Richtlinien zum Betrieb von Client-Server-Netzen

Um den Client zu nutzen, müssen sich die Benutzer sich auf dem Rechner über Passworteingabe authentisieren. Die Passwörter müssen der Passwort-Richtlinie des IT-Service der Otto-Friedrich-Universität Bamberg entsprechen.

Normale Tätigkeiten erfolgen über die Anmeldung als Benutzer mit der Rechtekategorie „Benutzer“. Nur über die Anmeldung als Administrator, die über ein dem Rechner zugeordnetes sicheres Administratorpasswort erfolgt, kann die Systemkonfiguration geändert werden, Anwendungen installiert bzw. entfernt werden oder Systemdateien modifiziert bzw. gelöscht werden. Benutzer haben ausschließlich lesenden Zugriff auf Systemdateien.

Automatische Update-Mechanismen (Autoupdate) sind zu aktivieren. Für Microsoft Windows basierte Betriebssysteme bietet sich die Anbindung des vom IT-Service betriebenen WSUS-Servers an.

Zur Vermeidung von Datenverlusten wird als Standardeinstellung für den Zugriff auf Daten das persönliche bzw. das aufgabenbezogenen Netzlaufwerk des IT-Service angeboten. Diese Netzlaufwerke werden täglich automatisch gesichert. Für Laptops wird die Offline-Datenhaltung über Microsoft Workfolders empfohlen. So ist auch bei Nichtverfügbarkeit im Netz ein Zugriff auf alle Daten möglich. Es wird sowohl der Desktop als auch der Standardordner für die Ablage von Dokumenten auf dem Server gespeichert. Sobald wieder eine Netzlaufwerkverbindung besteht, werden die Daten automatisch auf dem Server abgeglichen. Abhängig vom Schutzbedarf der Daten wird empfohlen, sensible Daten in einem Veracrypt-Container verschlüsselt zu speichern.

Es wird regelmäßig überprüft, dass die Datensicherung ordnungsgemäß funktioniert und dass gesicherte Daten problemlos zurückgespielt werden können. Die Benutzer werden über die Regelungen, von wem und wie Datensicherungen erstellt werden, informiert.

Eine Bildschirmsperre wird nach 10 Minuten Verweilzeit ohne Tätigkeit am Rechner automatisch eingeschaltet. So können keine Unbefugten auf den aktivierten Client zugreifen. Es ist sichergestellt, dass die Bildschirmsperre erst nach einer erfolgreichen Benutzerauthentifikation deaktiviert werden kann.

In Abhängigkeit des installierten Betriebssystems und anderer vorhandener Schutzmechanismen des Clients werden Viren-Schutzprogramme eingesetzt. Die entsprechenden Signaturen eines Viren-Schutzprogrammes werden regelmäßig aktualisiert. Neben Echtzeit- und On-Demand-Scans bietet die eingesetzte Antivirensoftware Sophos die Möglichkeit, auch komprimierte und verschlüsselte Daten nach Schadprogrammen zu durchsuchen.

Das Viren-Schutzprogramm auf dem Client ist so konfiguriert, dass die Benutzer weder sicherheitsrelevante Änderungen an den Einstellungen vornehmen können noch das Virenschutzprogramm abschalten können. Dies ist nur als Administrator möglich.

Es werden nur die Standard-Logdateien unter Microsoft Windows-Betriebssystemen, wie die Ereignisprotokolle auf dem Rechner gehalten. Wenn ein Virenbefall vom Sophos Antivirenprogramm festgestellt wurde, wird dieses überwacht und automatisch rückgemeldet und protokolliert, sodass auch auf einen Virenmassenbefall entsprechend reagiert werden kann.

Es wurde davon abgesehen, dass der Startvorgang des IT-Systems gegen Manipulation abgesichert wird. Die Rechner befinden sich in abschließbaren Räumen und werden von den Lehrstühlen und Forschungseinrichtungen bezüglich der Zugänglichkeit geschützt.

