Absicherung eines PC-Clients (ISi-Client) BSI-Studie zur Internet-Sicherheit (ISi-S)

Größe: px
Ab Seite anzeigen:

Download "Absicherung eines PC-Clients (ISi-Client) BSI-Studie zur Internet-Sicherheit (ISi-S)"

Transkript

1 Absicherung eines PC-Clients (ISi-Client) BSI-Studie zur Internet-Sicherheit (ISi-S)

2 ISi-S - Absicherung eines PC-Clients ISi-Reihe Vervielfältigung und Verbreitung Bitte beachten Sie, dass das Werk einschließlich aller Teile urheberrechtlich geschützt ist. Erlaubt sind Vervielfältigung und Verbreitung zu nicht-kommerziellen Zwecken, insbesondere zu Zwecken der Ausbildung, Schulung, Information oder hausinternen Bekanntmachung, sofern sie unter Hinweis auf die ISi-Reihe des BSI als Quelle erfolgen. Dies ist ein Werk der ISi-Reihe. Ein vollständiges Verzeichnis der erschienenen Bände finden Sie auf den Internet-Seiten des BSI. oder Bundesamt für Sicherheit in der Informationstechnik ISi-Projektgruppe Postfach Bonn Tel. +49 (0) Internet: Bundesamt für Sicherheit in der Informationstechnik

3 ISi-Reihe ISi-S - Absicherung eines PC-Clients Inhaltsverzeichnis 1 Einleitung Grundlagen Aufbau des Arbeitsplatz-PCs Hardware Betriebssystem Anwendungen Dienste Anbindung des APCs an das Netz Netzprotokolle und -dienste Authentisierung des APCs Benutzer und Rechte Benutzerkonten, Gruppen und Rechte Berechtigungskonzept Sonderfälle bei der Zugriffskontrolle Benutzerverwaltung Benutzer-Authentisierung APCs im Ruhezustand Software-Verwaltung Lizenzierung Update-Server und Software-Verteilung Komponenten und Techniken der APC-Sicherung Das Minimalsystem Verschlüsselung von Daten Virtualisierung Virenschutzprogramm Personal Firewall Ausführungskontrolle Gerätekontrolle Host-based-Intrusion-Detection/Prevention-System (HIDS/HIPS) Logging Speicherschutzmechanismen Speicherrandomisierung Trusted Platform Module (TPM) Sichere Grundarchitektur für den normalen Schutzbedarf Überblick Komponenten der Grundarchitektur Hardware, Firmware und externe Schnittstellen Betriebssystem Personal Firewall Virenschutzprogramm Anwendungen Ausführungskontrolle Logging Benutzerrechte, -verwaltung und -authentisierung Aktualisierung des APCs Ergänzung: Festplattenverschlüsselung Ergänzung: Mobile APCs...43 Bundesamt für Sicherheit in der Informationstechnik 3

4 ISi-S - Absicherung eines PC-Clients ISi-Reihe 4 Komponenten sicher auswählen, konfigurieren und betreiben (normaler Schutzbedarf) Grundanforderungen an ein sicheres Produkt Übergreifende Aspekte Hardware, Firmware und externe Schnittstellen Betriebssystem Personal Firewall Virenschutzprogramm Anwendungen Ausführungskontrolle Logging Benutzerrechte, -verwaltung und -authentisierung Aktualisierung Ergänzung: Festplattenverschlüsselung Ergänzung: Mobile Endgeräte Minimierung und sichere Grundkonfiguration Hardware, Firmware und externe Schnittstellen Betriebssystem Installation und Erstkonfiguration der Personal Firewall Virenschutzprogramm Anwendungen Einstellungen im BIOS/EFI und der Firmware Finale Konfiguration der Personal Firewall Ausführungskontrolle Logging Benutzerrechte, -verwaltung und -authentisierung Ergänzung: Festplattenverschlüsselung Ergänzung: Mobile Endgeräte Abschließende Funktionsprüfung Erstellung eines System-Abbildes Grundvorgaben für einen sicheren Betrieb Organisatorische Aspekte Hardware, Firmware und externe Schnittstellen Betriebssystem Personal Firewall Virenschutzprogramm Anwendungen Ausführungskontrolle Logging Benutzerrechte, -verwaltung und -authentisierung Aktualisierung des APCs Ergänzung: Festplattenverschlüsselung Ergänzung: Mobile Endgeräte Entsorgung eines APCs Gefährdungen und Empfehlungen mit Varianten für normalen und hohen Schutzbedarf Bedrohungen durch Eindringen und Übernehmen Schadprogramme in Dateisystem, Kernel, Boot-Loader und Firmware Eindringen über Schnittstellen oder Schwachstellen in Gerätetreibern Manipulation der Hardware Ausspähen, Manipulieren oder Erraten von Passwörtern Bedrohungen der Vertraulichkeit Innentäter Nutzung eines nicht gesperrten APCs Bundesamt für Sicherheit in der Informationstechnik

5 ISi-Reihe ISi-S - Absicherung eines PC-Clients Hardware-Zugang Abhören von Räumen mittels Mikrofon oder Videokamera Abhören drahtloser Kommunikation Bedrohungen der Integrität und Authentizität Nutzung eines nicht gesperrten APCs Innentäter Keylogger Bedrohungen der Verfügbarkeit Ausfall der Energieversorgung oder des Netzzugangs Diebstahl oder Defekt des APCs Löschen oder Überschreiben von Daten Lizenzentzug Denial-of-Service-Angriff gegen PCs Fazit Anhang Abdeckungsmatrix Varianten der Grundarchitektur Kleines Unternehmen Mittelgroßes Unternehmen Großes Unternehmen Literaturverzeichnis Glossar Stichwortverzeichnis Bundesamt für Sicherheit in der Informationstechnik 5

6 ISi-S - Absicherung eines PC-Clients ISi-Reihe 6 Bundesamt für Sicherheit in der Informationstechnik

7 ISi-Reihe ISi-S - Absicherung eines PC-Clients 1 Einleitung Die Schriften der ISi-Reihe bieten allen mit der IT-Sicherheit befassten Personen in Behörden und Unternehmen umfassende und aktuelle Informationen zu weiten Bereichen der Internet-Sicherheit. Jedes Thema wird in einem Modul behandelt und in verschiedenen Dokumenten für unterschiedliche Zielgruppen aufbereitet. Die vorliegende Studie befasst sich mit der Absicherung von Arbeitsplatz-PCs im internen Netz und richtet sich primär an IT-Sicherheitsbeauftragte und IT- Fachleute. In der heutigen Zeit bildet der Arbeitsplatz-PC die technische Basis für die Nutzung von ITgestützten Arbeitsabläufen. Anwender können mit Hilfe des Arbeitsplatz-PCs auf lokale oder im Netz vorhandene Informationen wie Dokumente und s sowie auf Dienste im Internet zugreifen. Insbesondere durch die Vernetzung ist der Arbeitsplatzrechner aber auch zahllosen Gefahren ausgesetzt. Motiviert durch diese Gefahren wurden in den vergangenen Jahren zunehmend Schutzmaßnahmen etabliert: Sicherheits-Gateways am Perimeter oder ein Virenschutzprogramm auf jedem PC gehören heute zur Standardausstattung. Gleichzeitig entwickeln sich die Angriffe weiter. Professionalisierte und teilweise sehr zielgerichtete Angriffe sind heute in der Lage, etablierte Schutzmaßnahmen zu umgehen. Aufgrund der Abhängigkeit von einer funktionierenden IT-Landschaft ist es von größter Bedeutung, die Arbeitsplatzrechner als Schnittstelle zwischen Benutzern und IT-Infrastruktur vor Angriffen zu schützen, ohne dabei die Arbeitsfähigkeit der Anwender mit dem Arbeitsplatz-PC maßgeblich einzuschränken. Die umfassende Absicherung des Arbeitsplatz-PCs ist eine weitere Verteidigungslinie, die die Sicherheitsmaßnahmen in der Infrastruktur und am Perimeter ergänzt. Die vorliegende Studie zeigt auf, wie Institutionen ihre Arbeitsplatzrechner schützen und somit eine robuste und sichere Grundlage für IT-gestützte Arbeitsabläufe schaffen können. Nach der Erläuterung der für das Verständnis erforderlichen Grundlagen in Abschnitt 2 stellt Abschnitt 3 die Grundarchitektur eines sicheren Arbeitsplatz-PCs vor. Diese Grundarchitektur beschreibt, welche Hard- und Software-Komponenten in Arbeitsplatz-PCs enthalten sind, welche zusätzlichen Komponenten für seine Absicherung notwendig sind und wie alle Komponenten zusammen wirken. In Abschnitt 4 werden Empfehlungen für die Auswahl und die sichere Konfiguration der Komponenten des Arbeitsplatz-PCs gegeben. Dazu wird in diesem Abschnitt auch die Vorgehensweise zur Minimierung von Betriebssystemen und Anwendungen beschrieben. Daraufhin werden die bei Betrieb und Entsorgung von Arbeitsplatzrechnern relevanten Sicherheitsaspekte erläutert. In Abschnitt 5 werden die Gefährdungen für den vernetzten Arbeitsplatz-PC beschrieben, und es wird dargelegt, wie die in Abschnitt 3 dargestellte Grundarchitektur vor diesen Gefährdungen schützt. Da sich die Anforderungen sowohl an die IT-Sicherheit als auch an den Funktionsumfang der Arbeitsplatzrechner von Institution zu Institution unterscheiden, werden Varianten zur individuellen Anpassung der Grundarchitektur an die Anforderungen der Institution beschrieben. Bundesamt für Sicherheit in der Informationstechnik 7

8 ISi-S - Absicherung eines PC-Clients ISi-Reihe 2 Grundlagen Dieser Abschnitt erläutert die grundlegenden Komponenten und Techniken für den sicheren Einsatz eines Arbeitsplatz-PCs (nachfolgend kurz APCs genannt). Um den Aufbau der im Abschnitt 3 beschriebenen Grundarchitektur nachvollziehen zu können, ist das Verständnis der zugrunde liegenden Techniken hilfreich. Fachkundigen Lesern sei es freigestellt, dieses Kapitel zu überspringen und es bei Bedarf als Nachschlagewerk zu verwenden. Die Darstellung der Grundlagen ist in folgende Teile gegliedert: - In Abschnitt 2.1 wird der Aufbau des APCs, d. h. Hardware, Betriebssystem sowie Anwendungen und Dienste, beschrieben. - Abschnitt 2.2 geht auf die Anbindung des APCs an das Netz ein. - In Abschnitt 2.3 werden die Grundlagen der Authentisierung, der Autorisierung und der Benutzerverwaltung erklärt. - Abschnitt 2.4 erläutert Aspekte, die bei der Administration von Betriebssystem und Anwendungen relevant sind. - Abschließend werden in Abschnitt 2.5 Schutzmechanismen für Computer aufgezeigt. 2.1 Aufbau des Arbeitsplatz-PCs Ein am Arbeitsplatz zur Verfügung gestelltes Computersystem, das dem Benutzer als Arbeitsgerät dient, wird als Client- oder Arbeitsplatz-PC bezeichnet. Abbildung 2.1 zeigt den prinzipiellen Aufbau eines APCs. In dieser vereinfachten Darstellung wird der APC schematisch in drei Ebenen geteilt. Der Benutzer interagiert über die Hardware (Tastatur, Maus) mit dem Betriebssystem und den darauf laufenden Anwendungen. Die Anwendungen (z. B. ein Browser) greifen ihrerseits über Schnittstellen des Betriebssystems auf die Hardware (z. B. die Netzwerkkarte) zu. Der APC ist üblicherweise mit einem lokalen Netz verbunden, über das auf interne (Server, Drucker, interne Webserver) oder externe Ressourcen (z. B. das Internet) zugegriffen werden kann. Abbildung 2.1: Schematischer Aufbau eines APCs Hardware Typischerweise wird die Hardware eines APCs als Komplettsystem angeboten. Das bedeutet, dass in das Gehäuse des APCs bereits zahlreiche Hardware-Komponenten integriert sind. Des Weiteren bieten APCs eine Reihe von Schnittstellen, die den Anschluss von Peripheriegeräten ermöglichen. In einige Hardware-Komponenten ist eine eigene Betriebssoftware, die sogenannte Firmware, eingebettet. 8 Bundesamt für Sicherheit in der Informationstechnik

9 ISi-Reihe ISi-S - Absicherung eines PC-Clients Integrierte Hardware Zu den im Rahmen dieser Studie wichtigsten intern verbauten Hardware-Komponenten, auf die im Folgenden kurz eingegangen wird, zählen der Prozessor, der Arbeitsspeicher und die Festplatte. Alle Komponenten sind über Hauptplatine (Mainboard) miteinander verbunden. Der Prozessor (Central Processing Unit, CPU) ist die zentrale Verarbeitungseinheit des APCs. Jedes auf dem APC ausgeführte Programm besteht aus einzelnen Anweisungen, die von dem Prozessor ausgeführt werden. Der Prozessor greift über das Mainboard auf den Arbeitsspeicher (auch Hauptspeicher oder Random Access Memory, RAM) zu. Im Arbeitsspeicher befinden sich neben den Programmanweisungen auch Daten, die während der Programmausführung benötigt werden. Der Inhalt des Arbeitsspeichers ist flüchtig, d. h. er verliert seinen Inhalt beim Ausschalten des APCs. Wenn weniger Arbeitsspeicher zur Verfügung steht, als benötigt wird, lagern viele Betriebssysteme Inhalte aus dem Speicher auf die Festplatte aus. Man spricht in diesem Fall von Auslagerungsdateien, Swap-Bereich oder virtuellem Arbeitsspeicher. Im Gegensatz zum Arbeitsspeicher bleiben die auf der Festplatte gespeicherten Daten beim Ausschalten des APCs erhalten. Dies wird als persistente Speicherung bezeichnet. Die Festplatte eines APCs hat eine deutlich größere Kapazität als der Arbeitsspeicher, allerdings erfolgt der Zugriff auf die auf der Festplatte gespeicherten Daten gegenüber dem Zugriff auf den Arbeitsspeicher deutlich langsamer. Eine physische Festplatte kann in verschiedene logische Festplatten unterteilt werden, die sogenannten Partitionen. Über die Einrichtung mehrerer Partitionen auf einem APC wird häufig eine Trennung von Betriebssystem und Benutzerdaten vorgenommen. Darüber hinaus kann die Installation mehrerer Betriebssysteme auf einer Festplatte mit Hilfe der Einrichtung unterschiedlicher Partitionen auf einem APC vorgenommen werden. Die Partitionen werden vom Betriebssystem verwaltet. Unter Windows werden ihnen beispielsweise verschiedene Laufwerksbuchstaben zugeordnet. Externe Schnittstellen und Peripheriegeräte Eine externe Schnittstelle ist ein von außen zugänglicher Anschluss am APC. Über externe Schnittstellen können Peripheriegeräte angeschlossen und so die Hardware des APCs erweitert werden, ohne dass der APC geöffnet werden muss. Die am häufigsten anzutreffenden externen Schnittstellen sind: - Video Graphics Array (VGA), Digital Video Interface (DVI), High Definition Multimedia Interface (HDMI) zum Anschluss von Monitoren - Analoge und digitale Audio-Ein- und Ausgänge für Mikrofone und Lautsprecher - Serielle und parallele Schnittstellen, beispielsweise für ältere Modems, Scanner oder Drucker - USB-Schnittstelle (Universal Serial Bus) - Express- und PC-Card-Einschub - Firewire- und esata-schnittstelle (external Serial Advanced Technology Attachment, esata) - Bluetooth-Schnittstelle (eine Schnittstelle zur Anbindung verschiedener Geräte per Nahbereichsfunk) - Infrarot-Schnittstelle zur Anbindung von Fernbedienungen oder Smartphones und Personal Digital Assistants (PDAs) Bundesamt für Sicherheit in der Informationstechnik 9

10 ISi-S - Absicherung eines PC-Clients ISi-Reihe - Ethernet-Schnittstelle zur Netzanbindung - PS/2 zum Anschluss von Tastatur und Maus (wird inzwischen häufig durch USB ersetzt) - Modem-Ausgang zum Anschluss an das analoge Telefonnetz. Über diese externen Schnittstellen kann zur Erweiterung der Funktionen des APCs eine Vielfalt von Geräten angeschlossen werden. Die Gängigsten davon sind: - Speicherkartenleser beispielsweise für Secure Digital (SD) Karten - Laufwerke (Festplatte, CD/DVD-ROM, Diskette) - Audio-Geräte (z. B. integrierte Mikrofone) - Modems (für Kommunikation über das Telefonnetz oder Mobilfunk) - WLAN 1 -Adapter (zur Nutzung drahtloser Netze) - Ausgabegeräte (Drucker, Braillezeile, Monitore) - Eingabegeräte (Tastatur, Maus, Scanner) - Smartcard-Leser - Biometriesensoren. Während bei modernen Systemen auf Express- und PC-Card-Einschübe verzichtet werden kann, ist die USB-Schnittstelle standardmäßig vorhanden und häufig erforderlich, soweit der APC nicht über einen PS/2-Anschluss zur alternativen Anbindung von Maus und Tastatur verfügt. Einige Peripheriegeräte können auch zur Absicherung eines APCs genutzt werden. Hierzu gehören unter anderem Smartcard-Leser und Biometriesensoren (siehe Abschnitt 2.3.5) Firmware Die Firmware ist eine Software, die in elektronische Geräte wie Festplatten oder DVD-Brenner integriert ist. Sie kontrolliert die internen Funktionen der jeweiligen Komponente. Häufig liegt die Firmware in einem Flash-Speicher, damit diese ohne physische Eingriffe in den PC aktualisiert werden kann. Die Firmware ist Bestandteil der Hardware und bietet dem Betriebssystem Funktionen zum Zugriff auf die Hardware (siehe Abbildung 2.2). Abbildung 2.2: Firmware Als Firmware des APCs kommt bei x86-architekturen meist das Basic Input Output System (BIOS) und bei IA64-Architekturen das Extensible Firmware Interface (EFI) zum Einsatz. Das BIOS bzw. EFI kontrolliert die Initialisierung und den Startvorgang des Systems. Darüber hinaus bietet es eine Reihe von Einstellmöglichkeiten für die Steuerung von Funktionen der unterliegenden Hardware. 1 WLAN = Wireless Local Area Network 10 Bundesamt für Sicherheit in der Informationstechnik

