Wir empfehlen unseren Kunden, in ihren Check Point Security Infrastrukturen durchgehend personalisierte Admin-Accounts zu verwenden. Jeder Admin sollte einen personalisierten Schreib- und einen weiteren Lese-Account verwenden. “Sicherheit muss gelebt werden” heißt es aus gutem Grund. Hier müssen die Admins die ersten sein, die dies nicht nur umsetzen, sondern auch vorleben!

Zusätzlich unterstützt die Check Point SmartConsole bereits seit R75.20 ein direktes Umschalten “on-the-fly” zwischen Lese- und Schreibmodus (siehe Statusleiste). Leider dauert dieser Vorgang oftmals länger als die SmartConsole manuell zu schließen und mit neuen Rechten wieder zu öffnen.

Jeder Admin sollte permanent nur im Lese-Modus arbeiten und lediglich für Änderungen kurzzeitig in den Schreibmodus wechseln. Andernfalls ist für alle anderen Admins und Wartungsprozesse die Check Point Objektdatenbank permanent gesperrt. Beim Login stößt man dann häufig auf folgende Meldung:

Da bei permanent eingeloggten ReadWrite-Admins auch keine automatisierten Backups des Firewall Managements angelegt werden können, muss eine skriptgesteuerte Lösung her, welche vor jedem Backup zunächst alle Admins ausloggt (Disconnect).

Check Point bietet hierfür das Tool “disconnect_client” an, welches auf dem Firewall Management nachinstalliert werden kann. Es läuft auf allen von Check Point unterstützten Betriebssystemen, inkl. GAiA.