Undtagelser fra målepolitikken

Disclaimer: Het origineel van deze pagina geschreven in het Nederlands. Deze pagina is automatisch vertaald naar andere talen met behulp van DeepL. Dit kan leiden tot verschillen in nuance, toon en betekenis. Raadpleeg bij twijfel altijd eerst de Nederlandse versie. Door de hoge kosten van vertalingen kan het zijn dat deze pagina inhoudelijk achter loopt met de Nederlandse versie. Wij beschouwen de Nederlandse versie van deze pagina als leidend.

Denne side indeholder en liste over undtagelsessituationer for målinger af grundlæggende sikkerhed. En måling uden kontekst vil blive bedømt negativt. Derfor tilføjer grundlæggende sikkerhed undtagelser i henhold til den såkaldte “følg eller forklar”-proces.

Hvis der mangler en undtagelse, bedes du kontakte os. Denne anmodning om undtagelse vil derefter blive gennemgået og måske eller måske ikke blive tilføjet til målingerne. Medtag kravene i manualen for gode forklaringer.

Versionsnumre

Forventningen er ikke at støde på oplysninger, som en angriber kan bruge til at udføre et angreb. Så generelt forventer vi ikke versionsnumre. Dette er undtagelserne til dette:

  1. SSH2.0-strenge uden kommentarer er udelukket, fordi versionsoplysninger er en del af protokollen. Se www.openssh.com/txt/rfc4253.txt 4.2. Det betyder for eksempel, at “OpenSSH_9.2p1” er godkendt, men “OpenSSH_9.2p1 Debian-2+deb12u2” er ikke. Det skyldes, at den udgiver yderligere oplysninger (“Debian-2+deb12u2”) om systemet. Det betyder, at systemet ikke er hærdet mod angribere, og en angriber ved præcis, hvad det er for et system.
  2. Større versioner af velkendte produkter, der ikke siger meget om patch-niveauet. F.eks: Microsoft IIS 8.5, Microsoft httpapi/2.0, rtc 7.0, awselb/2.0. Disse er godkendt.

Certifikater

Det forventes, at alle certifikater udstedes af en akkrediteret organisation. Der er så tillid til disse certifikater i browsere og enheder. Dette er undtagelserne til dette:

  1. G1 Statslige certifikater. Disse har browseren ikke tillid til, men centralregeringen har tillid til dem. Dette er angivet med en erklæring. Ikke betroet er nu ved design. Certifikatet, der accepteres, skal blandt andet indeholde serienummeret 10004001.

Åbne porte

Forventningen er, at angrebsfladen er minimal: det vil sige så få åbne porte som muligt. Dette er undtagelserne fra dette:

  1. 8080/8443 (Cloudflare): Cloudflares firewall åbner nogle overflødige porte som standard, f.eks. 8080. Du kan selv konfigurere, hvad der vises der. Hvis vi ser cloudflare opført der, godkender vi det nu med en forklaring. Dette er i sidste ende ikke godt, og vi opfordrer cloudflare-brugere til at angive, at virksomheden bør begynde at lukke disse porte. Denne undtagelse sker på baggrund af indholdet på websiden. Der anvendes en politik for dette som en erklæring.
  2. 8443 (VPN): Underdomæner relateret til hjemmearbejde kan åbne denne port. Vi genkender dette ved underdomæner (og mange varianter af): telearbejde, hjemmearbejde, arbejdsplads, arbejdsstation, ekstranet, intranet, fjernarbejde, fjernarbejde, vpn og så videre.

Krypteret dataoverførsel (HTTPS)

Forventningen er, at hjemmesider og webtjenester er krypterede, så oplysningerne forbliver fortrolige. Dette er undtagelserne til dette:

  1. Liste over tilbagekaldte certifikater: Der er ikke brug for en krypteret forbindelse på underdomænerne “pki”, “crl”, “ocsp” og nogle varianter heraf. HSTS-headeren behøver ikke at blive sat på port 443 (vi forventer ikke https).
  2. Der kræves ingen kryptering på Microsoft Autodiscover-underdomæner, dette er en generel undtagelse for Microsoft-tjenester, for ellers er alle røde …? Dette gælder for domænerne “autodiscover” og “autodiscover.test”.

HTTP-overskrifter

Forventningen er, at alle hjemmesider er sat op til sikkerhed. Dette er undtagelserne fra dette:

  1. Manglende overskrifter for SOAP/JSON/XML-indholdstyper: Disse tjenester er ikke beregnet til mennesker og behøver derfor ikke at yde den browserbeskyttelse, der er beregnet til at beskytte mennesker.
  2. Manglende overskrifter for tekniske tjenester: For ADFS-underdomænet behøver HSTS-overskriften ikke at blive indstillet.

Andet

Alle sikkerhedskrav forventes at blive opfyldt. Der er komplekse scenarier, hvor dette endnu ikke er sket eller ikke er muligt. Dette er undtagelserne:

  1. Microsoft-tjenester på underdomæner omkring lyncdiscover, sip, enterpriseenrollment, enterpriseregistration, webmail, msoid. Dette blev gjort, fordi disse tjenester ikke er beregnet til browsere, men til automatiserede tjenester. Samtidig ville konsekvenserne være store overalt, og IKT-tjenesteudbydere kan ikke løse disse problemer:
    • Certifikatet på disse underdomæner er betroet, selv om det ikke er betroet fra Qualys.
    • Da disse tjenester er beregnet til enheder, ikke browsere, er http-overskrifterne ikke obligatoriske.