Einrichten einer Referenzinstallation für Clients

Es werden Clones über den Deploymentserver der Abteilung PC-Service des IT-Service konfiguriert und vor der Freigabe getestet.

Richtlinien zum Betrieb von Client-Server-Netzen

Diese Richtlinie beinhaltet Mindestmaßnahmen zum sicheren Betrieb von Client-Server-Netzen innerhalb von Subnetzen der jeweiligen Organisationseinheit.

Benutzerauthentisierung

Um den Client zu nutzen, müssen sich die Benutzer sich auf dem Rechner über Passworteingabe authentisieren. Die Passwörter müssen der Passwort-Richtlinie des IT-Service der Otto-Friedrich-Universität Bamberg entsprechen.

Rollentrennung

Normale Tätigkeiten erfolgen über die Anmeldung als Benutzer mit der Rechtekategorie „Benutzer“. Nur über die Anmeldung als Administrator, die über ein dem Rechner zugeordnetes sicheres Administratorpasswort erfolgt, kann die Systemkonfiguration geändert werden, Anwendungen installiert bzw. entfernt werden oder Systemdateien modifiziert bzw. gelöscht werden. Benutzer haben ausschließlich lesenden Zugriff auf Systemdateien.

Aktivieren von Autoupdate-Mechanismen

Automatische Update-Mechanismen (Autoupdate) sind zu aktivieren. Für Microsoft Windows basierte Betriebssysteme bietet sich die Anbindung des vom IT-Service betriebenen WSUS-Servers an.

Regelmäßige Datensicherung

Zur Vermeidung von Datenverlusten wird als Standardeinstellung für den Zugriff auf Daten das persönliche bzw. das aufgabenbezogenen Netzlaufwerk des IT-Service angeboten. Diese Netzlaufwerke werden täglich automatisch gesichert. Für Laptops wird die Offline-Datenhaltung über Microsoft Workfolders empfohlen. So ist auch bei Nichtverfügbarkeit im Netz ein Zugriff auf alle Daten möglich. Es wird sowohl der Desktop als auch der Standardordner für die Ablage von Dokumenten auf dem Server gespeichert. Sobald wieder eine Netzlaufwerkverbindung besteht, werden die Daten automatisch auf dem Server abgeglichen. Abhängig vom Schutzbedarf der Daten wird empfohlen, sensible Daten in einem Veracrypt-Container verschlüsselt zu speichern.

Es wird regelmäßig überprüft, dass die Datensicherung ordnungsgemäß funktioniert und dass gesicherte Daten problemlos zurückgespielt werden können. Die Benutzer werden über die Regelungen, von wem und wie Datensicherungen erstellt werden, informiert.

Bildschirmsperre

Eine Bildschirmsperre wird nach 10 Minuten Verweilzeit ohne Tätigkeit am Rechner automatisch eingeschaltet. So können keine Unbefugten auf den aktivierten Client zugreifen. Es ist sichergestellt, dass die Bildschirmsperre erst nach einer erfolgreichen Benutzerauthentifikation deaktiviert werden kann.

Einsatz von Viren-Schutzprogammen

In Abhängigkeit des installierten Betriebssystems und anderer vorhandener Schutzmechanismen des Clients werden Viren-Schutzprogramme eingesetzt. Die entsprechenden Signaturen eines Viren-Schutzprogrammes werden regelmäßig aktualisiert. Neben Echtzeit- und On-Demand-Scans bietet die eingesetzte Antivirensoftware Sophos die Möglichkeit, auch komprimierte und verschlüsselte Daten nach Schadprogrammen zu durchsuchen.

Das Viren-Schutzprogramm auf dem Client ist so konfiguriert, dass die Benutzer weder sicherheitsrelevante Änderungen an den Einstellungen vornehmen können noch das Virenschutzprogramm abschalten können. Dies ist nur als Administrator möglich.

Protokollierung

Es werden nur die Standard-Logdateien unter Microsoft Windows-Betriebssystemen, wie die Ereignisprotokolle auf dem Rechner gehalten. Wenn ein Virenbefall vom Sophos Antivirenprogramm festgestellt wurde, wird dieses überwacht und automatisch rückgemeldet und protokolliert, sodass auch auf einen Virenmassenbefall entsprechend reagiert werden kann.

Absicherung des Boot-Vorgangs

Es wurde davon abgesehen, dass der Startvorgang des IT-Systems gegen Manipulation abgesichert wird. Die Rechner befinden sich in abschließbaren Räumen und werden von den Lehrstühlen und Forschungseinrichtungen bezüglich der Zugänglichkeit geschützt.

