Differences

This shows you the differences between two versions of the page.

--- public:vorlage_fbr_zum_betriebskonzept [2010/02/09 14:51] – created woidt
+++ public:vorlage_fbr_zum_betriebskonzept [2010/02/17 15:27] (current) – dreger
@@ Line 1: / Line 1: @@
-====== Erster ENTWURF (zur Vorlage beim FBR) ======
+In den nicht-öffentlichen Bereich verschoben: [[:ImpFbrVorlage]]
-===== Betriebskonzept für Windows Arbeitsplatzrechner am Fachbereich Physik =====
-Durch die für die Fachbereiche verbindliche IT-Sicherheitsrichtlinien der FU Berlin1) einerseits und der seit dem 1.12.2009 gültigen Vereinbarung zur Errichtung eines gemeinschaftlichen IT-Dienstes des Fachbereichs Mathematik und Informatik und des Fachbereichs Physik der Freien Universität Berlin2) andererseits, muss das Betriebskonzept für Windows Arbeitsplatzrechner am Fachbereich Physik neu strukturiert werden.
-Ausgangssituation
-Bisher wurden Windows Rechner am Fachbereich Physik entweder in einer der beiden Windows-Domänen PHYSIK oder WIN installiert oder als Einzelplatzrechner mit lokalen Administrator-Rechten betrieben. Es wurden teilweise Rechner von der IT-Abteilung installiert und anschließend an Gruppen zur Selbstadministration übergeben. Vielfach wurden auf Rechnern in den zentralen Domänen lokale Administratorrechte vergeben, um es den jeweiligen Benutzern zu erlauben, Software bei Bedarf nachzuinstallieren. Diese Praxis hat zu einer unübersichtlichen Situation in den Domänen geführt, so dass von zentraler Verwaltung der Windows-Rechner am Fachbereich Physik nicht wirklich die Rede sein kann.
-Unter einer Windows Domäne versteht man einen Zusammenschluss von Rechnern, die eine Vertrauensstellung zueinander haben und auf gemeinsame Ressourcen zugreifen. Die Domäne wird von sogenannten Domain Controller Servern verwaltet. Benutzer in der Domäne können sich in der Regel an allen Rechnern der Domäne mit ihren Zugangsdaten anmelden und finden überall gleichermaßen ihre Daten vor (Arbeitsplatz, Eigene Dateien). Sie können ohne weitere Eingabe von Passwörtern auf Dienste zugreifen (Fileserver, Printserver). Alle beteiligten Systeme können jederzeit die Authentizität eines Benutzers überprüfen. Über sogenannte Gruppenrichtlinien können Einstellungen auf allen Rechnern in einer Domäne einheitlich gesetzt und verändert werden. Software-Updates können für alle Rechner der Domäne zentral eingespielt werden. Für die zentrale Verwaltung einer größeren Zahl von Windows-Rechnern ist der Betrieb einer Windows-Domäne ohne Alternative.
-Als eine Konsequenz der neuen IT-Richtlinien an der FU sind alle Benutzerdaten an die ZEDAT übertragen worden. Dieser Prozess ist am Fachbereich Physik in der Zwischenzeit fast abgeschlossen. Die ZEDAT betreibt eine Windows-Domäne (FU-BERLIN) in der jeder ZEDAT-Benutzer automatisch aufgenommen wird. Es ist technisch nicht möglich, die bestehenden Domänen der Physik an die ZEDAT-Domäne anzuschließen. Da die Benutzerdaten in der ZEDAT lagern und dort auch die Domain Controller verwaltet werden, bestehen nur zwei Möglichkeiten für eine neue Domäne am Fachbereich Physik:
-    * alle Windows-Rechner könnten in die FU-BERLIN Domäne aufgenommen werden. Dies würde dazu führen, dass nicht nur die Benutzer, sondern auch die Rechner von der ZEDAT verwaltet würden, was auch entsprechende Kosten pro verwalteten Rechner nach sich ziehen würde.
-    * eine flexiblere Möglichkeit besteht in einer Unterdomäne der FU-BERLIN Domäne. Gruppenrichtlinien und die Verwaltung der Rechner selbst bleiben damit in Hand der IMP-IT.
-Diese zweite Möglichkeit wurde mit der IMP (Informatik/Mathematik/Physik) Domäne umgesetzt, deren Domain Controller in der IMP-IT betrieben werden. Allerdings obliegt die Benutzerverwaltung auch hier weiterhin der ZEDAT und es gelten in der IMP Domäne bezüglich der Benutzer die Richtlinien der FU-BERLIN Domäne.
