Breadcrumbs

Basis-Anforderungen von SYS.2.1

SYS.2.1.A1 Sichere Authentisierung von Benutzenden (B)

  • Konfigurieren Sie ein Root-Passwort für das OS-12-Gerät.

  • Setzen Sie Authentisierung für Benutzende ein (via UMS-Profil):

    • Ein lokales Benutzerkonto

    • ODER Authentisierung gegen on-premise Active Directory (AD) mit Kerberos

    • ODER Single Sign-On gegen einen Identitätsanbieter wie

      • Microsoft Entra ID

      • Okta

      • Open ID Connect

      • Ping Identity | Ping One

      • VMware Workspace One Access

    • ODER Authentisierung mit Smartcard

  • Weitere Authentisierungslösung wie Imprivata, Evidian, etc. sind von OS 12 unterstützt.

  • Verwenden Sie NICHT die Anmeldung als Gast, da hier keine Authentisierung stattfindet.

  • Verwenden Sie automatische Bildschirmsperre

    o   Stellen Sie die Bildschirmsperre so ein, dass nach einigen Minuten Inaktivität des Benutzers automatisch der Bildschirm gesperrt wird.

    o   Lassen Sie zum Entsperren das Benutzerpasswort abfragen.

    o   Optional können Sie auch das Administratorpasswort zum Entsperren zulassen.

SYS.2.1.A3 Aktivieren von Autoupdate-Mechanismen (B)

Siehe OPS.1.1.3.A3 Konfiguration von Autoupdate-Mechanismen (B)

SYS.2.1.A6 Einsatz von Schutzprogrammen gegen Schadsoftware (B)

Siehe OPS.1.1.4 Schutz vor Schadprogrammen.

SYS.2.1.A8 Absicherung des Bootvorgangs (B)

OS 12 verwendet UEFI Secure Boot sowie signierte System- und Software-Partitionen, um die Integrität des Bootvorgangs sowie des Systems zu schützen.

  • Aktivieren Sie UEFI Secure Boot im UEFI/BIOS des Geräts – häufig ist es schon aktiviert.

  • Bei als “Secured-Core-PCs“ vermarkteten Geräten kann es erforderlich sein, die Einstellung „"Allow Microsoft 3rd Party UEFI CA" zu aktivieren, siehe https://kb.igel.com/securitysafety/en/secured-core-pcs-microsoft-3rd-party-uefi-certificate-for-secure-boot-70156597.html. Mit dieser CA signiert Microsoft im Namen des UEFI Forum IGEL OS und andere 3rd-Party-Betriebssysteme.

  • Deaktivieren Sie im UEFI/BIOS das Booten von Wechselmedien wie USB-Sticks.

  • Setzen Sie ein UEFI/BIOS -Passwort, um die obigen Einstellungen vor unberechtigter Änderung zu schützen.

  • Informationen zu den oben genannten Schritten finden Sie in der Dokumentation Ihres BIOS-Herstellers.

SYS.2.1.A42 Nutzung von Cloud- und Online-Funktionen (B) [Benutzende]

Eine typische OS-12-Installation verwendet die folgenden, notwendigen Cloud- und Online-Funktionen:

  • Management durch UMS: Unverzichtbar bis auf sehr spezielle Ausnahmen, dann aber potenziell Konflikt mit OPS.1.1.2.

  • Die unverzichtbaren Betriebssystem-Updates und Apps kann das Endgerät entweder vom direkt IGEL App Portal (Cloud) oder via IGEL UMS (on-premise) beziehen. Dokumentieren Sie Ihre Entscheidung.

  • Optional: Management via IGEL Cloud Gateway (ICG)

  • Produktive Sitzungen für den Betrieb des Kunden (Web Browser, Citrix, Cisco Webex, Azure Virtual Desktop, Windows 365, RDP, Horizon und weitere): Verwenden Sie ausschließlich die für Ihren Betrieb benötigten und dokumentierten Sitzungen.

  • Hilfsdienste für Drucken, Monitoring, Logging, Zugriffskontrolle (CUPS, ControlUp, deviceTrust, Imprivata und weitere). Verwenden Sie ausschließlich die für Ihren Betrieb benötigten und dokumentierten Hilfsdienste.

  • Der IGEL Insight Service ist nicht für den Betrieb erforderlich. Stellen Sie sicher, dass er in UMS Web App > Network > Settings > UMS Features deaktiviert ist.