Vorlage für ein Sicherheitskonzept Windows 10 Client

[SaschaVolk 1]

Hallo

 

Wir müßen einen PC bei einer großen Firma hinstellen , der als Config PC benutzt wird für eine Medienwand. Die Firma möchte jetzt ein Sicherheitskonzept haben für dieses Laptop. Ich habe mal bei BSI geschaut. Die Konzepte sind dann doch etwas zu mächtig was die anbieten. Hat sowas schon mal jemand gemacht und hätte da vielleicht eine Vorlage ??

[Dr.Melzer 161]

vor 4 Stunden schrieb SaschaVolk:

 

Wir müßen einen PC bei einer großen Firma hinstellen , der als Config PC benutzt wird für eine Medienwand. Die Firma möchte jetzt ein Sicherheitskonzept haben für dieses Laptop. Ich habe mal bei BSI geschaut. Die Konzepte sind dann doch etwas zu mächtig was die anbieten. Hat sowas schon mal jemand gemacht und hätte da vielleicht eine Vorlage ??

Wer ist wir und was hast du/habt Ihr euch schon dazu überlegt?

[magheinz 82]

Da sollte die Firma aber ein paar Vorgaben machen. Die müssen doch erst mal das geforderte Sicherheitsniveau vorgeben. 

Das geht dann bei der Hardware los: redundantes Netzteil, RAID, abschließbares Gehäuse, USV, etc und hört bei so sachen wie Passwörtern etc auf. Zwischendrinn ist dann sowas wie unnötige Dienste beenden, Verschlüsselung etc. 

[Nobbyaushb 461]

Ich habe was von Notebook gelesen - wie ist es mit dem Diebstahschutz?

Soll der nur was anzeigen, bekommt das Teil Internetzugang, kann der ins interne LAN? Usw....

Und ich bin bei meinem Vorredner - das muss der Kunde liefern.

[lefg 236]

Moin

 

Ob der Auftragggeber sich Gedanken über ein Sicherheitskonzept machen möchte und könnte? Defür hat er doch den Auftragnehmer.

 

Natürluich reine Annahme:

 

- als Diebstahlschutz,ein Stahlkabel mit Schloss, Kensington-Schloss oä

- zum Virenschutz den Defender oder was schöneres zum Verkauf :) einen Schutz gegen verseuchte Sticks und Cards.

- Zugriffsschutz Benutzerrname und Passwort

 

Ein Stahlkabel mit Schloss schützt aber nicht die Festplatte vor dem Ausbau, dem einfachen Entnehmen.

 

Für W7 gab es beim BSI eine Liste der deaktivierbaren Dienste. Ich hatte den Serverdienst deaktiviet.

 

Ob das Laptop über einen Bewegungssensor verfügt.

 

 

 

Edited March 8 by lefg

[SaschaVolk 1]

Angaben haben die keine gemacht. Es soll ersichtlich sein das eine Firewall aktiviert ist mit den Ports die offen sind, und ein Virenscanner installiert . Mir geht es mehr um die Gliederung von so einem Konzept. Wie sowas aussehen soll. Ich habe sowas noch nie gemacht.

Edited March 8 by SaschaVolk

[magheinz 82]

vor 1 Stunde schrieb lefg:

Moin

 

Ob der Auftragggeber sich Gedanken über ein Sicherheitskonzept machen möchte und könnte? Defür hat er doch den Auftragnehmer.

Das geforderte Sicherheitsniveau kann wohl kaum der Auftragnehmer festlegen. 

[lefg 236]

vor 1 Stunde schrieb magheinz:

Das geforderte Sicherheitsniveau kann wohl kaum der Auftragnehmer festlegen. 

 

Also die Frage an den AG nach dem Niveau und was es den kosten dürfe? Ob dieser sich höchstes Niveau wünscht kostenlos? Und welche Niveaus es wohl gäbe? Und was die beinhalten?

 

Schau'n wir mal.

[Dukel 258]

1 hour ago, lefg said:

Also die Frage an den AG nach dem Niveau und was es den kosten dürfe? Ob dieser sich höchstes Niveau wünscht kostenlos? Und welche Niveaus es wohl gäbe? Und was die beinhalten?

Der AG kann definieren, vor welchen Bedrohungen der Rechner geschützt werden soll. Zugriff aufs interne Netz, Diebstahl, ...

Aus diesen Anforderungen ergeben sich die Maßnahmen (Kensington Lock, Verschlüsslung, eigenes VLan).

[Pitti259 13]

Von der Stange wird es so ein Konzept nicht geben. magheinz hat es schon richtig geschrieben, der spätere Betreiber dieses Notebooks muss die Sicherheitsanforderungen benennen. Wie immer zählen hier die drei Kategorien, Verfügbarkeit, Vertraulichkeit, Integrität.

 

Dann werden die möglichen Gefährdungen mit ihren Auswirkungen und Eintrittswahrscheinlichkeit ermittelt. Nennt sich Risikoanalyse. Auf die erkannten Risiken werden Maßnahmen angewandt, um die Risiken abzuwenden. Dies wird runter geschrieben und schon hat man ein einfaches Sicherheitskonzept.

 

Eine gewisse Basis-Sicherheit, Virenscanner, deaktivierte "böse" Dienste, Heimtelefonieren etc. sollte aber grundsätzlich unabhängig vom Sicherheitsniveau des AG schon bestehen.

[v-rtc 58]

Danke an alle, da lernen sogar noch andere davon. 

[magheinz 82]

Pitti beschreibt da übrigens wunderbar das Vorgehen nach BSI Grundschutz... 

[Pitti259 13]

vor einer Stunde schrieb magheinz:

Pitti beschreibt da übrigens wunderbar das Vorgehen nach BSI Grundschutz... 

Nicht ganz, habe ein bisschen 27001 native reingemischt...

 

Aber Danke für das "wunderbar".

[v-rtc 58]

@Pitti259 hast Du das Vorgehen aus dem BSI und ISO pamfles Dir erlesen können? Oder gibt es da noch andere gute Werke?

[Pitti259 13]

vor 15 Minuten schrieb RolfW:

@Pitti259 hast Du das Vorgehen aus dem BSI und ISO pamfles Dir erlesen können? Oder gibt es da noch andere gute Werke?

Oh mei, nach 14 Jahren als Auditor kann ich schwer sagen wo ich mir das erlesen habe. Aber wenn es um den Grundschutz geht, dann ist der kostenfreie Online-Kurs auf den BSI-Seiten wohl recht zielführend. Auch der BSI-Standard 200-2 wäre für IT-fachlich versierte Sicherheitseinstieger einigermaßen verständlich. Für die ISO 27001 in der internationalen Variante gibt es recht viel Literatur. Die Norm selbst ist schwere Kost, die empfiehlt sich erst für bereits Geschädigte.