Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Beveiligde beheerhosts zijn werkstations of servers die specifiek zijn geconfigureerd voor het maken van beveiligde platforms waarop bevoegde accounts beheertaken kunnen uitvoeren in Active Directory of op domeincontrollers, aan domeincontrollers, domeincontrollers gekoppelde systemen en toepassingen die worden uitgevoerd op systemen die lid zijn van een domein. In dit geval verwijst 'bevoegde accounts' niet alleen naar accounts die lid zijn van de meest bevoegde groepen in Active Directory, maar ook naar accounts die gedelegeerde rechten en machtigingen hebben gekregen waarmee beheertaken kunnen worden uitgevoerd.
Deze accounts kunnen helpdeskaccounts zijn die de mogelijkheid hebben om wachtwoorden opnieuw in te stellen voor de meeste gebruikers in een domein, accounts die worden gebruikt voor het beheren van DNS-records en -zones of accounts die worden gebruikt voor configuratiebeheer. Beveiligde beheerhosts zijn toegewezen aan beheerfunctionaliteit en ze voeren geen software uit, zoals e-mailtoepassingen, webbrowsers of productiviteitssoftware zoals Microsoft Office.
Hoewel de accounts en groepen met de meeste bevoegdheden dienovereenkomstig moeten worden beschermd, is dit niet nodig om accounts en groepen te beveiligen waaraan bevoegdheden boven die van standaardgebruikersaccounts zijn verleend.
Een beveiligde beheerhost kan een toegewezen werkstation zijn dat alleen wordt gebruikt voor beheertaken, een lidserver waarop de extern bureaublad-gatewayserverfunctie wordt uitgevoerd en waarmee IT-gebruikers verbinding maken met het beheer van doelhosts, of een server waarop de Hyper-V-rol wordt uitgevoerd en een unieke virtuele machine biedt voor elke IT-gebruiker die voor hun beheertaken kan worden gebruikt. In veel omgevingen kunnen combinaties van alle drie de benaderingen worden geïmplementeerd.
Het implementeren van beveiligde beheerhosts vereist planning en configuratie die consistent is met de grootte, administratieve procedures, risicobereidheid en budget van uw organisatie. Overwegingen en opties voor het implementeren van beveiligde beheerhosts vindt u hier voor gebruik bij het ontwikkelen van een beheerstrategie die geschikt is voor uw organisatie.
Principes voor het maken van beveiligde beheerhosts
Als u systemen effectief wilt beveiligen tegen aanvallen, moet u rekening houden met een aantal algemene principes:
U moet nooit een vertrouwd systeem (een beveiligde server zoals een domeincontroller) van een minder vertrouwde host beheren (dat wil gezegd, een werkstation dat niet in dezelfde mate is beveiligd als de systemen die worden beheerd).
U moet niet afhankelijk zijn van één verificatiefactor bij het uitvoeren van bevoorrechte activiteiten; Dat wil zeggen dat combinaties van gebruikersnaam en wachtwoord niet als acceptabele verificatie moeten worden beschouwd, omdat slechts één factor (iets wat u weet) wordt weergegeven. Overweeg waar inloggegevens worden gegenereerd en opgeslagen in beheerscenario's.
Hoewel de meeste aanvallen in het huidige bedreigingslandschap gebruikmaken van malware en kwaadwillend hacken, laat u fysieke beveiliging niet weg bij het ontwerpen en implementeren van beveiligde beheerhosts.
Accountconfiguratie
Zelfs als uw organisatie momenteel geen smartcards gebruikt, kunt u overwegen deze te implementeren voor bevoegde accounts en beveiligde beheerhosts. Administratieve hosts moeten worden geconfigureerd om het gebruik van smartcards voor logins van alle accounts te vereisen door de volgende instelling te wijzigen in een groepsbeleidsobject dat is gekoppeld aan de organisatie-eenheden met administratieve hosts.
Computerconfiguratie\Beleid\Windows-instellingen\Lokaal beleid\Beveiligingsopties\Interactieve aanmelding: Smartcard vereisen
Voor deze instelling moeten alle interactieve aanmeldingen een smartcard gebruiken, ongeacht de configuratie voor een afzonderlijk account in Active Directory.
U moet ook beveiligde beheerdershosts configureren om aanmeldingen alleen toe te staan door geautoriseerde accounts, die kunnen worden geconfigureerd in:
Computerconfiguratie\Beleid\Windows-instellingen\Lokaal beleid\Beveiligingsinstellingen\Lokaal beleid\Toewijzing van gebruikersrechten
Hiermee worden interactieve aanmeldrechten (en, indien van toepassing, Extern bureaublad-services) alleen verleend aan geautoriseerde gebruikers van de beveiligde beheerhost.
Fysieke beveiliging
Voor beheerdershosts om als betrouwbaar te worden beschouwd, moeten ze worden geconfigureerd en beveiligd in dezelfde mate als de systemen die ze beheren. De meeste aanbevelingen in Het beveiligen van domeincontrollers tegen aanvallen zijn ook van toepassing op de hosts die worden gebruikt voor het beheren van domeincontrollers en de AD DS-database. Een van de uitdagingen van het implementeren van beveiligde beheersystemen in de meeste omgevingen is dat fysieke beveiliging moeilijker kan worden geïmplementeerd, omdat deze computers zich vaak bevinden in gebieden die niet zo veilig zijn als servers die worden gehost in datacenters, zoals desktopcomputers van gebruikers met beheerdersrechten.
Fysieke beveiliging omvat het beheren van fysieke toegang tot beheerhosts. In een kleine organisatie kan dit betekenen dat u een toegewezen beheerwerkstation onderhoudt dat is vergrendeld in een kantoor of een bureaulade wanneer deze niet in gebruik is. Of het kan betekenen dat wanneer u het beheer van Active Directory of uw domeincontrollers moet uitvoeren, u zich rechtstreeks aanmeldt bij de domeincontroller.
In middelgrote organisaties kunt u overwegen om veilige beheerservers te implementeren die zich op een beveiligde locatie op een kantoor bevinden en worden gebruikt wanneer het beheer van Active Directory of domeincontrollers is vereist. U kunt ook beheerwerkstations implementeren die zijn vergrendeld op beveiligde locaties wanneer ze niet in gebruik zijn, met of zonder jumpservers.
In grote organisaties kunt u in datacenters gehuisveste jumpservers implementeren die strikt gecontroleerde toegang bieden tot Active Directory, domeincontrollers, en bestands-, afdruk- of toepassingsservers. Implementatie van een jumpserverarchitectuur omvat waarschijnlijk een combinatie van beveiligde werkstations en servers in grote omgevingen.
Ongeacht de grootte van uw organisatie en het ontwerp van uw beheerhosts, moet u fysieke computers beveiligen tegen onbevoegde toegang of diefstal en moet BitLocker-stationsversleuteling gebruiken om de stations op beheerhosts te versleutelen en te beveiligen. Door BitLocker te implementeren op administratieve hosts, kunt u, zelfs als een host wordt gestolen of de schijven worden verwijderd, ervoor zorgen dat de gegevens op de schijf ontoegankelijk zijn voor onbevoegde gebruikers.
Besturingssysteemversies en -configuratie
Alle beheerhosts, of dat nu servers of werkstations zijn, moeten het nieuwste besturingssysteem uitvoeren dat in uw organisatie wordt gebruikt om de redenen die eerder in dit document zijn beschreven. Door de huidige besturingssystemen uit te voeren, profiteert uw administratief personeel van nieuwe beveiligingsfuncties, volledige ondersteuning van leveranciers en aanvullende functionaliteit die in het besturingssysteem is geïntroduceerd. Bovendien moet u, wanneer u een nieuw besturingssysteem evalueert, door het eerst te implementeren op beheerhosts, vertrouwd raken met de nieuwe functies, instellingen en beheermechanismen die het biedt, die vervolgens kunnen worden gebruikt bij het plannen van een bredere implementatie van het besturingssysteem. De meest geavanceerde gebruikers in uw organisatie zijn dan ook de gebruikers die bekend zijn met het nieuwe besturingssysteem en die het beste kunnen worden ondersteund.
