Richtlinien zum Betrieb von Client-Server-Netzen

Um den Client zu nutzen, müssen sich die Benutzer sich auf dem Rechner über Passworteingabe authentisieren. Die Passw?rter müssen der Passwort-Richtlinie des IT-Service der Otto-Friedrich-Universit?t Bamberg entsprechen.

Normale T?tigkeiten erfolgen über die Anmeldung als Benutzer mit der Rechtekategorie ?Benutzer“. Nur über die Anmeldung als Administrator, die über ein dem Rechner zugeordnetes sicheres Administratorpasswort erfolgt, kann die Systemkonfiguration ge?ndert werden, Anwendungen installiert bzw. entfernt werden oder Systemdateien modifiziert bzw. gel?scht werden. Benutzer haben ausschlie?lich lesenden Zugriff auf Systemdateien.

Automatische Update-Mechanismen (Autoupdate) sind zu aktivieren. Für Microsoft Windows basierte Betriebssysteme bietet sich die Anbindung des vom IT-Service betriebenen WSUS-Servers an.

Zur Vermeidung von Datenverlusten wird als Standardeinstellung für den Zugriff auf Daten das pers?nliche bzw. das aufgabenbezogenen Netzlaufwerk des IT-Service angeboten. Diese Netzlaufwerke werden t?glich automatisch gesichert. Für Laptops wird die Offline-Datenhaltung über Microsoft Workfolders empfohlen. So ist auch bei Nichtverfügbarkeit im Netz ein Zugriff auf alle Daten m?glich. Es wird sowohl der Desktop als auch der Standardordner für die Ablage von Dokumenten auf dem Server gespeichert. Sobald wieder eine Netzlaufwerkverbindung besteht, werden die Daten automatisch auf dem Server abgeglichen. Abh?ngig vom Schutzbedarf der Daten wird empfohlen, sensible Daten in einem Veracrypt-Container verschlüsselt zu speichern.

Es wird regelm??ig überprüft, dass die Datensicherung ordnungsgem?? funktioniert und dass gesicherte Daten problemlos zurückgespielt werden k?nnen. Die Benutzer werden über die Regelungen, von wem und wie Datensicherungen erstellt werden, informiert.

Eine Bildschirmsperre wird nach 10 Minuten Verweilzeit ohne T?tigkeit am Rechner automatisch eingeschaltet. So k?nnen keine Unbefugten auf den aktivierten Client zugreifen. Es ist sichergestellt, dass die Bildschirmsperre erst nach einer erfolgreichen Benutzerauthentifikation deaktiviert werden kann.

In Abh?ngigkeit des installierten Betriebssystems und anderer vorhandener Schutzmechanismen des Clients werden Viren-Schutzprogramme eingesetzt. Die entsprechenden Signaturen eines Viren-Schutzprogrammes werden regelm??ig aktualisiert. Neben Echtzeit- und On-Demand-Scans bietet die eingesetzte Antivirensoftware Sophos die M?glichkeit, auch komprimierte und verschlüsselte Daten nach Schadprogrammen zu durchsuchen.

Das Viren-Schutzprogramm auf dem Client ist so konfiguriert, dass die Benutzer weder sicherheitsrelevante ?nderungen an den Einstellungen vornehmen k?nnen noch das Virenschutzprogramm abschalten k?nnen. Dies ist nur als Administrator m?glich.

Es werden nur die Standard-Logdateien unter Microsoft Windows-Betriebssystemen, wie die Ereignisprotokolle auf dem Rechner gehalten. Wenn ein Virenbefall vom Sophos Antivirenprogramm festgestellt wurde, wird dieses überwacht und automatisch rückgemeldet und protokolliert, sodass auch auf einen Virenmassenbefall entsprechend reagiert werden kann.

Es wurde davon abgesehen, dass der Startvorgang des IT-Systems gegen Manipulation abgesichert wird. Die Rechner befinden sich in abschlie?baren R?umen und werden von den Lehrstühlen und Forschungseinrichtungen bezüglich der Zug?nglichkeit geschützt.

