Bundesamt für Sicherheit in der Informationstechnik

M 4.151 Sichere Installation von Internet-PCs

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Bei der Installation des Internet- PC müssen eine Reihe von Entscheidungen getroffen werden, die Auswirkungen auf die IT -Sicherheit des Systems haben.

Hardware

Die Hardware des Internet-PCs ist so zu konfektionieren, dass nur die im Einsatzkonzept vorgesehenen Komponenten vorhanden sind. Gegebenenfalls müssen nicht vorgesehene Laufwerke oder Schnittstellen, z. B. Diskettenlaufwerke oder interne Modems, entfernt oder deaktiviert werden (siehe auch M 4.4 Geeigneter Umgang mit Laufwerken für Wechselmedien und externen Datenspeichern ).

Die Boot-Reihenfolge sollte im System- BIOS so eingestellt werden, dass der Computer nur vom Datenträger mit dem vorgesehenen Betriebssystem startet Soll das IT-System beispielsweise von einer nicht wiederbeschreibbaren CD - oder DVD-ROM gestartet werden, sollte CD-ROM Drive eingestellt werden. Befindet sich das Betriebssystem auf der Festplatte "C", sollte C: A:, C only oder Harddisk first/only gewählt werden.

Der Zugang zum System-BIOS sollte durch ein Passwort geschützt werden. Falls ein Betriebssystem ohne zwingende Benutzer-Authentisierung eingesetzt wird, z. B. Windows 9x/ME, kann darüber nachgedacht werden, auch ein Boot-Passwort im BIOS zu aktivieren. Dies bietet einen gewissen Schutz vor Missbrauch durch Gelegenheitstäter.

Betriebssystem

Im Anschluss an die Installation der Hardware wird das im Einsatzkonzept vorgesehene Betriebssystem installiert. Zu beachten ist dabei, dass gängige Betriebssysteme unterschiedliche Sicherheitsfunktionen bieten. Windows NT-basierte Betriebssysteme und Linux verfügen beispielsweise über eine wirksame Benutzertrennung und Zugriffsrechte. Diese Funktionen stehen bei Windows 9x/ME nur ansatzweise oder gar nicht zur Verfügung, sind jedoch wichtig für die Trennung von Administrator- und Benutzerbereichen.

Grundsätzlich sollten nur die Betriebssystem-Komponenten installiert werden, die auch wirklich für den festgelegten Einsatzbereich benötigt werden. Besonders kritisch zu prüfen sind hierbei "Dienste" (Windows) bzw. "Daemons" (Linux). Ein Internet-PC sollte in der Regel keine Dienste im Internet anbieten (siehe auch M 5.72 Deaktivieren nicht benötigter Netzdienste ).

Nach der Installation des Betriebssystems müssen alle evtl. vergebenen Standardpasswörter geändert werden. Unter Linux betrifft dies insbesondere das root-Passwort, sofern die verwendete Distribution hierfür ein Standardpasswort vergibt.

Vor der Inbetriebnahme müssen alle aktuellen sicherheitsrelevanten Patches bzw. Updates eingespielt werden. Für Windows-Betriebssysteme sind entsprechende Informationen auf den WWW-Seiten der Firma Microsoft (www.microsoft.com) erhältlich. Falls Linux eingesetzt wird, sollte zunächst beim Hersteller der verwendeten Distribution nach verfügbaren Patches und Updates gesucht werden. Falls das Angebot des Herstellers unzureichend ist, sollten weitere Quellen hinzugezogen werden, z. B. www.linuxdoc.org.

Weitere Empfehlungen hierzu finden sich in M 2.35 Informationsbeschaffung über Sicherheitslücken des Systems und M 4.107 Nutzung von Hersteller- und Entwickler-Ressourcen .

Für Windows-Betriebssysteme gelten darüber hinaus folgende Empfehlungen:

  • Das jeweils aktuelle Service Pack sollte eingespielt werden.
  • Als einziges Netzprotokoll sollte TCP / IP installiert werden.
  • An das TCP/IP-Protokoll für den Internet-Zugang sollten keine Dienste gebunden werden.
  • Die Datei- und Druckerfreigabe sollte deaktiviert werden. Es sollten keine Shares zur Verfügung gestellt werden.
  • Bei Verwendung des Internet Explorers sollte unter Extras | Internetoptionen | Verbindungen die Funktion Vor dem Wählen Systemsicherheit prüfen aktiviert werden, falls diese Option angeboten wird.
  • Der Windows Scripting Host (WSH) sollte deinstalliert werden, wenn dies bei der verwendeten Konfiguration möglich ist. Anderenfalls sollten die dem WSH zugeordneten Dateitypen, beispielsweise .vbs und .js, einem Editor zugewiesen werden.
  • Der Microsoft Personal Web Server sollte deaktiviert, möglichst sogar deinstalliert werden.
  • Die automatische CD-ROM-Erkennung sollte deaktiviert werden (siehe auch M 4.57 Deaktivieren der automatischen CD-ROM-Erkennung ).
  • Falls die verwendete Windows-Version eine Benutzertrennung unterstützt, sollten alle nicht benötigten Benutzerkonten, z. B. Gast, deaktiviert oder gelöscht werden. Unter Windows NT kann dies über den Benutzer-Manager erfolgen. Das Administrator-Konto sollte umbenannt und mit einem starken Passwort geschützt werden.
  • Beim Einsatz von Windows 9x/ME kann darüber nachgedacht werden, einen passwortgeschützten Bildschirmschoner zu verwenden. Dies bietet einen gewissen Schutz gegen unberechtigte Zugriffe.
  • Als Standardvorgang beim Doppelklick auf eine Datei vom Typ .reg sollte Bearbeiten (mit Editor öffnen) und nicht Zusammenführen eingestellt werden. Unter Windows ME kann das entsprechende Dialogfeld über den Explorer via Extras | Ordneroptionen | Dateitypen erreicht werden.
  • Es sollte geprüft werden, ob anstelle der Standardnamen für System- und Datenverzeichnisse bzw. -dateien abweichende Pfadnamen verwendet werden können. Schadprogramme suchen in vielen Fällen nach bestimmten Dateien in Standardverzeichnissen, so dass durch diese Änderung ggf. ein zusätzlicher Schutz erreicht werden kann. Es ist jedoch zu berücksichtigen, dass dies zu Inkompatibilitäten mit bestimmten Programmen führen kann.

Bei der Verwendung von Linux sollten folgende Empfehlungen berücksichtigt werden:

  • Der Daemon inetd sollte nicht gestartet werden. Je nach Distribution wird dies über Änderungen an den rc-Startdateien oder über spezielle Administrationstools konfiguriert.
  • Der Portmap Daemon und der Name Service Caching Daemon sollten nicht gestartet werden.
  • Falls die verwendete Distribution spezielle Dienste zur Fernadministration installiert, z. B. linuxconf oder swat, so sollten diese deaktiviert werden.
  • Apache oder andere WWW -Server-Software sollte deinstalliert werden.
  • Das Programm sendmail sollte nicht im Server-Modus gestartet werden. Auch andere Daemons für den Empfang von E-Mail über das Protokoll SMTP sollten deinstalliert oder zumindest deaktiviert werden. Sofern benötigt, sollte E-Mail stattdessen via POP3 oder IMAP abgeholt werden.
  • Als zusätzliche Sicherheitsmaßnahme gegen Angriffe aus dem Internet kann die Paketfilterfunktion ipchains bzw. iptables von Linux eingesetzt werden. Einige Distributionen enthalten hierfür vorkonfigurierte Pakete.

Als zusätzliche Sicherheitsmaßnahme kann eine so genannte Personal Firewall installiert werden. Damit diese auch wirksam ist, muss sie sorgfältig für den jeweiligen Einsatzzweck konfiguriert werden. Insbesondere muss das Programm so eingestellt werden, dass die Benutzer nicht mit einer Vielzahl von Warnmeldungen belästigt werden, die sie nicht interpretieren können. Weitere Empfehlungen finden sich in M 5.91 Einsatz von Personal Firewalls für Clients .

Client-Programme

Neben dem eigentlichen Betriebssystem sollten auf dem Internet-PC nur die zusätzlichen Programme installiert werden, die für die Nutzung der im Einsatzkonzept festgelegten Internet-Dienste erforderlich sind.

Falls die Nutzung des World Wide Web im Einsatzkonzept vorgesehen ist, muss ein WWW-Browser installiert werden. Gängige Browser-Programme sind der Internet Explorer, Firefox, Chrome, Safari und Opera. Empfehlungen zur sicheren Konfiguration dieser Browser finden sich der Maßnahme M 5.93 Sicherheit von WWW-Browsern bei der Nutzung von Internet-PCs .

Falls vom Internet-PC aus E-Mails gesendet oder empfangen werden sollen, muss entweder ein E-Mail-Client installiert werden oder es muss auf einen WWW-basierten E-Mail-Dienst (z. B. GMX oder Web.de) zurückgegriffen werden. Gängige E-Mail-Clients sind Outlook, Outlook Express, Thunderbird oder KMail. Empfehlungen zur sicheren Konfiguration dieser Programme finden sich in der Maßnahme M 5.94 Sicherheit von E-Mail-Clients bei der Nutzung von Internet-PCs .

Falls im Einsatzkonzept vorgesehen ist, weitere Internet-Dienste zu nutzen, z. B. Internettelefonie oder Instant Messaging, müssen unter Umständen weitere Client-Programme installiert werden.

Alle Programme sollten so konfiguriert werden, dass sie optimale Sicherheit bieten, und die Benutzer sollten in deren sichere Nutzung eingewiesen werden.

Tools

Im Hinblick auf den sicheren Betrieb eines Internet-PCs müssen in der Regel zusätzliche Tools installiert werden, die nicht Bestandteil des Betriebssystems sind.

Unverzichtbar ist der Einsatz eines Viren-Schutzprogramms auf jedem Internet-PC. Solche Programme sind von verschiedenen Herstellern erhältlich. Wichtig ist, dass die zugehörigen Datenbanken, auf deren Grundlage diese Tools arbeiten, regelmäßig aktualisiert werden. Gängige Viren-Schutz-

programme stellen hierfür spezielle Funktionen zur Verfügung. Dabei ist zu beachten, dass dies nicht zentral gesteuert werden kann, wenn die Internet-PCs nicht untereinander vernetzt sind. Weitere Empfehlungen zum Schutz vor Schadprogrammen finden sich in M 4.3 Einsatz von Viren-Schutzprogrammen .

Zur Datensicherung für einen Internet-PC gibt es unterschiedliche Konzepte (siehe auch M 6.79 Datensicherung beim Einsatz von Internet-PCs ). In vielen Fällen wird hierfür jedoch ein eigenständiges Tool benötigt, dass das erforderliche Backup automatisch oder halbautomatisch erledigt. Oft lassen sich Datensicherung und Datentransport vom oder ins Hausnetz über das gleiche Medium realisieren. Wichtig ist hierbei eine ordnungsgemäße Verwaltung der eventuell benötigten Datenträger.

Bei der Übertragung über das Internet können Daten unter Umständen mitgelesen oder manipuliert werden. Um diesen Gefährdungen entgegenzuwirken, können kryptographische Verfahren eingesetzt werden. Beispielsweise existieren eine Reihe von Tools, mit denen E-Mails verschlüsselt und signiert werden können. Weiterhin besteht die Möglichkeit, sichere Kanäle zu bekannten Kommunikationspartnern aufzubauen, beispielsweise über so genannte Virtuelle Private Netze (VPNs). Planungshinweise zum Einsatz kryptographischer Verfahren finden sich in Baustein B 1.7 Kryptokonzept .

Informationen im Internet werden nicht nur im HTML -Format angeboten, sondern z. B. auch als Word-, Excel-, PowerPoint- oder PDF-Dateien. Wenn solche Dateien direkt auf dem Internet-PC betrachtet werden sollen, müssen hierfür geeignete Viewer-Programme installiert werden. Diese Viewer sollten nach Möglichkeit nicht in der Lage sein, Makro-Befehle auszuführen. Insbesondere sollte nach Möglichkeit kein Office-Paket auf dem Internet-PC installiert werden. Falls dies dennoch zwingend erforderlich ist, sollten alle integrierten Funktionen zum Schutz vor Makro-Viren aktiviert werden.

Für alle installierten Betriebssystem- und Software-Komponenten sollten die jeweils verfügbaren sicherheitsrelevanten Patches bzw. Updates eingespielt werden. Diese sollten aus vertrauenswürdigen Quellen, beispielsweise direkt vom Hersteller, bezogen werden (siehe auch M 4.152 Sicherer Betrieb von Internet-PCs ).

Nachdem alle Betriebssystem- und Software-Komponenten installiert sind, sollte ein Abbild ("Image") dieser Grundkonfiguration gesichert werden. Dies erlaubt es, das System schnell wiederherzustellen, wenn die Installation durch Abstürze, fehlgeschlagene Konfigurationsänderungen oder Manipulationen unbrauchbar wird (siehe auch M 6.79 Datensicherung beim Einsatz von Internet-PCs ).

Surf-CD

Eine andere Möglichkeit sicher im Internet zu surfen, bietet die Nutzung einer Surf-CD, die alle notwendigen Komponenten enthält, um den Rechner mit der Surf-CD zu starten. So bleibt das eigentliche Betriebssystem des Clients unberührt, da das Betriebssystem auf der CD nicht auf lokale Festplatten zugreifen kann. Solche CDs werden beispielsweise regelmäßig fertig über Computerzeitschriften oder im Internet als Programmpakete angeboten. Solche Surf-CDs enthalten typischerweise nur ein gehärtetes Betriebssystem und die für die Internetnutzung absolut notwendigen Programme, um potentielle Sicherheitslücken zu minimieren.

Prüffragen:

  • Werden bei der Installation von Internet-PCs alle erforderlichen Sicherheitsaspekte strikt umgesetzt?

  • Wurden alle nicht benötigten Laufwerke, Schnittstellen, Dienste und Programme bei Internet-PCs deaktiviert?

  • Sind auf allen Internet-PCs ein aktuelles Viren-Schutzprogramm und eine Personal Firewall installiert?

Stand: 13. EL Stand 2013