Microsoft-beveiligingsconfiguratiewizard
Als u jumpservers implementeert als onderdeel van uw strategie voor beheerhosts, moet u de ingebouwde wizard Beveiligingsconfiguratie gebruiken om service-, register-, audit- en firewallinstellingen te configureren om de kwetsbaarheid voor aanvallen van de server te verminderen. Wanneer de configuratie-instellingen van de wizard Beveiligingsconfiguratie zijn verzameld en geconfigureerd, kunnen de instellingen worden geconverteerd naar een groepsbeleidsobject dat wordt gebruikt om een consistente basislijnconfiguratie af te dwingen op alle jumpservers. U kunt het groepsbeleidsobject verder bewerken om beveiligingsinstellingen te implementeren die specifiek zijn voor jumpservers en kunt alle instellingen combineren met aanvullende basislijninstellingen die zijn geëxtraheerd uit Microsoft Security Compliance Manager.
Microsoft Beheer van beveiligingsnaleving
Microsoft Security Compliance Manager is een vrij beschikbaar hulpprogramma dat beveiligingsconfiguraties integreert die worden aanbevolen door Microsoft, op basis van de versie en rolconfiguratie van het besturingssysteem, en verzamelt deze in één hulpprogramma en gebruikersinterface die kan worden gebruikt om basislijnbeveiligingsinstellingen voor domeincontrollers te maken en te configureren. Microsoft Security Compliance Manager-sjablonen kunnen worden gecombineerd met de instellingen van de wizard Beveiliging configureren om uitgebreide configuratiebasislijnen te produceren voor jumpservers die worden geïmplementeerd en afgedwongen door groepsbeleidsobjecten die zijn geïmplementeerd op de OE's waarin jumpservers zich in Active Directory bevinden.
Note
Vanaf dit schrijven bevat Microsoft Security Compliance Manager geen instellingen die specifiek zijn voor jumpservers of andere beveiligde beheerhosts, maar SCM (Security Compliance Manager) kan nog steeds worden gebruikt om initiële basislijnen voor uw beheerhosts te maken. Als u de hosts op de juiste manier wilt beveiligen, moet u echter aanvullende beveiligingsinstellingen toepassen die geschikt zijn voor maximaal beveiligde werkstations en servers.
AppLocker
Beheerhosts en virtuele machines moeten worden geconfigureerd met scripts, hulpprogramma's en toepassingen via AppLocker of een toepassingsbeperkingssoftware van derden. Alle beheertoepassingen of hulpprogramma's die niet voldoen aan beveiligde instellingen, moeten worden bijgewerkt of vervangen door hulpprogramma's die voldoen aan veilige ontwikkeling en administratieve procedures. Wanneer nieuwe of aanvullende hulpprogramma's nodig zijn op een beheerhost, moeten toepassingen en hulpprogramma's grondig worden getest en als de hulpprogramma's geschikt zijn voor implementatie op beheerhosts, kunnen deze worden toegevoegd aan de systemen.
RDP-beperkingen
Hoewel de specifieke configuratie afhankelijk is van de architectuur van uw beheersystemen, moet u beperkingen opnemen voor welke accounts en computers kunnen worden gebruikt om RDP-verbindingen (Remote Desktop Protocol) met beheerde systemen tot stand te brengen, zoals het gebruik van Remote Desktop Gateway (RD Gateway) jumpservers om de toegang tot domeincontrollers en andere beheerde systemen van geautoriseerde gebruikers en systemen te beheren.
U moet interactieve aanmeldingen toestaan door geautoriseerde gebruikers en andere aanmeldingstypen verwijderen of zelfs blokkeren die niet nodig zijn voor servertoegang.
Patch- en configuratiebeheer
Kleinere organisaties kunnen afhankelijk zijn van aanbiedingen zoals Windows Update of Windows Server Update Services (WSUS) voor het beheren van de implementatie van updates voor Windows-systemen, terwijl grotere organisaties bedrijfspatch- en configuratiebeheersoftware zoals Microsoft Endpoint Configuration Manager kunnen implementeren. Ongeacht de mechanismen die u gebruikt voor het implementeren van updates voor uw algemene server- en werkstationpopulatie, moet u afzonderlijke implementaties overwegen voor zeer veilige systemen, zoals domeincontrollers, certificeringsinstanties en beheerhosts. Door deze systemen te scheiden van de algemene beheerinfrastructuur, als uw beheersoftware of serviceaccounts worden aangetast, kan het compromis niet eenvoudig worden uitgebreid naar de veiligste systemen in uw infrastructuur.
Hoewel u geen handmatige updateprocessen voor beveiligde systemen moet implementeren, moet u een afzonderlijke infrastructuur configureren voor het bijwerken van beveiligde systemen. Zelfs in zeer grote organisaties kan deze infrastructuur meestal worden geïmplementeerd via toegewezen WSUS-servers en GPO's voor beveiligde systemen.
Internettoegang blokkeren
Beheerdershosts mogen geen toegang krijgen tot internet en mogen ook niet door het intranet van een organisatie bladeren. Webbrowsers en vergelijkbare toepassingen mogen niet worden toegestaan op beheerhosts. U kunt internettoegang voor beveiligde hosts blokkeren via een combinatie van perimeterfirewallinstellingen, WFAS-configuratie en proxyconfiguratie 'zwart gat' op beveiligde hosts. U kunt ook application allowslist gebruiken om te voorkomen dat webbrowsers worden gebruikt op beheerhosts.
Virtualization
Overweeg waar mogelijk virtuele machines te implementeren als beheerhosts. Met behulp van virtualisatie kunt u beheersystemen per gebruiker maken die centraal worden opgeslagen en beheerd, en die eenvoudig kunnen worden afgesloten wanneer ze niet in gebruik zijn, zodat referenties niet actief blijven op de beheersystemen. U kunt ook vereisen dat virtuele beheerhosts na elk gebruik opnieuw worden ingesteld op een eerste momentopname, zodat de virtuele machines intact blijven. Meer informatie over opties voor virtualisatie van beheerhosts vindt u in de volgende sectie.
Voorbeeldmethoden voor het implementeren van beveiligde beheerhosts
Ongeacht hoe u uw infrastructuur voor beheerhosts ontwerpt en implementeert, moet u rekening houden met de richtlijnen in 'Principes voor het maken van beveiligde beheerhosts' eerder in dit onderwerp. Elk van de methoden die hier worden beschreven, bevat algemene informatie over hoe u 'administratieve' en 'productiviteitssystemen' kunt scheiden die door uw IT-personeel worden gebruikt. Productiviteitssystemen zijn computers die IT-beheerders gebruiken om e-mail te controleren, op internet te bladeren en algemene productiviteitssoftware zoals Microsoft Office te gebruiken. Beheersystemen zijn computers die worden beperkt en toegewezen voor dagelijks beheer van een IT-omgeving.
De eenvoudigste manier om beveiligde beheerhosts te implementeren, is door uw IT-medewerkers te voorzien van beveiligde werkstations waaruit ze beheertaken kunnen uitvoeren. In een implementatie met alleen werkstations wordt elk beheerwerkstation gebruikt om beheerhulpprogramma's en RDP-verbindingen te starten om servers en andere infrastructuur te beheren. Implementaties met alleen werkstations kunnen effectief zijn in kleinere organisaties, hoewel grotere, complexere infrastructuren kunnen profiteren van een gedistribueerd ontwerp voor beheerhosts waarin toegewezen beheerservers en werkstations worden gebruikt, zoals wordt beschreven in 'Secure Administrative Workstations and Jump Servers implementeren' verderop in dit onderwerp.
Afzonderlijke fysieke werkstations implementeren
Een manier waarop u beheerhosts kunt implementeren, is door elke IT-gebruiker twee werkstations uit te geven. Eén werkstation wordt gebruikt met een 'normaal' gebruikersaccount om activiteiten uit te voeren, zoals het controleren van e-mail en het gebruik van productiviteitstoepassingen, terwijl het tweede werkstation strikt is toegewezen aan beheerfuncties.
Voor het productiviteitswerkstation kunnen it-medewerkers gewone gebruikersaccounts krijgen in plaats van bevoegde accounts te gebruiken om zich aan te melden bij onbeveiligde computers. Het beheerwerkstation moet worden geconfigureerd met een strikt gecontroleerde configuratie en de IT-medewerkers moeten een ander account gebruiken om zich aan te melden bij het beheerwerkstation.
Als u smartcards hebt geïmplementeerd, moeten beheerwerkstations worden geconfigureerd om smartcardaanmeldingen te vereisen en moeten IT-medewerkers afzonderlijke accounts krijgen voor beheergebruik, ook geconfigureerd voor het vereisen van smartcards voor interactieve aanmelding. De beheerhost moet worden beveiligd zoals eerder is beschreven en alleen aangewezen IT-gebruikers moeten zich lokaal kunnen aanmelden bij het beheerwerkstation.
Pros
Door afzonderlijke fysieke systemen te implementeren, kunt u ervoor zorgen dat elke computer op de juiste wijze is geconfigureerd voor de rol en dat IT-gebruikers per ongeluk beheersystemen niet blootstellen aan risico's.
Cons
Het implementeren van afzonderlijke fysieke computers verhoogt de hardwarekosten.
Als u zich aanmeldt bij een fysieke computer met referenties die worden gebruikt voor het beheren van externe systemen, worden de referenties in het geheugen opgeslagen.
Als beheerwerkstations niet veilig worden opgeslagen, kunnen ze kwetsbaar zijn voor inbreuk via mechanismen zoals logboekregistratie van fysieke hardwaresleutels of andere fysieke aanvallen.
Een beveiligd fysiek werkstation implementeren met een gevirtualiseerd productiviteitswerkstation
In deze benadering krijgen IT-gebruikers een beveiligd beheerwerkstation van waaruit ze dagelijkse beheerfuncties kunnen uitvoeren, met behulp van Remote Server Administration Tools (RSAT) of RDP-verbindingen met servers binnen hun bereik van verantwoordelijkheid. Wanneer IT-gebruikers productiviteitstaken moeten uitvoeren, kunnen ze via RDP verbinding maken met een extern productiviteitswerkstation dat als virtuele machine wordt uitgevoerd. Er moeten afzonderlijke referenties worden gebruikt voor elk werkstation en besturingselementen zoals smartcards moeten worden geïmplementeerd.
Pros
Beheerwerkstations en productiviteitswerkstations worden gescheiden.
IT-medewerkers die beveiligde werkstations gebruiken om verbinding te maken met productiviteitswerkstations kunnen afzonderlijke referenties en smartcards gebruiken, en bevoegde referenties worden niet op de minder veilige computer opgeslagen.
Cons
Voor het implementeren van de oplossing zijn ontwerp- en implementatiewerkzaamheden en robuuste virtualisatieopties vereist.
Als de fysieke werkstations niet veilig worden opgeslagen, zijn ze mogelijk kwetsbaar voor fysieke aanvallen die inbreuk maken op de hardware of het besturingssysteem en ze vatbaar maken voor communicatieonderschepping.
Eén beveiligd werkstation implementeren met verbindingen met afzonderlijke virtuele machines 'Productiviteit' en 'Beheer'
In deze benadering kunt u IT-gebruikers één fysiek werkstation uitgeven dat is vergrendeld zoals eerder beschreven, en waarop IT-gebruikers geen bevoegde toegang hebben. U kunt extern bureaublad-servicesverbindingen bieden met virtuele machines die worden gehost op toegewezen servers, zodat IT-medewerkers één virtuele machine hebben waarop e-mail en andere productiviteitstoepassingen worden uitgevoerd, en een tweede virtuele machine die is geconfigureerd als de toegewezen beheerdershost van de gebruiker.
U moet smartcard of andere meervoudige aanmelding vereisen voor de virtuele machines, met behulp van andere accounts dan het account dat wordt gebruikt om u aan te melden bij de fysieke computer. Nadat een IT-gebruiker zich heeft aanmeldt bij een fysieke computer, kan deze zijn of haar productiviteits smartcard gebruiken om verbinding te maken met hun externe productiviteitscomputer en een afzonderlijke account en smartcard om verbinding te maken met hun externe beheercomputer.
Pros
IT-gebruikers kunnen één fysiek werkstation gebruiken.
Door afzonderlijke accounts te vereisen voor de virtuele hosts en verbindingen te gebruiken met de virtuele machines via de Externe bureaubladservices, worden de referenties van IT-gebruikers niet opgeslagen in het cachegeheugen van de lokale computer.
De fysieke host kan worden beveiligd in dezelfde mate als beheerhosts, waardoor de kans op inbreuk op de lokale computer wordt verminderd.
In gevallen waarin de productiviteit van een IT-gebruiker of de administratieve virtuele machine mogelijk is aangetast, kan de virtuele machine eenvoudig opnieuw worden ingesteld op een 'bekende goede' status.
Wanneer de fysieke computer is gecompromitteerd, worden er geen bevoorrechte referenties in de cache in het geheugen opgeslagen en kan het gebruik van smartcards voorkomen dat referenties worden gecompromitteerd door toetsaanslagregistraties.
Cons
Voor het implementeren van de oplossing zijn ontwerp- en implementatiewerkzaamheden en robuuste virtualisatieopties vereist.
Als de fysieke werkstations niet veilig worden opgeslagen, zijn ze mogelijk kwetsbaar voor fysieke aanvallen die inbreuk maken op de hardware of het besturingssysteem en ze vatbaar maken voor communicatieonderschepping.
Veilige beheerwerkstations en jumpservers implementeren
Als alternatief voor het beveiligen van beheerwerkstations of in combinatie met deze werkstations kunt u beveiligde jumpservers implementeren en gebruikers met beheerdersrechten verbinding maken met de jumpservers met behulp van RDP en smartcards om beheertaken uit te voeren.
Jumpservers moeten zo geconfigureerd zijn dat ze de rol van Extern bureaublad-gateway vervullen, zodat u beperkingen kunt implementeren voor verbindingen met de jumpserver en met de doelservers die worden beheerd. Indien mogelijk moet u ook de Hyper-V-rol installeren en persoonlijke virtuele bureaubladen of andere virtuele machines per gebruiker maken die gebruikers met beheerdersrechten kunnen gebruiken voor hun taken op de jumpservers.
Door de gebruikers met beheerdersrechten per gebruiker virtuele machines op de jumpserver te geven, biedt u fysieke beveiliging voor de beheerwerkstations en kunnen gebruikers met beheerdersrechten hun virtuele machines opnieuw instellen of afsluiten wanneer ze niet in gebruik zijn. Als u de voorkeur geeft om de Hyper-V-rol en de Remote Desktop Gateway-rol niet op dezelfde administratieve host te installeren, kunt u ze op afzonderlijke computers installeren.
Waar mogelijk moeten externe beheerprogramma's worden gebruikt voor het beheren van servers. De RSAT-functie (Remote Server Administration Tools) moet worden geïnstalleerd op de virtuele machines van de gebruikers (of de jumpserver als u geen virtuele machines per gebruiker implementeert voor beheer) en beheerdersmedewerkers moeten via RDP verbinding maken met hun virtuele machines om beheertaken uit te voeren.
In gevallen waarin een gebruiker met beheerdersrechten via RDP verbinding moet maken met een doelserver om deze rechtstreeks te beheren, moet RD Gateway zodanig worden geconfigureerd dat de verbinding alleen kan worden gemaakt als de juiste gebruiker en computer worden gebruikt om de verbinding met de doelserver tot stand te brengen. Het uitvoeren van RSAT-hulpprogramma's (of soortgelijke) moet verboden zijn op systemen die geen beheersystemen zijn, zoals werkstations voor algemeen gebruik en servers die geen jumpservers zijn.
Pros
Door jumpservers te maken, kunt u specifieke servers toewijzen aan zones (verzamelingen systemen met vergelijkbare configuratie-, verbindings- en beveiligingsvereisten) in uw netwerk en vereisen dat het beheer van elke zone wordt bereikt door administratief personeel dat verbinding maakt van beveiligde beheerhosts naar een aangewezen zoneserver.
Door jumpservers toe te wijzen aan zones, kunt u gedetailleerde besturingselementen implementeren voor verbindingseigenschappen en configuratievereisten en kunt u eenvoudig pogingen identificeren om verbinding te maken vanuit niet-geautoriseerde systemen.
Door virtuele machines per beheerder te implementeren op jumpservers, dwingt u het afsluiten en opnieuw instellen van de virtuele machines af naar de bekende schone status wanneer beheertaken zijn voltooid. Door het afsluiten (of opnieuw opstarten) van de virtuele machines af te dwingen zodra beheertaken zijn voltooid, kunnen de virtuele machines niet het doelwit worden van aanvallers, noch zijn aanvallen met diefstal van referenties mogelijk, omdat referenties in de cache na een herstart niet in de cache blijven.
Cons
Dedicated servers zijn vereist voor jumpservers, zowel fysiek als virtueel.
Het implementeren van aangewezen jumpservers en beheerwerkstations vereist zorgvuldige planning en configuratie die is toegewezen aan alle beveiligingszones die in de omgeving zijn geconfigureerd.