Clientrichtlinie
Auf der Grundlage von § 4 Abs. 4 der Ordnung des Universitätsrechenzentrums der Universität Greifswald erlässt der Direktor des Universitätsrechenzentrums (URZ) die nachstehende Clientrichtlinie.
Ziel der Richtlinie ist es, Maßnahmen zu beschreiben, die auf den Clients anzuwenden sind, um ein an die Bedürfnisse der Universität angemessenes Maß an IT-Sicherheit in Übereinstimmung mit dem IT-Grundschutzkatalogs des URZ zu gewährleisten.
Diese Richtlinie gilt für alle Personen, die dienstliche Clients im universitären Datennetz administrieren. Im Wesentlichen sind unter dem Begriff Client diejenigen IT-Systeme zu verstehen, an denen Sie sich als Personen direkt anmelden (z.B. Arbeitsplatz-PCs, Laptops, virtuelle Desktops).
Installation
- Beschränken Sie die Bootquellen im BIOS auf die lokale Festplatte.
- Ändern Sie Standardkennwörter.
- Installieren Sie alle verfügbaren Sicherheitsupdates (Betriebssystem und Applikationen).
- Richten Sie automatische Updates ein.
- Vermeiden Sie die Funktion des automatischen Logins.
- Für drahtgebundene Geräte ist eine Geräteregistrierung zur Nutzung des Datennetzes vorzunehmen.
- Windows: Verwenden Sie nur Betriebssystemversionen, die vom Hersteller noch unterstützt werden. Bei Desktop-Systemen setzen Sie nach dem aktuellen Stand Windows 10 ein. Aktivieren Sie den Windows Defender mit automatischen Sotware- und Patternupdates (siehe URZ-Hinweise zu Antivirenmaßnahmen).
Konfiguration
- Schalten Sie den Autostart für Wechselmedien aus.
- Richten Sie die automatische Aktivierung des kennwortgeschützten Bildschirmschoners/Sperrbildschirms nach 5 Minuten Inaktivität ein.
- Passen Sie den Fernzugang (RDP, VNC, SSH) den Erfordernissen an.
- Windows: Blenden Sie im Explorer bekannte Dateiendungen nicht aus FAQ: Wie kann ich Dateinamenerweiterungen ein- und ausblenden?.
Außerbetriebnahme
Client-Systeme dürfen nur über das Referat Beschaffung außer Betrieb genommen werden. Unabhängig davon können Datenträger über das URZ datenschutzkonform entsorgt werden.
Mobile Clients
Unter mobilen Clients sind Endgeräte zu verstehen, die nicht für den dauerhaften Einsatz an einem festen Arbeitsplatz verwendet werden. Diese Clients unterliegen einem deutlichen höheren Gefährdungspotential als fest installierte Systeme. Daher gelten für mobile Systeme, auf denen sensible Informationen (z.B. personenbezogene Daten oder sonstige besonderer Vertraulichkeit unterliegende Daten) gespeichert werden, die folgenden zusätzlichen Regelungen:
- Verwenden Sie die Betriebssystem-interne Verschlüsselung des lokalen Homeverzeichnisses auf dem mobilen Gerät.
- Verwenden Sie zusätzlich einen Crypto-Container, der im verschlüsselten lokalen Homeverzeichnis auf dem mobilen Gerät abgelegt wird. Hierbei müssen Sie einen zusätzlichen kryptographischen Schlüssel auf einem separaten Speichermedium für die Aktivierung des Crypto-Containers verwenden. Das Speichermedium mit dem kryptographischen Schlüssel darf nicht zusammen mit dem mobilen Gerät aufbewahrt werden.
Eine technische Detailbeschreibung finden Sie auf den Webseiten des URZ.
Smartphones/Tablets
- Schützen Sie das Gerät immer durch ein Muster oder eine PIN.
- Benutzen Sie keine Vertrauenswürdigen Orte ohne Kennwort (Android Smart Lock).
- Speichern Sie keine Kennwortdaten in einem Cloud-Account (z.B. bei Google oder Apple).
Greifswald, den 08.09.2021
gez. Prof. Dr. Ralf Schneider
Direktor URZ