M 4.16 Zugangsbeschränkungen für Accounts und / oder Terminals

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Der Account und / oder das Terminal eines Benutzers sollen außerhalb der offiziellen Arbeitszeit gesperrt werden. Soweit das nicht mit vertretbarem Aufwand möglich ist (zum Beispiel bei sehr unregelmäßigen oder häufig wechselnden Arbeitszeiten), sollte die Sperrung zumindest zu den Zeiten erfolgen, die grundsätzlich außerhalb der Arbeitszeit liegen.

Falls Mitarbeiter nur an einem bestimmten Terminal oder IT-System innerhalb des Netzes arbeiten, ist die Nutzung der Benutzer-Kennung und des dazugehörenden Passwortes auf diesen Rechner zu beschränken, so dass ein Einloggen von einem anderen Rechner aus ausgeschlossen ist. Insbesondere sollte sich der Administrator nach Möglichkeit nur von der Konsole aus anmelden. Dies kann auch technisch forciert werden (siehe auch M 4.21 Verhinderung des unautorisierten Erlangens von Administratorrechten).

Unter Unix ist für Terminals der jeweilige Benutzer als Eigentümer des entsprechenden Gerätetreibers einzutragen. Sobald dieser sich ausgeloggt hat, sollte automatisch wieder root Eigentümer werden. Nur der jeweilige Benutzer sollte hierfür Leseberechtigung haben. Falls ein Benutzer Nachrichten (z. B. mit talk) von anderen Systembenutzern empfangen möchte, muss er ihnen Schreibberechtigung für den Gerätetreiber einräumen. Es ist zu überprüfen, ob dies unbedingt notwendig ist.

In PC-Netzen kann die Anzahl von gleichzeitigen Anmeldungen unter einem Account von mehreren PCs aus beschränkt werden. Zum Schutz vor dem unbemerktem Eindringen von Angreifern sollte verhindert werden, dass sich ein Benutzer an mehreren PCs gleichzeitig anmelden kann.

Ergänzende Kontrollfragen: