Richtlinien für den Betrieb von Terminalservern

Mindestanforderungen für den Server

  • Für alle Betriebssysteme: Versionen, die von den Herstellern noch mit Sicherheitsupdates versorgt werden.
  • Die Anti-Viren-Software ist aktiviert und aktuell.
  • Die Firewall des Betriebssystems ist aktiviert.

Standardkonfiguration für Clientsysteme

Die Standardkonfiguration für Clientsysteme wird unter "Anwender / Terminalserver" beschrieben.

Netzanbindung der Terminalserver-Umgebung

Die Terminalserver innerhalb der zentralen Universit?tsverwaltung dürfen nur an interne Netzwerke der Verwaltung gekoppelt werden. Sonstige Terminalserver, die die gesamte Universit?t betreffen, dürfen innerhalb des gesamten universit?ren Netzwerks angebunden werden. An ?ffentliche Netze dürfen keine Terminalserver gekoppelt werden.

Terminalserver der Verwaltung sind durch eine Firewall vom restlichen universit?ren und ?ffentlichen Netzwerk abgeschottet. Die Terminalserver des IT-Service befinden sich in einem speziellen Servernetz. Dieses wird ebenfalls durch eine Firewall vom Universit?tsnetz geschützt. In beiden F?llen ist die Firewall nur für Protokolle freigeschaltet, die für die Nutzung der Anwendung unbedingt ben?tigt werden.

Sichere Installation und Standardkonfiguration von Terminalservern

Die Installation und Konfiguration des jeweiligen Terminalservers sollte nur von autorisierten Personen (Administratoren oder vertraglich gebundene Dienstleistern) durchgeführt werden. Für die Bereitstellung eines neuen Terminalservers sollte eine Vorlage als Virtuelle Maschine bereitgestellt werden, die eine standardisierte Grundkonfiguration beinhaltet.

Es soll festgelegt werden, welche Komponenten des Betriebssystems, Fachanwendungen und weitere Tools installiert werden dürfen. Alle Installations- und Konfigurationsschritte sind so zu dokumentieren, dass die Installation und Konfiguration durch einen sachkundigen Dritten anhand der Dokumentation nachvollzogen und wiederholt werden kann.

Sicherheitsma?nahmen

Für alle Windows-basierten Terminalserver soll eine Standard-Group Policy angelegt werden, die für alle Benutzer Anwendung findet. Mit dieser Policy werden die Zugriffe der angemeldeten Benutzer auf das Wesentliche eingeschr?nkt.

Die Group Policy muss im Wesentlichen folgende Punkte beinhalten:

  • Nur lokale Benutzerprofile werden zugelassen (das Roaming Profile wird nicht geladen).
  • Der Zugriff auf die Laufwerk A, B und C wird verhindert.
  • Der Zugriff auf Programme zum Bearbeiten der Registrierung (regedit) muss verhindert werden.
  • Der Zugriff auf die Eingabeaufforderung wird deaktiviert.
  • Der Zugriff auf den Taskmanager wird deaktiviert.
  • Zugriffe auf das Startmenü und die Taskleiste werden reguliert. Dabei werden alle Menüeintr?ge in Bezug auf die Systemsteuerungselemente entfernt. Auch der Zugriff auf mitgelieferte Windows-Standard-Anwendungen wie z.B. Internet Explorer, Wordpad wird untersagt.
  • ?nderung der Einstellungen für die Taskleiste und dem Startmenü werden verhindert. Kontextmenüs in diesem Zusammenhang werden deaktiviert.
  • Desktopsymbole werden entfernt. Kontextmenüs des Desktops deaktiviert.
  • ?nderungen am Desktophintergrund, Bildschirmschoner und an der Farbe/Darstellung sind nicht m?glich.
  • Ein Bildschirmschoner mit Kennwortschutz bei Reaktivierung wird nach 30 Minuten aktiviert.
  • Sprechblasenbenachrichtigungen werden deaktiviert.
  • Benachrichtigungen über Windows-Updates werden inaktiv gesetzt.
  • Das Anheften von Apps an die Startseite bei Installation ist deaktiviert.
  • Tray-Icons werden in der Regel ausgeblendet.

Berechtigungen von Benutzern

Berechtigungen zum Zugriff auf Terminalserver (insbesondere im Bereich Studierende/Personal/Haushalt) für Benutzer dürfen nur nach vorheriger schriftlicher Zustimmung des Systemverantwortlichen eingerichtet werden. Jedem Benutzer sind nur die für die Ausübung der Aufgabe notwendigen Berechtigungen zu erteilen. Erst nach erfolgreicher Authentifizierung mit der Benutzerkennung und dem Passwort (der Dom?ne zuv.uni-bamberg.de) ist eine Verbindung zum Terminalserver m?glich.

Terminalserver, die Dienste für die gesamte Belegschaft bereitstellen, wie z.B. der Zugriff auf das Zeiterfassungssystem BayZeit, sind generell ohne Einschr?nkung für alle Mitarbeitenden der Universit?t Bamberg freigeschaltet. Die Mitarbeitenden k?nnen sich mit Ihrer Benutzerkennung und Passwort (der Dom?ne uni-bamberg.de) am Terminalserver authentifizieren.

Updates und Patches für Firmware, Betriebssysteme und Anwendungen

Automatische Update-Mechanismen (Autoupdate) sind aktiviert und Updates werden über den uniinternen Windows Server Update Services (WSUS) verteilt. Es wird t?glich nach Updates gesucht und diese werden installiert.

Generell sollte darauf geachtet werden, dass Patches und Updates nur aus vertrauenswürdigen Quellen bezogen werden. Wenn notwendig, sollten die betreffenden Anwendungen beziehungsweise das Betriebssystem nach dem Update neu gestartet werden.

Neustartzyklen

Die Terminalserver werden durch die Windows-Aufgabenplanung jede Nacht neu gestartet.

Protokollierung

Es werden au?er den Standard-Windows-Protokollen keinerlei Daten protokolliert. Zugriff auf Logdateien haben nur die Administratoren. Dadurch wird auch gew?hrleistet, dass personenbezogene Informationen nicht an Unbefugte gelangen.

Eine Auswertung von Protokolldateien findet nur im Fehlerfall statt. Falls eine Analyse im Fehlerfall stattfindet, erfolgt diese vom betreuenden Administrator der entsprechende IT-Stelle.

?berwachung der Netz- und Systemauslastung

Die Server werden durch Monitoringsysteme st?ndig überwacht. Dabei wird z.B. die Festplattenkapazit?t der einzelnen Partitionen, Arbeitsspeicherauslastung und PING Antwortzeiten überprüft. Durch Trigger-Mails wird die zust?ndige Stelle des IT-Systems informiert. Sobald Unstimmigkeiten in der Netz- und Systemauslastung erkannt werden, kann der Systembetreiber eingreifen.

Inbetriebnahme Ersatzsysteme

Die eingesetzten Terminalserver sollten als virtuelle Maschinen konzipiert werden. Durch die in Virtualisierungsumgebungen bestehenden Sicherungsmechanismen ist es m?glich ganze Systeme vollst?ndig wiederherzustellen. Deshalb kann im Problemfall relativ zeitnah ein Ersatzsystem aufgebaut werden. Die Wiederherstellung einer virtuellen Maschine aus dem Backup sollte genau dokumentiert werden, damit auch sachkundige Dritte die M?glichkeit h?tten, ein Ersatzsystem in Kürze bereitzustellen.

Ma?nahmen bei Kompromittierung von Terminalservern

Zun?chst muss der Terminalserver ausgeschaltet oder zumindest vom Datennetz genommen werden. Das System wird danach von der zust?ndigen IT-Stelle untersucht. Zun?chst wird überprüft, ob sich lokal gespeicherte Daten auf dem Server befinden und versucht diese zu sichern. Danach wird das System mithilfe von Virenschutzprogrammen oder speziellen Werkzeugen zur Entfernung von Schadprogrammen bereinigt. Sollte dies nicht gelingen oder einen unverh?ltnism??ig gro?en Aufwand darstellen, wird das System in Absprache mit den Nutzern neu aufgesetzt. Abschlie?end wird erwogen, ob die Infektion eine grundlegende, weiterhin bestehende Ursache hatte. Falls dies der Fall ist, werden Ma?nahmen ergriffen, um die Ursache zukünftig auszuschlie?en.

Sie haben noch Fragen?