11 ISi-Reihe ISi-S - Absicherung eines PC-Clients Unter diesen Einstellmöglichkeiten gibt es auch einige, die für die Sicherheit des APCs relevant sind: - Schutz der Firmware vor nicht autorisierter Aktualisierung und Änderung - Reihenfolge der Geräte, auf denen die Firmware beim Start ein Betriebssystem sucht. Viele in das PC-Gehäuse fest eingebaute oder über externe Schnittstellen angeschlossene Hardware-Komponenten verfügen ebenfalls über Firmware. Beispiele hierfür sind Festplatten- Controller, Festplatten, CD/DVD-ROM-Laufwerke, Grafikkarten, Netzwerkkarten und Drucker. Die jeweiligen Hardware-Hersteller veröffentlichen in unregelmäßigen Abständen neue Firmware- Versionen. Diese beheben Fehler, aktivieren neue Funktionen oder schließen Sicherheitslücken. Daher sollten Firmware-Aktualisierungen regelmäßig eingespielt werden Betriebssystem Das Betriebssystem ist eine Software, die als Basis für die Installation und die Nutzung von Anwendungen dient. Betriebssysteme für Client-PCs bestehen in der Regel aus mehreren Komponenten, beispielsweise dem Betriebsystem-Kern (Kernel) einer Benutzeroberfläche sowie Konfigurations- und Anwendungsprogrammen. Der Betriebssystem-Kern wird nach dem Einschalten des PCs vom BIOS/EFI geladen und gestartet. Zu seinen wesentlichen Aufgaben gehören: - das Ausführen von Programmen - das Verteilen und Verwalten von Betriebsmitteln - das Steuern der Ein- und Ausgabegeräte - das Bereitstellen von Schnittstellen zum Zugriff auf die Hardware sowie - das Kontrollieren der Benutzerrechte. Der Zugriff auf die Hardware erfolgt über Gerätetreiber. Typischerweise bringen Betriebssysteme bereits eine ganze Reihe Treiber für verschiedene Geräte wie Grafikkarten oder USB-Geräte mit. Der Einsatz spezieller Hardware erfordert häufig die nachträgliche Installation weiterer Treiber, die in der Regel vom Hardware-Hersteller bereitgestellt werden. Das Betriebssystem steuert auch die Ein- und Ausgabegeräte, über die der Benutzer mit dem Betriebssystem interagiert. Um diese Interaktion zu vereinfachen, stellen Betriebssysteme dem Benutzer eine sogenannte Benutzeroberfläche zur Verfügung. Dabei kann es sich um eine textbasierte (Kommandozeileninterpreter, Shell) oder eine grafische Oberfläche (GUI) handeln. Anwendungsprogramme kommunizieren direkt mit dem Betriebssystem. Dazu stellt das Betriebssystem Schnittstellen in Form von Bibliotheken bereit, um Anwendungen beispielsweise den Zugriff auf die Hardware zu ermöglichen. Das Betriebssystem hat zudem die Aufgabe, die verfügbaren Betriebsmittel zu verwalten und zu verteilen. Zu den Betriebsmitteln zählen beispielsweise Arbeitsspeicher und Prozessor-Rechenzeit. Bei APCs sind die Betriebssysteme Microsoft Windows, Linux und Mac OS jeweils in verschiedenen Versionen weit verbreitet. Bundesamt für Sicherheit in der Informationstechnik 11

12 ISi-S - Absicherung eines PC-Clients ISi-Reihe Anwendungen Anwendungen sind Programme, die das Betriebssystem als Plattform benötigen und nur über die vom Betriebssystem zur Verfügung gestellten Schnittstellen auf Betriebsmittel und Hardware zugreifen können. Typische Anwendungen sind beispielsweise Programme zur Textverarbeitung, Bildbetrachter oder Anzeige von PDFs. Einige Anwendungen werden bereits vom Betriebssystem bei der Installation mitgeliefert. Gängig sind hier z. B. Text-Editoren. Andere Anwendungen werden von einem Dritthersteller bezogen und nachträglich installiert, beispielsweise ein Office-Paket. Unter Sicherheitsaspekten unterscheiden sich mit dem Betriebssystem mitgelieferte Anwendungen und Anwendungen von Drittherstellern nicht. Es kann jedoch Unterschiede bei deren Aktualisierung geben (vgl. Abschnitt 2.4.2) Dienste Dienste sind Programme, die im Hintergrund laufen und lokal für andere Komponenten des Betriebssystems und Anwendungsprogramme oder sogar über das Netz Funktionen zur Verfügung stellen. Bei Unix- oder Linux-Systemen spricht man von Daemons und bei Windows von System- Diensten 2. Dienste können sowohl mit dem Betriebssystem mitgeliefert als auch als Teil von Anwendungen installiert werden (siehe Abbildung 2.3). Beispiele für Dienste sind der Login-Manager (z. B. winlogon.exe unter Windows) oder der Protokollierungsdienst (z. B. rsyslogd unter Linux). Abbildung 2.3: Dienste 2.2 Anbindung des APCs an das Netz Im Folgenden werden die Grundlagen zur Anbindung eines APCs an ein Netz beschrieben. Dies beinhaltet die gängigen Protokolle und Netzdienste (Abschnitt 2.2.1), sowie die Authentisierung des APCs gegenüber dem Verzeichnisdienst (Abschnitt 2.2.2) Netzprotokolle und -dienste APCs sind über eine Netzwerkkarte in der Regel dauerhaft mit dem Netz verbunden, um z. B. auf s oder zentral gespeicherte Daten zugreifen zu können. Die Kommunikation lässt sich dabei 2 Mit dem Begriff Dienst werden auch Leistungen bezeichnet, die von Servern über ein Netz angeboten werden. Typische Beispiele für solche Dienste sind , WWW und DHCP. Im Folgenden geht jeweils aus dem Kontext hervor, ob mit Dienst ein Hintergrundprozess oder eine Server-Dienstleistung gemeint ist. 12 Bundesamt für Sicherheit in der Informationstechnik

13 ISi-Reihe ISi-S - Absicherung eines PC-Clients auf mehreren aufeinander aufbauenden Schichten betrachten, die unterschiedliche Funktionen wahrnehmen. Für diese Schichten-Betrachtung existieren verschiedene Modelle 3. Die hier vorgestellte Unterteilung orientiert sich am TCP/IP-Modell (siehe Abbildung 2.4). Nr. Schicht Protokolle 4 Anwendung HTTP, DNS, SMTP, FTP 3 Transport TCP, UDP 2 Internet IP 1 Netzzugang Ethernet Abbildung 2.4: Schichten im TCP/IP-Modell Die unterste Schicht wird als Netzzugangsschicht bezeichnet. Diese Schicht ist für die Übertragung von Daten zwischen direkt miteinander verbundenen PCs verantwortlich. Heutzutage ist in Computernetzen Ethernet der Standard zur Vernetzung von PCs. Jeder PC besitzt eine Ethernet- Schnittstelle, die eine eindeutige, vom Hersteller vergebene Adresse besitzt. Diese wird als Ethernet- oder MAC-Adresse bezeichnet. Die Ethernet-Adresse ist in der Hardware fest verankert, kann aber bei fast allen Ethernet-Schnittstellen durch das Betriebssystem modifiziert werden. Die zweite Schicht ist die Internetschicht, die für eine netzübergreifende Kommunikation erforderlich ist. Auf dieser Schicht wird meist das Internet-Protokoll (IP) in den Versionen IPv4 [RFC 791] und IPv6 [RFC 2460] verwendet. Auch auf dieser Ebene erhält jeder PC eine Adresse, die sogenannten IP-Adresse, die jedoch nicht eindeutig einem Gerät zuzuordnen ist. Die IP-Adresse einer Netzwerkkarte kann manuell konfiguriert oder automatisch beispielsweise per DHCP bezogen werden. Neben IP kommen vereinzelt auch proprietäre Protokolle (z. B. AppleTalk DDP, NetBEUI) zum Einsatz. Da alle modernen Systeme meist sämtliche Netzkommunikation über IP abwickeln können, spielen proprietäre Protokolle nur in Ausnahmesituationen eine Rolle. Auf dem Internet-Protokoll setzen dann Transportprotokolle auf. Auf der Transportschicht werden insbesondere die Protokolle TCP und UDP verwendet. Diese stellen eine Ende-zu-Ende- Verbindung her, über die Daten ausgetauscht werden können. Die vierte und oberste Ebene ist die Anwendungsschicht. Dort finden sich eine Reihe anwendungsspezifischer Protokolle, beispielsweise HTTP für Web-Seiten, DNS für die Namensauflösung sowie SMTP, POP und IMAP für s. PCs können auch selbst Dienste im Netz anbieten. Einige Dienste sind für die Verwaltung und die Administration des APCs hauptsächlich in großen Umgebungen mit vielen Clients notwendig. Beispiele hierfür sind Dienste zur Software-Verteilung, zum administrativen Fernzugriff, zur Inventarisierung oder dem Monitoring von APCs. Andere Dienste, beispielsweise lokale Dateioder Druckerfreigaben, werden in der Regel nicht für den Betrieb und die Nutzung des APCs benötigt. 3 Eine verbreitete Betrachtungsweise ist das OSI-Referenzmodell von 1983, das sieben Schichten unterscheidet. Das TCP/IP-Modell ist eine Vereinfachung des OSI-Modells und unterscheidet vier Schichten. Bundesamt für Sicherheit in der Informationstechnik 13

14 ISi-S - Absicherung eines PC-Clients ISi-Reihe Authentisierung des APCs Die Verwaltung von Benutzern erfolgt in größeren Institutionen in der Regel über einem zentralen Verzeichnisdienst (siehe auch Abschnitt 2.3.4). Vor dem Zugriff auf die im zentralen Verzeichnisdienst gespeicherten Daten ist die Authentisierung des APCs gegenüber dem Verzeichnisdienst-Server notwendig. Dies kann beispielsweise durch ein Zertifikat erfolgen. Die erforderlichen Schlüssel und das Zertifikat selbst werden bei der Anbindung des APCs an den Verzeichnisdienst durch einen Administrator einmalig erzeugt und auf dem APC lokal gespeichert. Die Authentisierung des APCs erfolgt dann bei weiteren Zugriffen transparent und ohne Eingriff eines Benutzers bzw. Administrators. 2.3 Benutzer und Rechte Ein Benutzer oder Anwender ist eine Person, die mit dem APC arbeitet. Jedem Benutzer ist eine Zugangskennung zugeordnet, die man als Benutzerkonto (Account) bezeichnet. Da ein Arbeiten mit dem APC ohne vorherige Anmeldung nicht möglich ist, werden die Begriffe Benutzer und Benutzerkonto in diesem Dokument weitgehend synonym verwendet Benutzerkonten, Gruppen und Rechte Einem Benutzerkonto sind Rechte zugeordnet, die oft auch als Privilegien bezeichnet werden. Diese regeln, welche Operationen der Benutzer auf dem APC ausführen darf. Hierzu gehört beispielsweise das Starten und Anhalten von Anwendungen und Diensten, das Herunterfahren des Systems oder auch die Durchführung von Konfigurationsänderungen. Grundsätzlich unterscheidet man zwischen Benutzerkonten und Administratorkonten 4. Die Verwaltung des Systems ist Benutzern mit Administratorkonten vorbehalten, während normale Benutzerkonten nur die zur Erfüllung der arbeitsplatzspezifischen Aufgaben erforderlichen Rechte besitzen. Dieser Verzicht auf Administratorrechte bei normalen Benutzerkonten schützt das Betriebssystem und die Konfiguration des APCs vor versehentlicher, fahrlässiger oder vorsätzlicher Modifikation durch den Benutzer. Zur Verringerung des Verwaltungsaufwands in komplexen Umgebungen werden Rechte häufig indirekt über Gruppenzugehörigkeiten geregelt. Unter Linux und Mac OS X kann eine Gruppe nur aus Benutzern bestehen, unter Windows-Betriebssystemen aus Benutzer und anderen Gruppen. Die für eine Gruppe definierten Zugriffsrechte gelten dann für alle Gruppenmitglieder Berechtigungskonzept Mittels eines Berechtigungskonzepts lassen sich die Sicherheitsanforderungen und die Organisationsstruktur auf Zugriffsregeln abbilden. Das Berechtigungskonzept stellt somit die Basis für die Zuordnung von Rechten zu Benutzerkonten dar. 4 Das Betriebssystem, insbesondere der Betriebssystem-Kern, hat in der Regel höhere Rechte als Benutzer oder Administratoren. Diese Rechte werden als Systemrechte oder Kernel-Mode bezeichnet. 14 Bundesamt für Sicherheit in der Informationstechnik

15 ISi-Reihe ISi-S - Absicherung eines PC-Clients Abbildung 2.5: Beispiel eines Berechtigungskonzepts Abbildung 2.5 zeigt ein Beispiel für ein Berechtigungskonzept. Es spezifiziert: - Benutzer dürfen nur Dateien aus dem Programmverzeichnis des Systems ausführen. - Benutzer dürfen auf ihre privaten Benutzerverzeichnisse (Home-Verzeichnisse) lesend und schreibend zugreifen. - Mitglieder eines Teams (im Beispiel A und B) dürfen weder lesend noch schreibend auf die Home-Verzeichnisse anderer Team-Mitglieder zugreifen. - Für jedes Team existiert ein Projektverzeichnis, in dem alle Team-Mitglieder lesen dürfen. - Der Team-Leiter (im Beispiel C) darf im Projektverzeichnis lesen und schreiben. Neben den Zugriffsregeln spezifiziert das Berechtigungskonzept auch, wer Änderungen an den Benutzerrechten und Gruppenzugehörigkeiten beantragen darf, wer diese genehmigt, wer diese umsetzt und wie diese zu dokumentieren sind. Die Zugriffsrechte von Benutzern auf Dateien und Verzeichnisse werden technisch über Access Control Lists (ACLs) oder Datei- bzw. Verzeichnisattribute gesteuert. Diese Attribute spezifizieren, welche Dateien der Anwender als Programm ausführen und auf welche Dateien und Verzeichnisse der Anwender lesend bzw. schreibend zugreifen darf. Bei der technischen Umsetzung des Berechtigungskonzepts wird die Organisationsstruktur (siehe Beispiel: Team, Team-Mitglieder, Team-Leiter) in Benutzergruppen und Gruppenzugehörigkeit abgebildet und die Zugriffsregeln in entsprechende Datei- und Verzeichnisattribute für die Zugriffskontrolle umgesetzt. Bundesamt für Sicherheit in der Informationstechnik 15

16 ISi-S - Absicherung eines PC-Clients ISi-Reihe Sonderfälle bei der Zugriffskontrolle Der Set User Identity-Mechanismus Set User Identity (oder kurz SetUID) ist ein Attribut von Programmdateien unter Unix-basierten Betriebssystemen wie Linux oder Mac OS. Startet ein Benutzer ein Programm, so erbt das Programm typischerweise die Zugriffsrechte des Benutzers oder einer Gruppe, der der Benutzer zugehört. Ist das SetUID-Attribut einer Programmdatei gesetzt, erfolgt die Zugriffskontrolle hingegen auf Basis der Identität bzw. Gruppenzugehörigkeit des Dateibesitzers. Ein Beispiel für eine Programmdatei mit SetUID-Attribut ist das Kommandozeilenprogramm passwd. Dieses benötigt zum Ändern des Benutzer-Passworts schreibenden Zugriff auf die Datei, in der die Passwörter aller Anwender gespeichert sind. Die Passwort-Datei kann aus Sicherheitsgründen nur vom Administrator beschrieben werden. Da das passwd-programm als SetUID markiert ist und dem Administrator gehört, kann es auch beim Aufruf durch einen Benutzer ohne Administratorrechte die Passwort-Datei modifizieren. Ohne den SetUID-Mechanismus könnte ein Anwender sein Passwort nicht ändern. Sonderrechte administrativer Benutzer In allen gängigen Betriebssystemen haben Konten mit Administratorrechten umfangreichere Rechte als Benutzer. Für Administratoren gelten viele Zugriffsbeschränkungen daher nicht. Linux und Mac OS X erlauben es dem Administrator, auf beliebige Dateien und Verzeichnisse zuzugreifen, unabhängig von den für diese spezifizierten Zugriffsrechten. Es gibt jedoch Mechanismen und Erweiterungen, mit denen dies verhindert werden kann. Hierzu gehören beispielsweise die Ausführungskontrollen durch mount-optionen (siehe Abschnitt 2.5.6) und spezielle Sicherheitserweiterungen wie SELinux. Unter Windows-Betriebssystemen kann der Administrator den Besitz einer Datei übernehmen, dann die Zugriffsrechte anpassen und sich so selbst Zugriff gewähren Benutzerverwaltung Die Benutzerverwaltung stellt das zentrale Werkzeug für die Erfassung von Benutzerinformationen in Institutionen dar. Neben den für die Authentisierung notwendigen Informationen wird in der Benutzerverwaltung auch die Gruppenzugehörigkeit der Benutzer hinterlegt. Im Rahmen der Benutzerverwaltung werden von den zuständigen Administratoren die folgenden Aufgaben durchgeführt: - die Anlage, Sperrung, Freigabe und Löschung von Benutzerkonten - die Änderung der dem Benutzerkonto zugeordneten Informationen (z. B. Nachname) - die initiale Vergabe von Passwörtern, die der Benutzer im Folgenden selbst ändern kann - das Anlegen und Löschen von Gruppen - das Hinzufügen oder Löschen von Benutzern zu Gruppen. Die technische Umsetzung der Benutzerverwaltung kann grundsätzlich auf drei verschiedene Arten erfolgen: 16 Bundesamt für Sicherheit in der Informationstechnik

17 ISi-Reihe ISi-S - Absicherung eines PC-Clients - Lokal: Benutzerkonten, Gruppenzugehörigkeit und Rechte werden lokal auf jedem APC gepflegt. - Zentral: Die Verwaltung von Benutzerkonten, Gruppen und Rechten erfolgt in einem Verzeichnisdienst (z. B. OpenLDAP oder Active Directory) auf einem zentralen Server. Bei der Anmeldung eines Benutzers greift der APC über das Netz auf den Verzeichnisdienst zu. Wesentliche Informationen, z. B. die Gruppenzugehörigkeit oder Authentisierungsdaten eines Benutzers, können auf dem APC nach erfolgter Anmeldung lokal zwischengespeichert werden. So ist auch eine spätere Anmeldung bei Ausfall des Verzeichnisdienstes oder der Netzverbindung möglich. - Zentral mit Synchronisation: Die Benutzer werden zentral verwaltet. Die Authentisierungs- und Autorisierungsdaten werden regelmäßig oder nach der Durchführung von Veränderungen vom Verzeichnisdienst auf den APC übertragen. Diese Synchronisation wird auf dem Verzeichnisdienst-Server initiiert und erfolgt somit unabhängig von der Anmeldung eines Benutzers am APC. Die zentrale Benutzerverwaltung minimiert den administrativen Aufwand erheblich, insbesondere wenn Benutzer an wechselnden APCs arbeiten. Durch das Zwischenspeichern der Authentisierungs- und Autorisierungsdaten auf dem APC ohne Synchronisation besteht jedoch das Risiko von unautorisierten Zugriffen. Wird ein Benutzer beispielsweise nach einem Team-Wechsel im Verzeichnisdienst aus der zum Team gehörenden Gruppe entfernt, können auf dem APC lokale Kopien der Autorisierungsinformationen verbleiben. Diese weisen den Benutzer noch als Gruppenmitglied aus und ermöglicht ihm so den unberechtigten Zugriff auf Dateien seines ehemaligen Teams Benutzer-Authentisierung Zur Identifikation eines Anwenders kommen grundsätzlich drei Faktoren in Frage: - Wissen (z. B. ein nur dem Benutzer bekanntes Passwort) - Besitz (eine Smartcard 5 o. Ä., die sich nicht oder nur mit erheblichem Aufwand duplizieren lässt) - Eigenschaft 6 (z. B. Fingerabdruck, Stimmmuster). Die am weitesten verbreitete Form der Anmeldung ist die Authentisierung durch Wissen, also mittels Benutzername und Passwort. Die Sicherheit des Verfahrens hängt von der Konfiguration des Verzeichnisdienstes, der Sicherheit des Kommunikationsprotokolls zwischen APC und Verzeichnisdienst, der Art der Passwort-Speicherung und von den Eigenschaften des Passworts ab, z. B.: - Passwort-Qualität (Entropie): Die Länge, die Verwendung von Ziffern und Sonderzeichen, der Verzicht auf Worte aus einem Wörterbuch - Gültigkeitsdauer: Die maximale Zeit, nach der der Anwender ein neues Passwort setzen muss - Wiederholungsfrequenz: Die Anzahl von neuen Passwörtern, die ein Anwender setzen muss, bevor er ein altes Passwort wieder verwenden kann 5 Smartcards sind Chipkarten mit Mikro-Prozessor und nicht-flüchtigem Speicher. Solche Karten können Schlüssel speichern und digitale Signaturen berechnen. Smartcards werden mit einem Kartenleser an den APC angeschlossen und werden in der Regel mit einem PIN freigeschaltet. Sie eignen sich auch zur Unterstützung von Verschlüsselung. 6 Neben körperlichen Merkmalen wie Fingerabdruck, Iris-Struktur und Gesicht, können auch Verhaltens-Merkmale wie der Anschlagrhythmus auf der Tastatur und Druck/Geschwindigkeit beim Unterschreiben verwendet werden. Bundesamt für Sicherheit in der Informationstechnik 17

18 ISi-S - Absicherung eines PC-Clients ISi-Reihe - Reaktion bei Fehlversuchen: Nach einer festgelegten Anzahl erfolgloser Anmeldeversuche sind prinzipiell zwei verschiedene Reaktionen möglich: 1. die automatische Sperrung des Kontos 2. eine zeitliche Verzögerung weiterer Anmeldeversuche (Teergrube) - Auswertung von Fehlversuchen: Die Protokollierung, die Auswertung und die Reaktion auf fehlgeschlagene Anmeldungen - Vertraulichkeit: Der Schutz der übertragenen oder gespeicherten Passwörter vor Ausspähen. Eine sicherere Authentisierung wird durch die Kombination zweier Faktoren erzielt. Man spricht dann auch von Zwei-Faktor-Authentisierung (siehe Variante A). Typische Kombinationen sind Passwort und biometrisches Merkmal (z. B. Fingerabdruck) oder Passwort und Besitz (z. B. Smartcard). Ein weiteres Verfahren zur Identifikation durch Wissen und Besitz ist die Authentisierung mittels Passcode-Tokens. Diese autonomen Geräte in der Größe eines USB-Sticks erzeugen zeitgesteuert oder auf Knopfdruck einen numerischen Passcode, der einmalig zur Authentisierung verwendet wird. Der Benutzer gibt anstatt eines statischen Passworts den Passcode zusammen mit einer nur ihm bekannten Personal Identification Number (PIN) ein. Der APC prüft PIN und Passcode über einen zentralen Server, der die Abfolge der vom Token generierten Passcodes und die PIN des Benutzers kennt. Der Passcode dient somit als Einmalpasswort APCs im Ruhezustand Der Benutzer kann den APC über die entsprechende Funktion des Betriebssystems herunterfahren. Dabei löscht das Betriebssystem den Inhalt der Auslagerungsdatei. Neben dem vollständigen Herunterfahren bieten moderne Systeme und insbesondere Laptops häufig einen Energiesparmodus. Hier wird zwischen zwei unterschiedlichen Arten unterschieden: 1. Bei Suspend To RAM werden Peripheriegeräte und der Prozessor ausgeschaltet, der Hauptspeicher aber wird weiterhin mit Strom versorgt. Der Hauptspeicherinhalt bleibt somit erhalten. 2. Bei Suspend To Disk wird der Systemzustand inklusive des Hauptspeicherinhalts auf der Festplatte gespeichert und es erfolgt das anschließende Ausschalten des APCs. Bei beiden Verfahren kann es passieren, dass sensible Informationen, z. B. zwischengespeicherte Passwörter, auf der Festplatte abgelegt werden. 2.4 Software-Verwaltung Die Software, die auf dem APC eingesetzt wird, umfasst sowohl das Betriebssystem als auch Anwendungsprogramme und Schutzkomponenten wie beispielsweise ein Virenschutzprogramm. Um den sicheren und reibungslosen Einsatz dieser Software gewährleisten zu können, sind zwei wesentliche Aspekte zu beachten: Zum einen ist es erforderlich, die Lizenzen zu verwalten, um die Verfügbarkeit der Software sicherzustellen (siehe Abschnitt 2.4.1). Zum anderen muss die Software regelmäßig aktualisiert werden, um bestehende Sicherheitslücken zu schließen (siehe Abschnitt 2.4.2). 18 Bundesamt für Sicherheit in der Informationstechnik

19 ISi-Reihe ISi-S - Absicherung eines PC-Clients Lizenzierung Für den Einsatz vieler kommerzieller Betriebssysteme und Anwendungen ist eine Lizenz des Herstellers erforderlich. Je nach Produkt werden das Vorhandensein und die korrekte Nutzung der Lizenz technisch überwacht. Hierzu gibt es verschiedene Verfahren, die miteinander kombiniert werden können. - Der Lizenzschlüssel wird bei der Installation eingegeben und geprüft. - Lizenzschlüssel werden in regelmäßigen Abständen während des Betriebs gegen einen zentralen Lizenzserver innerhalb der Organisation geprüft. - Anwendung/Betriebssystem müssen beim Hersteller über das Internet registriert und aktiviert werden. Dabei prüft der Hersteller die Gültigkeit des Lizenzschlüssels. - Bei der Aktualisierung von Betriebssystem oder Anwendungen wird die Gültigkeit des Lizenzschlüssels erneut geprüft (z. B. die Windows Genuine Advantage-Prüfung). Auch zur Verwaltung von Lizenzen sind mehrere Modelle üblich: - Eine Lizenz ist für ein einzelnes Betriebssystem/eine einzelne Anwendung gültig. - Eine Lizenz gilt für alle Betriebssysteme/Anwendungen einer Institution (Volumenlizenzen). - Es existiert ein Pool an Lizenzen für eine Anwendung. Die Anwendung lässt sich nur so oft starten, wie freie Lizenzen vorhanden sind. Ein im Netz verfügbarer oder beim Hersteller laufender Lizenzserver prüft die Anzahl der (parallel) genutzten Lizenzen. Manche Lizenzen sind nur befristet gültig und müssen daher regelmäßig erneuert werden. Beispiele sind Lizenzen für Virenschutzprogramme. Der Viren-Scanner arbeitet zwar in der Regel nach Ablauf der Lizenz weiter, die Erkennungsmuster werden jedoch nicht mehr aktualisiert. Der Einsatz von Produkten mit zeitlich befristeten Lizenzen kann zu Problemen führen, wenn z. B. nach der Insolvenz des Herstellers eine Verlängerung der Lizenz nicht mehr möglich ist. Je nach eingesetztem Lizenzierungsverfahren kann die Verfügbarkeit der Anwendungen bedroht sein. Bei Produkten mit Online-Registrierung kann der Hersteller bei Nutzung oder Aktualisierung die Gültigkeit der Produktlizenz über das Netz prüfen. Werden Lizenzschlüssel von Dritten ausgespäht und missbraucht, kann der Hersteller die Produktlizenz für ungültig erklären. Eine Aktualisierung oder Nutzung des Produkts ist dann nicht mehr möglich Update-Server und Software-Verteilung Bei modernen Betriebssystemen erfolgen Aktualisierungen typischerweise über das Netz. Dazu lädt ein Dienst über das Netz neue Versionen des Betriebssystem-Kerns, der Bibliotheken, der Dienste oder der mit dem Betriebssystem mitgelieferten Anwendungen und installiert diese. Das Laden kann grundsätzlich von zwei verschiedenen Quellen erfolgen: - Aktualisierungen werden über das Internet direkt von einem Webserver des Herstellers geladen. - Die APCs im lokalen Netz beziehen ihre Aktualisierungen von einem lokalen Update-Server, der Aktualisierungen seinerseits vom Hersteller über das Internet lädt. Der Einsatz eines lokalen Update-Servers bietet gegenüber dem Laden der Aktualisierungen von einem Webserver des jeweiligen Herstellers einige Vorteile: Bundesamt für Sicherheit in der Informationstechnik 19

20 ISi-S - Absicherung eines PC-Clients ISi-Reihe Zum einen reduziert der Einsatz eines lokalen Update-Servers die für die Internet-Verbindung benötigte Bandbreite, da nur der Update-Server und nicht jeder einzelne APC eine Verbindung zu dem Server des Herstellers aufbaut. Zum anderen können je nach verwendetem Produkt auf dem Update-Server Aktualisierungen gezielt für einzelne APCs oder APC-Gruppen freigegeben werden. Dieser Mechanismus wird als Update-Steuerung bezeichnet. Damit kann die Verteilung von Updates über den zentralen Update- Server gesteuert und die testweise Installation von Updates komfortabel implementiert werden. Ohne lokalen Update-Server muss der Administrator das Laden der Aktualisierungen auf den APCs einzeln initiieren. Viele Update-Server können zudem den Aktualisierungsstatus der angebundenen APCs in Form eines Reports protokollieren. Der Administrator erhält so mit geringem Aufwand einen Überblick über die Aktualität der APCs. Update-Server können typischerweise nur Updates eines Betriebssystem-Herstellers verteilen. Große Unternehmen setzen daher zusätzlich zu Update-Servern häufig eine Software-Verteilung ein. Durch diese ist die Installation und Aktualisierung von Anwendungen möglich, für die der Hersteller keine direkte netzunterstützte Durchführung von Software-Aktualisierungen anbietet. 2.5 Komponenten und Techniken der APC-Sicherung Die bisher beschriebenen Komponenten und Techniken dienen hauptsächlich der Bereitstellung von Funktionen. In den folgenden Abschnitten werden nun Maßnahmen beschrieben, die den Schutz des Clients erhöhen und Bestandteil der in Abschnitt 3 beschriebenen Grundarchitektur sind. Die Beschreibung der Sicherungskomponenten orientiert sich dabei an ihrer Aufgabe und nicht an der Integration in auf dem Markt verfügbare Produkte. So werden beispielsweise Virenschutz, Personal Firewall und Ausführungskontrolle einzeln erläutert, obwohl einige Produkte bzw. Produkt-Suiten mehrere dieser Funktionen beinhalten Das Minimalsystem Ein grundlegendes Prinzip in der Sicherheit ist Minimalität. Grundsätzlich gilt, dass Soft- und Hardware-Komponenten oder auch Funktionen, die nicht vorhanden sind, auch nicht angegriffen oder missbraucht werden können. Daher ist es für den Aufbau eines sicheren APCs sinnvoll und notwendig, auf nicht erforderliche Komponenten zu verzichten. Dies gilt sowohl für in den APC integrierte Hardware-Komponenten, für externe Schnittstellen und Peripheriegeräte als auch für das Betriebssystem (Dienste, Gerätetreiber) und die darauf aufbauenden Bibliotheken und Anwendungen. Externe Schnittstellen und Peripheriegeräte Die sicherste Methode zum Minimieren der externen Schnittstellen ist der Verzicht auf bzw. der Ausbau von nicht benötigten Komponenten. Dies ist jedoch oft nicht praktikabel. So bieten moderne PCs und Laptops beispielsweise Firewire-Anschlüsse direkt auf der Hauptplatine, wodurch ein Ausbau nicht möglich ist. Es existieren dennoch mehrere Möglichkeiten zur Deaktivierung nicht benötigter Schnittstellen: - Abschalten der Schnittstelle im BIOS/EFI 20 Bundesamt für Sicherheit in der Informationstechnik

21 ISi-Reihe ISi-S - Absicherung eines PC-Clients - Entfernen des Treibers aus dem Betriebssystem - Deaktivieren des Treibers im Betriebssystem. Bei dem Abschalten der Schnittstelle im BIOS/EFI ist zu beachten, dass je nach verwendetem BIOS/EFI, abzuschaltendem Gerät und dem eingesetzten Betriebssystem die zum Gerät gehörenden Treiber trotzdem geladen werden und damit die Abschaltung im BIOS/EFI unwirksam ist. Nach dem Entfernen des Treibers kann das Betriebssystem angeschlossene Geräte nicht mehr ansprechen. Allerdings kann im Rahmen von Betriebssystem-Aktualisierungen der gelöschte Treiber ungewollt und automatisch erneut installiert werden. Dann steht das Gerät wieder zur Verfügung. Das Löschen von Treibern ist also kein zuverlässiger Mechanismus zur Deaktivierung. Alternativ zur Löschung von Treibern können Treiber im Betriebssystem auch deaktiviert werden (z. B. mittels einer Blacklist). So wird dem Betriebssystem durch geeignete Konfiguration mitgeteilt, entsprechende angeschlossene Peripheriegeräte oder auch externe Schnittstellen trotz vorhandener Treiber nicht zu verwenden. Solche Einstellungen bleiben auch bei einer Betriebssystem-Aktualisierung erhalten. Durch Entfernung oder Ausschalten des jeweiligen Treibers ist es möglich, die komplette Schnittstelle oder nur spezielle Gerätetypen zu deaktivieren. Löscht man beispielsweise den USB- Treiber, so können keine USB-Geräte mehr verwendet werden. Löscht man dagegen nur den Treiber für USB-Massenspeicher, so sind USB-Sticks und -Festplatten deaktiviert, andere Geräte wie Tastatur und Maus können jedoch weiterhin über USB angeschlossen werden. Anwendungen Auch für Anwendungen gilt das Minimalprinzip. Anwendungen, die für den Einsatzzweck des APCs nicht benötigt werden, sollten auch nicht installiert sein. Ein Benutzer benötigt beispielsweise für die Durchführung von Schreibarbeiten auf dem APC sicherlich ein Programm zur Textverarbeitung, aber in der Regel kein Programm zur Bearbeitung von Videos. Diverse Anwendungen erlauben direkt bei der Installation die Auswahl der zu installierenden Komponenten. Auch hier ist es sinnvoll, auf nicht benötigte Teil-Komponenten zu verzichten. So benötigt ein APC für Schreibarbeiten keine Komponenten des Office-Pakets zur Erstellung von Präsentationen oder Web-Seiten Verschlüsselung von Daten Verschlüsselung wird eingesetzt, um die Vertraulichkeit von Daten bei der Übertragung und Speicherung zu gewährleisten. Im Rahmen dieser Studie werden zwei Szenarien für die Verschlüsselung gespeicherter Daten betrachtet: - Gewährleistung der Vertraulichkeit von Daten beim Verlust eines Datenträgers, z. B. durch Diebstahl eines Laptops (siehe auch Gefährdung Hardware-Zugang) - Verhinderung des Zugriffs auf vertrauliche Daten durch einen Mechanismus, der stärker ist als die Zugriffskontrolle über Dateiattribute (siehe auch Gefährdung Innentäter). Anwendungen schreiben Dateien in das Dateisystem. Diese Dateien werden dann in Sektoren auf der Festplatte abgelegt. Kommt nun eine Verschlüsselung zum Einsatz, so lässt sich grundsätzlich zwischen Verschlüsselung auf Sektorebene oder auf Dateiebene unterscheiden, d. h. dem Zeitpunkt, zu dem die Daten verschlüsselt werden. Eine kurze Bewertung der unterschiedlichen Verfahren wird in Abschnitt vorgenommen. Bundesamt für Sicherheit in der Informationstechnik 21

22 ISi-S - Absicherung eines PC-Clients ISi-Reihe Folgende generelle Anmerkungen gelten für alle in den Abschnitten und vorgestellten Verschlüsselungsmechanismen: Schlüsselspeicherung Neben der Eingabe durch den Benutzer kann der zum Ver- und Entschlüsseln erforderliche Schlüssel auch auf einer Smartcard (siehe Abschnitt 2.3.5) abgelegt werden. Das Trusted Platform Module (TPM, siehe Abschnitt ) bietet die Möglichkeit, einen Schlüssel geschützt lokal auf dem APC abzulegen. Da der in einer Smartcard bzw. durch das TPM gespeicherte Schlüssel erst nach Eingabe einer PIN nutzbar ist, sind die chiffrierten Daten durch die Faktoren Wissen und Besitz geschützt. Bei der Schlüsselspeicherung auf einer Smartcard ist im Gegensatz zur Speicherung durch ein TPM auch die Dechiffrierung der Daten auf anderen PCs möglich. Verfahren und Schlüssellängen Für Verschlüsselungstechniken kann üblicherweise unter mehreren Verfahren (Chiffren) gewählt werden. Jede Chiffre hat spezifische Vor- und Nachteile sowohl in Bezug auf die Sicherheit als auch im Hinblick auf die Geschwindigkeit der Ver- und Entschlüsselung. Es sollte immer ein Verfahren verwendet werden, das nach dem aktuellen Stand als sicher eingestuft wird. Informationen zur Auswahl eines Chiffres finden sich in [Krypto]. Schlüsselverwaltung Unabhängig von der eingesetzten Verschlüsselungstechnik ist eine geeignete Schlüsselverwaltung erforderlich. Diese muss sicherstellen, dass bei Austritt oder Erkrankung eines Mitarbeiters sowie bei Vergessen des Passworts bzw. bei Verlust des Schlüssels die chiffrierten Daten auch von anderen berechtigten Anwendern entschlüsselt werden können. Im einfachsten Fall hinterlegt der Benutzer seinen Schlüssel und sein Passwort an geeigneter Stelle. Beispielsweise können die Informationen in gedruckter Form in einem Tresor aufbewahrt werden. Besser sind allerdings Verfahren, die das Entschlüsseln der Daten mit unterschiedlichen Passwörtern erlauben. Das vom Benutzer eingegebene Passwort ist dabei nicht der Schlüssel, sondern dient nur zur Dechiffrierung des eigentlichen Schlüssels. Sollen mehrere Benutzer auf chiffrierte Daten zugreifen können, wird der eigentliche Schlüssel für jeden Benutzer chiffriert mit seinem Passwort abgelegt. Auch bei der Speicherung von Schlüsseln auf Smartcards oder dem TPM gibt es Verfahren zur Schlüsselhinterlegung bzw. -wiederherstellung. Damit ist auch im Falle eines Defekts von Smartcard bzw. TPM die Verfügbarkeit der vertraulichen Daten sichergestellt Verschlüsselung auf Sektorebene Anwendungen greifen über das Dateisystem auf Dateien zu. Das Dateisystem organisiert die Ablage von Dateien auf der Festplatte. Es speichert für jede Datei, wo diese physisch auf der Festplatte liegt und ordnet der Datei zusätzliche Meta-Informationen, beispielsweise Name, Besitzer und Attribute, zu. Beim Speichern einer Datei wird der Dateiinhalt typischerweise auf mehrere Sektoren der Festplatte verteilt. Die einzelnen Sektoren der Festplatte oder von Festplattenpartitionen können dann verschlüsselt werden. Abbildung 2.6 zeigt dieses Vorgehen. Mit diesem Verfahren lässt sich die gesamte Festplatte verschlüsseln (Festplattenverschlüsselung) oder einzelne Partitionen (Partitionsverschlüsselung). 22 Bundesamt für Sicherheit in der Informationstechnik

23 ISi-Reihe ISi-S - Absicherung eines PC-Clients Abbildung 2.6: Verschlüsselung auf Sektorebene Festplattenverschlüsselung Bei einer vollständigen Festplattenverschlüsselung wird die gesamte Festplatte des Systems auf Sektorebene verschlüsselt. Die Entschlüsselung muss bereits vor dem Start des Betriebssystems erfolgen, da auch das Betriebssystem verschlüsselt ist. Dazu ist in der Regel die Eingabe eines Passwortes, das Einstecken eines USB-Tokens oder das Einscannen des Fingerabdrucks notwendig. Diese Aufgabe übernimmt meist der Boot-Loader, der anschließend die Betriebssystem-Partition entschlüsselt und das Betriebssystem startet. Im laufendem Betrieb sorgt ein spezieller Treiber für die transparente Ver- und Entschlüsselung aller Daten, die auf die Platte geschrieben bzw. von dieser gelesen werden. Alle Anwendungen können damit im Betrieb auf die Daten zugreifen, als ob diese unverschlüsselt wären. Das Ver- und Entschlüsseln aller lesenden und schreibenden Zugriffe auf die Festplatte ist ressourcenintensiv und verringert daher die zur Verfügung stehende Systemleistung. Bei modernen PCs und normalen Office-Anwendungen kann diese Leistungseinbuße in den überwiegenden Fällen allerdings vernachlässigt werden. Einige Prozessoren bieten eine direkte Unterstützung des Advanced Encryption Standards (AES) an. Anwendungen, die diese Prozessorunterstützung nutzen, können dadurch performanter ver- und entschlüsseln. Da das Betriebssystem im gestarteten Zustand transparenten Zugriff auf die verschlüsselten Daten hat, schützt die Festplattenverschlüsselung die Vertraulichkeit nur bei ausgeschaltetem APC. Partitionsverschlüsselung Im Gegensatz zur vollständigen Festplattenverschlüsselung werden bei der Partitionsverschlüsselung nicht alle Partitionen chiffriert. Die Partitionsverschlüsselung wird eingesetzt, um die Leistungseinbuße bei Anwendungen zu minimieren, die viele Zugriffe auf die Festplatte benötigen. Mit Hilfe der Partitionsverschlüsselung kann eine spezifische Datensicherheit umgesetzt werden. Beispielsweise könnten nur die Partitionen mit den Benutzerdaten chiffriert werden, der Arbeitsbereich für die Ausführung von Anwendungen mit vielen Festplattenzugriffen jedoch nicht. Bundesamt für Sicherheit in der Informationstechnik 23

24 ISi-S - Absicherung eines PC-Clients ISi-Reihe Verschlüsselung auf Dateiebene Ein anderes Verfahren zur Verschlüsselung ist die Verschlüsselung von Dateien. Hierbei werden die Daten bereits verschlüsselt, bevor sie im Dateisystem abgelegt werden, wie Abbildung 2.7 verdeutlicht. Es lässt sich zwischen der Verschlüsselung einzelner Dateien und der Verschlüsselung von sogenannten Containern unterscheiden, in denen mehrere Dateien abgelegt werden können. In beiden Varianten besteht wie auch bei der Partitionsverschlüsselung die Gefahr, dass schützenswerte Daten außerhalb der verschlüsselten Bereiche abgelegt werden. Abbildung 2.7: Verschlüsselung auf Dateiebene Dateiverschlüsselung Bei dieser Methode wird nur diejenige Datei entschlüsselt, deren Inhalt der Benutzer gerade benötigt. Andere verschlüsselte Dateien bleiben geschützt. Dies reduziert die Angriffsmöglichkeiten auf vertrauliche Inhalte erheblich, da nicht entschlüsselte Dateien auch bei laufendem APC geschützt sind. Die verschlüsselten Dateien können sowohl auf der lokalen Festplatte als auch auf einem Datei-Server abgelegt werden. Container-Verschlüsselung Bei der Container-Verschlüsselung wird ein sogenannter Container erzeugt, der die zu verschlüsselnden Daten enthält und als Datei auf der Festplatte abgelegt wird. Der Container wird dann als Ganzes verschlüsselt. Für die Nutzung wird dieser Container als Laufwerk oder Ordner eingebunden. Benutzer und Anwendungsprogramme können transparent auf die im Container gespeicherten Daten zugreifen Bewertung der verschiedenen Methoden Die Festplattenverschlüsselung schützt die Daten bei Verlust oder Diebstahl des APCs. Allerdings greift der Schutz nur im ausgeschalteten Zustand und nicht im laufenden Betrieb. Wird nicht die gesamte Festplatte verschlüsselt (Partitionsverschlüsselung), so besteht zudem die Gefahr, dass das Betriebssystem oder Anwendungen temporäre Dateien, z. B. Auslagerungsdatei oder virtueller Speicher, außerhalb der verschlüsselten Partition anlegen. Diese Dateien sind auch im ausgeschalteten Zustand nicht geschützt. 24 Bundesamt für Sicherheit in der Informationstechnik

25 ISi-Reihe ISi-S - Absicherung eines PC-Clients Eine Dateiverschlüsselung schützt Dateien sowohl beim Transport auf Wechseldatenträgern als auch auf einem Datei-Server. Allerdings muss hierbei jede Datei einzeln verschlüsselt werden. Etwas mehr Komfort bietet die Container-Verschlüsselung, bei der sich mehrere Dateien in einem geschützten Container ablegen lassen. Wird dieser Container geöffnet, sind jedoch all diese Dateien lesbar Virtualisierung Virtualisierung ermöglicht es, auf einem APC in einer sogenannten virtuellen Maschine ein weiteres Betriebssystem laufen zu lassen, das vom eigentlichen APC getrennt ist. Diese Methode ist in der nachfolgenden Abbildung 2.8 dargestellt. Abbildung 2.8: Virtualisierung Die Virtualisierungsumgebung läuft als Anwendung auf dem APC, dem sogenannten Wirt (Host). In dieser Umgebung kann nun ein weiteres Betriebssystem, der sogenannte Gast (Guest), installiert werden. Die Virtualisierungsumgebung simuliert dem Gast, dass ein eigenständiges System mit eigener Hardware zur Verfügung steht, und leitet Zugriffe des Gast-Systems an das Betriebssystem des Hosts bzw. direkt an die reale Hardware des APCs weiter. Bei den meisten Virtualisierungslösungen können Gast und Wirt unterschiedliche Betriebssysteme verwenden. Die virtuelle Umgebung, in der der Gast läuft, besteht aus Sicht des Wirts aus einer Konfigurationsdatei und (mindestens) einem Festplatten-Image. Die Konfigurationsdatei enthält die Einstellungen der virtuellen Maschine. Das Festplatten-Image enthält sämtliche Daten des Gastes inklusive des Betriebssystems und der Anwendungen. Der Wirt stellt dem Gast den Inhalt des Festplatten-Images als virtuelle Festplatte zur Verfügung. Viele Virtualisierungslösungen bieten Funktionen zum Erzeugen von Snapshots an. Bei der Snapshot-Generierung erzeugt die Virtualisierungslösung eine Sicherungskopie des aktuellen Zustands der virtuellen Maschine. Der Snapshot enthält somit den Inhalt des Gast-Arbeitsspeichers, der Gast-Festplatte und den Zustand der virtuellen Gast-Geräte. Der Anwender kann beispielsweise nach einem Fehlerfall den Gast auf den Zustand des Snapshots zurücksetzen. Wird der im Snapshot gesicherte Zustand nicht mehr benötigt, kann der Benutzer den Snapshot löschen. Die Snapshot-Generierung kann auch automatisch erfolgen. Beim Start eines Gastes erzeugt die Virtualisierungslösung den Snapshot und setzt den Gast nach dessen Herunterfahren wieder auf Bundesamt für Sicherheit in der Informationstechnik 25

26 ISi-S - Absicherung eines PC-Clients ISi-Reihe diesen Zustand zurück. Eine so konfigurierte virtuelle Maschine startet immer im gleichen Zustand, unabhängig davon, welche Veränderungen der Benutzer oder ein eventuelles Schadprogramm auf dem Gast durchgeführt haben. Diese Betriebsart wird auch als Non-Persistent-Mode bezeichnet. Der Non-Persistent-Mode hat jedoch einen entscheidenden Nachteil: Gewollte Änderungen am Gast, z. B. die Aktualisierung des Virenschutzprogramms oder des Systems sowie Modifikationen an den Einstellungen des Benutzers gehen bei jedem Neustart der virtuellen Maschine verloren. Die Aktualisierung des Betriebssystems und des Virenschutzprogramms kann nur durch das Verteilen eines neuen Festplatten-Images erfolgen. Durch die in der Regel täglich erforderliche Aktualisierung des Virenschutzprogramms bzw. der Erkennungsmuster entsteht jedoch ein erheblicher administrativer Aufwand. Viele Virtualisierungslösungen stellen Treiber und Werkzeuge bereit, die im Gast-System installiert werden können. Damit können Gast und Wirt z. B. per Kopieren und Einfügen Daten austauschen, oder der Wirt kann dem Gast ausgewählte Teile seines Dateisystems zur Verfügung stellen. Diese Mechanismen lassen sich abschalten, um Gast und Wirt voneinander zu isolieren. Somit wird es für Schadprogramme im Gast erheblich schwieriger, in das Wirtsystem einzudringen. Zur Anbindung des Gastes an das lokale Netz gibt es folgende Optionen: 1. Im Bridge Mode nutzt der Gast die Netzschnittstelle des Wirts. Im lokalen Netz taucht der Gast als eigenständiges System mit eigener Ethernet-Adresse auf. 2. Im Host-Only Mode stellt die Virtualisierungsschicht ein virtuelles Netz bereit, das den Gast und den Wirt miteinander verbindet. Dieses virtuelle Netz hat keine Verbindung zu echten Netzen. Welche Dienste und Zugriffe zwischen Wirt und Gast möglich sind, hängt dabei von der Konfiguration der aktivierten Dienste und den Regeln der Personal Firewall ab. 3. Der Network Address Translation Mode ist eine Erweiterung des Host-Only Mode. Auch hier stellt die Virtualisierungslösung eine virtuelle Netzschnittstelle zwischen Wirt und Gast bereit. Der Wirt selbst arbeitet als Router und leitet Pakete zwischen dem Netz und dem Gast weiter. Dabei versteckt dieser per Adressumsetzung die IP-Adresse des Gast-Betriebssystems hinter der eigenen IP-Adresse. Im lokalen Netz erscheint dann die Kommunikation des Gastes mit der IPund Ethernet-Adresse des Wirtsystems. Die Auswahl der jeweils notwendigen Anbindungsmethode hängt vom Einsatzzweck des Gastsystems und den Sicherheitsanforderungen im lokalen Netz ab Virenschutzprogramm Schadprogramme, etwa Viren, Würmer und Trojanische Pferde, stellen eine große Gefährdung für APCs dar. Solche Schadprogramme werden häufig über Web-Seiten, s oder mobile Datenträger übertragen. Eine zentrale Prüfung der eingehenden Daten auf Schadprogramme findet gemäß [ISi-LANA], [ISi- Web-Server] und [ISi-Mail-Server] bereits im Sicherheits-Gateway und am -Server statt. Es kann jedoch nicht ausgeschlossen werden, dass Schadprogramme diese zentrale Prüfung unbemerkt passieren. Zum Beispiel könnte ein -Anhang mit Schadcode, für den zum Zeitpunkt des Empfangs noch keine Signatur verfügbar war und der somit nicht erkannt wurde, an den APC ausgeliefert werden. In einem solchen Fall bietet die erneute Prüfung auf Schadprogramme am APC selbst einen zusätzlichen Schutz. Ein Virenschutzprogramm auf dem APC ist daher als weitere Verteidigungslinie unerlässlich. 26 Bundesamt für Sicherheit in der Informationstechnik

27 ISi-Reihe ISi-S - Absicherung eines PC-Clients Um Schadprogramme zuverlässig zu erkennen, prüft das Virenschutzprogramm jede Datei bei einem Zugriff, d. h. beim Lesen, Schreiben oder Ausführen der Datei. Des Weiteren wird in regelmäßigen Abständen die gesamte Festplatte auf Schadprogramme untersucht. Eine besondere Art von Schadprogramm ist die sogenannte Spyware, die Benutzer-Daten und -Verhalten ausspioniert. Spyware verwendet häufig spezielle Techniken (Rootkit-Techniken), um sich vor dem Virenschutzprogramm zu verbergen. In vielen Produkten ist bereits eine Anti- Spyware-Komponente enthalten. Diese bieten jedoch nicht immer ausreichenden Schutz, so dass ergänzende Programme sinnvoll sein können. Qualitätsmerkmale Die wesentlichen Qualitätsmerkmale eines Virenschutzprogramms sind: - Effizienz: Wie viel Systemleistung benötigt der Suchalgorithmus? - Vollständigkeit der Erkennung: Wie viele Schadprogramme werden erkannt bzw. nicht erkannt? - Vollständigkeit der Bereinigung: Können die erkannten Schadprogramme entfernt werden? - Update-Häufigkeit: Wie oft aktualisiert der Hersteller die für die Virenerkennung erforderlichen Daten und Programme? Wie schnell reagiert er auf neue Schadprogramme? - Fehlalarm-Häufigkeit: Wie oft werden in Daten oder Programmen Viren erkannt, obwohl keine vorhanden sind? Betriebsarten Virenschutzprogramme können in zwei Betriebsarten ausgeführt werden: - On Access (residenter Betrieb): Das Virenschutzprogramm wird beim Hochfahren des Systems als Dienst gestartet und überwacht permanent alle Schreib- und Lesezugriffe. - On Demand: Das Virenschutzprogramm muss explizit gestartet werden und untersucht dann die per Parameter oder Konfiguration übergebenen Dateien und Verzeichnisse. Virenschutzprogramme nutzen eine Kombination aus beiden Verfahren. Sie lassen sich so konfigurieren, dass sie sowohl als Dienst laufen und On Access scannen als auch in regelmäßigen Abständen automatisch den gesamten APC scannen. Der Benutzer kann meist auch gezielt eine Untersuchung des gesamten APCs oder einzelner Dateien initiieren. Erkennungsmethoden Zur Ermittlung von Schadprogrammen werden hauptsächlich drei Methoden angewendet, die nachfolgend beschrieben werden: 1. Bei der Prüfung basierend auf Erkennungsmustern (Virensignaturen) werden Schadprogramme ermittelt, indem die zu untersuchende Datei mit Erkennungsmustern bekannter Schadprogramme verglichen wird. Das Verfahren erkennt nur Schadprogramme, zu denen es bereits Erkennungsmuster gibt. Die Virensignaturen müssen daher stets auf dem aktuellen Stand des Herstellers gehalten werden. Hierzu verfügen Virenschutzprogramme über entsprechende Update-Mechanismen. 2. Bei der heuristischen Prüfung werden Schadprogramme ermittelt, indem eine Datei auf verdächtige Merkmale untersucht wird, die von Schadprogrammen im Allgemeinen bekannt sind. Im einfachsten Fall werden lediglich verdächtige Merkmale im Programmcode gesucht. Bundesamt für Sicherheit in der Informationstechnik 27

28 ISi-S - Absicherung eines PC-Clients ISi-Reihe Viele Virenschutzprogramme starten zusätzlich das zu prüfende Programm in einer Sandbox. Eine Sandbox ist eine vom eigentlichen System isolierte Ausführungsumgebung. Dem in der Sandbox laufenden Schadprogramm ist es somit nicht möglich, das Betriebssystem oder die Anwendungen zu modifizieren oder auf das Netz zuzugreifen. Aus der Codeuntersuchung und dem Ausführen in der Sandbox ermittelt das Virenschutzprogramm anschließend die Wahrscheinlichkeit dafür, dass es sich bei dem untersuchten Programm um ein Schadprogramm handelt. 3. Die verhaltensbasierte Erkennung überwacht Programme, während diese auf dem PC ausgeführt werden. Im Gegensatz dazu erfolgt die Untersuchung mittels Erkennungsmustern und Heuristiken vor der Ausführung. Die verhaltensbasierte Erkennung kann auffälliges Verhalten, beispielsweise Schreibzugriffe auf Systemdateien, während der Laufzeit erkennen Personal Firewall Personal Firewalls kontrollieren und unterbinden Zugriffe über das Netz auf den APC bzw. vom APC auf das Netz. Für die Entscheidung, eine Kommunikation zu erlauben oder zu verbieten, ist der angefragte Netzdienst und die Richtung des Verbindungsaufbaus relevant. Eine einfache Konfiguration einer Personal Firewalls ist beispielsweise, alle abgehenden Verbindungen also solche, die vom APC aus aufgebaut werden zu erlauben und alle ankommenden Anfragen zu blockieren. Personal Firewalls können nach unterschiedlichen Prinzipien arbeiten: - Zustandslose (stateless) Personal Firewalls entscheiden über Erlauben oder Verbieten nur auf Basis des vorliegenden Pakets. Im Wesentlichen wird hierzu die Absender- bzw. Zieladresse und Port-Nummer herangezogen. Zustandslose Personal Firewalls können mit präparierten Paketen umgangen werden (siehe Abschnitt 6.3.3: Fragmentierungsangriffe in [ISi-LANA]). - Kontextsensitive (stateful) Personal Firewalls berücksichtigen bei der Entscheidung auch vorangegangene Pakete. So kann eine kontextsensitive Personal Firewall ein zu prüfendes Paket in den Kontext einer Verbindung bringen und nur dann erlauben, wenn die Verbindung selbst zulässig ist. Nicht in den Verbindungskontext passende Pakete werden verworfen. - Application-Firewalls können Netzverkehr auf Basis der Anwendung prüfen, die eine Verbindung aufbauen will. Dazu verfügt die Application-Firewall über eine Whitelist, welche die kommunikationsberechtigten Anwendungen aufzählt. Anwendungen, die nicht auf der Whitelist stehen, können auch keine Verbindungen über das Netz aufbauen oder entgegennehmen. Eine Application-Firewall bietet keinen zusätzlichen Schutz für den APC selbst, da sie das Eindringen von Schadprogrammen nicht besser verhindern kann als eine zustandslose oder kontextsensitive Personal Firewall. Ist ein System jedoch infiziert, kann die Application-Firewall die weitere Ausbreitung des Schädlings unterbinden, da sie seine Kommunikationsfähigkeiten begrenzt. Durch diese Restriktion der Kommunikation kann die Application-Firewall auch den durch Schadprogramme verursachten Datenabfluss über das Internet verhindern Ausführungskontrolle Eine Möglichkeit, wie ein APC mit einem Schadprogramm infiziert werden kann, ist das Ausführen einer infizierten Programmdatei. Diese Datei wird vor ihrer Ausführung vom Virenschutzprogramm 28 Bundesamt für Sicherheit in der Informationstechnik

29 ISi-Reihe ISi-S - Absicherung eines PC-Clients (siehe Abschnitt 2.5.4) geprüft. Virenschutzprogramme bieten jedoch keinen vollständigen Schutz, da sie neue Schadprogramme erst mit einem gewissen Zeitverzug erkennen. Dieses Restrisiko kann reduziert werden, indem das Starten von nicht erlaubten Programmdateien durch eine Ausführungskontrolle verhindert wird. Diese Ausführungskontrolle kann sowohl verzeichnisbasiert als auch richtlinienbasiert implementiert sein. Die verzeichnisbasierte Ausführungskontrolle sorgt dafür, dass der Anwender - aus Verzeichnissen, in die er schreiben darf, keine Programme starten kann - in Verzeichnisse, aus denen er Anwendungen starten darf, nicht schreiben kann. Dadurch ist es einem Benutzer nicht möglich, eine Programmdatei auszuführen, die er aus dem Internet geladen oder von einem USB-Stick kopiert hat. Die richtlinienbasierte Ausführungskontrolle erlaubt eine wesentlich feingranularere Kontrolle der Programmausführung: Ein Regelwerk spezifiziert, welche Anwender welche Programme starten dürfen. Das Regelwerk kann dabei auch weitere Kriterien wie die aktuelle Uhrzeit berücksichtigen. Im Vergleich zur verzeichnisbasierten Ausführungskontrolle erfordert die richtlinienbasierte Ausführungskontrolle einen höheren Planungs- und Umsetzungsaufwand Gerätekontrolle Die Gerätekontrolle (Device Control) spezifiziert, welche Geräte über eine universelle externe Schnittstelle (z. B. USB oder Firewire) vom Benutzer an den APC angeschlossen werden können. Ein Gerät wird zunächst anhand verschiedener Eigenschaften identifiziert, beispielsweise: - Geräteklasse (z. B. Massenspeicher, Scanner, Audio-Gerät) - Hersteller - Seriennummer des Geräts. Auch eine Kombination der jeweiligen Eigenschaften ist möglich, um den Zugriff auf bestimmte Geräte gezielt zu erlauben oder zu verbieten. So lässt sich beispielsweise die Nutzung aller Geräte der Klasse Massenspeicher (also externe Festplatten, USB-Sticks, Speicherkarten usw.) mit Ausnahme eines ganz bestimmten USB-Sticks unterbinden. Das Regelwerk der Gerätekontrolle spezifiziert, wie der Benutzer das Gerät verwenden darf. Unterschiedliche Benutzer bzw. Benutzergruppen können verschiedene Rechte erhalten. Diverse Hersteller kombinieren eine Gerätekontrolle mit Produkten zur Verschlüsselung. Über das Regelwerk kann erzwungen werden, dass bei der Auslagerung von Daten auf einen externen Massenspeicher die Informationen verschlüsselt werden. Das Regelwerk legt auch fest, wo die Daten wieder entschlüsselt werden können, z. B. nur auf dem APC des Benutzers, der die Daten gespeichert hat, oder auf allen APCs einer konfigurierten Benutzergruppe Host-based-Intrusion-Detection/Prevention-System (HIDS/HIPS) Ein Host-based-Intrusion-Detection-System (HIDS) dient der Erkennung von Angriffen wie dem Eindringen in das System. Welche Mechanismen zur Erkennung verwendet werden, hängt vom jeweiligen Produkt ab. Die wichtigsten Erkennungstechniken sind: Bundesamt für Sicherheit in der Informationstechnik 29

30 ISi-S - Absicherung eines PC-Clients ISi-Reihe - Kontrolle der lokalen Protokollmeldungen, um z. B. verdächtige Zugriffsversuche auf Systemdateien zu erkennen - Prüfung von Programmen und Dateien auf Modifikation: Hierzu wird die Dateigröße, das Änderungsdatum oder eine Prüfsumme mit einem zuvor ermittelten Referenzwert verglichen. Unter Linux wird dabei auch geprüft, ob Programme seit der Ermittlung des Referenzwertes das SetUID-Attribut (siehe Abschnitt 2.3.3) erhalten haben. - Erkennung von Modifikationen an der Systemkonfiguration (z. B. der Windows-Registry) oder am Boot-Sektor - Kontrolle des laufenden Betriebssystem-Kerns auf Manipulation von Funktionen (diverse Schadprogramme versuchen sich durch die Manipulation des Kerns vor dem Administrator, dem Virenschutzprogrammen oder auch dem HIDS zu verbergen; einige dieser Manipulationen kann ein HIDS erkennen) - Verhaltenskontrolle von Prozessen, insbesondere deren Kommunikationsverhalten - Vergleich der Prozesse mit einer Whitelist oder einer Blacklist. Auffälligkeiten meldet das HIDS dem Benutzer und/oder protokolliert diese an zentraler Stelle. Ist das HIDS zu restriktiv eingestellt, kommt es zu häufigen Fehlalarmen. Tatsächlich sicherheitsrelevante Vorfälle können dann vom Benutzer bzw. vom Administrator übersehen werden. Ist das HIDS zu schwach eingestellt, erkennt es Sicherheitsverstöße möglicherweise nicht. Daher ist bei der Implementierung eines HIDS eine ausgiebige Testphase notwendig, in deren Verlauf die Konfiguration optimiert wird. Das HIDS kann Angriffe feststellen und melden, bietet jedoch keinen aktiven Schutz. Die Gefahr der Ausbreitung eines Schadprogramms über die gesamte Infrastruktur kann durch Maßnahmen reduziert werden, die entweder automatisch oder manuell vom Administrator durchgeführt werden. Werden solche Maßnahmen automatisch ausgelöst, so spricht man von einem Host-based- Intrusion-Prevention-System (HIPS), einer Erweiterung eines HIDS, und ergreift beim Erkennen eines Schadprogramms Gegenmaßnahmen wie: - Stoppen verdächtiger Prozesse oder Dienste - Reinigen oder Sperren von infizierten Dateien - Herunterfahren des Systems oder - Deaktivieren der Netzwerkkarte. HIDS und HIPS kombinieren häufig verschiedene Techniken, wie sie beispielsweise bei der verhaltensbasierten Schadprogrammerkennung (siehe Abschnitt 2.5.4), von Personal Firewalls (siehe Abschnitt 2.5.5) und Integritätsprüfungen (siehe Abschnitte F und G) zum Tragen kommen. Daher sind HIDS und HIPS oft keine eigenständigen Produkte, sondern Teil sogenannter Security Suiten Logging Um Störungen im Betrieb frühzeitig erkennen zu können, ist es erforderlich, relevante Systemereignisse regelmäßig zu erfassen und auszuwerten. Dies bezeichnet man als Logging oder Protokollierung. Nachfolgend werden einige Beispiele relevanter Ereignisse aufgeführt, die protokolliert werden können: 30 Bundesamt für Sicherheit in der Informationstechnik

31 ISi-Reihe ISi-S - Absicherung eines PC-Clients - die erfolgreiche und die fehlgeschlagene Anmeldung am APC - die Verweigerung des Zugriffs auf Dateien aufgrund fehlender Rechte - das erfolgreiche und das fehlgeschlagene Einspielen von Updates - das manuelle oder automatische Starten und Beenden von Systemdiensten und Anwendungen - die Meldung kritischer Systemzustände (z. B. voll laufende Festplatte oder Speicherfehler). Bei der Erfassung von Systemereignissen werden die folgenden Informationen gespeichert: - das Ereignis selbst - Datum und Uhrzeit des Auftretens - Verursacher (Prozess, falls möglich auch der zugehörige Benutzer) - weitere ereignisspezifische Informationen (z. B. die Datei, auf die der Zugriff verweigert wurde). Da durch Logging sehr detailliert nachvollzogen werden kann, welche Aktivitäten ein Benutzer auf dem System durchgeführt hat, sind unbedingt die rechtlichen Aspekte, z. B. zum Datenschutz, zu beachten. Bereits bei der Planung von Protokollierungsmaßnahmen ist die Personalvertretung mit einzubeziehen. Protokollmeldungen können lokal auf dem APC oder auf einem zentralen Logging-Server gesammelt werden. Die zentrale Speicherung erhöht in der Regel die Verfügbarkeit der Protokollmeldungen, wenn zentrale Systeme redundant betrieben werden. Zudem vereinfacht die zentrale Speicherung der Protokollmeldungen die Auswertung und die Korrelation von Ereignissen unterschiedlicher APCs. Insbesondere für die Korrelation von Protokollmeldungen ist die Synchronisation der Systemzeit auf den einzelnen APCs notwendig. Dies ist am einfachsten über den Einsatz eines zentralen Zeit-Servers zu erreichen. Ein zentraler Zeit-Server gewährleistet mittels NTP (Network Time Protocol), dass die Systemzeit aller APCs gleich ist (siehe [ISi- LANA]) Speicherschutzmechanismen Bedingt durch Programmierfehler kann es unter gewissen Umständen beim Verarbeiten von Daten dazu kommen, dass die zu verarbeitenden Daten länger als die im Programm dafür vorgesehenen Datenstrukturen sind. Wird keine exakte Längenprüfung der zu verarbeitenden Daten durchgeführt, können unter Umständen andere, nicht für diese Daten vorgesehenen Speicherbereiche eines Programms überschrieben werden. So kann z. B. der Stack, ein Teil des Arbeitsspeichers, der als temporärer Speicher für aufgerufene Funktionen innerhalb eines Programms dient, überschrieben werden. Da der Stack u. a. auch Rücksprungadressen zu den aufrufenden Programmbereichen speichert, ist gerade das unkontrollierte Überschreiben von Speicherbereichen im Stack aus sicherheitstechnischer Sicht äußerst kritisch. Es kann passieren, dass die Rücksprungadresse einer Funktion im Stack-Speicher derart mit Daten überschrieben wird, dass beim Verlassen der Funktion nicht zur aufrufenden Programmstelle zurückgesprungen, sondern auf einen Programmcode verzweigt wird, der sich ebenfalls in den vom Angreifer übermittelten Daten befindet. Auf diese Weise gelingt es Angreifern, ihren eigenen (schädlichen) Code in ein vertrauenswürdiges Programm zu injizieren. Diese Form des Angriffs wird Stack-Überlauf bezeichnet. Auch beim Heap-Überlauf erkennt die Anwendung nicht, dass die verarbeiteten Daten länger sind als die zur Verfügung stehende Datenstruktur. Im Gegensatz zum Stack-Überlauf liegt die Bundesamt für Sicherheit in der Informationstechnik 31

32 ISi-S - Absicherung eines PC-Clients ISi-Reihe Datenstruktur nicht auf dem Stack, sondern in einem Speicherbereich, den die Anwendung vom Betriebssystem zuvor angefordert hat (dem sogenannten Heap). Durch das Überschreiben von nicht für die verarbeiteten Daten vorgesehenen Bereichen auf dem Heap kann der Angreifer die Anwendung beeinflussen und im ungünstigsten Fall auch eigenen Code in das System injizieren. Heap- und Stack-Überläufe werden häufig unter der Bezeichnung Puffer-Überläufe (engl. Bufferoverflows) zusammengefasst und können überall dort auftreten, wo Daten eingelesen und bearbeitet werden. Häufig von diesen Stack- und Heap-Überläufen betroffene Komponenten und Anwendungen sind: - Dienste, die Daten vom Netz oder von einem lokalen Anwendungsprogramm entgegennehmen. Da viele Netzdienste mit administrativen Rechten laufen, kann auch der Angreifer Administratorrechte erlangen - Programme zur Anzeige von Bildern und Dokumenten - Programme zum Abspielen von Video- und Audio-Inhalten - Funktionen des Betriebssystem-Kerns. Speicherschutzmechanismen (Executable Space Protection, ESP) unterbinden die Ausführung von Programmen aus nicht dafür zugelassenen Bereichen des Arbeitsspeichers. Dazu werden über Mechanismen des Prozessors Speicherbereiche als nicht ausführbar markiert, so z. B der Stack, der in der Regel nur zur Speicherung von Daten verwendet wird, keinen ausführbaren Programmcode enthält und dementsprechend als nicht ausführbar markiert werden kann. Wird, wie am Beispiel des Stack-Überlaufs beschrieben, eine im Stack gespeicherte Rücksprungadresse derart überschrieben, dass sie in den Speicherbereich des Stacks verweist, kommt es beim Versuch des Prozessors, einen Code innerhalb des Stacks auszuführen, zu einem Fehler, und das Programm wird mit einer entsprechenden Meldung beendet. Ältere Prozessoren unterstützen diese Technik nicht. Voraussetzung für das korrekte Funktionieren dieses Mechanismus sind Dienste und Anwendungen, die nicht darauf angewiesen sind, ihre eigenen Datenbereiche als Code auszuführen. Im Windows-Umfeld trifft das nicht auf alle Programme zu, daher wird der Speicherschutz bei Windows (Data Execution Prevention, DEP) standardmäßig bei XP, Vista und Windows 7 nur für Windows-Systemdateien eingesetzt 7, kann jedoch auf weitere Anwendungen erweitert werden. Unter Windows existiert zudem eine Software-Variante der Data Execution Prevention, die unabhängig von der Hardware-Unterstützung des Prozessors ist. Diese Software-Variante verhindert jedoch nicht das Ausführen von Code in bestimmten Speicherbereichen, sondern verhindert, dass Schadprogramme die Windows-internen Mechanismen zur Ausnahmebehandlung missbrauchen Speicherrandomisierung Speicherschutzmechanismen schützen nicht vollständig gegen Puffer-Überläufe. Kennt der Angreifer den Aufbau des laufenden Programms im Arbeitsspeicher des APCs, kann er den Programmfluss durch einen Puffer-Überlauf auch an eine Stelle im Code dirigieren, die ihm dienliche Aktionen ausführt, z. B. einen Kommandozeileninterpreter startet. Diese Angriffsart wird auch als return to libc bezeichnet Bundesamt für Sicherheit in der Informationstechnik

33 ISi-Reihe ISi-S - Absicherung eines PC-Clients Die Speicherrandomisierung (Address Space Layout Randomization, ASLR) sorgt dafür, dass der Angreifer möglichst wenig Wissen über die Struktur des Programms im Arbeitsspeicher erhält. Dabei werden die beim Start eines Programms geladenen, dynamischen Bibliotheken zufällig im Adressraum verteilt. Dies erschwert einem Angreifer, Einsprungadressen in Bibliotheks- und Anwendungsfunktionen zu ermitteln. Sowohl die dynamischen Bibliotheken als auch die darauf zugreifenden Anwendungen müssen ASLR-fähig sein Trusted Platform Module (TPM) Das Trusted Platform Module (TPM) ist ein fester Bestandteil der Hauptplatine vieler APCs. Das TPM kann unter anderem kryptografische Schlüssel für Public-Key-Verfahren erzeugen und speichern sowie Zufallszahlen generieren. Die gespeicherten, privaten Schlüssel verlassen zu keinem Zeitpunkt das TPM. Vom TPM werden Operationen ausschließlich mit den privaten Schlüsseln (Dechiffrieren, Signieren) ausgeführt. Die privaten Schlüssel sind somit vor dem Zugriff durch Dritte oder durch Schadprogramme geschützt. Neben der Schlüsselspeicherung bietet das TPM noch zahlreiche weitere Möglichkeiten, die in heutigen Betriebssystemen jedoch nicht oder nur teilweise implementiert sind. Beispielsweise könnte das TPM einen Datensatz nur dann entschlüsseln, wenn die auf die Daten zugreifende Anwendung ein Anzeigeprogramm ist. Beim Versuch, die verschlüsselten Daten zu kopieren oder zu versenden, würde das TPM die Entschlüsselung verweigern. Heute verfügbare Betriebssysteme für den produktiven Einsatz unterstützen die Funktionen des TPM nur zum Teil: - Unter Windows Vista und Windows 7 kann die Festplattenverschlüsselung BitLocker das TPM zur Speicherung der notwendigen Schlüssel verwenden. Des Weiteren lässt sich der gesamte Boot-Vorgang bis zum Login mittels TPM absichern. - Unter Linux gibt es Ansätze, den zu einem Browser-Zertifikat gehörenden privaten Schlüssel im TPM zu speichern. Projekte wie TrustedGrub befassen sich mit der Absicherung des Systemstarts über das TPM. Weitere Informationen zur Technik und zu Einsatzmöglichkeiten des Trusted Platform Modules finden sich auf den Web-Seiten der Trusted Computing Group 8 und des BSI https://www.bsi.bund.de/contentbsi/themen/sichere_plattformen/trustedcomputing/trustedplatformmodul/truste dplatformmodul/uebersicht.html Bundesamt für Sicherheit in der Informationstechnik 33

34 ISi-S - Absicherung eines PC-Clients ISi-Reihe 3 Sichere Grundarchitektur für den normalen Schutzbedarf Im Regelfall sind Arbeitsplatzrechner (APCs) an ein lokales Netz angebunden, das wiederum an das Internet angeschlossen ist. Der Aufbau lokaler Netze sowie deren Internetanbindung über ein Sicherheits-Gateway werden in [ISi-LANA] betrachtet. Zusätzlich zu den zentralen Schutzkomponenten des Sicherheits-Gateways ist es notwendig, die APCs selbst gegen Angriffe und Schadprogramme zu schützen, um so eine weitere Verteidigungslinie aufzubauen. In diesem Abschnitt wird eine sichere Grundarchitektur für einen APC vorgestellt. Diese beschreibt, aus welchen Hardware-Komponenten der APC aufgebaut ist und welche Schutzkomponenten er enthält. Hierbei wird auf das Zusammenspiel und die Funktion der einzelnen Komponenten eingegangen. Informationen zur Auswahl, zur Konfiguration und zum Betrieb dieser Komponenten werden in Abschnitt 4 gegeben. 3.1 Überblick Die Grundarchitektur basiert auf dem Prinzip der Minimalität, d. h. es werden nur solche Hard- und Software-Komponenten verwendet, die für den Einsatzzweck des APCs tatsächlich erforderlich sind oder dem Schutz des APC dienen. Der Verzicht auf weitere Komponenten verringert die Angriffsfläche und das Risiko von Software- bzw. Konfigurationsfehlern, Hintertüren oder falscher Bedienung. Ein APC, der nur aus den notwendigen Hard- und Software-Komponenten besteht, wird als Minimalsystem bezeichnet. Einsatzzweck des APCs Um dem Ziel des Minimalsystems möglichst nahe zu kommen, muss bereits vor der Anschaffung und Installation des APCs definiert werden, für was er eingesetzt werden soll. Im Büroalltag sind typischerweise die folgenden Anwendungen erforderlich: - eine grafische Benutzeroberfläche zur Interaktion mit dem APC - ein Browser für den Zugriff auf Inhalte im internen Netz und dem Internet - ein -Programm zum Austausch von Nachrichten - ein Kalenderprogramm zur Verwaltung von Terminen und Besprechungen auf einem zentralen Kalender-Server (ggf. in das -Programm integriert) - ein Office-Paket mit den Komponenten Textverarbeitung, Tabellenkalkulation, Zeichen- und Präsentationsprogramm. Um die Flexibilität und universelle Einsetzbarkeit heutiger Arbeitsplatzrechner nicht unnötig einzuschränken, ist die Erweiterung des APCs um zusätzliche Anwendungen möglich. Um dabei die Sicherheit der Grundarchitektur nicht zu verringern, müssen diese Anwendungen jedoch bestimmten Kriterien genügen. Diese werden in Abschnitt beschrieben. In der Regel geht man bei einem APC von einem nicht portablen PC aus, der in einem zugangsbeschränkten Bereich einer Institution steht. Der Einsatz von mobilen APCs ist möglich, setzt aber zusätzliche Schutzmaßnahmen voraus (siehe Abschnitt und [ISi-Fern]). 34 Bundesamt für Sicherheit in der Informationstechnik

35 ISi-Reihe ISi-S - Absicherung eines PC-Clients Sicherheitskomponenten Abbildung 3.1 greift die Architektur eines APCs (vergleiche Abbildung 2.1) auf und ergänzt diese um Sicherheitsmechanismen. Nachfolgend wird die Funktion der Sicherheitskomponenten anhand von Beispielszenarien kurz erläutert. Abbildung 3.1: Schematischer Aufbau der Grundarchitektur des APCs Schließt ein Anwender ein Gerät (z. B. einen USB-Stick) an eine externe Schnittstelle an, so prüft die Gerätekontrolle zunächst, ob und wie das Gerät benutzt werden darf. Wird dem Anwender die Nutzung erlaubt, so stellt die Ausführungskontrolle sicher, dass beispielsweise auf einem USB- Stick gespeicherte Programme nicht gestartet werden können. Außerdem werden alle gelesenen Daten vom Virenschutzprogramm untersucht. Der Anschluss eines Geräts an die externe Schnittstelle, die Entscheidung der Gerätekontrolle, der von der Ausführungskontrolle unterbundene Start eines Programms und eventuell gefundene Schadprogramme werden über das Logging protokolliert. Alle über die Netzschnittstelle eingehenden Verbindungen werden von der Personal Firewall kontrolliert, bevor sie an Dienste des Betriebssystems oder an Anwendungen weiter gereicht werden. Analog kontrolliert die Personal Firewall auch Verbindungen, die Anwendungen, Dienste oder das Betriebssystem über die Netzschnittstelle aufbauen wollen. Die Personal Firewall schützt so den APC vor Angriffen über das Netz und erschwert gleichzeitig die Ausbreitung von Schadprogrammen, falls der APC doch einmal infiziert sein sollte. Unzulässige, abgehende Kommunikation wird von der Personal Firewall über das Logging protokolliert. Beim Lesen und Schreiben von Daten auf der lokalen Festplatte sorgt die für stationäre APCs optionale, für Laptops aber zwingend erforderliche, Festplattenverschlüsselung für die Chiffrierung bzw. Dechiffrierung der Daten. Handelt es sich bei den gelesenen Daten um eine Programmdatei, so stellt die Ausführungskontrolle sicher, dass Programme nur aus solchen Verzeichnissen gestartet werden können, auf die der Anwender keine Schreibrechte besitzt. Von der Ausführungskontrolle unterbundene Programmstarts werden protokolliert. Sowohl Programme als auch Daten werden beim Lesen von und beim Schreiben auf die Festplatte vom Virenschutzprogramm auf Schadcode kontrolliert. Das Virenschutzprogramm protokolliert gefundene Schadprogramme über das Logging. Die Benutzerverwaltung sorgt dafür, dass sich der Benutzer zunächst am APC anmelden muss. Beim Zugriff auf Daten oder Ressourcen bilden die in der Benutzerverwaltung gespeicherten Informationen (z. B. Rechte und Gruppenzugehörigkeit eines Benutzers) die Basis für die Bundesamt für Sicherheit in der Informationstechnik 35

Sicherheitsmaßnahmen bei modernen Multifunktionsgeräten (Drucker, Kopierer, Scanner, FAX)

Sicherheitsmaßnahmen bei modernen Multifunktionsgeräten (Drucker, Kopierer, Scanner, FAX) Sicherheitsmaßnahmen bei modernen Multifunktionsgeräten (Drucker, Kopierer, Scanner, FAX) Sommerakademie 2008 Internet 2008 - Alles möglich, nichts privat? Die Situation Multifunktionsgeräte (Drucker,

Mehr

Angewandte Informatik

Angewandte Informatik Angewandte Informatik Teil 2.1 Was ist Hardware? Die Zentraleinheit! 1 von 24 Inhaltsverzeichnis 3... Was ist Hardware? 4... Teile des Computers 5... Zentraleinheit 6... Die Zentraleinheit 7... Netzteil

Mehr

Betriebssysteme Kap A: Grundlagen

Betriebssysteme Kap A: Grundlagen Betriebssysteme Kap A: Grundlagen 1 Betriebssystem Definition DIN 44300 Die Programme eines digitalen Rechensystems, die zusammen mit den Eigenschaften dieser Rechenanlage die Basis der möglichen Betriebsarten

Mehr

Absicherung eines Servers (ISi-Server) BSI-Leitlinie zur Internet-Sicherheit (ISi-L)

Absicherung eines Servers (ISi-Server) BSI-Leitlinie zur Internet-Sicherheit (ISi-L) Absicherung eines Servers (ISi-Server) BSI-Leitlinie zur Internet-Sicherheit (ISi-L) Vervielfältigung und Verbreitung Bitte beachten Sie, dass das Werk einschließlich aller Teile urheberrechtlich geschützt

Mehr

1. Technik moderner Geräte

1. Technik moderner Geräte Kopiervorlagen und Arbeitsblätter 1. Technik moderner Geräte Verständnisfragen (Fragen 1-8, Buch S. 18) 1. Was bedeutet Bios? 2. Wozu benötigt ein Computer ein BIOS? 3. Nenne mindestens 5 Komponenten eines

Mehr

Grundlegende Systemadministration unter Apple Mac OSX. 15.06.2010 Dr. Ronald Schönheiter

Grundlegende Systemadministration unter Apple Mac OSX. 15.06.2010 Dr. Ronald Schönheiter Grundlegende Systemadministration unter Apple Mac OSX Systemadministration umfasst 1. Benutzerkonten / Berechtigungen 2. Netzanbindung 3. IT Sicherheit 4. Netzdienste 1. Dateizugriff (Freigaben / NetApp)

Mehr

Basiswissen. Verschlüsselung und Bildschirmsperre

Basiswissen. Verschlüsselung und Bildschirmsperre Basiswissen Verschlüsselung und Bildschirmsperre Der Speicher des Smartphones/Tablets ist vor unbefugtem Zugriff zu schützen. Dies kann durch Verschlüsselung oder äquivalente Verfahren realisiert werden.

Mehr

Dynamische Web-Anwendung

Dynamische Web-Anwendung Dynamische Web-Anwendung Christiane Lacmago Seminar Betriebssysteme und Sicherheit Universität Dortmund WS 02/03 Gliederung Einleitung Definition und Erläuterung Probleme der Sicherheit Ziele des Computersysteme

Mehr

Die Komponenten in Ihrem Computer 14.05.2008

Die Komponenten in Ihrem Computer 14.05.2008 Fast überall stehen Sie, die Computer. Sobald man über Computer spricht, fallen sehr viele Fachbegriffe, wie RAM, Dual-Core, MHz, GHz, SATA, ATA, um nur einige zu nennen. Viele können aber mit diesen Begriffe

Mehr

Aktive Schnittstellenkontrolle

Aktive Schnittstellenkontrolle Aktive Schnittstellenkontrolle Version 1.0 Ausgabedatum 05.03.2013 Status in Bearbeitung in Abstimmung Freigegeben Ansprechpartner Angelika Martin 0431/988-1280 uld34@datenschutzzentrum.de Inhalt 1 Problematik...2

Mehr

1. Schritt: Benutzerkontensteuerung aktivieren

1. Schritt: Benutzerkontensteuerung aktivieren Inhalt: 1. Schritt: Benutzerkontensteuerung aktivieren 2. Schritt: Firewall aktivieren 3. Schritt: Virenscanner einsetzen 4. Schritt: Automatische Updates aktivieren 5. Schritt: Sicherungskopien anlegen

Mehr

Netzwerk einrichten unter Windows XP

Netzwerk einrichten unter Windows XP Netzwerk einrichten unter Windows XP Dieses Tutorial beschreibt, wie Sie unter Windows XP das Netzwerk einrichten. Es wird vorausgesetzt, dass der Computer bereits über eine Netzwerkkarte verfügt. Das

Mehr

Grundlegende Systemadministration unter Apple OSX

Grundlegende Systemadministration unter Apple OSX Grundlegende Systemadministration unter Apple OSX Jour Fixe für IT Verantwortliche SS 2012 Systemadministration umfasst 1. Benutzerkonten / Berechtigungen 2. Netzanbindung 3. IT Sicherheit 4. Netzdienste

Mehr

Quick Guide. Installation SeeTec Version 5-1 -

Quick Guide. Installation SeeTec Version 5-1 - Quick Guide Installation SeeTec Version 5-1 - Inhaltsverzeichnis 1. Installation der SeeTec Software...3 1.1 Hinweise zur Installation...3 2. Standardinstallation (Server und Client)...3 2.1 SeeTec Administration

Mehr

DriveLock in Terminalserver Umgebungen

DriveLock in Terminalserver Umgebungen DriveLock in Terminalserver Umgebungen Technischer Artikel CenterTools Software GmbH 2011 Copyright Die in diesen Unterlagen enthaltenen Angaben und Daten, einschließlich URLs und anderen Verweisen auf

Mehr

Persona-SVS e-sync auf Windows Terminal Server

Persona-SVS e-sync auf Windows Terminal Server Persona-SVS e-sync auf Windows Terminal Server 2014 by Fraas Software Engineering GmbH Alle Rechte vorbehalten. Fraas Software Engineering GmbH Sauerlacher Straße 26 82515 Wolfratshausen Germany http://www.fraas.de

Mehr

Tapps mit XP-Mode unter Windows 7 64 bit (V2.0)

Tapps mit XP-Mode unter Windows 7 64 bit (V2.0) Tapps mit XP-Mode unter Windows 7 64 bit (V2.0) 1 Einleitung... 2 2 Download und Installation... 3 2.1 Installation von WindowsXPMode_de-de.exe... 4 2.2 Installation von Windows6.1-KB958559-x64.msu...

Mehr

Sicherheitsaspekte unter Windows 2000

Sicherheitsaspekte unter Windows 2000 Sicherheitsaspekte unter Windows 2000 Margarete Kudak Sascha Wiebesiek 1 Inhalt 1. Sicherheit 1.1 Definition von Sicherheit 1.2 C2 - Sicherheitsnorm 1.3 Active Directory 2. Sicherheitslücken 3. Verschlüsselung

Mehr

2. Sie sind der Administrator Ihres Netzwerks, das den SBS 2011 Standard ausführt.

2. Sie sind der Administrator Ihres Netzwerks, das den SBS 2011 Standard ausführt. Arbeitsblätter Der Windows Small Business Server 2011 MCTS Trainer Vorbereitung zur MCTS Prüfung 70 169 Aufgaben Kapitel 1 1. Sie sind der Administrator Ihres Netzwerks, das den SBS 2011 Standard ausführt.

Mehr

Ein kleines Computer-Lexikon

Ein kleines Computer-Lexikon Stefan Edelmann 10b NIS-Klasse Ein kleines Computer-Lexikon Mainboard Die Hauptplatine! Sie wird auch Motherboard genannt. An ihr wird das gesamte Computerzubehör angeschlossen: z.b. Grafikkarte Soundkarte

Mehr

Hinweis. Kapitel 1 Die Neuerungen im Überblick

Hinweis. Kapitel 1 Die Neuerungen im Überblick Kapitel 1 Die Neuerungen im Überblick Hinweis In meinem Blog findet sich eine kurze Übersicht über Hyper-V unter http://www.borncity.com/blog/ 2011/09/07/windows-8-offizielle-informationen-zu-hyper-v/

Mehr

Lösungen zu 978-3-8045-5387-3 Informations- und Telekommunikationstechnik Arbeitsheft, 3. Auflage. RAM empfohlen. RAM maximal

Lösungen zu 978-3-8045-5387-3 Informations- und Telekommunikationstechnik Arbeitsheft, 3. Auflage. RAM empfohlen. RAM maximal 1. HANDLUNGSSCHRITT Aufgabe 13 Betriebssystem Prozessortakt RAM empfohlen RAM maximal Installationsgröße SMP Anzahl Prozessoren Windows 7 Ultimate 2008 Web 2008 Standard 2008 Enterprise 2008 Datacenter

Mehr

1. Wireless Switching... 2. 1.1 Einleitung... 2. 1.2 Voraussetzungen... 2. 1.3 Konfiguration... 2. 2. Wireless Switch Konfiguration...

1. Wireless Switching... 2. 1.1 Einleitung... 2. 1.2 Voraussetzungen... 2. 1.3 Konfiguration... 2. 2. Wireless Switch Konfiguration... Inhaltsverzeichnis 1. Wireless Switching... 2 1.1 Einleitung... 2 1.2 Voraussetzungen... 2 1.3 Konfiguration... 2 2. Wireless Switch Konfiguration... 3 2.1 Zugriff auf den Switch... 3 2.2 IP Adresse ändern...

Mehr

3. Was müssen Sie tun, um von einem Windows 7 Client die Benutzereinstellungen und die Einstellungen einer bestimmten Anwendung zu exportieren?

3. Was müssen Sie tun, um von einem Windows 7 Client die Benutzereinstellungen und die Einstellungen einer bestimmten Anwendung zu exportieren? Arbeitsblätter Der Windows 7 MCTS Trainer Vorbereitung zur MCTS Prüfung 70 680 Aufgaben Kapitel 1 1. Sie möchten auf einem Computer, auf dem Windows Vista installiert ist, Windows 7 zusätzlich installieren,

Mehr

Sichere PCs und Laptops

Sichere PCs und Laptops Sichere PCs und Laptops Sicherheitstools mit der Bürgerkarte A-SIT Zentrum für Sichere Informationstechnologie Dipl.-Ing. Martin Centner SFG, 9. Februar 2006 A-SIT Zentrum für Sichere Informationstechnologie

Mehr

StickSecurity Home Edition 2006

StickSecurity Home Edition 2006 StickSecurity Home Edition 2006 Inhalt: 1. Konfiguration Sprache wählen Wechseldatenträger wählen 1. 1 Allgemein Bedienung Hotkey 2. Menü Aktionen Passwort Sonstige USB Stick Info USB Explorer USB Backup

Mehr

Hinweise zu A-Plan 2009 SQL

Hinweise zu A-Plan 2009 SQL Hinweise zu A-Plan 2009 SQL Für Microsoft Windows Copyright Copyright 2008 BRainTool Software GmbH Inhalt INHALT 2 EINLEITUNG 3 WAS IST A-PLAN 2009 SQL? 3 WANN SOLLTE A-PLAN 2009 SQL EINGESETZT WERDEN?

Mehr

Ist Ihr Netzwerk sicher? 15 Fragen die Sie sich stellen sollten

Ist Ihr Netzwerk sicher? 15 Fragen die Sie sich stellen sollten Ist Ihr Netzwerk sicher? 15 Fragen die Sie sich stellen sollten Innominate Security Technologies AG Rudower Chaussee 29 12489 Berlin Tel.: (030) 6392-3300 info@innominate.com www.innominate.com Die folgenden

Mehr

CPU (Prozessor), Festplatte, Grafikkarte, Soundkarte, diverse Schnittstelle (USB, COM, SERIELL), Arbeitsspeicher (RAM), ROM, CD/DVD-Laufwerk

CPU (Prozessor), Festplatte, Grafikkarte, Soundkarte, diverse Schnittstelle (USB, COM, SERIELL), Arbeitsspeicher (RAM), ROM, CD/DVD-Laufwerk FRAGEKATALOG Informatik BAKIP HARDWARE Frage 01: Im inneren eines Computergehäuses befindet sich unter anderem das Mainboard. Welche Komponenten sind an diesem Mutterbrett angeschlossen bzw. verbaut? Nenne

Mehr

Anleitung zur Verwendung des Ruhezustandes Unter Windows 7:

Anleitung zur Verwendung des Ruhezustandes Unter Windows 7: Anleitung zur Verwendung des Ruhezustandes Unter Windows 7: Wenn Sie mit Windows Vista oder Windows 7 arbeiten, so werden Sie schon oft festgestellt haben, dass das Hochfahren des Betriebssystems einige

Mehr

IT Best Practice Rules

IT Best Practice Rules Informatikdienste Direktion Reto Gutmann IT Best Practice Rules Versionskontrolle Version Historie / Status Datum Autor/in URL 1.0 Initial Version 27.08.2013 Autorengemeinschaft ID - nur für internen Gebrauch

Mehr

Das Wichtigste im Überblick 3 Sicherheit der Inhalte Sicherheit der Benutzeroberfläche Sicherheit der Infrastruktur.

Das Wichtigste im Überblick 3 Sicherheit der Inhalte Sicherheit der Benutzeroberfläche Sicherheit der Infrastruktur. MIKOGO SICHERHEIT Inhaltsverzeichnis Das Wichtigste im Überblick 3 Sicherheit der Inhalte Sicherheit der Benutzeroberfläche Sicherheit der Infrastruktur Seite 2. Im Einzelnen 4 Komponenten der Applikation

Mehr

Staatlich geprüfter EDV-Führerschein

Staatlich geprüfter EDV-Führerschein Staatlich geprüfter 1. Seit wie viel Jahren gibt es den Personal Computer? seit ~ 50 Jahren seit ~ 30 Jahren seit ~ 20 Jahren seit ~ 5 Jahren Computer gibt es schon immer. 2. Ein Computer wird auch als

Mehr

GeoShop Netzwerkhandbuch

GeoShop Netzwerkhandbuch Technoparkstrasse 1 8005 Zürich Tel.: 044 / 350 10 10 Fax.: 044 / 350 10 19 GeoShop Netzwerkhandbuch Zusammenfassung Diese Dokumentation beschreibt die Einbindung des GeoShop in bestehende Netzwerkumgebungen.

Mehr

IT-Sicherheit. Informationssicherheit: IT-Sicherheit bzw. IT-Risikomanagement

IT-Sicherheit. Informationssicherheit: IT-Sicherheit bzw. IT-Risikomanagement IT-Sicherheit Informationssicherheit: Schutz aller Informationen im Unternehmen elektronisch gespeicherte Daten Informationen in nichtelektronischer Form z.b. auf Papier Expertenwissen, in den Köpfen der

Mehr

Das Plus an Unternehmenssicherheit

Das Plus an Unternehmenssicherheit Out-of-The-Box Client Security Das Plus an Unternehmenssicherheit ic Compas TrustedDesk Logon+ Rundum geschützt mit sicheren Lösungen für PC-Zugang, Dateiverschlüsselung, Datenkommunikation und Single

Mehr

Installationsanleitung Motorola Cablemodem

Installationsanleitung Motorola Cablemodem 1. Anschliessen des Cablemodems Installieren Sie Ihr Cablemodem an einem vor Sonneneinstrahlung geschütztem, sauberen und gut belüftetem Ort. Verbinden Sie Ihr Cablemodem gemäss dem folgenden Bild mit

Mehr

ISSS Security Lunch - Cloud Computing

ISSS Security Lunch - Cloud Computing ISSS Security Lunch - Cloud Computing Technische Lösungsansätze Insert Andreas Your Kröhnert Name Insert Technical Your Account Title Manager Insert 6. Dezember Date 2010 The Cloud Unternehmensgrenzen

Mehr

Informationen zur Installation des GIS-Zentrum 2

Informationen zur Installation des GIS-Zentrum 2 Informationen zur Installation des GIS-Zentrum 2 Inhaltsverzeichnis: Inhaltsverzeichnis:... 1 Allgemeine Hinweise... 2 Installationsvoraussetzungen... 2 Was passiert bei der Installation?... 2 Einzelplatzinstallation...

Mehr

BeamYourScreen Sicherheit

BeamYourScreen Sicherheit BeamYourScreen Sicherheit Inhalt BeamYourScreen Sicherheit... 1 Das Wichtigste im Überblick... 3 Sicherheit der Inhalte... 3 Sicherheit der Benutzeroberfläche... 3 Sicherheit der Infrastruktur... 3 Im

Mehr

Laufwerk-Verschlüsselung mit BitLocker

Laufwerk-Verschlüsselung mit BitLocker Laufwerk-Verschlüsselung mit Microsoft BitLocker 1 Allgemeine Informationen... 3 1.1 Informationen zu diesem Dokument... Fehler! Textmarke nicht definiert. 1.1.1. Version und Änderungen... Fehler! Textmarke

Mehr

Datenzugriff über VPN

Datenzugriff über VPN Leitfaden Datenzugriff über VPN Einführung Ab der Version 3.0 besteht bei einer Installation von SPG-Verein die Möglichkeit, den Programmund Datenbereich getrennt abzulegen. Dadurch kann u. a. der Datenbereich

Mehr

pywares-benutzerhandbuch

pywares-benutzerhandbuch pywares-benutzerhandbuch Lock Your World GmbH & Co.KG Alle Rechte vorbehalten. Hinweis Obwohl angemessene Bemühungen unternommen wurden, um sicherzustellen, dass die Informationen in diesem Dokument zum

Mehr

Verschlüsselung von USB Sticks mit TrueCrypt

Verschlüsselung von USB Sticks mit TrueCrypt Verschlüsselung von USB Sticks mit TrueCrypt Martin Bürk m.buerk@realschule-ditzingen.de Hintergrund und Motivation Verwaltungsvorschrift zum Datenschutz an öffentlichen Schulen vom 25.11.2009 Erklärung:

Mehr

Hidden Automa-c Navigator your gateway to electronic resources. Markus Libiseller M.A. Technical Product Manager

Hidden Automa-c Navigator your gateway to electronic resources. Markus Libiseller M.A. Technical Product Manager Hidden Automa-c Navigator your gateway to electronic resources Markus Libiseller M.A. Technical Product Manager E- Ressourcen in modernen Bibliotheken Moderne Bibliotheken stellen nicht nur klassische,

Mehr

Secure Socket Layer (SSL) 1: Allgemeiner Überblick. Gilt für die Geräte: HL-4040CN HL-4050CDN HL-4070CDW DCP-9040CN DCP-9045CDN MFC-9440CN MFC-9840CDW

Secure Socket Layer (SSL) 1: Allgemeiner Überblick. Gilt für die Geräte: HL-4040CN HL-4050CDN HL-4070CDW DCP-9040CN DCP-9045CDN MFC-9440CN MFC-9840CDW Secure Socket Layer (SSL) Gilt für die Geräte: HL-4040CN HL-4050CDN HL-4070CDW DCP-9040CN DCP-9045CDN MFC-9440CN MFC-9840CDW Inhalt 1) Allgemeiner Überblick 2) Kurzer geschichtlicher Rückblick 3) Vorteile

Mehr

Passwort-Sicherheit. Das Bundesamt für f r Sicherheit in der Informationstechnik: Fast jeder besitzt Informationen, die in die

Passwort-Sicherheit. Das Bundesamt für f r Sicherheit in der Informationstechnik: Fast jeder besitzt Informationen, die in die Passwort-Sicherheit Passwort-Sicherheit Das Bundesamt für f r Sicherheit in der Informationstechnik: Fast jeder besitzt Informationen, die in die falschen Hände H gelangen könnten. k Um das zu verhindern,

Mehr

OCG IT-Security. OCG IT-Security 2.0. Lernzielkatalog. Syllabus Version

OCG IT-Security. OCG IT-Security 2.0. Lernzielkatalog. Syllabus Version OCG IT-Security OCG IT-Security Lernzielkatalog 2.0 Syllabus Version Österreichische Computer Gesellschaft Wollzeile 1-3, 1010 Wien Tel: + 43 1 512 02 35-0 Fax: + 43 1 512 02 35-9 E-Mail: ocg@ocg.at Web:

Mehr

PeDaS Personal Data Safe. - Bedienungsanleitung -

PeDaS Personal Data Safe. - Bedienungsanleitung - PeDaS Personal Data Safe - Bedienungsanleitung - PeDaS Bedienungsanleitung v1.0 1/12 OWITA GmbH 2008 1 Initialisierung einer neuen SmartCard Starten Sie die PeDaS-Anwendung, nachdem Sie eine neue noch

Mehr

TeamViewer 9 Handbuch Wake-on-LAN

TeamViewer 9 Handbuch Wake-on-LAN TeamViewer 9 Handbuch Wake-on-LAN Rev 9.2-12/2013 TeamViewer GmbH Jahnstraße 30 D-73037 Göppingen www.teamviewer.com Inhaltsverzeichnis 1 Über Wake-on-LAN... 3 2 Voraussetzungen... 4 3 Windows einrichten...

Mehr

Installationscheckliste ADNOVA finance Version 2013, Stand 06.12.2012

Installationscheckliste ADNOVA finance Version 2013, Stand 06.12.2012 Installationscheckliste ADNOVA finance Version 2013, Stand 06.12.2012 ADNOVA finance Checkliste für die Neuinstallation in einem Windows-Netzwerk Bitte prüfen Sie auf unseren Webseiten www.landdata.de

Mehr

Mit der in Windows Vista integrierten Firewall Schützen Sie Ihren Computer gegen Angriffe aus dem Internet.

Mit der in Windows Vista integrierten Firewall Schützen Sie Ihren Computer gegen Angriffe aus dem Internet. 1. Schritt: Firewall aktivieren Mit der in Windows Vista integrierten Firewall Schützen Sie Ihren Computer gegen Angriffe aus dem Internet. Klicken Sie auf Start > Systemsteuerung > Sicherheit > Windows-Firewall

Mehr

Installationsanleitung TOPIX WebSolution Server

Installationsanleitung TOPIX WebSolution Server Installationsanleitung TOPIX WebSolution Server WebSolution Version 1.309 TOPIX:8 Ab Version 8.9.3v2 Stand 08/2014 Inhalt 1 Systemvoraussetzungen...3 2 Vorbereitungen für die Installation...4 Die aktuelle

Mehr

Benutzerhandbuch. bintec elmeg GmbH. Benutzerhandbuch. Workshops (Auszug) WLAN-Workshops. Copyright Version 07/2015 bintec elmeg GmbH

Benutzerhandbuch. bintec elmeg GmbH. Benutzerhandbuch. Workshops (Auszug) WLAN-Workshops. Copyright Version 07/2015 bintec elmeg GmbH Benutzerhandbuch Benutzerhandbuch WLAN-Workshops Copyright Version 07/2015 1 Benutzerhandbuch Rechtlicher Hinweis Gewährleistung Änderungen in dieser Veröffentlichung sind vorbehalten. gibt keinerlei Gewährleistung

Mehr

Verschlüsselung von Daten mit TrueCrypt

Verschlüsselung von Daten mit TrueCrypt Sicherheitstage SS/09 Verschlüsselung von Daten mit TrueCrypt Birgit Gersbeck-Schierholz, IT-Sicherheit, RRZN TrueCrypt - frei verfügbare, quelloffene Verschlüsselungssoftware für Windows und Linux - On-the-fly-Verschlüsselung/Entschlüsselung:

Mehr

Zertifikatsprogramm der Österreichischen Computer Gesellschaft. OCG IT-Security

Zertifikatsprogramm der Österreichischen Computer Gesellschaft. OCG IT-Security Zertifikatsprogramm der Österreichischen Computer Gesellschaft OCG IT-Security Syllabus Version 1.0 OCG Österreichische Computer Gesellschaft Wollzeile 1-3 A 1010 Wien Tel: +43 (0)1 512 02 35-50 Fax: +43

Mehr

Skyfillers Online Backup. Kundenhandbuch

Skyfillers Online Backup. Kundenhandbuch Skyfillers Online Backup Kundenhandbuch Kundenhandbuch Inhalt Einrichtung... 2 Installation... 2 Software herunterladen... 2 Installation unter Windows... 2 Installation unter Mac OS X... 3 Anmelden...

Mehr

Quip Trade Business Manager auf Windows Terminal Server

Quip Trade Business Manager auf Windows Terminal Server Quip Trade Business Manager auf Windows Terminal Server 2009 by Fraas Software Engineering GmbH (FSE). Arne Schmidt. Alle Rechte vorbehalten. Fraas Software Engineering GmbH Sauerlacher Straße 26 82515

Mehr

Booten aus dem Netz PXE. Technologiepräsentation Rechenzentrum Uni Kiel

Booten aus dem Netz PXE. Technologiepräsentation Rechenzentrum Uni Kiel PXE Technologiepräsentation Rechenzentrum Uni Kiel Inhalt 1. Einführung Motivation Anwendungsszenarien Technische Hintergründe 2. Stand der Umsetzung 3. Implementierung im Uni-Netz? 4. Alles neu mit ipxe!?