Im Bereich Forschung und Lehre gliedert sich der Einsatz von Clients in zwei Hauptbereiche: Clients für den stationären Einsatz durch Desktop-Rechner und Clients für den mobilen Einsatz in Form von Laptops. Zum sicheren Betrieb der mobilen Clients wird die Nutzung von Workfolders für die Offline-Nutzung empfohlen. Ansonsten sind beide Nutzungstypen, was die Authentisierung, Virenschutzmechanismen etc. betrifft, gleich.

Die Clients werden ausschließlich zentral über den IT-Service beschafft.  Hierbei wird sichergestellt, dass der jeweilige Hersteller für den gesamten geplanten Nutzungszeitraum Patches für Schwachstellen zeitnah zur Verfügung stellen kann. Die zu beschaffenden Systeme verfügen über eine Firmware-Konfigurationsoberfläche für UEFI SecureBoot und ggf. für das TPM, die eine Kontrolle durch den Eigentümer gewährt und so den selbstverwalteten Betrieb von SecureBoot und des TPM ermöglicht.

Vor einer beabsichtigten Beschaffung von Software wird deren Kompatibilität zum eingesetzten Betriebssystem in der vorliegenden Konfiguration geprüft und die Kompatibilitätsprüfung in das Freigabeverfahren der Software aufgenommen. Ist vom Hersteller der Software oder aus anderen Fachkreisen keine verbindliche Information zur Kompatibilität vorhanden, so wird die Kompatibilität in einer Testumgebung geprüft. Vor einer beabsichtigten Hardwareänderung oder bei einer Betriebssystemmigration werden auch die Treibersoftware für alle betreffenden Komponenten auf Kompatibilität zum Betriebssystem getestet und gewährleistet.

Der Zugriff auf Ausführungsumgebungen mit unbeobachtbarer Codeausführung (z. B. durch das Betriebssystem speziell abgesicherte Speicherbereiche, Firmwarebereiche etc.) ist nur durch Benutzer mit administrativen Berechtigungen möglich.

Die Mitarbeiter des PC-Service informieren sich regelmäßig über bekannt gewordene Schwachstellen und tauschen sich darüber aus. Die identifizierten Schwachstellen werden so schnell wie möglich behoben. Generell wird darauf geachtet, dass Patches und Updates nur aus vertrauenswürdigen Quellen bezogen werden. Wenn notwendig, werden die betreffenden Anwendungen beziehungsweise das Betriebssystem nach dem Update neu gestartet.

Solange keine entsprechenden Patches zur Verfügung stehen, muss sichergestellt werden, dass abhängig von der Schwere der Schwachstellen andere geeignete Maßnahmen zum Schutz des IT-Systems getroffen werden.

Kommunikationsverbindungen, etwa bei E-Mail, werden durch Verschlüsselung geschützt. Verschlüsselte Ver-bindungen werden, soweit möglich, vorgezogen. Die Webseiten der Uni werden über HTTPS verschlüsselt. 

E-Mail und der Zugang zu den Seiten der der Otto-Friedrich-Universität Bamberg erfolgt über kryptographische Algorithmen, die dem Stand der Technik und den Sicherheitsanforderungen entsprechen.

Neue Zertifikate werden erst nach Überprüfung des "Fingerprints" aktiviert. Die Validierung von Zertifikaten wird in Anwendungsprogrammen wie Browsern und E-Mail-Clients aktiviert. Session Renegotiation und TLS-Kompression sollten deaktiviert werden.

