Anforderungen bei erhöhtem Schutzbedarf von SYS.2.1

SYS.2.1.A28 Verschlüsselung der Clients (H)

• Aktivieren Sie die Geräteverschlüsselung unter Sicherheit > Geräteverschlüsselung.

• Verwenden Sie ein langes Passwort.

• Verwenden Sie TPM mit PIN und PCR, soweit von Ihrer Gerätehardware unterstützt.

SYS.2.1.A29 Systemüberwachung und Monitoring der Clients (H)

• Die lokalen Systemprotokolle lassen sich über die Rsyslog-Schnittstelle (TLS-verschlüsselt) an einen Log Collector oder ein SIEM weiterleiten, siehe https://kb.igel.com/base_system/12.4/en/logging-122896199.html#Logging-RemoteModeSwitchedtoClient.

SYS.2.1.A30 Einrichten einer Referenzumgebung für Clients (H)

• UMS-Profile mit erfolgreich getesteten Einstellungen lassen sich einfach aus einer Referenz-Umgebung in eine Produktivumgebung übertragen.

SYS.2.1.A31 Einrichtung lokaler Paketfilter (H)

• Iptables/nftables sind im Basissystem von OS 12 enthalten.

• Iptables/nftables-Skripte können in UMS-Profilen in System > Systemanpassung > Eigene Befehle > Basis > Initialisierung auf die Endgeräte ausgerollt werden.

SYS.2.1.A32 Einsatz zusätzlicher Maßnahmen zum Schutz vor Exploits (H)

OS 12 bietet die folgenden Schutzmechanismen vor Schadsoftware:

• Die Systempartition wird im Read-only-Modus betrieben: Malware kann keine Persistenz erlangen.

• Die Integrität der Systempartitionen wird durch Hashes und Signaturen gewährleistet, die überprüft werden:

  • Beim Systemstart

  • Zur Laufzeit

  • Vor der Anwendung von Aktualisierungen.

Sollte die Verifikation einer Signatur fehlschlagen, wird der Anwender sichtbar gewarnt.

• Die Trennung der Berechtigungen zwischen Administrator und Benutzer wirkt der Installation und Ausbreitung von Schadsoftware entgegen.

SYS.2.1.A33 Einsatz von Ausführungskontrolle (H)

• Nicht vorhanden in IGEL OS 12.

SYS.2.1.A35 Aktive Verwaltung der Wurzelzertifikate (H)

• Wurzelzertifikate für Secure Boot werden durch UEFI/BIOS-Hersteller und den Kunden verwaltet.

• In OS 12 im globalen Truststore /etc/ssl/certs vorinstallierte Wurzelzertifikate sind im README der OS-12-Release dokumentiert, wenn Sie aktualisiert wurden.

• Wurzelzertifikate für bestimmte Zwecke wie SCEP, IEEE 802.1X oder VPN lassen sich über UMS-Profile installieren.

SYS.2.1.A36 Selbstverwalteter Einsatz von SecureBoot und TPM (H)

• UEFI Shim ist von Microsoft signiert, Kernel und Partitionen von IGEL.

• TPM kann vom Kunden zum Absichern des Schlüssels für die Festplattenverschlüsselung verwendet werden.

SYS.2.1.A37 Verwendung von Mehr-Faktor-Authentisierung (H)

• OS 12 bietet zahlreiche MFA-Optionen für die lokale Anmeldung:

  • z.B. per Microsoft Entra ID mit Microsoft Authenticator App.

  • Durch die Unterstützung weiterer Identity Provider, die MFA-Optionen bieten.

SYS.2.1.A41 Verwendung von Quotas für lokale Datenträger (H)

• OS 12 verwendet keine Quotas für Dateisysteme.

SYS.2.1.A45 Erweiterte Protokollierung (H)

• Die lokalen Systemprotokolle lassen sich über die Rsyslog-Schnittstelle (TLS-verschlüsselt) an einen Log Collector oder ein SIEM weiterleiten, siehe https://kb.igel.com/base_system/12.4/en/logging-122896199.html#Logging-RemoteModeSwitchedtoClient