Planung des Einsatzes von Clients

Im Bereich Forschung und Lehre gliedert sich der Einsatz von Clients in zwei Hauptbereiche: Clients für den stationären Einsatz durch Desktop-Rechner und Clients für den mobilen Einsatz in Form von Laptops. Zum sicheren Betrieb der mobilen Clients wird die Nutzung von Workfolders für die Offline-Nutzung empfohlen. Ansonsten sind beide Nutzungstypen, was die Authentisierung, Virenschutzmechanismen etc. betrifft, gleich.

Beschaffung von Clients

Die Clients werden ausschließlich zentral über den IT-Service beschafft.  Hierbei wird sichergestellt, dass der jeweilige Hersteller für den gesamten geplanten Nutzungszeitraum Patches für Schwachstellen zeitnah zur Verfügung stellen kann. Die zu beschaffenden Systeme verfügen über eine Firmware-Konfigurationsoberfläche für UEFI SecureBoot und ggf. für das TPM, die eine Kontrolle durch den Eigentümer gewährt und so den selbstverwalteten Betrieb von SecureBoot und des TPM ermöglicht.

Kompatibilitätsprüfung von Software

Vor einer beabsichtigten Beschaffung von Software wird deren Kompatibilität zum eingesetzten Betriebssystem in der vorliegenden Konfiguration geprüft und die Kompatibilitätsprüfung in das Freigabeverfahren der Software aufgenommen. Ist vom Hersteller der Software oder aus anderen Fachkreisen keine verbindliche Information zur Kompatibilität vorhanden, so wird die Kompatibilität in einer Testumgebung geprüft. Vor einer beabsichtigten Hardwareänderung oder bei einer Betriebssystemmigration werden auch die Treibersoftware für alle betreffenden Komponenten auf Kompatibilität zum Betriebssystem getestet und gewährleistet.

Zugriff auf Ausführungsumgebungen mit unbeobachtbarer Codeausführung

Der Zugriff auf Ausführungsumgebungen mit unbeobachtbarer Codeausführung (z. B. durch das Betriebssystem speziell abgesicherte Speicherbereiche, Firmwarebereiche etc.) ist nur durch Benutzer mit administrativen Berechtigungen möglich.

Updates und Patches für Firmware, Betriebssysteme und Anwendungen

Die Mitarbeiter des PC-Service informieren sich regelmäßig über bekannt gewordene Schwachstellen und tauschen sich darüber aus. Die identifizierten Schwachstellen werden so schnell wie möglich behoben. Generell wird darauf geachtet, dass Patches und Updates nur aus vertrauenswürdigen Quellen bezogen werden. Wenn notwendig, werden die betreffenden Anwendungen beziehungsweise das Betriebssystem nach dem Update neu gestartet.

Solange keine entsprechenden Patches zur Verfügung stehen, muss sichergestellt werden, dass abhängig von der Schwere der Schwachstellen andere geeignete Maßnahmen zum Schutz des IT-Systems getroffen werden.

Sichere Installation und Konfiguration von Clients

Es wird bei der Erstellung des Clones festgelegt, welche Komponenten des Betriebssystems, Fachanwendungen und weitere Tools installiert werden sollen. Die Installation und Konfiguration der IT-Systeme wird nur von autorisierten Personen (Mitarbeiter des PC-Service und studentische Hilfskräfte sowie vertraglich gebundene Dienstleister) nach einem definierten Prozess durchgeführt.

Alle Installations- und Konfigurationsschritte werden im Managementsystem für Informationssicherheit (ISMS) des IT-Service so dokumentiert werden, dass die Installation und Konfiguration durch einen sachkundigen Dritten anhand der Dokumentation nachvollzogen und wiederholt werden kann.

Die Grund-Sicherheitseinstellungen von Clients werden überprüft und nötigenfalls entsprechend den Vorgaben der Sicherheitsrichtlinie angepasst. 

Erst nachdem die Installation, Konfiguration und Absicherung abgeschlossen ist, d.h. der Rechner zurückgesi-chert wurde und der neue Clone aufgespielt wurde, wird der Client mit dem Internet verbunden. Während des Deployment des Clones auf den Rechner besteht eine ausgehende Verbindung zum Internet, da der Clone aus dem Netz gezogen wird.