-===== Konsequenzen =====
-==== 1.    Rechner in der IMP-Domäne ====
-Eine Richtlinie in der FU-BERLIN Domäne (und damit auch der IMP Domäne) lautet: es gibt keine lokalen Administrator-Rechte. Dies ist eine Auslegung der IT-Sicherheitsrichtlinie (M1.6, M1.7, M2.10) und wird in dieser Form vom CIO-Gremium (oberstes beschlussfassendes IT Gremium der FU) unterstützt (Antwort desKanzlers auf ein Anschreiben der ZEDAT vom 15.1.2006).
-Es gibt in Ausnahmefällen erweiterte Rechte in Form von zusätzlichen Domänen-Accounts, denen auf dem jeweiligen Rechner Administrator-Rechte eingeräumt werden, und zwar für Entwickler, die aufgrund betriebssystemnaher Programmierung Administratorberechtigungen benötigen. Es ist daher für den Benutzer eines Rechners in der IMP-Domäne nicht möglich, beliebige Software zu installieren.
-Um es Benutzern trotz fehlender Administrator-Rechte zu ermöglichen, Programme auf ihrem Rechner zu installieren, wird ein SCCM Server zum Einsatz kommen. Der Benutzer kann die gewünschte Software aus einer Liste auswählen. Die Installation erfolgt dann automatisch. Die entsprechenden Software-Installer müssen zuvor auf dem SCCM-Server eingepflegt werden.
-Der SCCM-Server übernimmt auch die Neuinstallation aller Rechner, die anschließend von ihm verwaltet werden. Desweiteren können sicherheitskritische Programme wie Webbrowser oder Virenscanner durch den SCCM auf allen Rechnern der Domäne aktuell gehalten werden. Die bisherige automatische Windows-Installation wird hierdurch abgelöst und nicht weiter betrieben.
-Um die Menge an einzupflegenden Software-Paketen und den damit verbundenen Aufwand abschätzen zu können, benötigt die IT-Abteilung von allen Arbeitsgruppen Listen der benötigten Programme. Es ist nicht davon auszugehen, dass restlos alle Software über den SCCM verwaltet werden kann, aber für einen sehr großen Teil der Programme wird dies möglich sein.
-Bei Labtops in der IMP-Domäne werden die Nutzerrechte so erweitert (Network Operator), dass der Nutzer die Netzwerkeinstellungen verändern kann, wenn er den Laptop mitnimmt.  Die Loginprozedur verändert sich bei Mitnahme des Laptops nicht (obwohl gerade kein Kontakt zur IMP Domäne besteht).
-==== 2.    Selbstadministrierte Rechner ====
-Gespräche mit der AG IT-Sicherheit (deren Rolle in Kapitel 1.3 der IT-Sicherheitsrichtlinie festgelegt ist) haben ergeben, dass ein Fachbereich durchaus entscheiden kann, dass ein Teil der Rechner durch die Arbeitsgruppen selbst verwaltet werden darf. An dieser Stelle soll noch einmal nachdrücklich darauf hingewiesen werden, dass das CIO-Gremium die Eigenadministration von Rechnern durch die Nutzer für nicht wünschenswert erachtet. Sollte sich eine wissenschaftliche Arbeitsgruppe trotzdem dafür entscheiden, ihre Computerarbeitsplätze selbst zu verwalten, ist der ordnungsgemäßen Betrieb im FU-Netz gemäß der IT-Sicherheitsrichtlinie zwingend notwendig.
-Um Zugang zum Netz zu bekommen müssen die selbstadministrierten Rechner wie bisher beim IT-Service angemeldet werden. Dabei unterschreibt der Nutzer eine Vereinbarung (siehe Anlage), die einige verbindliche Hinweise zu den Grundsätzen des ordnungsgemäßen Betriebs laut IT-Richtlinie der FU Berlin enthält.
-Die Verwaltung von Windows-Rechner außerhalb der IMP-Domäne kann nicht von der IT-Abteilung übernommen werden, da sie dazu neben dem Betrieb der IMP-Domäne mit einer sehr großen Anzahl von Softwarepaketen personell nicht in der Lage ist. In der Regel wird die IT-Abteilung helfen wo es geht, so wie sie es bereits in der Vergangenheit der Fall war, allerdings ohne Prioritätsanspruch.
-Unter Aufgabe der lokalen Administrator-Rechte und einer Neuinstallation kann eine Aufnahme selbstadministrierter Rechner in die IMP-Domäne jederzeit erfolgen.
-==== 3.  Labornetz ====
-Da die oben genannten Regeln für meist ältere Meßrechner nicht umsetzbar sind, werden diese Rechner nicht in die IMP-Domäne aufgenommen, sondern in ein abgesichertes Labornetz  (ehemals SECNET) verlegt. Der Zugriff auf dieses Rechner von außerhalb des FU-Netzes ist nicht möglich.  Zugriffe  vom internen Netz der Physik auf Rechner im Labornetz ist nur sehr eingeschränkt möglich (ssh).  (was noch?)
-Auch in diesem Fall werden lokale Administrator-Rechte vergeben. Wie bereits in der Vergangenheit praktiziert,  werden Meßrechner im Labornetz von den Nutzern, die über die entsprechenden Administrator-Rechte verfügen, installiert und selbstverantwortlich verwaltet.
-Auch im Labornetz gelten die Grundsätze des ordnungsgemäßen Betriebs entsprechend der IT-Sicherheitsrichtlinie, soweit dies überhaupt möglich ist. Die IT-Abteilung behält sich das Recht vor, Rechner in das Labornetz zu verschieben, sofern diese offensichtlich nicht den notwendigen Sicherheitsanforderungen in den offeneren Netzen von Punkt 2 entsprechen (können).
-Normale Arbeitsplatzrechner können wegen der stark einschränkenden  Firewallregeln im Labornetz nicht sinnvoll betrieben werden.
-) http://www.physik.fu-berlin.de/intern/data/IT-Sicherheitsrichtlinie_2008.pdf
-) http://www.physik.fu-berlin.de/intern/data/Vereinbarung_IT-Dienst-final.pdf
-===== Vereinbarung für selbstadministrierte Rechner =====
-Die in den Sicherheitsrichtlinien beschriebenen organisatorischen, personellen, technischen und infrastrukturellen Maßnahmen und Methoden sind für alle Einrichtungen der Freien Universität verbindlich (Rundschreiben Nr. 05/2008). Sie sind als PDF Datei im internen Bereich unseres Webservers zu finden.
-Mit der Unterschrift dieser Vereinbarung erklären Sie, die IT-Richtlinien zu kennen und einzuhalten.
-Im Besonderen bedeutet dies:
-Es gibt nur einen Account mit Administratorenrechten (i.d.R  der Account „Administrator“), der ausschließlich für spezielle Zwecke (Installation von Software, Änderungen von Systemeinstellungen, systemnahe Programmierung ) genutzt werden darf.
-  * Für die normale Nutzung des Rechners ist für jeden Mitarbeiter, der diesen Rechner nutzt, ein lokaler Account anzulegen, der nur normale Userrechte hat.
-  * Wahl eines sicheren Passworts. Hierzu gibt es vom Bundesamt für Sicherheit (BSI) gute Hinweise (googeln :“ BSI sicheres Passwort“)
-  * Installation eines Virenscanners, der sich über das Netzt selbst aktualisiert. Allen Mitgliedern der FU steht der Virenscanner von McAfee kostenlos zur Verfügung (steht im ZEDAT-Portal für jeden zur Verfügung).
-  * Der Microsoft Updateservice darf nicht abgeschaltet werden und muss über einen FU eigenen WSUS Server erfolgen. (welcher?)
-  * Die Windows Firewall muss aktiviert sein.
-Weiterhin gelten folgende zusätzliche Regelungen (FB-intern):
-    * Der Arbeitsgruppenleiter muss einen Mitarbeiter (oder sich selbst) benennen, der die Verantwortung für die selbstadministrierten Rechnersysteme trägt und den ordnungsgemäßen Betrieb entsprechend der IT-Sicherheitsrichtlinie garantiert.
-    * Bei Urlaub oder Abwesenheit ist ein Vertreter zu bestimmen.
-    * Die Rechner werden von der Arbeitsgruppe installiert und gewartet.
-    * Auftretende Probleme der Gruppenmitglieder mit den Rechnern werden von der Arbeitsgruppe selbst gelöst.
-        Rechnerverantwortlicher: ………………………………………………………..
-              Stellvertreter: ………………………………………………………..
-Unterschrift:     Berlin, den