Workstation-Checkliste
Struktur
Die Checkliste unterscheidet zwischen den folgenden drei Prioritätsstufen:
- wesentlich
Diese Aufgaben sollten auf jeden Fall umgesetzt werden.
Falls sie nicht umgesetzt sind besteht ein hohes Risiko bzgl. der Sicherheit eurer Workstation.
- wünschenswert
- Aufgaben, die die allgemeine Sicherheit Ihrer Workstation verbessern, die jedoch neue Arbeitsweisen erfordern.
- paranoid
- Aufgaben, die die Sicherheit eurer Workstation verbessern, jedoch mit erheblichem Aufwand bei der Umsetzung verbunden sind.
Denkt bitte daran, dass es sich im Folgenden nur um Richtlinien handelt, die ihr entsprechend eurem Sicherheitsniveau anpassen solltet, genau so wie ihr es für richtig haltet.
1. Die Wahl der richtigen Hardware
☐ System unterstützt SecureBoot (wesentlich)
☐ System hat keine Firewire-, Thunderbolt- oder Express-Ports (wünschenswert)
☐ System verfügt über einen TPM-Chip (wünschenswert)
2. Vor dem Booten
☐ Verwenden des UEFI-Boot-Modus, nicht eines veralteten BIOS (wesentlich)
☐ Ein Passwort ist erforderlich zur Verwendung der UEFI-Konfiguration (wesentlich)
☐ SecureBoot ist aktiviert (wesentlich)
☐ UEFI-Level-Passwort ist erforderlich um das System zu booten (wünschenswert)
3. Wahl der Distribution
☐ verfügt über eine robuste MAC/RBAC-Implementierung (SELinux/AppArmor/grsecurity). (wesentlich)
☐ publiziert Sicherheitsmitteilungen. (wesentlich)
☐ bietet rechtzeitige Sicherheits-Patches. (wesentlich)
☐ bietet die kryptographische Verifizierung von Paketen. (wesentlich)
☐ bietet volle Unterstützung für UEFI und SecureBoot. (wesentlich)
☐ bietet robuste, native und vollständige Festplattenverschlüsselung. (wesentlich)
4. Installation
☐ Verwendet vollständige Festplattenverschlüsselung (LUKS) mit einem robusten Passwort (wesentlich)
☐ Stellt sicher, dass die Swap-Partition ebenfalls verschlüsselt wird (wesentlich)
☐ Zum Bearbeiten des Bootloader muss ein Kennwort erforderlich sein. Es kann dasselbe wie LUKS sein. (wesentlich)
☐ Verwendet ein robustes Root-Passwort. Es kann dasselbe wie LUKS sein. (wesentlich)
☐ Verwendet ein unprivilegiertes Konto, das Teil der Gruppe administrators ist (wesentlich)
☐ Verwendet für dieses Konto ein robustes Passwort, das sich vom Root- Passwort unterscheidet (wesentlich)
5. Härtung
☐ Firewire und Thunderbolt global deaktivieren (wesentlich)
☐ Überprüft alle eingehenden Ports in eurer Firewall um sicherzustellen, dass diese gefiltert werden (wesentlich)
☐ Stellt sicher, dass root-Mails an ein Konto weitergeleitet werden, das regelmäßig überprüft wird (wesentlich)
☐ Richtet einen Zeitplan für automatische OS-Updates oder Update- Erinnerungen ein. (wesentlich)
☐ Überprüft, dass der sshd-Service standardmäßig deaktiviert ist (wünschenswert)
☐ Konfiguriert den Bildschirmschoner so, dass er automatisch nach einer gewissen Zeit der Inaktivität die Eingabe sperrt (wünschenswert)
☐ Richtet logwatch ein (wünschenswert)
☐ Installiert und verwendet rkhunter (Rootkit Hunter) (wünschenswert)
☐ Installiert ein Intrusion Detection System (wünschenswert)
6. Workstation-Backups
☐ Richtet verschlüsselte Backups auf externen Speichern ein (wesentlich)
☐ Verwendet Zero-Knowledge-Backup-Werkzeuge für Remote-Backups (wünschenswert)
7. Best Practices
Web-Browser
☐ Verwendet zwei verschiedene Browser (wesentlich)
☐ Verwendet zwei verschiedene Browser, davon einen innerhalb einer dedizierten VM (wünschenswert)
☐ Volle Trennung der Arbeitsumgebung durch Virtualisierung (paranoid)
Firefox Add-ons
☐ NoScript (wesentlich)
☐ Privacy Badger (wesentlich)
☐ HTTPS Everywhere (wesentlich)
☐ Certificate Patrol (wünschenswert)
Passwort-Manager
☐ Verwendet einen Passwort-Manager (wesentlich)
☐ Verwendet einzigartige Passwörter auf unabhängigen Websites (wesentlich)
☐ Verwendet einen Passwort-Manager, der Team-Sharing unterstützt (wünschenswert)
☐ Verwendet einen separaten Passwort-Manager für Website-Konten (wünschenswert)
Sichern der SSH- und PGP-Schlüssel
☐ Starke Passwörter werden verwendet um eure privaten Schlüssel zu schützen (wesentlich)
☐ Der PGP-Master-Schlüssel wird auf einem Wechselspeicher gespeichert (wünschenswert)
☐ Unterschlüssel zum Authentifizieren, Signieren und Verschlüsseln werden auf einer Smartcard gespeichert (wünschenswert)
☐ SSH ist so konfiguriert, dass PGP-Auth-Schlüssel als SSH-private-key verwendet werden (wünschenswert)
SELinux
☐ Stellt sicher, dass SELinux zwingend auf eurer Workstation installiert ist (wesentlich)
☐ Nur nach Überprüfung audit2allow -M zustimmen (wesentlich)
☐ Nie setenforce 0 verwenden (wünschenswert)
☐ Ändert euer Konto in SELinux User (wünschenswert)
Lizenz
Diese Arbeit ist lizenziert unter der Creative Commons Attribution-ShareAlike 4.0 International License.