Im Bereich Forschung und Lehre gliedert sich der Einsatz von Clients in zwei Hauptbereiche: Clients für den station?ren Einsatz durch Desktop-Rechner und Clients für den mobilen Einsatz in Form von Laptops. Zum sicheren Betrieb der mobilen Clients wird die Nutzung von Workfolders für die Offline-Nutzung empfohlen. Ansonsten sind beide Nutzungstypen, was die Authentisierung, Virenschutzmechanismen etc. betrifft, gleich.

Die Clients werden ausschlie?lich zentral über den IT-Service beschafft.  Hierbei wird sichergestellt, dass der jeweilige Hersteller für den gesamten geplanten Nutzungszeitraum Patches für Schwachstellen zeitnah zur Verfügung stellen kann. Die zu beschaffenden Systeme verfügen über eine Firmware-Konfigurationsoberfl?che für UEFI SecureBoot und ggf. für das TPM, die eine Kontrolle durch den Eigentümer gew?hrt und so den selbstverwalteten Betrieb von SecureBoot und des TPM erm?glicht.

Vor einer beabsichtigten Beschaffung von Software wird deren Kompatibilit?t zum eingesetzten Betriebssystem in der vorliegenden Konfiguration geprüft und die Kompatibilit?tsprüfung in das Freigabeverfahren der Software aufgenommen. Ist vom Hersteller der Software oder aus anderen Fachkreisen keine verbindliche Information zur Kompatibilit?t vorhanden, so wird die Kompatibilit?t in einer Testumgebung geprüft. Vor einer beabsichtigten Hardware?nderung oder bei einer Betriebssystemmigration werden auch die Treibersoftware für alle betreffenden Komponenten auf Kompatibilit?t zum Betriebssystem getestet und gew?hrleistet.

Der Zugriff auf Ausführungsumgebungen mit unbeobachtbarer Codeausführung (z. B. durch das Betriebssystem speziell abgesicherte Speicherbereiche, Firmwarebereiche etc.) ist nur durch Benutzer mit administrativen Berechtigungen m?glich.

Die Mitarbeiter des PC-Service informieren sich regelm??ig über bekannt gewordene Schwachstellen und tauschen sich darüber aus. Die identifizierten Schwachstellen werden so schnell wie m?glich behoben. Generell wird darauf geachtet, dass Patches und Updates nur aus vertrauenswürdigen Quellen bezogen werden. Wenn notwendig, werden die betreffenden Anwendungen beziehungsweise das Betriebssystem nach dem Update neu gestartet.

Solange keine entsprechenden Patches zur Verfügung stehen, muss sichergestellt werden, dass abh?ngig von der Schwere der Schwachstellen andere geeignete Ma?nahmen zum Schutz des IT-Systems getroffen werden.

Kommunikationsverbindungen, etwa bei E-Mail, werden durch Verschlüsselung geschützt. Verschlüsselte Ver-bindungen werden, soweit m?glich, vorgezogen. Die Webseiten der Uni werden über HTTPS verschlüsselt. 

E-Mail und der Zugang zu den Seiten der der Otto-Friedrich-Universit?t Bamberg erfolgt über kryptographische Algorithmen, die dem Stand der Technik und den Sicherheitsanforderungen entsprechen.

Neue Zertifikate werden erst nach ?berprüfung des "Fingerprints" aktiviert. Die Validierung von Zertifikaten wird in Anwendungsprogrammen wie Browsern und E-Mail-Clients aktiviert. Session Renegotiation und TLS-Kompression sollten deaktiviert werden.

Der verfügbare Funktionsumfang des IT-Systems ist für die einzelnen Benutzer oder Benutzergruppen eingeschr?nkt, so dass sie genau die Rechte besitzen und auf die Funktionen zugreifen k?nnen, die sie für ihre Aufgabenwahrnehmung ben?tigen. Zugriffsberechtigungen wurden hierfür m?glichst restriktiv vergeben. Es wird regelm??ig überprüft, ob die Berechtigungen, insbesondere für Systemverzeichnisse und -dateien, den Vorgaben der Sicherheitsrichtlinie entsprechen. Auf Systemdateien haben nur die Administratoren Zugriff. Der Kreis der zugriffsberechtigten Administratoren wird m?glichst klein gehalten und wird von dem Lehrstuhl bzw. der Forschungseinrichtung vorgegeben. Auch System-Verzeichnisse stellen nur die notwendigen Privilegien für die Benutzer zur Verfügung.

In der Regel werden Clients über das Netz über zentrale netzbasierte Tools administriert. Hierüber werden Sicherheitsvorkehrungen getroffen. Die Administration von Rechnern über den WSUS-Server über das Netz erfolgt über das sichere SSL Protokoll.

Die Nutzer werden darauf hingewiesen, dass wenn ein vorhandenes Mikrofon oder eine Kamera nicht genutzt und deren Missbrauch verhindert werden sollen, diese, wenn m?glich, ausgeschaltet, abgedeckt (nur Kamera), deaktiviert oder physikalisch vom Ger?t getrennt werden.

Alle Benutzer werden darauf hingewiesen, dass sie sich nach Aufgabenerfüllung vom IT-System bzw. von der IT-Anwendung abzumelden haben, vor allem bei Nutzung eines Systems durch mehrere Benutzer. Ebenso wird darauf hingewiesen, dass, wenn es für einen Benutzer absehbar ist, dass nur eine kurze Unterbrechung der Arbeit erforderlich ist, die Bildschirmsperre aktiviert werden sollte, statt sich abzumelden. Die Bildschirmsperre wird nach l?ngerer Inaktivit?t automatisch aktiviert bzw. der Benutzer automatisch abgemeldet.

Für den Informationsaustausch werden dedizierte Serverdienste genutzt und direkte Verbindungen zwischen Clients vermieden. Die Ports von Peer-to-Peer Netzwerken sind standardm??ig gesperrt. Direkte Verbindungen zwischen Clients beschr?nken sich nur auf das LAN. Auto-Discovery-Protokolle sind standardm??ig deaktiviert.

?ber die Zug?nglichkeit des Administratorpassworts in Lehrstühlen und Forschungseinrichtungen an der Otto-Friedrich-Universit?t Bamberg wird dafür gesorgt, dass von Laufwerken oder über Schnittstellen nicht unkontrolliert Software installiert oder unberechtigt Daten kopiert werden k?nnen.

Bei der Au?erbetriebnahme eines Clients wird sichergestellt, dass keine wichtigen Daten, die eventuell auf den verbauten Datentr?gern gespeichert sind, verlorengehen, und dass keine sensitiven Daten zurückbleiben. Es gibt einen ?berblick darüber, welche Daten wo auf den IT-Systemen gespeichert sind.

Die Verschlüsselung von sensiblen Daten wird vom Nutzer selbst vorgenommen und verwaltet. Hierzu wird Veracrypt empfohlen.

Veracrypt-Anleitung(525.9 KB)

Für die Virenschutzl?sung Sophos findet eine ?berwachung der Rechner der Otto-Friedrich-Universit?t Bamberg statt. SmartScreen ist deaktiviert, damit keine Daten an Microsoft gesendet werden.

?ber die Windows-Firewall wird der Zugriff von au?en auf den Rechner mittels einer Whitelist bei Bedarf freigeschaltet.

Die Nutzer verfügen nur über die Rechte ?Benutzer“, Programme werden gesondert als Administrator eingerichtet. Die Benutzerkontensteuerung (UAC) ist eine Sicherheitskomponente in Windows-Betriebssysteme und wird für diese als geeignete Ma?nahme genutzt, um unbefugten Zugriff zu verhindern.

Powershellscripte sind nur signiert ausführbar. Für Programminstallation ist keine Einschr?nkung vorgesehen. Es k?nnen von den Nutzern im Rahmen der Freiheit von Forschung und Lehre als Administrator frei Programme installiert werden.