Einrichten einer Referenzinstallation für Clients
Es werden Clones über den Deploymentserver der Abteilung PC-Service des IT-Service konfiguriert und vor der Freigabe getestet.
Richtlinien zum Betrieb von Client-Server-Netzen
Diese Richtlinie beinhaltet Mindestma?nahmen zum sicheren Betrieb von Client-Server-Netzen innerhalb von Subnetzen der jeweiligen Organisationseinheit.
Benutzerauthentisierung
Um den Client zu nutzen, müssen sich die Benutzer sich auf dem Rechner über Passworteingabe authentisieren. Die Passw?rter müssen der Passwort-Richtlinie des IT-Service der Otto-Friedrich-Universit?t Bamberg entsprechen.
Rollentrennung
Normale T?tigkeiten erfolgen über die Anmeldung als Benutzer mit der Rechtekategorie ?Benutzer“. Nur über die Anmeldung als Administrator, die über ein dem Rechner zugeordnetes sicheres Administratorpasswort erfolgt, kann die Systemkonfiguration ge?ndert werden, Anwendungen installiert bzw. entfernt werden oder Systemdateien modifiziert bzw. gel?scht werden. Benutzer haben ausschlie?lich lesenden Zugriff auf Systemdateien.
Aktivieren von Autoupdate-Mechanismen
Automatische Update-Mechanismen (Autoupdate) sind zu aktivieren. Für Microsoft Windows basierte Betriebssysteme bietet sich die Anbindung des vom IT-Service betriebenen WSUS-Servers an.
Regelm??ige Datensicherung
Zur Vermeidung von Datenverlusten wird als Standardeinstellung für den Zugriff auf Daten das pers?nliche bzw. das aufgabenbezogenen Netzlaufwerk des IT-Service angeboten. Diese Netzlaufwerke werden t?glich automatisch gesichert. Für Laptops wird die Offline-Datenhaltung über Microsoft Workfolders empfohlen. So ist auch bei Nichtverfügbarkeit im Netz ein Zugriff auf alle Daten m?glich. Es wird sowohl der Desktop als auch der Standardordner für die Ablage von Dokumenten auf dem Server gespeichert. Sobald wieder eine Netzlaufwerkverbindung besteht, werden die Daten automatisch auf dem Server abgeglichen. Abh?ngig vom Schutzbedarf der Daten wird empfohlen, sensible Daten in einem Veracrypt-Container verschlüsselt zu speichern.
Es wird regelm??ig überprüft, dass die Datensicherung ordnungsgem?? funktioniert und dass gesicherte Daten problemlos zurückgespielt werden k?nnen. Die Benutzer werden über die Regelungen, von wem und wie Datensicherungen erstellt werden, informiert.
Bildschirmsperre
Eine Bildschirmsperre wird nach 10 Minuten Verweilzeit ohne T?tigkeit am Rechner automatisch eingeschaltet. So k?nnen keine Unbefugten auf den aktivierten Client zugreifen. Es ist sichergestellt, dass die Bildschirmsperre erst nach einer erfolgreichen Benutzerauthentifikation deaktiviert werden kann.
Einsatz von Viren-Schutzprogammen
In Abh?ngigkeit des installierten Betriebssystems und anderer vorhandener Schutzmechanismen des Clients werden Viren-Schutzprogramme eingesetzt. Die entsprechenden Signaturen eines Viren-Schutzprogrammes werden regelm??ig aktualisiert. Neben Echtzeit- und On-Demand-Scans bietet die eingesetzte Antivirensoftware Sophos die M?glichkeit, auch komprimierte und verschlüsselte Daten nach Schadprogrammen zu durchsuchen.
Das Viren-Schutzprogramm auf dem Client ist so konfiguriert, dass die Benutzer weder sicherheitsrelevante ?nderungen an den Einstellungen vornehmen k?nnen noch das Virenschutzprogramm abschalten k?nnen. Dies ist nur als Administrator m?glich.
Protokollierung
Es werden nur die Standard-Logdateien unter Microsoft Windows-Betriebssystemen, wie die Ereignisprotokolle auf dem Rechner gehalten. Wenn ein Virenbefall vom Sophos Antivirenprogramm festgestellt wurde, wird dieses überwacht und automatisch rückgemeldet und protokolliert, sodass auch auf einen Virenmassenbefall entsprechend reagiert werden kann.
Absicherung des Boot-Vorgangs
Es wurde davon abgesehen, dass der Startvorgang des IT-Systems gegen Manipulation abgesichert wird. Die Rechner befinden sich in abschlie?baren R?umen und werden von den Lehrstühlen und Forschungseinrichtungen bezüglich der Zug?nglichkeit geschützt.
