Veiligheidsoverzicht
- 28 Feb 2024
- 9 Minuten te lezen
Veiligheidsoverzicht
- Bijgewerkt op 28 Feb 2024
- 9 Minuten te lezen
Article Summary
Share feedback
Thanks for sharing your feedback!
Het beveiligingsoverzicht is toegankelijk via het snelmenu > Beveiliging>soverzicht. Het toont een rapport over de status van alle belangrijke beveiligingsinstellingen vanuit het systeem, waarin wordt weergegeven of de huidige instelling OK is. Als er een probleem is, zie je de status Waarschuwing of Ernstig, wat betekent dat je die instelling moet controleren en ervoor moet zorgen dat je op de hoogte bent van de beveiligingsrisico's of de nodige corrigerende stappen moet nemen.
De gastrol is bedoeld voor niet-ingelogde tijdelijke gebruikers en daarom mogen er geen risicovolle rechten/mogelijkheden aan deze rol worden gegeven.
| Instelling | Omschrijving | Notities |
|---|---|---|
| Beheerders | Het is raadzaam om het aantal sitebeheerders tot een minimum te beperken. Als gebruikers niet alle rechten/mogelijkheden van een systeembeheerder nodig hebben, overweeg dan een andere rol, zoals Site Manager. | Je kunt het aantal systeembeheerders aanpassen via het snelmenu > Rechten > Systeembeheerders. |
| EMBED en OBJECT toestaan | Als standaard beveiligingsmaatregel mogen normale gebruikers geen multimedia (zoals Flash) in de tekst inbedden met expliciete EMBED- en OBJECT-tags in hun HTML (hoewel dit nog steeds veilig kan worden gedaan met behulp van het mediaplugin -filter). Als je deze tags wil toestaan, schakel je deze optie in bij Beveiligingsinstellingen. | Om dit te configureren, ga je naar Snelmenu > Beveiliging > Beveiligingsinstellingen. |
| Authentie-noauth uitgeschakeld | Deze instelling moet worden uitgeschakeld op live-/productiesites, omdat het iemand in staat zou stellen om een account aan te maken zonder authenticatie, wat betekent dat ze zelfs een e-mailadres kunnen gebruiken dat niet bestaat en er is geen verificatie vereist. | Dit kan worden uitgeschakeld door naar Snelle toegang > Plugins > Authenticatie Authenticatie > Beheer authenticatie te gaan en ervoor te zorgen dat deze is uitgeschakeld. |
| Back-up van gebruikersdata | Deze instelling controleert op rollen die de back-up:userinfo mogelijkheid hebben, aangezien houders van deze rechten een back-up kunnen maken van alle gebruikersgegevens (inclusief relevante gebruikersaccountgegevens) bij het maken van een back-up van een cursus. Dit kan leiden tot een beveiligingslek als het in verkeerde handen is. Het wordt ook aanbevolen om een robuust wachtwoordbeleid te garanderenom de accounts van gebruikers met deze mogelijkheid te beschermen. | De mogelijkheid om een back-up te maken van gebruikersdata staat los van de mogelijkheid om een back-up te maken van cursusdata. Standaard kan alleen de manager een back-up maken van gebruikersdata. Wachtwoordbeleid kan worden ingesteld via het snelmenu > > Beveiligingsinstellingen. |
| Controleer alle publieke / private paden | Controleer of interne paden niet openbaar beschikbaar zijn. | Dit is geconfigureerd op serverniveau. Zie het gedetailleerde rapport voor meer informatie. |
| CSRF-beveiliging op inlogpagina | Het wordt aanbevolen om CSRF-bescherming in te schakelen op de inlogpagina van je site. Het is echter mogelijk dat het niet compatibel is met aangepaste authenticatieplugins of verouderde inlogpagina's. | Dit kan alleen worden ingesteld in config.php , zie config.example.php voor details. |
