M 4.241 Sicherer Betrieb von Clients
Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
Der sichere Betrieb von Clients hängt von einer Reihe von Faktoren ab. Besonders wichtig ist dabei auch bei Clients, dass einerseits die Administration mit der gebotenen Sorgfalt und andererseits über einen sicheren Zugang erfolgt.
Im folgenden werden einige allgemeine Punkte beschrieben, die für einen sicheren Betrieb beachtet werden sollten. Für einzelne Betriebssysteme werden in den entsprechenden Maßnahmen der betreffenden Bausteine spezifischere Hinweise gegeben.
Administrationszugänge
Es gibt unterschiedliche Zugriffsmöglichkeiten, um Clients zu administrieren. Abhängig von der genutzten Zugriffsart müssen eine Reihe von Sicherheitsvorkehrungen getroffen werden. Bei größeren Netzen ist es empfehlenswert und oft unumgänglich, die Clients in ein zentrales Netzmanagement-System einzubinden, da sonst eine sichere und effiziente Administration nicht gewährleistet werden kann. Die zur Administration verwendeten Methoden sollten in der Sicherheitsrichtlinie festgelegt und die Administration nur entsprechend der Sicherheitsrichtlinie durchgeführt werden.
Es wird empfohlen, für die verschiedenen Administrationstätigkeiten eine Übersicht zu erstellen, welche Arbeiten auf welchem Weg durchgeführt werden können. Vor allem ist es wichtig festzuhalten, ob bestimmte Tätigkeiten auf einem bestimmten Weg normalerweise nicht durchgeführt werden dürfen.
-
Lokale Administration
Die Administration von Clients direkt durch Zugriff über die Konsole ist nur für eine kleine Zahl von Rechnern handhabbar und wird in Umgebungen mit einer größeren Anzahl von Clients meist einen Ausnahmefall darstellen. Muss ein Administrator ausnahmsweise doch lokal an einem Client-Rechner arbeiten, ist es beispielsweise wichtig, dass der Administrator bei der Eingabe des Passworts darauf achtet, dass dieses nicht ausgespäht werden kann. Gegebenenfalls sollte überlegt werden, für solche Arbeiten Einmalpasswörter oder ähnliches zu verwenden. - Administration mit Hilfe eines Bootmediums
Für bestimmte Administrationsarbeiten, die lokal an einem Client-Rechner vorgenommen werden sollen kann es vorteilhaft sein, ein externes Boot-Medium einzusetzen, von dem der Rechner gestartet wird (siehe auch M 6.24 Erstellen eines Notfall-Bootmediums). Dies bietet den Vorteil, dass der Administrator sich einer "sauberen" Systemumgebung sicher sein kann. Allerdings hat diese Methode auch eine Reihe von Nachteilen, beispielsweise einen höheren Aufwand. Außerdem ist es auf diese Weise meist nicht möglich, bestimmte Fehlermeldungen, die im laufenden Betrieb auftreten, nachzuvollziehen. - Remote-Administration
Auch Clients werden häufig von einem Administrationsrechner aus über das Netz administriert. Um zu verhindern, dass dabei Authentisierungsinformationen der Administratoren abgehört oder gar von einem Angreifer manipuliert werden, sollte die Administration nur über sichere Protokolle (beispielsweise nicht über Telnet, sondern über SSH, nicht über HTTP, sondern über HTTPS) erfolgen.
Eine ungesicherte Remote-Administration über externe (unsichere) Netze hinweg darf in keinem Fall erfolgen. Dies muss bereits bei der Festlegung der Sicherheitsrichtlinie berücksichtigt werden. Auch im internen Netz sollten soweit möglich keine unsicheren Protokolle verwendet werden. - Administration über ein zentrales Managementsystem
Falls für die Administration ein zentrales Managementsystem genutzt werden soll, so müssen für diesen Zugangsweg analoge Vorüberlegungen angestellt werden, wie für die Remote-Administration. Zusätzlich ist es wichtig, dass das zentrale Managementsystem selbst entsprechend sicher konfiguriert und administriert wird. Entsprechende Hinweise finden sich im Baustein B 4.2 Netz- und Systemmanagement.
Routinetätigkeiten bei der Administration
Es wird empfohlen, für die üblichen Routinetätigkeiten der Administratoren entsprechend der Sicherheitsrichtlinie Hinweise für die Administration zu erstellen. Dies umfasst beispielsweise Tätigkeiten wie
- Anlegen und Löschen von Benutzern,
- Installation und Deinstallation von Programmen,
- Einspielen von Sicherheitsupdates und Patches (siehe auch M 2.273 Zeitnahes Einspielen sicherheitsrelevanter Patches und Updates),
- Einspielen sonstiger Updates und Patches oder
- Regelmäßiger Integritätscheck mit entsprechenden Tools (siehe auch M 4.93 Regelmäßige Integritätsprüfung und M 5.8 Regelmäßiger Sicherheitscheck des Netzes).
Tests von Konfigurationsänderungen
Konfigurationsänderungen an Clients sollten nach Möglichkeit auf einem Referenzsystem getestet werden, bevor sie auf die einzelnen Rechner verteilt werden (siehe auch M 4.242 Einrichten einer Referenzinstallation für Clients). Werden (etwa im Rahmen einer Fehlersuche) Änderungen lokal auf einzelnen Clients durchgeführt, so sollte auf jeden Fall geprüft werden, ob durch die Änderungen die sonstigen Funktionen des Clients nicht beeinträchtigt werden.
Dokumentation von Arbeiten an den Systemen
Änderungen an der Systemkonfiguration der Clients oder an der Konfiguration von Anwendungen müssen dokumentiert werden. Die Dokumentation sollte auch bei Clients idealerweise so beschaffen sein, dass im Falle von Problemen nachvollziehbar ist, was die letzte Änderung war und wann und von wem sie durchgeführt wurde. Bei Clients ohne hohe Sicherheitsanforderungen kann aber auch die Dokumentation einzelner funktionierender Konfigurationsstände (beispielsweise zu bestimmten Zeitpunkten) ausreichend sein, ohne dass es unbedingt notwendig ist, jeden einzelnen Schritt nachzuvollziehen. Trotzdem wird empfohlen, die Dokumentation so zu gestalten, dass alle Änderungen nachvollziehbar sind.
Ergänzende Kontrollfragen:
- Auf welchen Wegen wird zur Administration auf das System zugegriffen?
- Wie werden Konfigurationsänderungen getestet?
- Wie werden Änderungen dokumentiert?