Sicherheit für mobile Computer
Vorwort
Im Zusammenhang mit mobilen Computern müssen Sie einige weitere Sicherheitsaspekte
betrachten, die über
die Empfehlungen zu Desktopcomputern hinausgehen. Mobile Benutzer setzen ihre
Computer auch unterwegs
ein und müssen desswegen administrative Aufgaben erledigen, die normalerweise
von IT-Mitarbeitern Ihrer
Organisation vorgenommen werden. So kann es etwa vorkommen, dass ein mobiler
Benutzer ein Dokument
auf einem anderen Drucker als dem ausdrucken muss, der in seinem Büro steht.
Hierführ muss er natürlich
den korrekten Druckertreiber installieren. Normalerweise benötigt man Administrative
Rechte auf dem Gerät
um diese Aufgabe durchzuführen. Da dieser Schritt jedoch bekannt ist, bietet
Microsoft mit einer Gruppen-
richtlinie einen Ausweg aus dieser Situation. Zu diesem Zweck muss die Sicherheitsoption:
Geräte: Anwendern
das Installieren von Druckertreibern nicht erlauben deaktiviert werden.
Wenn Sie bereits wissen, dass Benutzer,
die außerhalb ihres Büros arbeiten, unterwegs Anwendungen neu oder
wieder installieren müssen, sollen Sie
die Einstellung Immer mit erhöhten Rechten installieren
im Knoten Administrative Voralagen->Windows
Komponenten->Windows Installer aktivieren.
Mobile Benutzer müssen häufig eine Verbindung mit
fremden Netzwerken herstellen, zB. über einen WLAN
Hotspot in einem Internetcafe oder bei Kunden. Diese Fremdnetze unterliegen
bedauerlicherweise nicht
immer den Netzwerksicherheitsstandards in Ihrer Organisation, weswegen mobile
Benutzer dem erhöhten
Risiko eines Netzwerkangriffs ausgesetzt sind. Um dieses Risiko zu verringern,
sollten Sie die Internet-
verbindungsfirewall (im Service Pack 2 enthalten auch Windows Firewall genannt)
für alle Netzwerkschnitt-
stellen der Mobilcomputer aktivieren.
Hinweis!
Die Internetverbindungsfirewall lässt sich seit dem Windows Server 2003
SP1 auch per Gruppenrichtlinien
konfigurieren. Möchten Sie die Windows Firewall per lokaler Gruppenrichtlinie
auf einem Mobilgerät
konfigurieren das nicht Mitglied einer Domäne ist, so können Sie die
ADM Dateien eines Windows
Server 2003 Servers mit SP1 kopieren und in das Mobilgerät einspielen.
Damit verfügt der
Client auch über die neuen Gruppenrichtlinien. Da sich das Format der ADM
Dateien jedoch mit SP1 von
Windows Server 2003 geändert hat, müssen Sie einen kleinen Patch einspielen
den Sie jedoch
im Microsoft Knowledgebase mit der Suche nach "ADM
Strings" leicht finden.
Alternativ hier der Link zum Microsof
Downloadcenter und der Knowledgebase
oder direkt zum
Knowledgebase Artikel 842933.
Der Diebstahl eines Mobilcomputers ist wesentlich wahrscheinlicher
als der eines Desktopcomputers,
weswegen das verschlüsselte Dateisystem (Encrypting File System, EFS) auf
Mobilcomputern
von extrem hoher Bedeutung ist. Um die Wahrscheinlichkeit zu verringern, dass
Ihre Geschäftsgeheim-
nisse durch einen Diebstahl gefährdet werden, sollten Sie alle vertraulichen
Dokumente mit EFS verschlüsseln.
Zwar kann EFS nicht mithilfe von Sicherheitsvorlagen für einzelne Ordner
aktiviert werden, aber Sie können
ein Anmeldescript erstellen, welches EFS für Ordner aktiviert, die vertrauliche
Dokumente enthalten können.
Mobile Benutzer benötigen möglicherweise zusätzliche
Flexibilität zur Konfiguration ihrer Systeme, etwa
wenn Sie VPN-Verbindungen (Virtuelle Private Verbindungen, Virtual Private Network)
konfigurieren müssen.
In diesen Fällen ändenr Sie die entsprechenden Einstellungen im Knoten
Benutzerkonfiguration->Adminis-
trative Vorlagen->Netzwerk->Netzwerkverbindungen des anwendbaren
GPO.
Mobile Benutzer benötigen meistens Wireless LAN um Verbindungen
aufzubauen.
Sie können die Einstellungen für WEP auch über Gruppenrichtlinien
steuern. Die WEP Verschlüsselung
hat einen schlechten Ruf bekommen durch manch leicht entschlüsselbare Netzwerke
die mit
vielen Tools entsprerrt werden konnten. Die Weiterentwicklung von WEP ist WPA.
WPA kann jedoch nicht
per GPO gemanagt werden. Dadurch, dass mitlerweile bereits ein sog. Dynamisches
WEP
längst verfügbar ist, können Sie diese Implementation des normalen
WEP bevorzugen. Dynamisches WEP
ist bei weitem fast gleich sicher wie WPA.
Beim normalen WEP geben Sie einen oder mehrere Schlüssel ein um die Verbindung
zu sichenr, dieser
bleibt jedoch immer gleich und Sie müssten auf jedem Rechner den Schlüssel
immer wieder manuell
ändern um die Sicherheit des Netzwerkes zu gewährleisten. Aus diesem
Grunde bedient man sich
bei Dynamischen WEP (hier wird der Schlüssel vom System automatisch gewechselt)
dem Radius
Server. Die Microsoft Implementation des RADIUS Servers ist der Internetauthentifizierungsdienst
der auf
jedem Windows Server 2003 hinzugefügt werden kann (Software-Windows Komponenten).
Im Radius Server müssen die RADIUS Clients definiert werden und per GPO
wird dem mobilen Computer
mitgeteilt, dass per RADIUS WEP Verbindungen erneuert werden. Wie oft der Schüssel
erneut erstellt
werden musst, obliegt der Einstellung am jeweiligen RADIUS Server.
Scheuen Sie den RADIUS Server nicht, er ist leichter zu bedienen
als man denken mag.
Bei verwendung eines RADIUS Servers können Sie wählen, ob die Authentifizierung
mittels Passwortabfrage
oder Zertifikaten erfolgen soll.
Wie Sie RADIUS verwenden um Dynamische WEP Verbindungen können Sie aus
den anderen Dokumenten
auf msosh.at.tt finden.
Erstellt von: Haßlinger Stefan
Im: Jahr 2006