Direkt zum Inhalt | Direkt zur Navigation

Sektionen

Focus on your applications!

Benutzerspezifische Werkzeuge

Sie sind hier: Startseite / Support / Häufig gestellte Fragen / Workstation-Checkliste

Workstation-Checkliste

erstellt von Veit Schiele zuletzt verändert: 04.09.2016 17:48 Creative Commons Attribution-ShareAlike 4.0 International License

Struktur

Die Checkliste unterscheidet zwischen den folgenden drei Prioritätsstufen:

wesentlich

Diese Aufgaben sollten auf jeden Fall umgesetzt werden.

Falls sie nicht umgesetzt sind besteht ein hohes Risiko bzgl. der Sicherheit Ihrer Workstation.

wünschenswert
Aufgaben, die die allgemeine Sicherheit Ihrer Workstation verbessern, die jedoch neue Arbeitsweisen erfordern.
paranoid
Aufgaben, die die Sicherheit Ihrer Workstation verbessern, jedoch mit erheblichem Aufwand bei der Umsetzung verbunden sind.

Denken Sie bitte daran, dass es sich im Folgenden nur um Richtlinien handelt, die Sie entsprechend Ihrem Sicherheitsniveau anpassen sollten, genau so wie Sie für richtig halten.

1. Die Wahl der richtigen Hardware

☐ System unterstützt SecureBoot (wesentlich)

☐ System hat keine Firewire-, Thunderbolt- oder Express-Ports (wünschenswert)

☐ System verfügt über einen TPM-Chip (wünschenswert)

2. Vor dem Booten

☐ Verwenden des UEFI-Boot-Modus, nicht eines veralteten BIOS (wesentlich)

☐ Ein Passwort ist erforderlich zur Verwendung der UEFI-Konfiguration (wesentlich)

☐ SecureBoot ist aktiviert (wesentlich)

☐ UEFI-Level-Passwort ist erforderlich um das System zu booten (wünschenswert)

3. Wahl der Distribution

☐ verfügt über eine robuste MAC/RBAC-Implementierung (SELinux/AppArmor/grsecurity). (wesentlich)

☐ publiziert Sicherheitsmitteilungen. (wesentlich)

☐ bietet rechtzeitige Sicherheits-Patches. (wesentlich)

☐ bietet die kryptographische Verifizierung von Paketen. (wesentlich)

☐ bietet volle Unterstützung für UEFI und SecureBoot. (wesentlich)

☐ bietet robuste, native und vollständige Festplattenverschlüsselung. (wesentlich)

4. Installation

☐ Verwenden Sie vollständige Festplattenverschlüsselung (LUKS) mit einem robusten Passwort (wesentlich)

☐ Stellen Sie sicher, dass die Swap-Partition ebenfalls verschlüsselt wird (wesentlich)

☐ Zum Bearbeiten des Bootloader muss ein Kennwort erforderlich sein. Es kann dasselbe wie LUKS sein. (wesentlich)

☐ Verwenden Sie ein robustes Root-Passwort. Es kann dasselbe wie LUKS sein. (wesentlich)

☐ Verwenden Sie ein unprivilegiertes Konto, das Teil der Gruppe administrators ist (wesentlich)

☐ Verwenden Sie für dieses Konto ein robustes Passwort, das sich vom Root- Passwort unterscheidet (wesentlich)

5. Härtung

☐ Firewire und Thunderbolt global deaktivieren (wesentlich)

☐ Überprüfen Sie alle eingehenden Ports in Ihrer Ihre Firewall um sicherzustellen, dass diese gefiltert werden (wesentlich)

☐ Stellen Sie sicher, dass root-Mails an ein Konto weitergeleitet werden, das regelmäßig überprüft wird (wesentlich)

☐ Richten Sie einen Zeitplan für automatische OS-Updates oder Update- Erinnerungen ein. (wesentlich)

☐ Überprüfen Sie, dass der sshd-Service standardmäßig deaktiviert ist (wünschenswert)

☐ Konfigurieren Sie den Bildschirmschoner so, dass er automatisch nach einer gewissen Zeit der Inaktivität die Eingabe sperrt (wünschenswert)

☐ Richten Sie logwatch ein (wünschenswert)

☐ Installieren und verwenden Sie rkhunter (Rootkit Hunter) (wünschenswert)

☐ Installieren Sie ein Intrusion Detection System (wünschenswert)

6. Workstation-Backups

☐ Richten Sie verschlüsselte Backups auf externen Speichern ein (wesentlich)

☐ Verwenden Sie Zero-Knowledge-Backup-Werkzeuge für Remote-Backups (wünschenswert)

7. Best Practices

Web-Browser

☐ Verwenden Sie zwei verschiedene Browser (wesentlich)

☐ Verwenden Sie zwei verschiedene Browser, davon einen innerhalb einer dedizierten VM (wünschenswert)

☐ Volle Trennung der Arbeitsumgebung durch Virtualisierung (paranoid)

Firefox Add-ons

☐ NoScript (wesentlich)

☐ Privacy Badger (wesentlich)

☐ HTTPS Everywhere (wesentlich)

☐ Certificate Patrol (wünschenswert)

Passwort-Manager

☐ Verwenden Sie einen Passwort-Manager (wesentlich)

☐ Verwenden Sie einzigartige Passwörter auf unabhängigen Websites (wesentlich)

☐ Verwenden Sie einen Passwort-Manager, der Team-Sharing unterstützt (wünschenswert)

☐ Verwenden Sie einen separaten Passwort-Manager für Website-Konten (wünschenswert)

Sichern der SSH- und PGP-Schlüssel

☐ Starke Passwörter werden verwendet um Ihre privaten Schlüssel zu schützen (wesentlich)

☐ Der PGP-Master-Schlüssel wird auf einem Wechselspeicher gespeichert (wünschenswert)

☐ Unterschlüssel zum Authentifizieren, Signieren und Verschlüsseln werden auf einer Smartcard gespeichert (wünschenswert)

☐ SSH ist so konfiguriert, dass PGP-Auth-Schlüssel als SSH-private-key verwendet werden (wünschenswert)

SELinux

☐ Stellen Sie sicher, dass SELinux zwingend auf Ihrer Workstation installiert ist (wesentlich)

☐ Nur nach Überprüfung audit2allow -M zustimmen (wesentlich)

☐ Nie setenforce 0 verwenden (wünschenswert)

☐ Ändern Sie Ihr Konto in SELinux User (wünschenswert)

Lizenz

Diese Arbeit ist lizenziert unter der Creative Commons Attribution-ShareAlike 4.0 International License.