Bundesamt für Sicherheit in der Informationstechnik

M 4.241 Sicherer Betrieb von Clients

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Der sichere Betrieb von Clients hängt von einer Reihe von Faktoren ab. Besonders wichtig ist dabei auch bei Clients, dass die Administration mit der gebotenen Sorgfalt und ausschließlich über sichere Zugänge erfolgt.

Im Folgenden werden einige wichtige Punkte beschrieben, die für einen sicheren Betrieb von Clients unabhängig vom Betriebssystem beachtet werden sollten. Für einzelne Betriebssysteme werden in den entsprechenden Maßnahmen der betreffenden Bausteine spezifischere Hinweise gegeben.

Administrationszugänge

Es gibt unterschiedliche Zugriffsmöglichkeiten, um Clients zu administrieren. Abhängig von der genutzten Zugriffsart müssen eine Reihe von Sicherheitsvorkehrungen getroffen werden. Bei größeren Netzen ist es empfehlenswert und oft unumgänglich, die Clients in ein zentrales Netzmanagement-System einzubinden, da sonst eine sichere und effiziente Administration nicht gewährleistet werden kann. Die zur Administration verwendeten Methoden sollten in der Sicherheitsrichtlinie festgelegt und die Administration nur entsprechend der Sicherheitsrichtlinie durchgeführt werden.

Es wird empfohlen, für die verschiedenen Administrationstätigkeiten eine Übersicht zu erstellen, welche Arbeiten auf welchem Weg durchgeführt werden können. Vor allem ist es wichtig festzuhalten, ob bestimmte Tätigkeiten auf einem bestimmten Weg normalerweise nicht durchgeführt werden dürfen.

  • Lokale Administration
    Die Administration von Clients direkt durch Zugriff über die Konsole ist nur für eine kleine Zahl von Rechnern handhabbar und wird in Umgebungen mit einer größeren Anzahl von Clients meist einen Ausnahmefall darstellen. Muss ein Administrator ausnahmsweise doch lokal an einem Client-Rechner arbeiten, ist es beispielsweise wichtig, dass der Administrator bei der Authentisierung über ein Passwort darauf achtet, dass dieses nicht ausgespäht werden kann. Gegebenenfalls sollte überlegt werden, für solche Arbeiten Einmalpasswörter oder ähnliches zu verwenden.
  • Administration mit Hilfe eines Bootmediums
    Für bestimmte Administrationsarbeiten, die lokal an einem Client-Rechner vorgenommen werden sollen kann es vorteilhaft sein, ein externes Boot-Medium einzusetzen, von dem der Rechner gestartet wird (siehe auchM 6.24 Erstellen eines Notfall-Bootmediums ). Dies bietet den Vorteil, dass der Administrator sich einer "sauberen" Systemumgebung sicher sein kann. Allerdings hat diese Methode auch eine Reihe von Nachteilen, beispielsweise einen höheren Aufwand. Außerdem ist es auf diese Weise meist nicht möglich, bestimmte Fehlermeldungen, die im laufenden Betrieb auftreten, nachzuvollziehen.
  • Remote-AdministrationClients werden häufig von Administrationsrechnern aus über das Netz administriert. Um zu verhindern, dass dabei Authentisierungsinformationen der Administratoren abgehört oder gar von einem Angreifer manipuliert werden, sollte die Administration nur über sichere Protokolle (beispielsweise nicht über Telnet, sondern über SSH , nicht über HTTP , sondern über HTTPS ) erfolgen.

Eine ungesicherte Remote-Administration über externe (unsichere) Netze hinweg darf in keinem Fall erfolgen. Dies muss bereits bei der Festlegung der Sicherheitsrichtlinie berücksichtigt werden. Auch im internen Netz sollten soweit möglich keine unsicheren Protokolle verwendet werden.

  • Administration über ein zentrales Managementsystem
    Falls für die Administration ein zentrales Managementsystem genutzt werden soll, so müssen für diesen Zugangsweg analoge Vorüberlegungen angestellt werden, wie für die Remote-Administration. Zusätzlich ist es wichtig, dass das zentrale Managementsystem selbst entsprechend sicher konfiguriert und administriert wird.

Routinetätigkeiten bei der Administration

Es wird empfohlen, für die üblichen Routinetätigkeiten der Administratoren entsprechend der Sicherheitsrichtlinie Hinweise für die Administration zu erstellen. Dies umfasst beispielsweise Tätigkeiten wie

Tests von Konfigurationsänderungen

Konfigurationsänderungen an Clients sollten nach Möglichkeit auf einem Referenzsystem getestet werden, bevor sie auf die einzelnen Rechner verteilt werden (siehe auch M 4.242 Einrichten einer Referenzinstallation für Clients ). Werden (etwa im Rahmen einer Fehlersuche) Änderungen lokal auf einzelnen Clients durchgeführt, so sollte auf jeden Fall geprüft werden, ob durch die Änderungen die sonstigen Funktionen des Clients nicht beeinträchtigt werden.

Dokumentation von Arbeiten an den Systemen

Änderungen an der Systemkonfiguration der Clients oder an der Konfiguration von Anwendungen müssen dokumentiert werden. Die Dokumentation sollte auch bei Clients idealerweise so beschaffen sein, dass im Falle von Problemen nachvollziehbar ist, was die letzte Änderung war und wann und von wem sie durchgeführt wurde. Bei Clients ohne hohe

Sicherheitsanforderungen kann aber auch die Dokumentation einzelner funktionierender Konfigurationsstände (beispielsweise zu bestimmten Zeitpunkten) ausreichend sein, ohne dass es unbedingt notwendig ist, jeden einzelnen Schritt nachzuvollziehen. Trotzdem wird empfohlen, die Dokumentation so zu gestalten, dass alle Änderungen nachvollziehbar sind.

Protokollierung

Sicherheitsrelevante Ereignisse, die bei Clients auftreten, sollten aus vielen Gründen protokolliert werden. Zum einen hilft eine aktivierte Protokollierung, potentielle Schwachstellen frühzeitig erkennen und damit beseitigen zu können. Zum anderen kann Protokollierung dabei helfen, Verstöße gegen Sicherheitsvorgaben zeitnah zu erkennen oder Nachforschungen über einen Sicherheitsvorfall vorzunehmen. Die Protokollierung von Clients sollte im Protokollierungskonzept integriert werden (siehe M 2.500 Protokollierung von IT-Systemen ).

Prüffragen:

  • Werden die zur Administration von Clients verwendeten Methoden in der Sicherheitsrichtlinie beschrieben?

  • Werden bei der Remote-Administration bzw. bei Nutzung eines Managementsystems ausschließlich sichere Protokolle verwendet?

  • Existieren Vorgaben für die Dokumentation von Änderungen und werden diese umgesetzt?

Stand: 13. EL Stand 2013