M 4.209 Sichere Grundkonfiguration von z/OS-Systemen

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Das z/OS-Betriebssystem verwaltet und benutzt verschiedene Autorisierungsmechanismen. Bei fehlerhaftem Einsatz oder Missbrauch dieser Mechanismen kann sich dies auf die Integrität des gesamten Systems auswirken. Sie müssen deshalb in der Grundkonfiguration berücksichtigt werden. Es handelt sich dabei im Wesentlichen um die folgenden Funktionen:

Empfehlungen für das Sicherheitssystem RACF (Resource Access Control Facility) sind in M 4.211 Einsatz des z/OS-Sicherheitssystems RACF beschrieben. Darüber hinaus ist M 4.220 Absicherung von Unix System Services bei z/OS-Systemen für die Grundkonfiguration zu berücksichtigen.

Um die Integrität des z/OS-Betriebssystems zu schützen, sind die folgenden Empfehlungen zu berücksichtigen:

APF-Autorisierungen

Über APF-autorisierte Dateien ist es möglich, sich Zugriff zu privilegierten Operationen zu verschaffen (z. B. MODESET SVC). In der Folge lassen sich dadurch Funktionen benutzen, für die der Anwender normalerweise nicht autorisiert ist. So ist es jederzeit möglich, sich im Supervisor-Modus Zugriff zu privilegierten Hauptspeicherbereichen zu verschaffen und dort hoch privilegierte Attribute (z. B. SPECIAL im ACEE - Accessor Environment Element) der eigenen Kennung zuzuordnen. Für APF-Dateien ist das Folgende zu beachten:

User SVCs (SuperVisor Calls)

User-SVCs (alle SVC-Nummern ab 200) erhalten die Kontrolle im SuperVisor-Status mit Key 0 (diesentspricht dem Kernel-Modus bei einigen anderen Betriebssystemen), d. h. User-SVCs haben Zugriff auf alleSpeicherbereiche und alle Operationendes z/OS-Betriebssystems. Für User-SVCs ist deshalb das Folgende zu beachten:

Ressourcen

Ressourcen des z/OS-Betriebssystems (z.B. Dateien, Programme, Funktionen usw.) sind über RACF zu schützen (siehe M 4.211 Einsatz des z/OS-Sicherheitssystems RACF). Darüber hinaus sollten folgende Empfehlungen beachtet werden:

IPL-Parameter-Datei

In der IPL-Parameter-Datei (Initial Program Load) stehen die wesentlichen Informationen, die zum Initialisieren des z/OS-Betriebssystems benötigt werden. Diese Datei muss über RACF geschützt werden, die Zahl der für diese Datei autorisierten Mitarbeiter muss klein gehalten werden. Es ist jedoch darauf zu achten, dass Vertretungsregeln eingeführt sind.

Parmlib-Definitionen

In den Parameter-Dateien des z/OS-Betriebssystems (SYSn.PARMLIBs, es können mehrere vorhanden sein) werden wesentliche Definitionen des Betriebssystems abgelegt. Alle Parmlib-Dateien sind mittels RACF-Profil zu schützen. Der Zugriff darf nur den Mitarbeitern erlaubt sein, die im Rahmen ihrer Tätigkeit diese Dateien bearbeiten. Es ist zu überlegen, ob verschiedene Parameter-Dateien mit unterschiedlichem RACF-Schutz eingesetzt werden sollen, da in der Parmlib Definitionen mit unterschiedlichem Schutzbedarf existieren. Sicherheitskritische Member der Parmlib sind zum Beispiel (ohne Sortierung):

Der Zugriff auf diese Definitionen muss auf die notwendigen Mitarbeiter beschränkt werden. Vertretungsregeln müssen in Kraft sein.

System-Prozeduren

Alle wichtigen Prozeduren der Started Tasks stehen in speziellen Bibliotheken, die entweder über die MSTJCLxx-Definitionen, oder über die JES2/3-Definitionen dem System bekannt gegeben werden. Diese Dateien, z. B. SYS1.PROCLIB, müssen über RACF-Profile geschützt werden, die nur autorisierten Mitarbeitern Zugriff auf die Definitionen gewähren.

Besonders wichtig ist der Schutz von allgemeinen, d. h. von allen Mitarbeitern benutzten Login-Prozeduren, da hier die Gefahr des Missbrauchs besonders groß ist (siehe Maßnahme M 4.213 Absichern des Login-Vorgangs unter z/OS). Der schreibende/ändernde Zugriff sollte auf die Systemadministratoren beschränkt werden, darüber hinaus benötigt nur JES2/3 einen lesenden Zugriff.

Diese Schutzvorkehrungen gelten auch für alle in allgemeinen Login-Prozeduren verwendeten Script-Dateien (TSO CLISTs oder REXX EXECs), da auch hier die Gefahr des Missbrauchs besonders groß ist.

JESx Definitionen (Job Entry Subsystem)

Zum Schutz der Job Entry Subsysteme JES2 und JES3 müssen hauptsächlich die folgenden Ressourcen durch RACF abgesichert werden:

Die folgenden RACF-Funktionen sollten eingesetzt werden, um die Sicherheit von JES2/3 zu erhöhen:

Darüber hinaus stellt RACF eine Reihe von General Resource Classes für JES2/3 zur Verfügung, die zum Schutz von JES-Funktionen eingesetzt werden sollten:

Prüffragen: