Skip to main content
Skip table of contents

Standard-Anforderungen von SYS.2.1

SYS.2.1.A11 Beschaffung von Clients (S)

IGEL versorgt eine Produktgeneration (z.B. IGEL OS 12, UMS 12) mindestens 3 Jahre mit Bug- und Security-Fixes sowie neuen Features. Bis 3 Jahre nach dem Verkaufsende einer Produktgeneration stellt IGEL noch Security-Fixes dafür zur Verfügung, siehe https://kb.igel.com/en/igel-subscription-and-more/current/igel-product-lifecycle.

Derzeit hat IGEL für OS 12 und UMS 12 noch keine Termine für End-of-Life (EOL) und End-of-Maintenance (EOM) gesetzt.

SYS.2.1.A13 Zugriff auf Ausführungsumgebungen mit unbeobachtbarer Codeausführung (S)

Schützen Sie BIOS- und UEFI-Einstellungen durch ein BIOS-Passwort. Falls Ihr BIOS/UEFI sich mit Tools unter OS 12 managen lässt, ist dies nur als Root-Benutzer möglich.

SYS.2.1.A15 Sichere Installation und Konfiguration von Clients (S)

  • Prüfen Sie bei den Installationsmedien OS Creator, Base System Image for PXE, Base System Deployment Tool for SCCM und Universal Management Suite (UMS) die SHA-265-Hashwerte Ihrer heruntergeladenen Dateien gegen die auf der IGEL-Homepage angegeben Werte.

  • Prüfen Sie, dass alle Endpunkte an der gewünschten, dokumentierten UMS-Instanz registriert sind. In Starter für Sitzungen > Informationen auf OS 12 können Sie die IP-Adresse der verbundenen UMS-Instanz sehen.

  • Bevorzugen Sie bei Apps jene, die von IGEL selbst (siehe Feld „Author“) oder von einem IGEL Ready Developer hergestellt wurden. Daneben gibt es die Möglichkeit, selbst Apps mit dem IGEL App Creator Portal zu paketieren – achten Sie hier auf die Vertrauenswürdigkeit des Autors des Recipe. Schließlich können Sie auch Community Apps installieren – hier liegt die Bewertung des Autors ganz bei Ihnen.

  • Verwenden Sie bei der Konfiguration der Endpunkte die Empfehlungen aus diesem Dokument.

  • Alle Einstellungen sind in UMS-Profilen einsehbar und reproduzierbar.

SYS.2.1.A16 Deaktivierung und Deinstallation nicht benötigter Komponenten und Kennungen (S)

  • Durch die Trennung von Basissystem und Apps in OS 12 sind nach einer Standardinstallation nur notwendige Komponenten installiert. Falls nicht benötigt, kann in einem UMS-Profil noch folgendes deaktiviert werden:

    • Deaktivieren Sie den Zugriff auf virtuelle Linux-Konsolen in Benutzeroberfläche > Bildschirm-Einstellungen > Zugriffskontrolle > Konsolenzugriff abschalten.

    • Wenn Sie keine Smartcards verwenden, deaktivieren sie den PC/SC-Dämon in Sicherheit > Smartcard > Dienste > PC/SC-Dämon aktivieren.

  • Alle Einstellungen sind in UMS-Profilen einsehbar und reproduzierbar.

  • In der Standardeinstellung sind nur benötigte Benutzerkonten vorhanden – der nichtprivilegierte Benutzer user und der Linux-Superuser root, daneben benötigte Konten für Systemdienste.

SYS.2.1.A18 Nutzung von verschlüsselten Kommunikationsverbindungen (S)

  • Kommunikationsverbindungen zu UMS, ICG sowie zu IGEL-Cloud-Diensten sind mit TLSv1.3 transportverschlüsselt.

SYS.2.1.A20 Schutz der Administrationsverfahren bei Clients (S)

  • Administration ist auf dem Endgerät nur dem Linux-Superuser root oder einem optional einzurichtenden Setup-Administrator möglich. Administration durch UMS ist nur dem UMS-Superuser oder dort eingerichteten Administratorkonten möglich.

SYS.2.1.A21 Verhinderung der unautorisierten Nutzung von Rechnermikrofonen und Kameras (S)

  • Kamera und Mikrofon werden nur von bestimmten Apps verwendet, deren Installation in den Händen der UMS-Administratoren liegt.

    • Bei Web Browsern wird der Benutzer zusätzlich noch vom Browser um Erlaubnis gefragt.

SYS.2.1.A23 Bevorzugung von Client-Server-Diensten (S)

  • Die Administration von OS 12 durch UMS (auch via ICG) erfolgt in Client-Server-Architektur, ebenfalls der Bezug von Lizenzen vom IGEL License Portal und die Installation von Apps aus dem IGEL App Portal.

SYS.2.1.A24 Umgang mit externen Medien und Wechseldatenträgern (S)

  • In der Standardeinstellung von OS 12 werden Wechselmedien nicht automatisch eingebunden.

  • Unter Geräte > USB-Zugriffskontrolle lassen sich zudem USB-Geräte nach Klasse (etwa Eingabegerät oder Massenspeicher) sowie nach Hersteller-ID, Geräte-ID und UUID erlauben oder verbieten.

SYS.2.1.A26 Schutz vor Ausnutzung von Schwachstellen in Anwendungen (S)

  • Kernel ASLR Address (Space Layout Randomization) ist aktiviert.

SYS.2.1.A27 Geregelte Außerbetriebnahme eines Clients (S)

  • Architekturbedingt sind auf dem Gerät nur Konfigurationsdaten vorhanden, und die enthaltende Partition ist verschlüsselt.

  • Das Zurücksetzen eines Geräts auf Werkseinstellungen (lokal oder via UMS) löscht die Konfigurationspartition sowie die Datenpartitionen der Apps.

SYS.2.1.A34 Kapselung von sicherheitskritischen Anwendungen und Betriebssystemkomponenten (S)

  • OS 12 verwendet AppArmor zur Sicherung ausgewählter Systemkomponenten.

SYS.2.1.A43 Lokale Sicherheitsrichtlinien für Clients (S)

  • Werden durch UMS-Profile und Empfehlungen dieses Dokuments umgesetzt.

JavaScript errors detected

Please note, these errors can depend on your browser setup.

If this problem persists, please contact our support.

Contact Support Close