Deaktivierung und Deinstallation nicht benötigter Komponen-ten und Kennungen

Auf eine strikte Deaktivierung aller nicht benötigten Komponenten nach Überspielung des Clones auf den Client-Rechner wird verzichtet. Die Grundkonfiguration des Clones ist so konzipiert, dass nur gelegentlich genutzte Software über ein Softwareverteilungsmodul selbst vom Nutzer bei Bedarf nachinstalliert werden kann. In dieser Weise ist der Umfang der vorinstallierten Software so klein wie möglich und praktikabel gehalten. Compiler und Interpretersprachen sind generell nicht vorinstalliert. Die vorinstallierte Softwarekonfiguration ist für die Nutzer auf den Webseiten des IT-Service der Otto-Friedrich-Universität Bamberg beschrieben.

Einsatzfreigabe

Der Clone wird ständig aktualisiert und ggf. erweitert. Bevor der Client im produktiven Betrieb eingesetzt und bevor es an ein produktives Netz angeschlossen wird, erfolgt eine Einsatzfreigabe. Diese sollte dokumentiert werden. Für die Einsatzfreigabe wird die Installations- und Konfigurationsdokumentation und die Funktionsfä-higkeit der IT-Systeme in einem Test geprüft. Sie erfolgt durch den Betreuer des Deploymentservers.

Nutzung von TLS (Benutzer)

Kommunikationsverbindungen, etwa bei E-Mail, werden durch Verschlüsselung geschützt. Verschlüsselte Ver-bindungen werden, soweit möglich, vorgezogen. Die Webseiten der Uni werden über HTTPS verschlüsselt. 

E-Mail und der Zugang zu den Seiten der der Otto-Friedrich-Universität Bamberg erfolgt über kryptographische Algorithmen, die dem Stand der Technik und den Sicherheitsanforderungen entsprechen.

Neue Zertifikate werden erst nach Überprüfung des "Fingerprints" aktiviert. Die Validierung von Zertifikaten wird in Anwendungsprogrammen wie Browsern und E-Mail-Clients aktiviert. Session Renegotiation und TLS-Kompression sollten deaktiviert werden.

Restriktive Rechtevergabe

Der verfügbare Funktionsumfang des IT-Systems ist für die einzelnen Benutzer oder Benutzergruppen eingeschränkt, so dass sie genau die Rechte besitzen und auf die Funktionen zugreifen können, die sie für ihre Aufgabenwahrnehmung benötigen. Zugriffsberechtigungen wurden hierfür möglichst restriktiv vergeben. Es wird regelmäßig überprüft, ob die Berechtigungen, insbesondere für Systemverzeichnisse und -dateien, den Vorgaben der Sicherheitsrichtlinie entsprechen. Auf Systemdateien haben nur die Administratoren Zugriff. Der Kreis der zugriffsberechtigten Administratoren wird möglichst klein gehalten und wird von dem Lehrstuhl bzw. der Forschungseinrichtung vorgegeben. Auch System-Verzeichnisse stellen nur die notwendigen Privilegien für die Benutzer zur Verfügung.

Schutz der Administrationsschnittstellen

In der Regel werden Clients über das Netz über zentrale netzbasierte Tools administriert. Hierüber werden Sicherheitsvorkehrungen getroffen. Die Administration von Rechnern über den WSUS-Server über das Netz erfolgt über das sichere SSL Protokoll.

Verhinderung der unautorisierten Nutzung von Rechnermikrofonen und Kamera

Die Nutzer werden darauf hingewiesen, dass wenn ein vorhandenes Mikrofon oder eine Kamera nicht genutzt und deren Missbrauch verhindert werden sollen, diese, wenn möglich, ausgeschaltet, abgedeckt (nur Kamera), deaktiviert oder physikalisch vom Gerät getrennt werden.

Abmelden nach Aufgabenerfüllung (Benutzer)

Alle Benutzer werden darauf hingewiesen, dass sie sich nach Aufgabenerfüllung vom IT-System bzw. von der IT-Anwendung abzumelden haben, vor allem bei Nutzung eines Systems durch mehrere Benutzer. Ebenso wird darauf hingewiesen, dass, wenn es für einen Benutzer absehbar ist, dass nur eine kurze Unterbrechung der Arbeit erforderlich ist, die Bildschirmsperre aktiviert werden sollte, statt sich abzumelden. Die Bildschirmsperre wird nach längerer Inaktivität automatisch aktiviert bzw. der Benutzer automatisch abgemeldet.

Nutzung von Client-Server-Diensten

Für den Informationsaustausch werden dedizierte Serverdienste genutzt und direkte Verbindungen zwischen Clients vermieden. Die Ports von Peer-to-Peer Netzwerken sind standardmäßig gesperrt. Direkte Verbindungen zwischen Clients beschränken sich nur auf das LAN. Auto-Discovery-Protokolle sind standardmäßig deaktiviert.

Umgang mit Wechseldatenträgern im laufenden System

Über die Zugänglichkeit des Administratorpassworts in Lehrstühlen und Forschungseinrichtungen an der Otto-Friedrich-Universität Bamberg wird dafür gesorgt, dass von Laufwerken oder über Schnittstellen nicht unkontrolliert Software installiert oder unberechtigt Daten kopiert werden können.

Geregelte Außerbetriebnahme eines Clients

Bei der Außerbetriebnahme eines Clients wird sichergestellt, dass keine wichtigen Daten, die eventuell auf den verbauten Datenträgern gespeichert sind, verlorengehen, und dass keine sensitiven Daten zurückbleiben. Es gibt einen Überblick darüber, welche Daten wo auf den IT-Systemen gespeichert sind.

Verschlüsselung der Clients

Die Verschlüsselung von sensiblen Daten wird vom Nutzer selbst vorgenommen und verwaltet. Hierzu wird Veracrypt empfohlen.

Veracrypt-Anleitung(525.9 KB)

Systemüberwachung

Für die Virenschutzlösung Sophos findet eine Überwachung der Rechner der Otto-Friedrich-Universität Bamberg statt. SmartScreen ist deaktiviert, damit keine Daten an Microsoft gesendet werden.

Einrichten einer Referenzinstallation für Clients

Es werden Clones über den Deploymentserver der Abteilung PC-Service des IT-Service konfiguriert und vor der Freigabe getestet.

Einrichtung lokaler Paketfilter

Über die Windows-Firewall wird der Zugriff von außen auf den Rechner mittels einer Whitelist bei Bedarf freigeschaltet.

Einsatz zusätzlicher Maßnahmen zum Schutz vor Exploits

Die Nutzer verfügen nur über die Rechte „Benutzer“, Programme werden gesondert als Administrator eingerichtet. Die Benutzerkontensteuerung (UAC) ist eine Sicherheitskomponente in Windows-Betriebssysteme und wird für diese als geeignete Maßnahme genutzt, um unbefugten Zugriff zu verhindern.

Application Whitelisting

Powershellscripte sind nur signiert ausführbar. Für Programminstallation ist keine Einschränkung vorgesehen. Es können von den Nutzern im Rahmen der Freiheit von Forschung und Lehre als Administrator frei Programme installiert werden.

Einsatz von Anwendungsisolation

Die Nutzer können bei Bedarf über Hyper-V Programminstanzen isoliert in einem virtualisierten Betriebssystem ausführen.

Aktive Verwaltung der Wurzelzertifikate

Die Wurzel-Zertifikate werden vom DFN bezogen, in die Clones integriert und auf allen Bestandsgeräten ergänzt. Die Überprüfung der Gültigkeit der Zertifikate erfolgt regelmäßig und ggf. werden über den Windows Server Update Services (WSUS) Servers des IT-Service Updates ausgerollt.

Selbstverwalteter Einsatz von SecureBoot und TPM

UEFI Secure Boot wird aktiviert, es werden hierfür die vom Hersteller mitgelieferten Standardschlüssel verwen-det. TPM wird nicht deaktiviert, um bei Aktivierung der Bitlocker-Verschlüsselung durch TPM die CPU zu entlasten.

Schutz vor unbefugten Anmeldungen

Bei Bedarf ist die Mehrfaktorauthentisierung über PIN oder Fingerprintsensor vom Nutzer aktivierbar.

Einbindung in die Notfallplanung

Für den Notfall, z.B. bei einem Plattencrash oder Befall von einem Trojaner, sind alle Daten des Dokumente-Ordners und des Desktops auf dem Server gesichert und das System kann einfach und schnell über einen Clone neu erstellt werden.

Betriebsdokumentation

Es gibt für die Rechner der Mitarbeiter der Lehrstühle und Forschungseinrichtungen der Otto-Friedrich-Univer-sität Bamberg keine Restriktion, die das Ein- und Ausbauen von Festplatten verhindert, es sei denn, dass vom Nutzer der Datenträger verschlüsselt wurde.

Verhinderung der Überlastung der lokalen Festplatte

Auf den Netzwerkshares sind Quotas standardgemäß eingerichtet. Windows gibt eine Meldung, wenn eine Platte über weniger als 10% Kapazität verfügt. Nutzer können bei Bedarf die Quotas auf Exchange- und Datenlaufwerken erhöhen.

Sie haben noch Fragen?