Richtlinien für den Betrieb von Terminalservern
Mindestanforderungen für den Server
- Für alle Betriebssysteme: Versionen, die von den Herstellern noch mit Sicherheitsupdates versorgt werden.
- Die Anti-Viren-Software ist aktiviert und aktuell.
- Die Firewall des Betriebssystems ist aktiviert.
Standardkonfiguration für Clientsysteme
Die Standardkonfiguration für Clientsysteme wird unter "Anwender / Terminalserver" beschrieben.
Netzanbindung der Terminalserver-Umgebung
Die Terminalserver innerhalb der zentralen Universitätsverwaltung dürfen nur an interne Netzwerke der Verwaltung gekoppelt werden. Sonstige Terminalserver, die die gesamte Universität betreffen, dürfen innerhalb des gesamten universitären Netzwerks angebunden werden. An öffentliche Netze dürfen keine Terminalserver gekoppelt werden.
Terminalserver der Verwaltung sind durch eine Firewall vom restlichen universitären und öffentlichen Netzwerk abgeschottet. Die Terminalserver des IT-Service befinden sich in einem speziellen Servernetz. Dieses wird ebenfalls durch eine Firewall vom Universitätsnetz geschützt. In beiden Fällen ist die Firewall nur für Protokolle freigeschaltet, die für die Nutzung der Anwendung unbedingt benötigt werden.
Sichere Installation und Standardkonfiguration von Terminalservern
Die Installation und Konfiguration des jeweiligen Terminalservers sollte nur von autorisierten Personen (Administratoren oder vertraglich gebundene Dienstleistern) durchgeführt werden. Für die Bereitstellung eines neuen Terminalservers sollte eine Vorlage als Virtuelle Maschine bereitgestellt werden, die eine standardisierte Grundkonfiguration beinhaltet.
Es soll festgelegt werden, welche Komponenten des Betriebssystems, Fachanwendungen und weitere Tools installiert werden dürfen. Alle Installations- und Konfigurationsschritte sind so zu dokumentieren, dass die Installation und Konfiguration durch einen sachkundigen Dritten anhand der Dokumentation nachvollzogen und wiederholt werden kann.
Sicherheitsmaßnahmen
Für alle Windows-basierten Terminalserver soll eine Standard-Group Policy angelegt werden, die für alle Benutzer Anwendung findet. Mit dieser Policy werden die Zugriffe der angemeldeten Benutzer auf das Wesentliche eingeschränkt.
Die Group Policy muss im Wesentlichen folgende Punkte beinhalten:
- Nur lokale Benutzerprofile werden zugelassen (das Roaming Profile wird nicht geladen).
- Der Zugriff auf die Laufwerk A, B und C wird verhindert.
- Der Zugriff auf Programme zum Bearbeiten der Registrierung (regedit) muss verhindert werden.
- Der Zugriff auf die Eingabeaufforderung wird deaktiviert.
- Der Zugriff auf den Taskmanager wird deaktiviert.
- Zugriffe auf das Startmenü und die Taskleiste werden reguliert. Dabei werden alle Menüeinträge in Bezug auf die Systemsteuerungselemente entfernt. Auch der Zugriff auf mitgelieferte Windows-Standard-Anwendungen wie z.B. Internet Explorer, Wordpad wird untersagt.
- Änderung der Einstellungen für die Taskleiste und dem Startmenü werden verhindert. Kontextmenüs in diesem Zusammenhang werden deaktiviert.
- Desktopsymbole werden entfernt. Kontextmenüs des Desktops deaktiviert.
- Änderungen am Desktophintergrund, Bildschirmschoner und an der Farbe/Darstellung sind nicht möglich.
- Ein Bildschirmschoner mit Kennwortschutz bei Reaktivierung wird nach 30 Minuten aktiviert.
- Sprechblasenbenachrichtigungen werden deaktiviert.
- Benachrichtigungen über Windows-Updates werden inaktiv gesetzt.
- Das Anheften von Apps an die Startseite bei Installation ist deaktiviert.
- Tray-Icons werden in der Regel ausgeblendet.
Berechtigungen von Benutzern
Berechtigungen zum Zugriff auf Terminalserver (insbesondere im Bereich Studierende/Personal/Haushalt) für Benutzer dürfen nur nach vorheriger schriftlicher Zustimmung des Systemverantwortlichen eingerichtet werden. Jedem Benutzer sind nur die für die Ausübung der Aufgabe notwendigen Berechtigungen zu erteilen. Erst nach erfolgreicher Authentifizierung mit der Benutzerkennung und dem Passwort (der Domäne zuv.uni-bamberg.de) ist eine Verbindung zum Terminalserver möglich.
Terminalserver, die Dienste für die gesamte Belegschaft bereitstellen, wie z.B. der Zugriff auf das Zeiterfassungssystem BayZeit, sind generell ohne Einschränkung für alle Mitarbeitenden der Universität Bamberg freigeschaltet. Die Mitarbeitenden können sich mit Ihrer Benutzerkennung und Passwort (der Domäne uni-bamberg.de) am Terminalserver authentifizieren.
Updates und Patches für Firmware, Betriebssysteme und Anwendungen
Automatische Update-Mechanismen (Autoupdate) sind aktiviert und Updates werden über den uniinternen Windows Server Update Services (WSUS) verteilt. Es wird täglich nach Updates gesucht und diese werden installiert.
Generell sollte darauf geachtet werden, dass Patches und Updates nur aus vertrauenswürdigen Quellen bezogen werden. Wenn notwendig, sollten die betreffenden Anwendungen beziehungsweise das Betriebssystem nach dem Update neu gestartet werden.
Neustartzyklen
Die Terminalserver werden durch die Windows-Aufgabenplanung jede Nacht neu gestartet.
Protokollierung
Es werden außer den Standard-Windows-Protokollen keinerlei Daten protokolliert. Zugriff auf Logdateien haben nur die Administratoren. Dadurch wird auch gewährleistet, dass personenbezogene Informationen nicht an Unbefugte gelangen.
Eine Auswertung von Protokolldateien findet nur im Fehlerfall statt. Falls eine Analyse im Fehlerfall stattfindet, erfolgt diese vom betreuenden Administrator der entsprechende IT-Stelle.
Überwachung der Netz- und Systemauslastung
Die Server werden durch Monitoringsysteme ständig überwacht. Dabei wird z.B. die Festplattenkapazität der einzelnen Partitionen, Arbeitsspeicherauslastung und PING Antwortzeiten überprüft. Durch Trigger-Mails wird die zuständige Stelle des IT-Systems informiert. Sobald Unstimmigkeiten in der Netz- und Systemauslastung erkannt werden, kann der Systembetreiber eingreifen.
Inbetriebnahme Ersatzsysteme
Die eingesetzten Terminalserver sollten als virtuelle Maschinen konzipiert werden. Durch die in Virtualisierungsumgebungen bestehenden Sicherungsmechanismen ist es möglich ganze Systeme vollständig wiederherzustellen. Deshalb kann im Problemfall relativ zeitnah ein Ersatzsystem aufgebaut werden. Die Wiederherstellung einer virtuellen Maschine aus dem Backup sollte genau dokumentiert werden, damit auch sachkundige Dritte die Möglichkeit hätten, ein Ersatzsystem in Kürze bereitzustellen.
Maßnahmen bei Kompromittierung von Terminalservern
Zunächst muss der Terminalserver ausgeschaltet oder zumindest vom Datennetz genommen werden. Das System wird danach von der zuständigen IT-Stelle untersucht. Zunächst wird überprüft, ob sich lokal gespeicherte Daten auf dem Server befinden und versucht diese zu sichern. Danach wird das System mithilfe von Virenschutzprogrammen oder speziellen Werkzeugen zur Entfernung von Schadprogrammen bereinigt. Sollte dies nicht gelingen oder einen unverhältnismäßig großen Aufwand darstellen, wird das System in Absprache mit den Nutzern neu aufgesetzt. Abschließend wird erwogen, ob die Infektion eine grundlegende, weiterhin bestehende Ursache hatte. Falls dies der Fall ist, werden Maßnahmen ergriffen, um die Ursache zukünftig auszuschließen.