jenzoo
Goto Top

FISI Projektantrag GPO

Moin, leider wurde mein Projektantrag abgelehnt mit folgender Begründung abgelehnt "Antrag kann so nicht genehmigt werden. Uns fehlt hier die Tiefe und der entsprechende Umfang für ein Abschlussprojekt. Bitte Tiefe nachweisen oder ein anderes Thema aufgreifen. Zusätzlich PSP mit einreichen."

Leider verstehe ich nicht ganz warumer abgelehnt wurde, weil ich eher dachte, dass der Umfang meines Projektes eher zu groß als zu klein wäre.

Das ist mein Projektantrag:


Einrichtung von Richtlinien für Softwareeinschränkungen (Group Policies)

1.1*
Kurzform der Aufgabenstellung

Beschreiben Sie kurz Ihr Projekt.
Die * ist ein Dienstleister in der Automotive-Branche und übernimmt unter anderem die Lagerhaltung und das Leerguthandling für die * an ihrem Standort in Bremen. Im Lager werden zudem Stapler eingesetzt, welche über ein Computerterminal verfügen. Da das Terminal zwar schon über einen Schreibschutz verfügt, kann der Benutzer jedoch uneingeschränkt Software am Terminal ausführen. Dies kann im Betrieb zu Sicherheitslücken, Störungen und Ablenkung führen. Im Rahmen des Projektes soll nun die Sicherheit und Produktivität der Staplerfahrer mit Hilfe von Softwareeinschränkungen verbessert werden.
]
1.2*
Ist-Analyse
9
Die derzeit genutzten ADStec Staplerterminals haben keine Softwareeinschränkungen. Somit kann der User Stapler einen Großteil der installierten Software nutzen. Er kann zwar Änderungen am Gerät vornehmen, diese werden durch einen Neustart wieder zurückgesetzt. Die Terminals verfügen über eine Schreibschutzfunktion, die wenn sie aktiviert ist keine Änderungen zulässt. Wir möchten zukünftig das Ausführen von z.B. ausführbaren Dateien (executables), die im sogenannten Portable-Format vorliegen, verhindern . Das sind Programme, die auch ohne den Windows-Installer lauffähig sind und dementsprechend keine Administratorrechte voraussetzen. Die Mitarbeiter/-innen können somit unbeabsichtigt Schadsoftware ausführen, dies kann zu potenziellen Sicherheitsrisiken führen.

2.
Zielsetzung entwickeln / Soll-Konzept
2.1*
Was soll am Ende des Projektes erreicht sein?

Nach der Fertigstellung des Projektes und der Integration in das Produktivsystem soll das System so konfiguriert sein, dass jedes Ausführen einer nicht zugelassenen Software oder Datei unterbunden wird. Nach Rücksprache mit meinem Ausbilder habe ich entschieden, dass die Software Restriction Policies mit einer sogenannten Whitelist arbeiten sollen. Eine Alternative wäre eine Blacklist, die an dieser Stelle nicht sinnvoll ist, da sie nur bekannte Programme und Dateien blockiert und somit unbekannte Programme trotzdem ausführbar sind. Zukünftig sollen alle Programme, Dateien oder Verknüpfungen, die nicht in der Whitelist aufgelistet sind, nach der Integration gesperrt werden. Dies soll dafür sorgen, dass die Staplerterminals der sicherer gegen Schadprogramme aller Art werden. Zudem soll es noch ein Skript geben welches Log-Fehler notiert, denn anschließend kann diese Skript-Datei von einem Administrator analysiert werden, dadurch kann das System in Zukunft weiter verbessert werden.

2.2*
Welche Anforderungen müssen erfüllt sein?

Folgende Anforderungen sollen durch die Group Policies erreicht werden:
- Unterbindung der Ausführung von ungewollten Dateien
- Das Staplerterminal muss über ein Windows Betriebssystem verfügen
- Es soll eine Log-Datei geben aus der man Daten auslesen kann
- Programme aus der Whitelist müssen ohne Probleme funktionieren
- Es darf keine Möglichkeiten für den User geben die Group Policies zu deaktivieren/umgehen

2.3*
Welche Einschränkungen müssen berücksichtigt werden?

