7.7 Konfiguration av anslutna datorer

Förslag till riktlinjer

För att få anslutas till högskolans nätverk så ska datorer vara installerade och konfigurerade så att kraven på godtagbar säkerhet kan tillgodoses. Universitetets IRTgrupp (ITincindentgrupp) har mandat att om så behövs med omedelbar verkan stänga av maskiner som ej fyller kraven.

  • Maskiner ska ha (minst) en utsedd och ansvarig systemadministratör.

  • Institutionen ska föra förteckning över installerade maskiner. Tillräcklig dokumentation ska finnas för att inst. IT-ansvarige ska lokalisera anslutna maskiner. Specifikt bör MAC-adressen noteras.

  • Det ska finnas rutiner för regelbunden säkerhetskopiering på sätt som verksamheten kräver.

  • Det ska finnas rutiner för att regelbundet följa upp att säkerhetspatchar installerats, och att systemet i övrigt är korrekt konfigurerat, förslagsvis en gång per månad och så ofta som är praktiskt möjligt. Ovanstående medför att operativsystem och programvara som inte kan hållas uppdaterad inte heller kan användas.

  • Vid uppmaning från IRTgruppen om vidtagande av åtgärder för höjande av säkerheten ska dessa genomföras snarast möjligt.

  • Där så är möjligt och med beaktande av verksamhetens krav ska systemen konfigureras så att säkerhetsrelevant information loggas och att loggar roteras / sparas på lämpligt sätt. Normalt ska loggar sparas XXX månader. Förutom på aktuell maskin ska loggar sparas på även på den central loggservern. Loggar från brandmurar, dhcpservrar etc ska sparas på samma sätt.

  • För att få loggar att visa rätt tid, skall högskolans gemensamma tidsservrar utnyttjas.

  • För undvikande av dns-problem, bör mer än en dnsserver vara konfigurerad.

  • Tjänster som EJ används ska inte vara aktiverade.

  • Tjänster som används ska vara uppsatta säkerhetsmässigt korrekt. Tjänster som inte kan nyttjas säkert (exvis NetBIOS, NFS) men som ändå måste användas ska vara spärrade på lämpligt sätt, via filter på maskinen eller i lokal router. Detta medför inte att de inte ska underhållas.

  • Lösenord ska vara av tillfredställande kvalitet och ska inte överföras i klartext. Datorer utan inloggning är ej tillåtet. Möjligen kan övergångsvis och i undantagsfall maskiner vilka saknar påloggning accepteras såvida de är avsedda för en specifik användare och om detta kan säkerställas genom fysiskt skydd eller annat tillfredställande sätt.

    • Observera att även lösenord för "alternativa ingångar", exvis för VNC, måste vara av god kvalitet.

    • Står datorn i oskyddat utrymme bör bios-lösenord (motsv) användas för att förhinda obehörig start m.h.a. diskett (etc). Datorns fysiska säkerhet ska beaktas.

  • Där så är lämpligt/möjligt ska nättrafiken vara krypterad. Exvis ska ssh eller liknande nyttjas istället för okrypterad telnet.

  • IPv6:

    • Universitetets officiella ipv6-förbindelse ska utnyttjas, inte inofficiella tunnlar.

    • "Privacy option" är inte tillåtet.

    • Maskiner skall, om inte speciella skäl finns, vara upplagda i DNS.

    • Innan ett nät öppnas för ipv6 ska inst. IT-ansvarige rådgöra med IRT-gruppen om de problem som kan uppstå.

  • Anslutning av privatägda maskiner via radiolan ska ske med adekvat säkerhet och på ett sådant sätt att användarens identitet kan styrkas.

    • "adekvat säkerhet" innebär bland annat WPA-2 samt bra (långa) lösenord.

IT-säkerhetshandboken | Utskriftsvänlig sida | Kontakt