Mehr

Online Help StruxureWare Data Center Expert

Online Help StruxureWare Data Center Expert Online Help StruxureWare Data Center Expert Version 7.2.7 Virtuelle StruxureWare Data Center Expert-Appliance Der StruxureWare Data Center Expert-7.2-Server ist als virtuelle Appliance verfügbar, die auf

Mehr

Installationsanleitung Motorola Kabelmodem

Installationsanleitung Motorola Kabelmodem 1. Anschliessen des Kabelmodems Installieren Sie Ihr Kabelmodem an einem vor Sonneneinstrahlung geschütztem, sauberen und gut belüftetem Ort. Verbinden Sie Ihr Kabelmodem gemäss dem folgenden Bild mit

Mehr

Betriebssystem? Übersicht. Ziele. Grundlagen. Das ist nur die Oberfläche... Wissen, was man unter einem Betriebssystem versteht

Betriebssystem? Übersicht. Ziele. Grundlagen. Das ist nur die Oberfläche... Wissen, was man unter einem Betriebssystem versteht Betriebssysteme Grundlagen Quellen: InSy Folien zum Thema Unix/Linux Wikipedia Das ist nur die Oberfläche... 1 Ziele 2 Übersicht Wissen, was man unter einem Betriebssystem versteht Was Was ist istein einbetriebssystem?

Mehr

USB-Stick verschlüsseln mit Bitlocker To Go

USB-Stick verschlüsseln mit Bitlocker To Go USB-Stick verschlüsseln mit Wenn Sie Ihren USB-Stick verlieren, kann der Finder Ihre persönlichen Daten lesen. Außer Sie verschlüsseln Ihren Stick mit dem Windows-Tool. Das ist so einfach wie Socken anziehen.

Mehr

VPN mit Windows Server 2003

VPN mit Windows Server 2003 VPN mit Windows Server 2003 Virtuelle private Netzwerke einzurichten, kann eine sehr aufwendige Prozedur werden. Mit ein wenig Hintergrundwissen und dem Server- Konfigurationsassistenten von Windows Server

Mehr

Surfen, aber sicher! Basisschutz leicht gemacht. 10 Tipps für ein ungetrübtes Surf-Vergnügen

Surfen, aber sicher! Basisschutz leicht gemacht. 10 Tipps für ein ungetrübtes Surf-Vergnügen Surfen, aber sicher! Basisschutz leicht gemacht 10 Tipps für ein ungetrübtes Surf-Vergnügen Ins Internet mit Sicherheit! Viele nützliche und wichtige Dienstleistungen werden heute über das Internet in

Mehr

Das Netzwerk einrichten

Das Netzwerk einrichten Das Netzwerk einrichten Für viele Dienste auf dem ipad wird eine Internet-Verbindung benötigt. Um diese nutzen zu können, müssen Sie je nach Modell des ipads die Verbindung über ein lokales Wi-Fi-Netzwerk

Mehr

Die Sicherheit Ihres Praxisverwaltungssystems

Die Sicherheit Ihres Praxisverwaltungssystems Die Sicherheit Ihres Praxisverwaltungssystems Was Sie im Umgang mit EDV-Anlagen und Onlinediensten beachten sollten Gefahren bei Sicherheitslücken Ihr Praxisbetrieb ist in hohem Maße abhängig von Ihrem

Mehr

LUSC Workshopweekend 2008. Verschlüsselung mit Truecrypt

LUSC Workshopweekend 2008. Verschlüsselung mit Truecrypt LUSC Workshopweekend 2008 Verschlüsselung mit Truecrypt Zusammenfassung Teil 1 Was ist Truecrypt? Warum Truecrypt? Was macht die Software? Verschiedene Varianten Anwendungsmöglichkeiten Gundlagen 1, 2

Mehr

Inhatsverzeichnis. 1.Einleitung. Lehrgang: NMM Informatik: Der Computer. Lehrer: Spahr Marcel. Name: E L E M E N T E D E S C O M P U T E R S Datum:

Inhatsverzeichnis. 1.Einleitung. Lehrgang: NMM Informatik: Der Computer. Lehrer: Spahr Marcel. Name: E L E M E N T E D E S C O M P U T E R S Datum: Lehrer: Spahr Marcel SCHULE LAUPEN Lehrgang: NMM Informatik: Der Computer Name: E L E M E N T E D E S C O M P U T E R S Datum: In diesem Kapitel erfährst du die Bedeutung der Begriffe Hardware" und Software"

Mehr

Handreichung: Verschlüsselte Versendung von Protokollen bei elektronischer Kommunikation mit Ehrenamtlichen

Handreichung: Verschlüsselte Versendung von Protokollen bei elektronischer Kommunikation mit Ehrenamtlichen Der Beauftragte für den Datenschutz der Evangelischen Kirche in Deutschland Handreichung: Verschlüsselte Versendung von Protokollen bei elektronischer Kommunikation mit Ehrenamtlichen Metadaten: Version:

Mehr

Handbuch für Mac OS X 1.3

Handbuch für Mac OS X 1.3 Handbuch für Mac OS X 1.3 Inhaltsverzeichnis 1. Leistungsumfang... 3 1.1 Über Boxcryptor Classic... 3 1.2 Über dieses Handbuch... 4 2. Installation... 5 2.1 Installation von Boxcryptor Classic... 5 2.2

Mehr

Beim Kauf eines USB Sticks sollte man darauf achten, dass dieser mindestens eine Schreibgeschwindigkeit von > 10 MB/s erlaubt!

Beim Kauf eines USB Sticks sollte man darauf achten, dass dieser mindestens eine Schreibgeschwindigkeit von > 10 MB/s erlaubt! Howto LIFE Booten vom USB Stick...1 ISO images...1 make-life-from-iso...2 make-life-from-lifeclient (make-life)...2 make-life-from-lifeclient-withcustomconfigs (make-life-custom)...2 RestoreConf...3 BackupConf...3

Mehr

Wiederholung: Informationssicherheit Ziele

Wiederholung: Informationssicherheit Ziele Wiederholung: Informationssicherheit Ziele Vertraulichkeit: Schutz der Information vor unberechtigtem Zugriff bei Speicherung, Verarbeitung und Übertragung Integrität: Garantie der Korrektheit (unverändert,

Mehr

RIWA NetUpdater Tool für automatische Daten- und Softwareupdates

RIWA NetUpdater Tool für automatische Daten- und Softwareupdates RIWA NetUpdater Tool für automatische Daten- und Softwareupdates Grundlegendes... 1 Ausführbare Dateien und Betriebsmodi... 2 netupdater.exe... 2 netstart.exe... 2 netconfig.exe... 2 nethash.exe... 2 Verzeichnisse...

Mehr

Technical Note 0606 ewon

Technical Note 0606 ewon Technical Note 0606 ewon M2Web Copyright by Wachendorff Prozesstechnik GmbH & Co. KG, Industriestraße 7,, Tel.: 06722/9965-20, Fax.: -78-1 - Inhaltsverzeichnis 1 Allgemeines... 3 1.1 Information... 3 1.2

Mehr

2 USBundLinuxhotplug. 2.1 Eigenschaften von USB. In diesem Kapitel lernen Sie. das USB-Schichtenmodell kennen.

2 USBundLinuxhotplug. 2.1 Eigenschaften von USB. In diesem Kapitel lernen Sie. das USB-Schichtenmodell kennen. 2 USBundLinuxhotplug In diesem Kapitel lernen Sie das USB-Schichtenmodell kennen. die Kernelmodule für USB-Treiber kennen. wie Sie USB-Geräte unter Linux verwenden. dashotplug-system von Linux kennen.

Mehr

Aufbau einer Testumgebung mit VMware Server

Aufbau einer Testumgebung mit VMware Server Aufbau einer Testumgebung mit VMware Server 1. Download des kostenlosen VMware Servers / Registrierung... 2 2. Installation der Software... 2 2.1 VMware Server Windows client package... 3 3. Einrichten

Mehr

SNMP 1 -basierte dynamische Netzwerkkonfiguration und analyse

SNMP 1 -basierte dynamische Netzwerkkonfiguration und analyse Fakultät Informatik Institut für Systemarchitektur Professur für Rechnernetze SNMP 1 -basierte dynamische Netzwerkkonfiguration und analyse Versuchsvorgaben (Aufgabenstellung) Der neu zu gestaltende Versuch

Mehr

ZMI Produkthandbuch Gruppenrichtlinien. Windows-Gruppenrichtlinien

ZMI Produkthandbuch Gruppenrichtlinien. Windows-Gruppenrichtlinien ZMI Produkthandbuch Gruppenrichtlinien Windows-Gruppenrichtlinien Version: 1.4 10.11.2007 Herausgeber Zentrum für Medien und IT ANSCHRIFT: HAUS-/ZUSTELLADRESSE: TELEFON: E-MAIL-ADRESSE: Zentrum für Medien

Mehr

Windows 7 vernetzen. Windows 7 nutzt für die Freigabe von Ordnern über die Heimnetzgruppe sogenannte Bibliotheken. Dabei handelt.

Windows 7 vernetzen. Windows 7 nutzt für die Freigabe von Ordnern über die Heimnetzgruppe sogenannte Bibliotheken. Dabei handelt. Windows 7 verfügt über die neue Funktion Heimnetzgruppe. Damit lassen sich Dateien und Ordner zwischen Rechnern austauschen. Auf den Rechnern kann Windows XP, Vista und 7 installiert sein. Die mit Windows

Mehr

WINDOWS APPLIKATIONEN UNTER LINUX/UNIX SECURE REMOTE ACCESS

WINDOWS APPLIKATIONEN UNTER LINUX/UNIX SECURE REMOTE ACCESS WINDOWS APPLIKATIONEN UNTER LINUX/UNIX SECURE REMOTE ACCESS Dipl.-Ing. Swen Baumann Produktmanager, HOB GmbH & Co. KG April 2005 Historie 2004 40 Jahre HOB Es begann mit Mainframes dann kamen die PCs das

Mehr

Fachreferat. EFI -BIOS Nachfolger-

Fachreferat. EFI -BIOS Nachfolger- Fachreferat EFI -BIOS Nachfolger- Kurzerläuterung Übersicht EFI - Geschichte Aufbau und Vorteile Grafische Veranschaulichung Was passiert beim direkten einschalten eines Computers? Wie kommt die Intelligenz

Mehr

USB Security Stick. Deutsch. Benutzerhandbuch

USB Security Stick. Deutsch. Benutzerhandbuch USB Security Stick Deutsch Benutzerhandbuch 2 Inhaltsverzeichnis Allgemeines 4 Der mechanische Schreibschutzschalter 4 Verwendung unter Windows 6 Einstellungen 10 Benutzerpasswort ändern 11 Formatieren

Mehr

Cnlab / CSI 2011. Demo Smart-Phone: Ein tragbares Risiko?

Cnlab / CSI 2011. Demo Smart-Phone: Ein tragbares Risiko? Cnlab / CSI 2011 Demo Smart-Phone: Ein tragbares Risiko? Agenda Demo 45 Schutz der Smart-Phones: - Angriffsszenarien - «Jailbreak» - Was nützt die PIN? - Demo: Zugriff auf Passwörter iphone Bekannte Schwachstellen

Mehr

Zentrale Policy-Verwaltung mit ubicontrol und ubimanager. Hintergrund Technik. Sicherheit für mobile devices

Zentrale Policy-Verwaltung mit ubicontrol und ubimanager. Hintergrund Technik. Sicherheit für mobile devices Sicherheit für mobile devices Zentrale Policy-Verwaltung mit ubicontrol und ubimanager Hintergrund Technik Mobile Device Management von ubitexx stellt großen Unternehmen, Mobilfunkprovidern, Carriern und

Mehr

Pictomat. Embedded Machine Vision. Datenaustausch über FTP-Server IBN INGENIEURBÜRO BERND NEUMANN GMBH. Eichendorffstraße 23 D-47626 Kevelaer

Pictomat. Embedded Machine Vision. Datenaustausch über FTP-Server IBN INGENIEURBÜRO BERND NEUMANN GMBH. Eichendorffstraße 23 D-47626 Kevelaer Pictomat Embedded Machine Vision Datenaustausch über FTP-Server IBN INGENIEURBÜRO BERND NEUMANN GMBH Eichendorffstraße 23 D-47626 Kevelaer Tel. +49(0) 28 32 / 97 95 62 Fax +49(0) 28 32 / 97 95 63 Internet:

Mehr

Neuigkeiten in Microsoft Windows Codename Longhorn. 2006 Egon Pramstrahler - egon@pramstrahler.it

Neuigkeiten in Microsoft Windows Codename Longhorn. 2006 Egon Pramstrahler - egon@pramstrahler.it Neuigkeiten in Microsoft Windows Codename Longhorn Windows Server - Next Generation Derzeit noch Beta Version (aktuelles Build 5308) Weder definitiver Name und Erscheinungstermin sind festgelegt Direkter

Mehr

Inhalte der heutigen Vorlesung

Inhalte der heutigen Vorlesung Inhalte der heutigen Vorlesung Wiederholung und Fortsetzung Hardware Von-Neumann-Architektur (Rechnerarchitektur) Speicher Software Wie groß ist ein Gigabyte? http://www.spiegel.de/netzwelt/tech/0,1518,606308,00.html

Mehr

midentity midentity Manager Basic KOBIL midentity Manager Basic Meine kleine, aber feine Verwaltung

midentity midentity Manager Basic KOBIL midentity Manager Basic Meine kleine, aber feine Verwaltung KOBIL Meine kleine, aber feine Verwaltung KOBIL ist ein Managementsystem zum Verwalten digitaler Identitäten mit Einmalpasswörtern und Zertifikatstechnologie. wurde speziell für Standard-Microsoft-Umgebungen

Mehr

Erstellen einer Wiederherstellungskopie

Erstellen einer Wiederherstellungskopie 21 Sollten Sie Probleme mit Ihrem Computer haben und Sie keine Hilfe in den FAQs (oft gestellte Fragen) (siehe seite 63) finden können, können Sie den Computer wiederherstellen - d. h. ihn in einen früheren

Mehr

Syslogic White Paper Leitfaden zur Erstellung eines korrekten Image (Datenträgerabbild)

Syslogic White Paper Leitfaden zur Erstellung eines korrekten Image (Datenträgerabbild) Syslogic White Paper Leitfaden zur Erstellung eines korrekten Image (Datenträgerabbild) 1. Einleitung 1.1 Bit-Image oder einfache Datensicherung? 1.2 Warum ist ein Image sinnvoll? 1.3 Welche Datenträger

Mehr

Mobile Device Management

Mobile Device Management Mobile Device Management Ein Überblick über die neue Herausforderung in der IT Mobile Device Management Seite 1 von 6 Was ist Mobile Device Management? Mobiles Arbeiten gewinnt in Unternehmen zunehmend

Mehr

Zugriff auf die Installation mit dem digitalstrom- Konfigurator mit PC und Mac

Zugriff auf die Installation mit dem digitalstrom- Konfigurator mit PC und Mac Zugriff auf die Installation mit dem digitalstrom- Konfigurator mit PC und Mac Zusatz zum digitalstrom Handbuch VIJ, aizo ag, 15. Februar 2012 Version 2.0 Seite 1/10 Zugriff auf die Installation mit dem

Mehr

Univention Corporate Client. Quickstart Guide für Univention Corporate Client

Univention Corporate Client. Quickstart Guide für Univention Corporate Client Univention Corporate Client Quickstart Guide für Univention Corporate Client 2 Inhaltsverzeichnis 1. Einleitung... 4 2. Voraussetzungen... 5 3. Installation des UCS-Systems... 6 4. Inbetriebnahme des Thin

Mehr

Apple Time Capsule Kombigerät ans Universitätsnetz anschliessen

Apple Time Capsule Kombigerät ans Universitätsnetz anschliessen Anleitung Apple Time Capsule Kombigerät ans Universitätsnetz anschliessen Einleitung Apple Time Capsule Geräte vereinen in sich die Funktionen einer Netzwerk-Festplatte und eines WLAN-Routers (Wireless

Mehr

Erstellen sicherer ASP.NET- Anwendungen

Erstellen sicherer ASP.NET- Anwendungen Erstellen sicherer ASP.NET- Anwendungen Authentifizierung, Autorisierung und sichere Kommunikation Auf der Orientierungsseite finden Sie einen Ausgangspunkt und eine vollständige Übersicht zum Erstellen

Mehr

Einrichtung des KickMail- Benutzerkontos der gematik

Einrichtung des KickMail- Benutzerkontos der gematik Einrichtung des KickMail- Benutzerkontos der Version: 1.0.1 Status: freigegeben Klassifizierung: öffentlich Referenzierung: [gemkickmail_banl] - öffentlich Seite 1 von 6 1 Einführung Die tauscht mit ihren

Mehr

Mitglied der: KNX Association OPC Foundation BACnet Interest Group Europe. Dokumentversion: 1.0.2

Mitglied der: KNX Association OPC Foundation BACnet Interest Group Europe. Dokumentversion: 1.0.2 Mitglied der: KNX Association OPC Foundation BACnet Interest Group Europe Dokumentversion: 1.0.2 Inhaltsverzeichnis 1. System Überblick 4 2. Windows Firewall Konfiguration 5 2.1. Erlauben von DCOM Kommunikation

Mehr

DocuWare unter Windows 7

DocuWare unter Windows 7 DocuWare unter Windows 7 DocuWare läuft unter dem neuesten Microsoft-Betriebssystem Windows 7 problemlos. Es gibt jedoch einige Besonderheiten bei der Installation und Verwendung von DocuWare, die Sie

Mehr

Acronis Universal Restore

Acronis Universal Restore Acronis Universal Restore BENUTZERANLEITUNG Inhaltsverzeichnis 1 Was ist Acronis Universal Restore?...3 2 Acronis Universal Restore installieren...3 3 Bootfähige Medien erstellen...3 4 Acronis Universal

Mehr