| Standaardrol voor alle gebruikers | De standaard gebruikersrol is normaal ingesteld als geauthenticeerde gebruiker. Als je de status Kritiek ziet, betekent dit dat de rol niet juist is geconfigureerd en dat er mogelijk risicovolle mogelijkheden aan zijn toegekend. Je kunt de rechten van de rol bewerken door naar het snelmenu > Gebruikers > Rechten Rollen > definiëren te gaan, vervolgens op Geauthenticeerde gebruiker te klikken en door de rechtenkolom te bladeren om te controleren of alles is zoals verwacht. | Dit kan worden geconfigureerd via het snelmenu > Rechten > Gebruikersbeleid. |
| Schakel consistent opschonen uit | Het wordt sterk aanbevolen om de instelling voor consistent opschonen uit te schakelen, omdat dit kwetsbaarheden kan veroorzaken bij gebruikers die kwaadaardige HTML op je site toevoegen. | Dit kan worden geconfigureerd via het snelmenu > Beveiliging > Beveiligingsinstellingen . |
| Tonen van PHP-fouten | Dit moet worden uitgeschakeld voor alle live/productiesites, omdat dit een beveiligingslek kan veroorzaken. Als PHP is ingesteld om fouten weer te geven, zou het iemand in staat stellen om informatie te verkrijgen, zoals mapstructuren door een foute URL in te voeren (vraag PHP om details over de fout en het systeem weer te geven). | Dit kan gewijzigd worden in het php.ini bestand. Open het bestand en stel display_errors in op display_errors=Uit. |
| Bevestiging van wijziging e-mailadres | Je kunt ervoor kiezen om gebruikers te dwingen hun e-mailadres te wijzigen. Het wordt aanbevolen om dit te doen om te voorkomen dat spammers je server misbruiken. | Dit wordt geconfigureerd via het snelmenu > Beveiliging > Beveiligingsinstellingen. |
| Uitvoerbare paden | Het toestaan van het instellen van uitvoerbare programma's via de administratiepagina's is een bijkomend risico voor escalatie van privileges. | Dit is geconfigureerd in config.php . |
| Startpaginarol | De standaard rol van de startpagina wordt aan alle geregistreerde gebruikers gegeven voor activiteiten op de startpagina. Zorg ervoor dat er geen risicovolle mogelijkheden zijn voor deze rol. Er wordt aangeraden een speciale rol hiervoor te maken en de verouderde rollen niet te gebruiken. | Geconfigureerd via Bewerk instellingen in het Beheer blok op de startpagina. |
| GraphQL-ontwikkelingsmodus | Hoewel de GraphQL-ontwikkelmodus mogelijk is ingeschakeld via config.php bij het implementeren van nieuwe code, moet deze modus niet zijn ingeschakeld op productiesites. | Dit is geconfigureerd in config.php . |
| Gasttoegang | Je moet zorgvuldig rekening houden met de beveiligingsrisico's die verbonden zijn aan het toestaan van toegang tot de site zonder een gebruikersaccount (die mogelijk is via gasttoegang). Je kunt overwegen om de inlogknop voor gasten uit te schakelen. | Gasttoegang kan worden beheerd via het snelmenu > Plugins > Authenticatie > Authenticatie beheren. |
| Gast rol | Dit kan worden geconfigureerd via het snelmenu > Rechten > Gebruikersbeleid. | - |
| HTTP cookies | Dit verhindert dat scripts toegang krijgen tot cookies die door jouw server verzonden worden, zodat cookies alleen toegankelijk zijn voor daadwerkelijke verzoeken. Dit kan het risico op cross-site scripting (XSS)-aanvallen helpen verminderen. | Alleen HTTP-cookies kunnen worden ingeschakeld vanuithet snelmenu > Beveiliging > HTTP-beveiliging. Let op dat sommige oudere browsers deze functie mogelijk niet ondersteunen. |
| HTTPS-protocol | Omdat HTTP-protocol gemakkelijk kan worden gebruikt, wordt aanbevolen om HTTPS-protocol te gebruiken op al je servers. | - |
| Onveilige dataroot | Gebruikersbestanden worden door Totara bewaard in de data root. Om het veilig te houden, mag dit niet toegankelijk zijn vanaf het internet. | Als de data root-map verplaatst wordt, dan zal de $CFG->datarootinstelling aangepast moeten worden in het config.php- bestand. |
| Map voor node_modules | De node_modules map bevat Node.js-modules en hun afhankelijkheden, gewoonlijk geïnstalleerd door het NPM-hulpprogramma. Deze modules kunnen nodig zijn voor de ontwikkeling van Totara. Ze zijn niet nodig om een Totara- site te laten lopen en ze kunnen mogelijk gevaarlijke code bevatten die je site blootstelt aan aanvallen op afstand. Het is sterk aangeraden om deze map te verwijderen als je site bereikbaar is via een publieke URL of om om minstens de toegang ertoe te beveiligen via de configuratie van je webserver. | - |
OAuth 2 e-mailverificatie | Het wordt aanbevolen dat alle OAuth 2-providers verificatie van e-mailaccounts afdwingen als automatisch koppelen van accounts is ingeschakeld. | Dit wordt geconfigureerd per OAuth 2 service, via het snelmenu > Server > OAuth 2 > OAuth 2 consumer details. |
| Open voor Google | Deze instelling werkt met gasttoegang om zoekrobots toegang te geven tot cursussen met gasttoegangsrechten. Houd er rekening mee dat het toestaan van Google toegang tot je site betekent dat alle inhoud openbaar toegankelijk is, dus doe dit alleen als er geen vertrouwelijke of gevoelige informatie op je site is. | Dit wordt geconfigureerd via het snelmenu > Beveiliging > Beveiligingsinstellingen. |
| Open gebruikersprofielen | Als je alle gebruikersprofielen open laat, bestaat het risico dat deze misbruikt worden door spammers (zoals ze openbaar zichtbaar zouden zijn). Het wordt aanbevolen dat je alleen gebruikersprofielen beschikbaar maakt voor ingelogde gebruikers. | Beheer dit door gebruikers verplicht aan te melden en gebruikers verplicht aan te melden voor profielinstellingen via het snelmenu > Beveiliging > Beveiligingsinstellingen. |
| Wachtwoordbeleid | Het gebruik van een wachtwoordbeleid helpt je site veiliger te maken door goede wachtwoordgewoonten aan te moedigen of af te dwingen, waaronder complexere wachtwoorden (die moeilijker te raden zijn) en ook vaker het wijzigen van wachtwoorden (als ze gemakkelijker te raden zijn). Probeer de wachtwoordvereisten echter niet te streng of moeilijk te maken, omdat dit ertoe kan leiden dat gebruikers hun wachtwoorden vergeten of opschrijven, waardoor eventuele beveiligingsvoordelen worden genegeerd. | Dit wordt geconfigureerd via het snelmenu > Beveiliging > Beveiligingsinstellingen. |
| Aanhoudende login | Indien ingeschakeld, negeren aanhoudende logins standaard sessietime-outs en stellen ze een permanente browsercookie in. Deze cookie wordt later gebruikt om gebruikers automatisch opnieuw aan te melden na een herstart van de browser of een sessietime-out. | Dit kan worden geconfigureerd via het snelmenu > Beveiliging>sinstellingen. |
| SCORM-sessie actief houden | Indien ingeschakeld, wordt de gebruikerssessie live gehouden in de SCORM-speler. | Dit kan worden geconfigureerd via het snelmenu > Plugins > Activiteitsmodules > SCORM packa ge. |
| Secure cookies | Je moet Secure cookies inschakelen als je HTTPS-communicatie met je site toestaat (aanbevolen). Het is ook aan te raden om alleen HSTS-headers te gebruiken en permanente omleidingen in te stellen voor HTTP-pagina's naar HTTPS. | Veilige cookies kunnen worden ingeschakeld viahet snelmenu > Beveiliging > HTTP-beveiliging. |
