M 4.151 Sichere Installation von Internet-PCs
Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT
Verantwortlich für Umsetzung: Administrator
Bei der Installation eines Internet- PC s müssen eine Reihe von Entscheidungen getroffen werden, die Auswirkungen auf die Informationssicherheit des Systems haben.
Hardware
Die Hardware des Internet-PCs ist so vorzubereiten, dass nur die im Einsatzkonzept vorgesehenen Komponenten vorhanden sind. Gegebenenfalls müssen nicht vorgesehene Laufwerke oder Schnittstellen, z. B. USB -Anschlüsse oder interne WLAN -Karten, entfernt oder deaktiviert werden (siehe auch M 4.4 Geeigneter Umgang mit Laufwerken für Wechselmedien und externen Datenspeichern).
Die Boot-Reihenfolge sollte im System-BIOS so eingestellt werden, dass der Computer immer zuerst versucht, von der Festplatte zu starten, z. B. C, C only oder Harddisk first/only.
Der Zugang zum System-BIOS sollte durch ein Passwort geschützt werden. Es kann ebenfalls darüber nachgedacht werden, auch ein Boot-Passwort im BIOS zu aktivieren. Dies bietet einen gewissen Schutz vor Missbrauch durch Gelegenheitstäter. Weitere Empfehlungen zur Absicherung des Boot-Prozesses sind in der Maßnahme M 4.49 Absicherung des Boot-Vorgangs für ein NT-basiertes Windows-System beschrieben.
Betriebssystem
Im Anschluss an die Installation der Hardware wird das im Einsatzkonzept vorgesehene Betriebssystem installiert. Zu beachten ist dabei, dass gängige Betriebssysteme unterschiedliche Sicherheitsfunktionen bieten. Die aktuellen Windows-Betriebssysteme und Linux verfügen beispielsweise über eine wirksame Benutzertrennung und Zugriffsrechte. Diese Funktionen sind wichtig für die Trennung von Administrator- und Benutzerbereichen.
Grundsätzlich sollten nur die Betriebssystem-Komponenten installiert werden, die auch wirklich für den festgelegten Einsatzbereich benötigt werden. Besonders kritisch zu prüfen sind hierbei "Dienste" (Windows) bzw. "Daemons" (Linux). Ein Internet-PC sollte in der Regel keine Dienste im Internet anbieten (siehe auch M 5.72 Deaktivieren nicht benötigter Netzdienste).
Nach der Installation des Betriebssystems müssen alle Standardpasswörter geändert werden. Unter Linux betrifft dies insbesondere das root-Passwort, sofern die verwendete Distribution hierfür ein Standardpasswort vergibt.
Vor der Inbetriebnahme müssen alle aktuellen sicherheitsrelevanten Patches bzw. Updates eingespielt werden. Für Windows-Betriebssysteme sind Empfehlungen hierzu in der Maßnahme M 4.249 Windows Client-Systeme aktuell halten enthalten. Falls Linux eingesetzt wird, sollte zunächst beim Hersteller der verwendeten Distribution nach verfügbaren Patches und Updates gesucht werden. Falls das Angebot des Herstellers unzureichend ist, sollten weitere Quellen hinzugezogen werden, z. B. einschlägige Webseiten. Weitere Empfehlungen hierzu finden sich in M 2.35 Informationsbeschaffung über Sicherheitslücken des Systems und M 4.107 Nutzung von Hersteller-Ressourcen. Auch im laufenden Betrieb eines Internet- PC s ist darauf zu achten, dass für das Betriebssystem und alle installierten Software-Komponenten die jeweils verfügbaren sicherheitsrelevanten Patches bzw. Updates eingespielt werden. Diese sollten aus vertrauenswürdigen Quellen, beispielsweise direkt vom Hersteller, bezogen werden (siehe M 4.152 Sicherer Betrieb von Internet-PCs).
Für Windows-Betriebssysteme gelten darüber hinaus folgende Empfehlungen:
- Das jeweils aktuelle Service Pack sollte eingespielt werden.
- Als einziges Netzprotokoll sollte TCP / IP installiert werden.
- An das TCP/IP-Protokoll für den Internet-Zugang sollten keine Dienste gebunden werden.
- Die Datei- und Druckerfreigabe sollte deaktiviert werden. Es sollten generell keine Freigaben zur Verfügung gestellt werden.
- Der Windows Script Host (WSH) sollte deinstalliert werden, wenn dies bei der verwendeten Konfiguration möglich ist. Anderenfalls sollten die dem WSH zugeordneten Dateitypen, beispielsweise .vbs und .js, einem Editor zugewiesen werden.