Planung des Einsatzes von Clients
Im Bereich Forschung und Lehre gliedert sich der Einsatz von Clients in zwei Hauptbereiche: Clients für den station?ren Einsatz durch Desktop-Rechner und Clients für den mobilen Einsatz in Form von Laptops. Zum sicheren Betrieb der mobilen Clients wird die Nutzung von Workfolders für die Offline-Nutzung empfohlen. Ansonsten sind beide Nutzungstypen, was die Authentisierung, Virenschutzmechanismen etc. betrifft, gleich.
Beschaffung von Clients
Die Clients werden ausschlie?lich zentral über den IT-Service beschafft. Hierbei wird sichergestellt, dass der jeweilige Hersteller für den gesamten geplanten Nutzungszeitraum Patches für Schwachstellen zeitnah zur Verfügung stellen kann. Die zu beschaffenden Systeme verfügen über eine Firmware-Konfigurationsoberfl?che für UEFI SecureBoot und ggf. für das TPM, die eine Kontrolle durch den Eigentümer gew?hrt und so den selbstverwalteten Betrieb von SecureBoot und des TPM erm?glicht.
Kompatibilit?tsprüfung von Software
Vor einer beabsichtigten Beschaffung von Software wird deren Kompatibilit?t zum eingesetzten Betriebssystem in der vorliegenden Konfiguration geprüft und die Kompatibilit?tsprüfung in das Freigabeverfahren der Software aufgenommen. Ist vom Hersteller der Software oder aus anderen Fachkreisen keine verbindliche Information zur Kompatibilit?t vorhanden, so wird die Kompatibilit?t in einer Testumgebung geprüft. Vor einer beabsichtigten Hardware?nderung oder bei einer Betriebssystemmigration werden auch die Treibersoftware für alle betreffenden Komponenten auf Kompatibilit?t zum Betriebssystem getestet und gew?hrleistet.
Zugriff auf Ausführungsumgebungen mit unbeobachtbarer Codeausführung
Der Zugriff auf Ausführungsumgebungen mit unbeobachtbarer Codeausführung (z. B. durch das Betriebssystem speziell abgesicherte Speicherbereiche, Firmwarebereiche etc.) ist nur durch Benutzer mit administrativen Berechtigungen m?glich.
Updates und Patches für Firmware, Betriebssysteme und Anwendungen
Die Mitarbeiter des PC-Service informieren sich regelm??ig über bekannt gewordene Schwachstellen und tauschen sich darüber aus. Die identifizierten Schwachstellen werden so schnell wie m?glich behoben. Generell wird darauf geachtet, dass Patches und Updates nur aus vertrauenswürdigen Quellen bezogen werden. Wenn notwendig, werden die betreffenden Anwendungen beziehungsweise das Betriebssystem nach dem Update neu gestartet.
Solange keine entsprechenden Patches zur Verfügung stehen, muss sichergestellt werden, dass abh?ngig von der Schwere der Schwachstellen andere geeignete Ma?nahmen zum Schutz des IT-Systems getroffen werden.
Sichere Installation und Konfiguration von Clients
Es wird bei der Erstellung des Clones festgelegt, welche Komponenten des Betriebssystems, Fachanwendungen und weitere Tools installiert werden sollen. Die Installation und Konfiguration der IT-Systeme wird nur von autorisierten Personen (Mitarbeiter des PC-Service und studentische Hilfskr?fte sowie vertraglich gebundene Dienstleister) nach einem definierten Prozess durchgeführt.
Alle Installations- und Konfigurationsschritte werden im Managementsystem für Informationssicherheit (ISMS) des IT-Service so dokumentiert werden, dass die Installation und Konfiguration durch einen sachkundigen Dritten anhand der Dokumentation nachvollzogen und wiederholt werden kann.
Die Grund-Sicherheitseinstellungen von Clients werden überprüft und n?tigenfalls entsprechend den Vorgaben der Sicherheitsrichtlinie angepasst.
Erst nachdem die Installation, Konfiguration und Absicherung abgeschlossen ist, d.h. der Rechner zurückgesi-chert wurde und der neue Clone aufgespielt wurde, wird der Client mit dem Internet verbunden. W?hrend des Deployment des Clones auf den Rechner besteht eine ausgehende Verbindung zum Internet, da der Clone aus dem Netz gezogen wird.
Deaktivierung und Deinstallation nicht ben?tigter Komponen-ten und Kennungen
Auf eine strikte Deaktivierung aller nicht ben?tigten Komponenten nach ?berspielung des Clones auf den Client-Rechner wird verzichtet. Die Grundkonfiguration des Clones ist so konzipiert, dass nur gelegentlich genutzte Software über ein Softwareverteilungsmodul selbst vom Nutzer bei Bedarf nachinstalliert werden kann. In dieser Weise ist der Umfang der vorinstallierten Software so klein wie m?glich und praktikabel gehalten. Compiler und Interpretersprachen sind generell nicht vorinstalliert. Die vorinstallierte Softwarekonfiguration ist für die Nutzer auf den Webseiten des IT-Service der Otto-Friedrich-Universit?t Bamberg beschrieben.
Einsatzfreigabe
Der Clone wird st?ndig aktualisiert und ggf. erweitert. Bevor der Client im produktiven Betrieb eingesetzt und bevor es an ein produktives Netz angeschlossen wird, erfolgt eine Einsatzfreigabe. Diese sollte dokumentiert werden. Für die Einsatzfreigabe wird die Installations- und Konfigurationsdokumentation und die Funktionsf?-higkeit der IT-Systeme in einem Test geprüft. Sie erfolgt durch den Betreuer des Deploymentservers.
Nutzung von TLS (Benutzer)
Kommunikationsverbindungen, etwa bei E-Mail, werden durch Verschlüsselung geschützt. Verschlüsselte Ver-bindungen werden, soweit m?glich, vorgezogen. Die Webseiten der Uni werden über HTTPS verschlüsselt.
E-Mail und der Zugang zu den Seiten der der Otto-Friedrich-Universit?t Bamberg erfolgt über kryptographische Algorithmen, die dem Stand der Technik und den Sicherheitsanforderungen entsprechen.
Neue Zertifikate werden erst nach ?berprüfung des "Fingerprints" aktiviert. Die Validierung von Zertifikaten wird in Anwendungsprogrammen wie Browsern und E-Mail-Clients aktiviert. Session Renegotiation und TLS-Kompression sollten deaktiviert werden.
Restriktive Rechtevergabe
Der verfügbare Funktionsumfang des IT-Systems ist für die einzelnen Benutzer oder Benutzergruppen eingeschr?nkt, so dass sie genau die Rechte besitzen und auf die Funktionen zugreifen k?nnen, die sie für ihre Aufgabenwahrnehmung ben?tigen. Zugriffsberechtigungen wurden hierfür m?glichst restriktiv vergeben. Es wird regelm??ig überprüft, ob die Berechtigungen, insbesondere für Systemverzeichnisse und -dateien, den Vorgaben der Sicherheitsrichtlinie entsprechen. Auf Systemdateien haben nur die Administratoren Zugriff. Der Kreis der zugriffsberechtigten Administratoren wird m?glichst klein gehalten und wird von dem Lehrstuhl bzw. der Forschungseinrichtung vorgegeben. Auch System-Verzeichnisse stellen nur die notwendigen Privilegien für die Benutzer zur Verfügung.
Schutz der Administrationsschnittstellen
In der Regel werden Clients über das Netz über zentrale netzbasierte Tools administriert. Hierüber werden Sicherheitsvorkehrungen getroffen. Die Administration von Rechnern über den WSUS-Server über das Netz erfolgt über das sichere SSL Protokoll.
Verhinderung der unautorisierten Nutzung von Rechnermikrofonen und Kamera
Die Nutzer werden darauf hingewiesen, dass wenn ein vorhandenes Mikrofon oder eine Kamera nicht genutzt und deren Missbrauch verhindert werden sollen, diese, wenn m?glich, ausgeschaltet, abgedeckt (nur Kamera), deaktiviert oder physikalisch vom Ger?t getrennt werden.
Abmelden nach Aufgabenerfüllung (Benutzer)
Alle Benutzer werden darauf hingewiesen, dass sie sich nach Aufgabenerfüllung vom IT-System bzw. von der IT-Anwendung abzumelden haben, vor allem bei Nutzung eines Systems durch mehrere Benutzer. Ebenso wird darauf hingewiesen, dass, wenn es für einen Benutzer absehbar ist, dass nur eine kurze Unterbrechung der Arbeit erforderlich ist, die Bildschirmsperre aktiviert werden sollte, statt sich abzumelden. Die Bildschirmsperre wird nach l?ngerer Inaktivit?t automatisch aktiviert bzw. der Benutzer automatisch abgemeldet.