| Onveilige markeringen en bestanden in cursusbronnen | Alle Onveilige markeringen toestaan en bestandsinstellingen zijn uitgeschakeld. Dit verhindert dat gebruikers mogelijk onveilige inhoud uploaden in cursusbronnen. | - |
| URL downloader repository | Door de URL-downloader in te schakelen, kunnen externe gebruikers toegang krijgen tot URL's in uw interne netwerk. Je moet deze functie niet inschakelen als je gebruikers hebt die toegang hebben tot je site, maar geen toegang hebben tot andere bronnen binnen je interne netwerk die toegankelijk zijn vanaf de server. | - |
| Opsomming van de gebruikersnaam | Wanneer een gebruiker foute inloggegevens invoert, zorgt Totara ervoor dat het vaag is over de reden voor de mislukte login, zodat iedereen die de site probeert aan te vallen, niet kan zien of de gebruikersnaam of het wachtwoord fout is. Het opsommen van gebruikersnamen is een proces dat potentiële aanvallers kunnen gebruiken om uit te vinden wat de gebruikersnaamconventie is voor jouw Totara-site, zodat ze alleen het wachtwoord van een gebruiker hoeven te raden om toegang te krijgen. | Je kunt de Zelfregistratie- instelling uitschakelen in het > snelmenu Plugins > Authenticatie Authenticatie Authenticatie > Beheer authenticatie (aangezien potentiële aanvallers hun eigen gebruikersnamen kunnen genereren om het patroon uit te vinden). Je moet Gebruikersnaam beschermen inschakelen, zodat er geen hints worden gegeven aan potentiële aanvallers als ze op de link 'Wachtwoord vergeten' klikken. Dit kan gedaan worden via het snelmenu > Beveiliging > Beveiligingsinstellingen. |
| Web cron | Het wordt aanbevolen om cron alleen uit te voeren vanaf de opdrachtregel, omdat het uitvoeren van cron vanuit een webbrowser het risico loopt om bevoorrechte informatie aan anonieme gebruikers bloot te stellen. Daarnaast kun je een cron-wachtwoord instellen voor externe toegang. | Dit wordt geconfigureerd via het snelmenu > Beveiliging > Beveiligingsinstellingen. |
| config.php beschrijfbaar | Nadat je je Totara-site hebt geïnstalleerd, moet je het config.php-bestand bewerken om ervoor te zorgen dat het is ingesteld op alleen-lezen, wat betekent dat het niet kan worden gewijzigd door de webserver. | Je moet het config.php-bestand CHMODEREN naar ofwel 644 of 444 om er zeker van te zijn dat het alleen-lezen is. |
| XSS vertrouwde gebruikers | Sommige inhoud, zoals bepaalde multimediabestanden, HTML-code, JavaScript en Flash-applets, kan worden gebruikt om je site aan te vallen met een cross-site scripting-aanval (XSS-aanval). Met bepaalde mogelijkheden kunnen rollen/gebruikers binnen je site dit soort inhoud toevoegen, omdat ze nuttig kunnen zijn voor trainingsdoeleinden. Het is echter belangrijk om ervoor te zorgen dat je alleen vertrouwde gebruikers toegang geeft tot deze mogelijkheden. Deze instelling in het overzichtsrapport toont een lijst met gebruikers met deze mogelijkheden, zodat je kunt controleren of ze allemaal vertrouwde personen zijn. | - |
| XXE risico | Sommige versies van LibXML en PHP laden mogelijk externe entiteiten standaard in XML, wat betekent dat de inhoud van lokale bestanden kan worden verkregen door een kwaadwillende gebruiker. Zorg ervoor dat je up-to-date versies van LibXML en PHP gebruikt om deze kwetsbaarheid te helpen voorkomen. | - |
© Copyright 2024 Totara Learning Solutions. All rights reserved. Some content originally obtained via GPLv3 license and continues to be available under GPLv3. All other content is the sole copyright of Totara Learning Solutions.
Was dit artikel nuttig?