- Die automatische CD-ROM -Erkennung sollte deaktiviert werden (siehe auch M 4.57 Deaktivieren der automatischen CD-ROM-Erkennung).
- Alle nicht benötigten Benutzerkonten, wie z. B. Gast, sollten deaktiviert oder gelöscht werden. Das Administrator-Konto sollte umbenannt und mit einem starken Passwort geschützt werden.
- Es sollte eine passwortgeschützte Bildschirmsperre verwendet werden, die nach kurzer Zeit ohne Benutzeraktivität automatisch gestartet wird. Dies bietet einen gewissen Schutz gegen unberechtigte Zugriffe (siehe dazu auch M 4.2 Bildschirmsperre).
- Als Standardvorgang beim Doppelklick auf eine Datei vom Typ .reg sollte Bearbeiten (mit Editor öffnen) und nicht Zusammenführen eingestellt werden. Die Zuordnung kann beispielsweise im Windows Explorer im Dialogfeld Extras | Ordneroptionen | Dateitypen vorgenommen werden.
- Es sollte geprüft werden, ob anstelle der Standardnamen für System- und Datenverzeichnisse bzw. -dateien abweichende Pfadnamen verwendet werden können. Schadprogramme suchen in vielen Fällen nach bestimmten Dateien in Standardverzeichnissen, so dass durch diese Änderung gegebenenfalls ein zusätzlicher Schutz erreicht werden kann. Es ist jedoch zu berücksichtigen, dass dies zu Inkompatibilitäten mit bestimmten Programmen führen kann.
Bei der Verwendung von Linux sollten folgende Empfehlungen berücksichtigt werden:
- Der Daemon inetd sollte nicht gestartet werden. Je nach Distribution wird dies über Änderungen an den rc-Startdateien oder über spezielle Administrationstools konfiguriert.
- Der Portmap Daemon und der Name Service Caching Daemon sollten nicht gestartet werden.
- Falls die verwendete Distribution spezielle Dienste zur Fernadministration installiert, z. B. linuxconf oder swat, so sollten diese deaktiviert werden.
- Alle nicht benötigten Server-Dienste, wie beispielsweise der Web-Server-Dienst Apache, sollten vom Internet-PC deinstalliert werden.
- Das Programm sendmail sollte nicht im Server-Modus gestartet werden. Auch andere Daemons für den Empfang von E-Mail über das Protokoll SMTP sollten deinstalliert oder zumindest deaktiviert werden. Sofern benötigt, sollte E-Mail via POP3 oder IMAP abgeholt werden.
- Als zusätzliche Sicherheitsmaßnahme gegen Angriffe können lokale Paketfilter, wie beispielsweise ipchains oder iptables unter Linux, eingesetzt werden. Oft sind schon in einer Grundinstallation entsprechende Paketfilterfunktionen im Unix-Kernel oder in der Linux-Distribution vorhanden, die eingerichtet und aktiviert werden müssen.
Client-Programme
Neben dem eigentlichen Betriebssystem sollten auf dem Internet-PC nur die zusätzlichen Programme installiert werden, die für die Nutzung der im Einsatzkonzept festgelegten Internet-Dienste erforderlich sind.
Für das Surfen im Internet muss ein Browser installiert werden. Empfehlungen zur sicheren Browser-Konfiguration finden sich in der Maßnahme M 5.45 Sichere Nutzung von Browsern .
Falls vom Internet-PC aus E-Mails gesendet oder empfangen werden sollen, muss entweder ein E-Mail-Client installiert werden oder es muss auf einen webbasierten E-Mail-Dienst (z. B. GMX oder Web.de) zurückgegriffen werden. Gängige E-Mail-Clients sind Outlook, Windows Mail, Thunderbird oder KMail. Empfehlungen zur sicheren Konfiguration dieser Programme finden sich in der Maßnahme M 5.94 Sicherheit von E-Mail-Clients bei der Nutzung von Internet-PCs.
Falls im Einsatzkonzept vorgesehen ist, weitere Internet-Dienste wie beispielsweise NetNews oder Instant Messaging zu nutzen, müssen dafür die entsprechenden Client-Programme installiert werden.
Alle Programme müssen so konfiguriert werden, dass sie optimale Sicherheit bieten. Die Benutzer sollten in deren sichere Nutzung eingewiesen werden.
Tools
Im Hinblick auf den sicheren Betrieb eines Internet-PCs müssen in der Regel zusätzliche Tools installiert werden, die nicht Bestandteil des Betriebssystems sind.
Unverzichtbar ist der Einsatz eines Viren-Schutzprogramms auf jedem Internet-PC. Solche Programme sind von verschiedenen Herstellern erhältlich. Wichtig ist, dass die zugehörigen Datenbanken, auf deren Grundlage diese Tools arbeiten, regelmäßig aktualisiert werden. Gängige Viren-Schutzprogramme stellen hierfür spezielle Funktionen zur Verfügung. Weitere Empfehlungen zum Schutz vor Schadsoftware finden sich in M 4.3 Einsatz von Viren-Schutzprogrammen.
Als zusätzliche Sicherheitsmaßnahme sollte eine so genannte Personal Firewall installiert werden. Damit diese auch wirksam ist, muss sie sorgfältig für den jeweiligen Einsatzzweck konfiguriert werden. Insbesondere muss das Programm so eingestellt werden, dass die Benutzer nicht mit einer Vielzahl von Warnmeldungen belästigt werden, die sie nicht interpretieren können. Weitere Empfehlungen finden sich in M 5.91 Einsatz von Personal Firewalls für Internet-PCs.
Zur Datensicherung für einen Internet-PC gibt es unterschiedliche Konzepte (siehe auch M 6.79 Datensicherung beim Einsatz von Internet-PCs). In vielen Fällen wird hierfür jedoch ein eigenständiges Tool benötigt, welches das erforderliche Backup automatisch oder halbautomatisch erledigt. Oft lassen sich Datensicherung und Datentransport vom oder ins Hausnetz über das gleiche Medium realisieren. Wichtig ist hierbei eine ordnungsgemäße Verwaltung der eventuell benötigten Datenträger.
Bei der Übertragung über das Internet können unter Umständen Daten mitgelesen oder manipuliert werden. Um diesen Gefährdungen entgegenzuwirken, können kryptographische Verfahren eingesetzt werden. Beispielsweise gibt es eine Reihe von Tools, mit denen E-Mails verschlüsselt und signiert werden können. Weiterhin besteht die Möglichkeit, sichere Kanäle zu bekannten Kommunikationspartnern aufzubauen, beispielsweise über so genannte Virtuelle Private Netze (VPNs). Planungshinweise zum Einsatz kryptographischer Verfahren finden sich im Baustein B 1.7 Kryptokonzept.
Informationen im Internet werden nicht nur im HTML -Format angeboten, sondern z. B. auch als Word-, Excel-, PowerPoint- oder PDF-Dateien. Wenn solche Dateien direkt auf dem Internet-PC betrachtet werden sollen, müssen hierfür geeignete Anzeige-Programme oder Plug-Ins für die Browser installiert werden. Diese Programme sollten nach Möglichkeit nicht in der Lage sein, Makro-Befehle auszuführen. Insbesondere sollte nach Möglichkeit kein Office-Paket auf dem Internet-PC installiert werden. Falls dies dennoch zwingend erforderlich ist, sollten alle integrierten Funktionen zum Schutz vor Makro-Viren aktiviert werden.
Nachdem alle Betriebssystem- und Software-Komponenten installiert sind, sollte ein Abbild, auch Image genannt, dieser Grundkonfiguration gesichert werden. Dies erlaubt es, das System schnell wiederherzustellen, wenn die Installation durch Abstürze, fehlgeschlagene Konfigurationsänderungen oder Manipulationen unbrauchbar wird (siehe auch M 6.79 Datensicherung beim Einsatz von Internet-PCs).
Surf-CD
Eine andere Möglichkeit sicher im Internet zu surfen, bietet die Nutzung einer Surf- CD , die alle notwendigen Komponenten enthält, um den Rechner mit der Surf-CD zu starten. So bleibt das eigentliche Betriebssystem des Clients unberührt, da das Betriebssystem auf der CD nicht auf lokale Festplatten zugreifen kann. Solche CDs werden beispielsweise regelmäßig fertig über Computerzeitschriften oder im Internet als Programmpakete angeboten. Solche Surf-CDs enthalten typischerweise nur ein gehärtetes Betriebssystem und die für die Internetnutzung absolut notwendigen Programme, um potentielle Sicherheitslücken zu minimieren.
Prüffragen:
- Werden bei der Installation von Internet-PCs alle erforderlichen Sicherheitsaspekte strikt umgesetzt?
- Wurden alle nicht benötigten Laufwerke, Schnittstellen, Dienste und Programme bei Internet-PCs deaktiviert?
- Sind auf allen Internet-PCs ein aktuelles Viren-Schutzprogramm und eine Personal Firewall installiert?