Nutzung von Client-Server-Diensten
Für den Informationsaustausch werden dedizierte Serverdienste genutzt und direkte Verbindungen zwischen Clients vermieden. Die Ports von Peer-to-Peer Netzwerken sind standardm??ig gesperrt. Direkte Verbindungen zwischen Clients beschr?nken sich nur auf das LAN. Auto-Discovery-Protokolle sind standardm??ig deaktiviert.
Umgang mit Wechseldatentr?gern im laufenden System
?ber die Zug?nglichkeit des Administratorpassworts in Lehrstühlen und Forschungseinrichtungen an der Otto-Friedrich-Universit?t Bamberg wird dafür gesorgt, dass von Laufwerken oder über Schnittstellen nicht unkontrolliert Software installiert oder unberechtigt Daten kopiert werden k?nnen.
Geregelte Au?erbetriebnahme eines Clients
Bei der Au?erbetriebnahme eines Clients wird sichergestellt, dass keine wichtigen Daten, die eventuell auf den verbauten Datentr?gern gespeichert sind, verlorengehen, und dass keine sensitiven Daten zurückbleiben. Es gibt einen ?berblick darüber, welche Daten wo auf den IT-Systemen gespeichert sind.
Verschlüsselung der Clients
Die Verschlüsselung von sensiblen Daten wird vom Nutzer selbst vorgenommen und verwaltet. Hierzu wird Veracrypt empfohlen.
Veracrypt-Anleitung(525.9 KB)
Systemüberwachung
Für die Virenschutzl?sung Sophos findet eine ?berwachung der Rechner der Otto-Friedrich-Universit?t Bamberg statt. SmartScreen ist deaktiviert, damit keine Daten an Microsoft gesendet werden.
Einrichten einer Referenzinstallation für Clients
Es werden Clones über den Deploymentserver der Abteilung PC-Service des IT-Service konfiguriert und vor der Freigabe getestet.
Einrichtung lokaler Paketfilter
?ber die Windows-Firewall wird der Zugriff von au?en auf den Rechner mittels einer Whitelist bei Bedarf freigeschaltet.
Einsatz zus?tzlicher Ma?nahmen zum Schutz vor Exploits
Application Whitelisting
Powershellscripte sind nur signiert ausführbar. Für Programminstallation ist keine Einschr?nkung vorgesehen. Es k?nnen von den Nutzern im Rahmen der Freiheit von Forschung und Lehre als Administrator frei Programme installiert werden.
Einsatz von Anwendungsisolation
Die Nutzer k?nnen bei Bedarf über Hyper-V Programminstanzen isoliert in einem virtualisierten Betriebssystem ausführen.
Aktive Verwaltung der Wurzelzertifikate
Die Wurzel-Zertifikate werden vom DFN bezogen, in die Clones integriert und auf allen Bestandsger?ten erg?nzt. Die ?berprüfung der Gültigkeit der Zertifikate erfolgt regelm??ig und ggf. werden über den Windows Server Update Services (WSUS) Servers des IT-Service Updates ausgerollt.
Selbstverwalteter Einsatz von SecureBoot und TPM
UEFI Secure Boot wird aktiviert, es werden hierfür die vom Hersteller mitgelieferten Standardschlüssel verwen-det. TPM wird nicht deaktiviert, um bei Aktivierung der Bitlocker-Verschlüsselung durch TPM die CPU zu entlasten.
Schutz vor unbefugten Anmeldungen
Bei Bedarf ist die Mehrfaktorauthentisierung über PIN oder Fingerprintsensor vom Nutzer aktivierbar.
Einbindung in die Notfallplanung
Für den Notfall, z.B. bei einem Plattencrash oder Befall von einem Trojaner, sind alle Daten des Dokumente-Ordners und des Desktops auf dem Server gesichert und das System kann einfach und schnell über einen Clone neu erstellt werden.
Betriebsdokumentation
Es gibt für die Rechner der Mitarbeiter der Lehrstühle und Forschungseinrichtungen der Otto-Friedrich-Univer-sit?t Bamberg keine Restriktion, die das Ein- und Ausbauen von Festplatten verhindert, es sei denn, dass vom Nutzer der Datentr?ger verschlüsselt wurde.
Verhinderung der ?berlastung der lokalen Festplatte
Auf den Netzwerkshares sind Quotas standardgem?? eingerichtet. Windows gibt eine Meldung, wenn eine Platte über weniger als 10% Kapazit?t verfügt. Nutzer k?nnen bei Bedarf die Quotas auf Exchange- und Datenlaufwerken erh?hen.