Sie befinden sich hier: Themen IT-Grundschutz-Kataloge. Inhalt. Dokumententitel: M 4.241 Sicherer Betrieb von Clients - IT-Grundschutz-Kataloge - Stand 2006
direkt zu der Navigation Servicebereich. direkt zu der Hauptnavigation. direkt zur Themennavigation. direkt zum Seiteninhalt.

M 4.241 Sicherer Betrieb von Clients

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement

Verantwortlich für Umsetzung: Administrator

Der sichere Betrieb von Clients hängt von einer Reihe von Faktoren ab. Besonders wichtig ist dabei auch bei Clients, dass einerseits die Administration mit der gebotenen Sorgfalt und andererseits über einen sicheren Zugang erfolgt.

Im folgenden werden einige allgemeine Punkte beschrieben, die für einen sicheren Betrieb beachtet werden sollten. Für einzelne Betriebssysteme werden in den entsprechenden Maßnahmen der betreffenden Bausteine spezifischere Hinweise gegeben.

Administrationszugänge

Es gibt unterschiedliche Zugriffsmöglichkeiten, um Clients zu administrieren. Abhängig von der genutzten Zugriffsart müssen eine Reihe von Sicherheitsvorkehrungen getroffen werden. Bei größeren Netzen ist es empfehlenswert und oft unumgänglich, die Clients in ein zentrales Netzmanagement-System einzubinden, da sonst eine sichere und effiziente Administration nicht gewährleistet werden kann. Die zur Administration verwendeten Methoden sollten in der Sicherheitsrichtlinie festgelegt und die Administration nur entsprechend der Sicherheitsrichtlinie durchgeführt werden.

Es wird empfohlen, für die verschiedenen Administrationstätigkeiten eine Übersicht zu erstellen, welche Arbeiten auf welchem Weg durchgeführt werden können. Vor allem ist es wichtig festzuhalten, ob bestimmte Tätigkeiten auf einem bestimmten Weg normalerweise nicht durchgeführt werden dürfen.

Routinetätigkeiten bei der Administration

Es wird empfohlen, für die üblichen Routinetätigkeiten der Administratoren entsprechend der Sicherheitsrichtlinie Hinweise für die Administration zu erstellen. Dies umfasst beispielsweise Tätigkeiten wie

Tests von Konfigurationsänderungen

Konfigurationsänderungen an Clients sollten nach Möglichkeit auf einem Referenzsystem getestet werden, bevor sie auf die einzelnen Rechner verteilt werden (siehe auch M 4.242 Einrichten einer Referenzinstallation für Clients). Werden (etwa im Rahmen einer Fehlersuche) Änderungen lokal auf einzelnen Clients durchgeführt, so sollte auf jeden Fall geprüft werden, ob durch die Änderungen die sonstigen Funktionen des Clients nicht beeinträchtigt werden.

Dokumentation von Arbeiten an den Systemen

Änderungen an der Systemkonfiguration der Clients oder an der Konfiguration von Anwendungen müssen dokumentiert werden. Die Dokumentation sollte auch bei Clients idealerweise so beschaffen sein, dass im Falle von Problemen nachvollziehbar ist, was die letzte Änderung war und wann und von wem sie durchgeführt wurde. Bei Clients ohne hohe Sicherheitsanforderungen kann aber auch die Dokumentation einzelner funktionierender Konfigurationsstände (beispielsweise zu bestimmten Zeitpunkten) ausreichend sein, ohne dass es unbedingt notwendig ist, jeden einzelnen Schritt nachzuvollziehen. Trotzdem wird empfohlen, die Dokumentation so zu gestalten, dass alle Änderungen nachvollziehbar sind.

Ergänzende Kontrollfragen: