Sicherheitsrichtlinien und -hinweise für die Benutzung von Informatik 4 - Rechenanlagen
Richtlinie: Die Befolgung ist verpflichtend.
Hinweis: Die Befolgung ist angeraten.
Umgang mit Passwörtern
Es sind verschiedene Passwörter zu wählen für
- Inf4/CIP-Pool Login,
- Windows/Samba Login,
- PPP/ISDN Login,
- WWW Zertifikate,
- UnivIS Login,
- PGP Schlüssel,
- RRZE Login,
- OTP (One Time Password) Login,
- Logins bei anderen Einrichtungen.
Das Abspeichern von Passwörtern ist nicht gestattet.
Windows ermöglicht das Abspeichern von Passwörtern.
Das Inf4/CIP-Pool Login Passwort darf nicht über Klartextverbindungen übertragen werden. Einzige Ausnahme: FTP-Service innerhalb des Inf4-Netzes.
Bei der Verwendung von Programmen wie rlogin oder telnet werden die Passwörter im Klartext übertragen. Das Inf4/CIP-Pool Login Passwort darf nur bei der Verwendung von slogin/ssh (Secure Shell) eingegeben werden. Beim Zugriff auf den
Terminalserver über den ICA-Client muss zuvor der Verschlüsselungsgrad auf
128 Bit gestellt werden (rechte Maustaste über dem Verbindungseintrag,
"Benutzerdefinierte ICA-Verbindungen" -> "Standardoptionen" -> "Verschlüsselungsgrad"). Der Zugriff über den Terminalserver-Client ist wegen fehlender Verschlüsselungsmechanismen nicht gestattet.
Sollten wichtige Passwörter doch einmal abgespeichert oder über eine Klartextverbindung übertragen worden sein, müssen sie sofort geändert werden.
Die Änderung des betroffenen Passworts darf selbstverständlich nicht über eine Klartextverbindung vorgenommen werden.
Alle Passwörter müssen "unratbar" gewählt werden.
Dies schließt Passwörter aus, die nur aus einem einzigen Wort oder der einfachen Kombination von Wörtern und Zahlen (z.B. Geburtsdaten, KFZ-Kennzeichen) bestehen.
Umgang mit Programmen
Daten, die nicht in die Öffentlichkeit geraten sollen (z.B. Kreditkartennummern), sollten nicht in WWW-Formulare eingegeben werden, wenn die Übertragung dieser Daten nicht verschlüsselt erfolgt.
WWW-Verbindungen erfolgen nur dann verschlüsselt, wenn die URL mit https:// beginnt und der Browser keine Warnungen wegen nicht erkannter Zertifikate gemeldet hat.
Die Funktion "JavaScript" muss bei der Verwendung von Netscape oder Internet Explorer ausgeschaltet werden (Edit->Preferences->Advanced->Enable JavaScript ausschalten).
Fehler in den JavaScript-Implementierungen erlauben z.B. den Zugriff auf Daten, die sich auf der lokalen Festplatte befinden.
Um die Erstellung von Zugriffsprofilen nicht zu ermöglichen, sollte der Zugriff auf das WWW über den Inf4-Proxy-Server geschehen (Edit->Preferences->Advanced->Proxies auf "Automatic Proxy Configuration" und URL auf www4proxy:8080). Außerdem sollte die Funktion "Cookies" eingeschränkt (Edit->Preferences->Advanced "Only accept cookies..." und "Warn me before accepting a cookie" einschalten) und die Funktion "Enable What's Related" (Edit->Preferences->Navigator->Smart Browsing) ausgeschaltet werden.
Bei der uneingeschränkten Verwendung von Cookies ist es möglich, dass sich dritte Parteien über die aktuell angewählten URLs informieren.
Netscape sendet bei eingeschaltetem "What's Related" unter Umständen die momentane und alle weitern URLs zu netscape.com.
Programme, die im WWW zu finden sind, oder die über E-Mail erhalten werden, dürfen nicht ohne Prüfung durch einen Systemadministrator installiert und ausgeführt werden. Dies gilt auch für selbstextrahierende WinZIP-Dateien und für automatisch installierende Netscape-Plugins.
Unbekannte Programme können Viren oder Trojanische Pferde enthalten.
Umgang mit Rechnern
Der Anschluss von Rechnern an das Inf4-Netzwerk nur nach vorheriger Anmeldung
bei einem Systemadministrator gestattet.
Schlecht oder gar nicht gewartete Rechensysteme enthalten in der Regel eine
große Anzahl an Sicherheitslücken. Diese Sicherheitslücken werden von Hackern
sehr schnell erkannt und zum Einbruch ausgenützt.
