Bundesamt für Sicherheit in der Informationstechnik

M 2.289 Einsatz restriktiver z/OS-Kennungen

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Für die Verwaltung des Sicherheitssystems RACF (Resource Access Control Facility) werden u. a. Kennungen mit hoher Autorisierung benötigt. Zur Minimierung des Missbrauchsrisikos sind die folgenden Regeln zu beachten:

SPECIAL, OPERATIONS, AUDITOR

Attribute mit hoher Autorisierung im RACF, wie SPECIAL, OPERATIONS und AUDITOR, gelten systemweit und dürfen nur an Anwender vergeben werden, die für ihre Tätigkeit diese Rechte benötigen. Kennungen mit diesen besonders hohen Rechten sind auf ein Minimum zu begrenzen, und deren Vergabe ist zu dokumentieren.

GROUP-SPECIAL, GROUP-OPERATIONS, GROUP-AUDITOR

Sind hohe Rechte erforderlich, so ist zu überlegen, ob diese Rechte nicht auf Gruppenebene (GROUP-SPECIAL, GROUP-OPERATIONS und GROUP-AUDITOR) für die jeweilige Kennung eingeschränkt werden können. Auch die Vergabe der auf Gruppenebene eingeschränkten Rechte ist auf ein Minimum zu begrenzen und zu dokumentieren.

Superuser (UID 0)

Im optionalen Unix-Segment der User-Kennung (OMVS Segment) wird eine für Unix System Services (USS) gültige Userid (UID) vergeben, unter der die z/OS-Kennung im USS geführt wird. Die UID 0 (Superuser) oder die Berechtigung, das su-Kommando ausführen zu dürfen, darf nur an die Anwender vergeben werden, die diese Berechtigung für ihre Arbeit benötigen.

SPECIAL und UID 0

Hoch autorisierte Kennungen mit Attribut SPECIAL dürfen aus Sicherheitsgründen nicht gleichzeitig mit UID 0 als Superuser unter USS laufen. Es ist weiterhin zu überlegen, ob die Attribute SPECIAL und OPERATIONS an die gleiche Kennung vergeben werden sollten.

Vergabe von UIDs

UIDs sollten nicht doppelt vergeben werden (gleiche UID für verschiedene User). Viele Tätigkeiten, für die in bestimmten Unix-Betriebssystemen unbedingt Superuser-Rechte benötigt werden, können im RACF einzeln über spezielle RACF-Profile der Klasse UNIXPRIV autorisiert werden. Eine solche Autorisierung über RACF-Profile ist in jedem Fall sicherer als die Vergabe der Superuser-Rechte oder su-Kommando-Berechtigung (siehe auch Maßnahme M 4.211 Einsatz des z/OS-Sicherheitssystems RACF ).

Audit-Verfahren

Um die Tätigkeit der Anwender mit hohen Berechtigungen auditieren zu können, muss ein entsprechendes Audit-Verfahren etabliert sein (siehe auch Maßnahme M 2.288 Erstellung von Sicherheitsrichtlinien für z/OS-Systeme ).

IBMUSER bei Neuinstallationen

Erfolgt eine Neuinstallation, so sind mit dem IBMUSER mindestens zwei Kennungen mit dem Attribut SPECIAL neu anzulegen. Ist dies erfolgt, so muss der IBMUSER gesperrt (REVOKED) werden und gesperrt bleiben. RACF-Definitionen sollten nicht mit der Kennung IBMUSER angelegt werden (siehe auch Maßnahme M 4.211 Einsatz des z/OS-Sicherheitssystems RACF ).

Notuser-Verfahren

Für den Fall, dass z. B. alle Kennungen mit dem Attribut SPECIAL gesperrt wurden, oder kein Anwender mit dieser Berechtigung im Notfall verfügbar ist, ist ein Notuser-Verfahren zu etablieren (siehe auch Maßnahme M 6.93 Notfallvorsorge für z/OS-Systeme ).

Prüffragen:

  • Werden hohe Berechtigungen im z/OS-System nur an Anwender vergeben, die für Ihre Tätigkeiten diese Rechte benötigen?

  • Wird die Vergabe der Attribute mit hoher Autorisierung im RACF dokumentiert?

  • Wird verhindert, dass hoch autorisierte z/OS-Kennungen mit Attribut SPECIAL gleichzeitig mit UID 0 als Superuser unter USS laufen?

  • Ist ein Audit-Verfahren für die z/OS-Systeme etabliert?

  • Werden nach einer Neuinstallation des z/OS-Systems mindestens zwei Kennungen mit dem Attribut SPECIAL angelegt und anschließend der IBMUSER gesperrt?

  • Werden RACF -Definitionen unter z/OS nicht mit der Kennung IBMUSER angelegt?

  • Ist für die z/OS-Systeme ein Notuser-Verfahren etabliert?

Stand: 13. EL Stand 2013

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK