ZusammenfassungHier sollte eine Kurzbeschreibung für die Installationsanleitung oder Problembehandlung hinterlegt werden (ca. 2-5 Sätze). Wichtige Aspekt bitte hervorheben (fett). Auf dieser Seiten sind Informationen zu folgenden Themen zu finden: |
Diese Anleitung richtet sich besonders an folgende Zielgruppen: -Nicht zutreffende Zielgruppen bitte löschen-
|
1. Identifizierungs- und Authentisierungsmechanismus | |||
---|---|---|---|
sicherheitskritische Parameter nicht unverschlüsselt gespeichert | |||
Kontosperrungsrichtlinien | |||
Kontensperrungsschwelle: 3 ungültige Anmeldeversuche | Windows + r → gpedit.msc → Computerkonfiguration → Windows-Einstellungen → Sicherheitseinstellungen → Kontorichtlinien → Kontosperrungsrichtlinien → Kontensperrungsschwelle | ||
Kontosperrdauer: 30 Minuten | Windows + r → gpedit.msc → Computerkonfiguration → Windows-Einstellungen → Sicherheitseinstellungen → Kontorichtlinien → Kontosperrungsrichtlinien → Kontosperrdauer | ||
Zurücksetzungsdauer des Kontosperrungszählers: 30 Minuten | Windows + r → gpedit.msc → Computerkonfiguration → Windows-Einstellungen → Sicherheitseinstellungen → Kontorichtlinien → Kontosperrungsrichtlinien → Zurücksetzungsdauer des Kontosperrungszählers | ||
Kennwortrichtlinien | |||
mindestens 12 Zeichen | Windows + r → gpedit.msc → Computerkonfiguration → Windows-Einstellungen → Sicherheitseinstellungen → Kontorichtlinien → Kennwortrichtlinien → minimale Kennwortlänge | ||
das Passwort darf noch nie verwendet worden sein | Windows + r → gpedit.msc → Computerkonfiguration → Windows-Einstellungen → Sicherheitseinstellungen → Kontorichtlinien → Kennwortrichtlinien → Kennwortchronik erzwingen (24) | ||
Bildschirmsperre nach 10 Minuten Abwesenheit | Einstellungen (Windows + i) → System → Netzwerkbetrieb und Energiesparen | ||
2. Zugriffskontrolle | |||
mindestens zwei Benutzergruppen (Administrator und Telearbeiter) | lokale Benutzer und Gruppen → Gruppen oder Benutzer → Rechtsklick → neue Gruppe / neuen Benutzer | ||
Rechteverteilung | Datei oder Ordner → Rechtsklick → Eigenschaften → Sicherheit → Bearbeiten | ||
Benutzerzugriff Zugriff auf bestimmten Bereich im Dateisystem | |||
Benutzer hat kein Schreibrecht in Ordnern des Betriebssystems | |||
3. Protokollierung | |||
Protokoll darf nicht durch Unberechtigte gelesen oder manipuliert werden können | Windows + r → REGEDIT.exe → Computer → HKEY_LOCAL_MACHINE → SYSTEM → CurrentControlSet → Services → EventLog → Neuer Wert → Datentyp: REG_DWORD → Name: RestrictGuestAccess → Wert: 1 | ||
4. Verschlüsselungskomponente | |||
alle Laufwerke sind verschlüsselt | Systemsteuerung → BitLocker-Laufwerksverschlüsselung → BitLocker aktivieren (Anweisungen folgen) | ||
Schlüssel nicht unverschlüsselt gespeichert | |||
5. Benutzerumgebung | |||
nicht benötigte Anwendungen und Komponenten deaktiviert | Systemsteuerung → Programme → Programme und Features → Deinstallieren | ||
Zugriff auf spezielle Programme für Telearbeiter eingeschränkt | lokale Sicherheitsrichtlinien → Anwendungsrichtlinien → AppLocker → Ausführbare Regeln → Rechtsklick → Neue Regel erstellen → verweigern → Programm auswählen | ||
unerwünschte Hardware blockiert | Gerätemanager → Rechtsklick → Gerät deaktivieren | ||
Installation von Fremdsoftware durch Telearbeiter gesperrt | Nutzer darf keine Administrations Rechte haben | ||
6. Virenschutz | |||
Sophos als Virenschutz installiert und aktiviert | Als Virenschutz Sophos verwenden. Das Standard-Installationspaket kann über die Webseite der Stabsstelle Sicherheit Informationstechnischer Systeme (ST-SIS) heruntergeladen werden. | ||
7. Fernwartung | |||
als Fernwartungstool wird ISL Light 4 angewandt | |||
8. VPN Verbindung | |||
Cisco AnyConnect Client wird als VPN Verbindung genutzt | Um eine VPN-Verbindung aufzubauen, steht die Software Cisco AnyConnect Client zur Verfügung. | ||
9. Datensicherung | |||
Backup-Datenträger (falls vorhanden) verschlossen gelagert | |||
10.Power Shell | |||
Power Shell beschränken | Windows + r → gpedit.msc → Computerkonfiguration → Administrative Vorlagen → Windows-Komponenten → Windows Power Shell → Skriptausführung aktivieren → aktivieren → Ausführungsrichtlinie → Lokale Skripts und remote signierte Skripts zulassen | ||
11. Firewall | |||
Firewall aktiviert | Systemsteuerung → System und Sicherheit → Windows Defender Firewall → Windows Defender Firewall ein- oder ausschalten |
Damit die Kommunikation nachvollziehbar ist, wird die VPN-Verbindung in der Ereignisanzeige protokolliert.
Relevante Ereignis-IDs für die Filterung sind: 3020, 2085, 2084.
Titel: "Sicherheitsrichtlinien für Telearbeitsplätze (Windows)" Stand: 27.11.2020 |