<<< firewalling - tücken und herausforderungen - übersicht - wie geht dem - installation von asterisk mit zaphfc >>> |
rechner-sicherheits-checkliste |
Welche Schritt für ein sicheres Setup zu beachten sind. |
Vor der Installation |
speziell für Laptops: BIOS-Passwort setzen und an sicherer Stelle dokumentieren. |
Windows |
Aktuelles und vertrauenswürdiges Installationsmedium besorgen. Bei Windows-CDs notfalls mit aktuellem Servicepack und Hotfixes slipstreamen. |
Linux |
aktuelle Netinstaller-CD bzw. Bootfloppy besorgen. |
Während der Installation |
Ungenutzte Dienste und Programme erst gar nicht installieren. |
Benutzerprogramme installieren und für Betrieb ohne Administratorrechte konfigurieren. |
Sicheres Administratorpasswort wählen und alle evtl. als Administrator angelegten Benutzer ggf. aus der Administrator-Gruppe entfernen. |
Bei Anbindung in eine Domänenstruktur: Aufnahme des Netwerkadministrators in die lokale Administratorengruppe. |
Linux |
sudo installieren und konfigurieren. (timeout=1 sollte genügen) |
shadow und md5 Passwörter aktivieren (PAM) |
login.defs auf md5-Passwörter anpassen (PASS_MAX_LEN) |
Falls automounter installiert wurde: gemäß Sicherheitspolicy einstellen - z.B. USB-Stick, BLuetooth-Dongle, Floppy, CD-Brenner, DVD-Rom deaktivieren |
sysctl: net.ipv6.conf.default.forwarding=0 |
sysctl: net.ipv4.conf.default.log_martians=1 |
sysctl: net.ipv4.conf.default.accept_source_route=0 |
sysctl: net.ipv4.conf.default.forwarding=0 |
sysctl: net.ipv4.conf.default.accept_redirects=0 |
sysctl: net.ipv4.icmp_echo_ignore_broadcasts=1 |
sysctl: net.ipv4.icmp_echo_ignore_all=1 |
sysctl: net.ipv4.tcp_timestamps=0 |
Windows |
Bei Windows-CDs eventuell über Unattended Installation "entschlacken". In Verbindung mit XPAntiSpy und NTSVCFG besonders erfolgreich. |
Antivirus, Firewall auf automatische Aktualisierung stellen und Funktion überprüfen. |
Bei Windows2000: Deaktivieren des dynamischen DNS Update, ausser dieses wird aktiv genutzt. |
Je nach Sicherheitsplan: Installation & Einrichtung eines USB-Stick, Bluetooth-Dongle, CD-Brenner, DVD-Rom, Floppy-Laufwerk und anschliessende Deaktivierung über Registry (um späterer automatischer Installation vorzubeugen) |
Für roadwarrior (Laptops) lokale Absicherung mittels IPsec als Paketfilter konfigurieren, falls nicht alle Dienste abgeschaltet werden können (Windows-ADS-Betrieb). VPN-Anbindung an Firmennetz konfigurieren und testen. |
Alle Programme auf SSL/TLS-Defaults umstellen. Wo möglich bereits korrektes Server-Profil vorinstallieren. |
Für roadwarrior: Crypto-Partition erstellen und für den Benutzer zugänglich einrichten. |
Nach der Installation |
Ungenutzte Dienste und Programme, die sich nicht abwählen ließen entfernen erst gar nicht installieren. |
Backup mit Imaging-Software erstellen und auf sicheres Medium speichern. |
Falls zutreffend: In den firmenweiten/abteilungsweiten Sicherheitsplan den neuen Rechner eintragen mit Hardware, Diensten, installierter Software incl. Version und eingerichteten lokalen Benutzerpasswörtern sowie lokalem Administratorpasswort. |
Speziell bei unbekannter Software: Erreichbarkeit vom Netz aus prüfen und ggf. einschränken. Für Firewall-Konfiguration dokumentieren. (z.B. nessus, nmap) |
BIOS umstellen auf Festplatte als primäres Bootmedium |
Zeitzone einstellen und Zeit aktualisieren (NTP oder SMB - bei Dualboot Linux/Windows darauf achten, dass Linux nicht als Systemzeit UTC verwendet) |
firewall-sicherheits-checkliste |
Schritte zum sicheren Netz |
Voraussetzungen |
Installationsübersichtsplan existiert und ist aktuell |
Zuordnungen von installierten Diensten/Programmen zu Firewall-Regeln ist vorhanden und aktuell |
Firewall-Regeln für Standardbetrieb sind bereits aktiv und erlauben nur benötigte Zugriffe. |
Systemzeit synchron auf allen Routern und PCs |
Hinzufügen eines Rechners |
Vergeben einer statischen IP-Adresse sofern spezielle Dienste genutzt werden, bzw. besondere Programme verwendet, die abweichende Firewall-Regeln erfordern. |
Bei Verwendung von WLAN MAC-ACLs: Eintragen des neuen Gerätes |
MAC Adresse aller Netwerkgeräte erfassen und dokumentieren. (Ethernet und WLAN) |
Ersetzen eines Rechners |
Aktualisieren der MAC-Adressen in der Dokumentation. |
Überprüfung der Aktualität der installierten Software (Updates und Version in der Dokumentation) |
Sorgfältige und gewissenhafte Entsorgung des Altgerätes |
Entsorgung von Altgeräten |
Überschreiben von allen Datenträgern mit Zufallsdaten (1-3 fach) |
kontakt 13.05.2005 viii |
<<< firewalling - tücken und herausforderungen - übersicht - wie geht dem - installation von asterisk mit zaphfc >>>
© 1997-2018 |