Der verfügbare Funktionsumfang des IT-Systems ist für die einzelnen Benutzer oder Benutzergruppen eingeschränkt, so dass sie genau die Rechte besitzen und auf die Funktionen zugreifen können, die sie für ihre Aufgabenwahrnehmung benötigen. Zugriffsberechtigungen wurden hierfür möglichst restriktiv vergeben. Es wird regelmäßig überprüft, ob die Berechtigungen, insbesondere für Systemverzeichnisse und -dateien, den Vorgaben der Sicherheitsrichtlinie entsprechen. Auf Systemdateien haben nur die Administratoren Zugriff. Der Kreis der zugriffsberechtigten Administratoren wird möglichst klein gehalten und wird von dem Lehrstuhl bzw. der Forschungseinrichtung vorgegeben. Auch System-Verzeichnisse stellen nur die notwendigen Privilegien für die Benutzer zur Verfügung.

In der Regel werden Clients über das Netz über zentrale netzbasierte Tools administriert. Hierüber werden Sicherheitsvorkehrungen getroffen. Die Administration von Rechnern über den WSUS-Server über das Netz erfolgt über das sichere SSL Protokoll.

Die Nutzer werden darauf hingewiesen, dass wenn ein vorhandenes Mikrofon oder eine Kamera nicht genutzt und deren Missbrauch verhindert werden sollen, diese, wenn möglich, ausgeschaltet, abgedeckt (nur Kamera), deaktiviert oder physikalisch vom Gerät getrennt werden.

Alle Benutzer werden darauf hingewiesen, dass sie sich nach Aufgabenerfüllung vom IT-System bzw. von der IT-Anwendung abzumelden haben, vor allem bei Nutzung eines Systems durch mehrere Benutzer. Ebenso wird darauf hingewiesen, dass, wenn es für einen Benutzer absehbar ist, dass nur eine kurze Unterbrechung der Arbeit erforderlich ist, die Bildschirmsperre aktiviert werden sollte, statt sich abzumelden. Die Bildschirmsperre wird nach längerer Inaktivität automatisch aktiviert bzw. der Benutzer automatisch abgemeldet.

Für den Informationsaustausch werden dedizierte Serverdienste genutzt und direkte Verbindungen zwischen Clients vermieden. Die Ports von Peer-to-Peer Netzwerken sind standardmäßig gesperrt. Direkte Verbindungen zwischen Clients beschränken sich nur auf das LAN. Auto-Discovery-Protokolle sind standardmäßig deaktiviert.

Über die Zugänglichkeit des Administratorpassworts in Lehrstühlen und Forschungseinrichtungen an der Otto-Friedrich-Universität Bamberg wird dafür gesorgt, dass von Laufwerken oder über Schnittstellen nicht unkontrolliert Software installiert oder unberechtigt Daten kopiert werden können.

Bei der Außerbetriebnahme eines Clients wird sichergestellt, dass keine wichtigen Daten, die eventuell auf den verbauten Datenträgern gespeichert sind, verlorengehen, und dass keine sensitiven Daten zurückbleiben. Es gibt einen Überblick darüber, welche Daten wo auf den IT-Systemen gespeichert sind.

Die Verschlüsselung von sensiblen Daten wird vom Nutzer selbst vorgenommen und verwaltet. Hierzu wird Veracrypt empfohlen.

Veracrypt-Anleitung(525.9 KB)

Für die Virenschutzlösung Sophos findet eine Überwachung der Rechner der Otto-Friedrich-Universität Bamberg statt. SmartScreen ist deaktiviert, damit keine Daten an Microsoft gesendet werden.

Über die Windows-Firewall wird der Zugriff von außen auf den Rechner mittels einer Whitelist bei Bedarf freigeschaltet.

Die Nutzer verfügen nur über die Rechte „Benutzer“, Programme werden gesondert als Administrator eingerichtet. Die Benutzerkontensteuerung (UAC) ist eine Sicherheitskomponente in Windows-Betriebssysteme und wird für diese als geeignete Maßnahme genutzt, um unbefugten Zugriff zu verhindern.

Powershellscripte sind nur signiert ausführbar. Für Programminstallation ist keine Einschränkung vorgesehen. Es können von den Nutzern im Rahmen der Freiheit von Forschung und Lehre als Administrator frei Programme installiert werden.