Skip to content

Instantly share code, notes, and snippets.

@alexh-name

alexh-name/14_Laptops.md

Last active May 22, 2016 13:40
Show Gist options
  • Star 0 You must be signed in to star a gist
  • Fork 0 You must be signed in to fork a gist
  • Save alexh-name/2ec4f303820bd11678a5b1bdc168c892 to your computer and use it in GitHub Desktop.
Save alexh-name/2ec4f303820bd11678a5b1bdc168c892 to your computer and use it in GitHub Desktop.
Download ZIP
Raw
14_Laptops.md

14 Laptops

Es folgt eine nummerierte Auflistung von Problemen und Gefahren mit anschließenden Gegenmaßnahmen. Bei den Gegenmaßnahmen wird angegeben, gegen welche Probleme sie angeführt werden.

Probleme und Gefahren

  1. Es liegen viele Geräte vor, ohne dass eine Struktur besteht, sie zentral zu steuern (P1)
  2. Geräte werden an Studierende augehändigt
  3. Konfiguration der Geräte können absichtlich oder unabsichtlich verändert werden (P3)
  4. Geräte können absichtlich oder unabsichtlich mit Malware infiziert werden (P4)
  5. Geräte könnten gestohlen werden (P5) (hier soll die Attraktivität durch eingeschränkte Fortnutzung gemindert werden)
  6. Geräte könnten anders als vorgesehen genutzt werden (P6)
  7. Nutzende könnten Informationen ungewollt Informationen und Zugangsdaten zurücklassen (P7)

Sicherheitsmaßnahmen einmalig

  • Es wurde eine "saubere" Installation durchgeführt und ein Image davon erstellt. (P1)
  • Das UEFI ist mit einem Passwort versehen (dem FSR bekannt) (P3-P6)
  • Secure Boot ist aktiviert (P3-P6)
  • Nur der Account "klassphil" hat Administratorenrechte. Das Passwort ist dem FSR bekannt. (P3-P6)
  • lokale Gruppenrichtlinie "Netzwerkzugriff: Speicherung von Kennwörtern und Anmeldeinformationen für die Netzwerkauthentifizierung nicht zulassen" (P7)
  • BitLocker-Laufwerkverschlüsselung (der Schlüssel ist dem FSR bekannt und nicht gleich mit dem Passwort des Accounts "klassphil"!) (P3-P6)
  • für letzteres (da kein unterstütztes TPM-Modul besteht): lokale Gruppenrichtlinie "Zusätzliche Authentifizierung beim Start anfordern"
  • Einstellungen für Benutzerkontensteuerung: "Immer benachrichtigen" (P3-P4)
  • Google Chrome 64-Bit ist installiert (P4)

fortwährende Sicherheitsstrategie

  • Es besteht ein Image einer "sauberen" Installation. Mit diesem können alle Rechner auf einen gemeinsamen Stand gebracht werden. (Unix-Tool ntfsclone: Image von unverschlüsselter System-Partition, Unix-Tool dd: Image von verschlüsselter System-Partition, Boot-Partitionen und GPT) (P1)
  • Die Geräte können dann regelmäßig aktualisiert werden, indem das Image auf ein Gerät aufgespielt und aktualisiert wird, um dann auch auf die anderen Geräte verteilt zu werden. Sollten Manipulationen am Betriebssystem möglich gewesen sein, werden sie so wenigstens regelmäßig überschrieben. Manipulationen können ausfindig gemacht werden, indem vorliegende Installationen mit dem Ausgangs-Image verglichen werden. (P1-P4, P7)

Account "Studi"

Einschräkungen

  • Nur Mitglied der Gruppe "Gäste" (P3-P6)
  • "Studi" kann das Passwort (welches leer ist) nicht ändern und wird auch nie dazu aufgefordert (P4-P5)

andere Maßnahmen

  • Verknüpfung zu Google Chrome öffnet immer den "Inkognitomodus" (P7)
  • Google Chrome ist mit den Werbeblocker "uBlock Origin" ausgestattet (um Malware über Werbenetzwerke zu erschweren) (P4)
  • Google Chrome ist mit "HTTPS Everywhere" ausgestattet (P4)
  • In Google Chrome ist Flash an der automatischen Ausführung gehindert (click to play) (P4)
  • Google Chrome ist einziger vom Desktop aus sichtbarer Browser (P4)
  • Entfernung der meisten Tiles im Startmenü (P6)
  • Im Acrobat Reader: Sandbox-Schutz, Geschützte Ansicht für Dateien mit potenziell unsicherem Ursprung (P4)

bekannte verbleibende Probleme

  • Für einen Internetzugang müssen sich Nutzende mit ihren zentralen UP-Zugangsdaten in das WLAN einwählen. Diese Anmeldung bleibt gespeichert, wenn sie nicht manuell wieder entfernt wird. (P7)
  • Eine Manipulation von Firmware würde durch ein Aufspielen des "sauberen" Image nicht beseitigt werden.
Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment