factor Authenticatie (MFA).
Ken uitsluitend noodzakelijke rechten toe; minder rechten leidt tot minder risico!
Gebruik aparte beheerdersaccounts (niet voor dagelijks gebruik).
Beperk lokale administratorrechten.
ANVA Windows server
Gebruik complexe wachtwoorden.
Gebruik bij file shares nooit "Everyone", maar uitsluitend specifieke beveiligingsgroepen. Dit geldt zowel voor share-permissies als voor NTFS security.
Beperk het recht om interactief in te loggen op de Windows Server tot het strikt noodzakelijke minimum.
Schakel ongebruikte services uit.
Ken uitsluitend noodzakelijke rechten toe; minder rechten leidt tot minder risico!
ANVA Linux server
Gebruik complexe wachtwoorden.
Beperk het gebruik van de algemene accounts zoals nva001 en root.
Gebruik persoonlijke accounts en switch indien nodig naar een algemeen account.
Ken uitsluitend noodzakelijke rechten toe; minder rechten leidt tot minder risico!
Schakel ongebruikte services uit.
Gebruik bij meerdere servers een uniek wachtwoord per server.
ANVA 4/5 applicatie
Wij raden aan om gebruikersprofielen toe te passen waaraan de strikt noodzakelijke permissies worden toegekend zodat je snel en eenvoudig inzicht hebt wie welke permissies heeft. De handleiding kun je vinden in ANVA Help: Gebruikers in ANVA
Ken uitsluitend noodzakelijke rechten toe: minder rechten leidt tot minder risico!
Gebruik aparte beheerdersaccounts (niet voor dagelijks gebruik).
Patch- en configuratiebeheer
Kwetsbaarheden ontstaan vaak door achterstallige updates. Installeer beveiligingsupdates daarom zo snel mogelijk om misbruik via bekende kwetsbaarheden te voorkomen.
Windows-updates bevatten vaak bundels van meerdere beveiligingsfixes.
Documenteer configuraties en afwijkingen van standaardinstellingen.
ANVA Linux server
Wij adviseren minimaal één keer per half jaar de server volledig te voorzien van de laatste updates.
Voor Linux servers geldt dat de distributie uit veel componenten bestaat waarbij er voor ANVA 4/5 slecht een beperkt aantal componenten geïnstalleerd zijn. Veel CVE’s vormen daardoor geen bedreiging.
Documenteer configuraties en afwijkingen van standaardinstellingen.
Voor klanten met Red Hat Linux Beheer dienst:
Monitoren wij actief relevante CVE’s en komen in actie indien tussentijds updates geïnstalleerd moeten worden.
Monitoring, logging en detectie
Overweeg het inzetten van een Intrusion Detection System (IDS) of vergelijkbare beveilingsoplossing die:
Ongeautoriseerde toegang detecteert
Aanvallen signaleert
Real-time meldingen genereert
Dit vormt een aanvullende beveiligingslaag naast firewall- en toegangsbeveiliging.
Back-up en disaster recovery
Let op: Je blijft als klant zelf verantwoordelijk voor je back-ups en het kunnen herstellen hiervan.
Een robuuste back-upstrategie is essentieel.
Maak dagelijks een back-up van de ANVA-machine.
Zorg dat vóór de back-up het backup-pre script wordt uitgevoerd.
Voer na de back-up het backup-post script uit, zodat ANVA correct blijft functioneren.
Controleer dagelijks de logging van beide scripts op fouten.
Controleer dagelijks het back-uprapport op fouten.
Restoretest
Voer minimaal maandelijks een restoretest uit. Zet enkele bestanden terug in een alternatieve map en controleer de integriteit.
Overweeg jaarlijks een volledige restore van de ANVA-machine in een testomgeving.
Documenteer je restoreprocedure.
Ransomware-weerbaarheid
Segmenteer de back-upomgeving van productie. Denk hierbij aan meerdere locatie en/of netwerksegmentatie.
Gebruik aparte accounts voor back-upbeheer.
Beperk toegang tot back-upopslag.
Overweeg immutable storage.
Endpoint- en serverbeveiliging
Gebruik een professionele EDR/XDR-oplossing op servers
Fysieke beveiliging
Plaats servers in een afgesloten ruimte
Beperk fysieke toegang tot bevoegde medewerkers
Denk na over brand- en waterschade beperkende maatregelen