- Es muss darauf geachtet werden das notwendige Windows Funktionen nicht unterbunden werden
- Konfiguration und Tests müssen auf einem Testgerät stattfinden, da sonst der Betrieb gestört wird

3.
Projektstrukturplan entwickeln
3.1*
Was ist zur Erfüllung der Zielsetzung erforderlich?

Zur Erfüllung der Zielsetzung ist es erforderlich, dass die benötigte Hardware, sowie die benötigte Software vorhanden sind und ordnungsgemäß installiert werden. Es wird in kurzen Zyklen Rücksprache mit dem Fachbereich gehalten um Feedback einzuholen. Dieses Feedback ermöglicht dem Projektleiter schnell und gezielt auf Wünsche einzugehen.

3.2*
Hauptaufgaben auflisten

- Ist-Analyse und Beschreibung der derzeitigen Situation
- Soll-Konzept erstellen
- Anforderungen definieren
- Auflistung der derzeitigen Probleme und Einschränkungen
- Evaluation des erarbeiteten Lösungswegs
- Konfiguration des Terminals
- Erstellen der Software Richtlinien
- Testen der Softwarerichtlinien
- Erstellen des Log-Skriptes
- Erreichen der Zielsetzung überprüfen
- Erstellung der Projektdokumentation
- Übergabe des Projektes

3.3*
Teilaufgaben auflisten

- Information der Anforderungen aus dem Fachbereich einholen
- Whitelist erstellen
- Testen des Log-Skriptes

3.4*
Grafische oder tabellarische Darstellung

Laden Sie Ihre grafische oder tabellarische Projektdarstellung hoch.
(siehe Anhang)

4.*
Projektphasen mit Zeitplanung in Stunden

- Darstellung des Projektablaufes - Geplanter Zeitaufwand in Stunden
Phasenname Aufwand in Std.
1. Projektplanung¬______________________________________7
1.1 Ermittlung des Ist-Zustandes 2
1.2 Ermittlung des Soll-Konzeptes 2
1.3 Anforderungen definieren 2
1.4 Verschiedene Lösungswege erarbeiten 1
2. Projektdurchführung__________________________________19
2.1 OS-Image Installation 1
2.2 Konfiguration der Windowsgruppenrichtlinien 9
2.3 Funktionalitätsprüfungen der Gruppenrichtlinien 6
2.4 Implementierung in das Produktivsystem 2
2.5 Test mit einem Mitarbeiter 1
4. Projektabschluss______________________________________ 8
4.1 Erreichen der Zielsetzung überprüfen 1
4.2 Projekt Dokumentation erstellen 7
Gesamtbedarf _______________________________________34


Ich würde mich über Verbesserungen/Erweiterungen freuen.

Content-ID: 657026

Url: https://administrator.de/contentid/657026

Printed on: December 3, 2024 at 08:12 o'clock

aqui
aqui Feb 28, 2021 updated at 11:19:48 (UTC)
Goto Top
Völlig unberücksichtig bleibt die Infrastruktur Sicherheit ! Staplerfahrer_Klaus guckt sich in seinem Terminal die Zugangsdaten des Lager WLANs an und verät das im Suff allen seinen Freunden und Kollegen die dann mit ihren Smartphones illegal Musik und Videos über das Lagernetz up- und downloaden. Die verraten das dann weiter an die Hackerclique im Ort die wiederum flugs ein paar Emotet Trojaner ins Lagernetz bringen und sich einen feixen das am nächsten Tag die ganze Firma stillsteht für Wochen. Das liesse sich beliebig fortsetzen.
Soviel zum Thema Tiefe.
Windows GPOs macht gefühlt jeder 2te FiSi was bei den Prüfern vermutlich nur ein gelangweiltes Gähnen hervorruft.
em-pie
em-pie Feb 28, 2021 at 11:34:56 (UTC)
Goto Top
Moin,

ähnlich wie die IHK sowie Kollege @aqui halte ich das auch etwas dünn...
Das Thema hat man vermutlich binnen 4-6h umgesetzt und 29h für die Doku ist dann auch etwas viel...

Ich würde das Thema "Absicherung von Endgeräten in der Produktion" aufgreifen, in dem dein obiges Vorhaben ein Teilbereich ist.
Hinzu kommt dann Endpoint-Protection im allgemeinen wie USB-Port-Sperren, WLAN per Zertifikat (802.1x) etc...
Also quasi das Terminal härten...

Denn in Summe fließen dann verschiedene Disziplinen mit ein:
  • Netzwerke
  • Authentifizierung
  • App-/ Device-Protection
  • ...

Gruß
em-pie
Jenzoo
Jenzoo Feb 28, 2021 at 12:44:49 (UTC)
Goto Top
Vielen Dank schon einmal
Jenzoo
Jenzoo Feb 28, 2021 at 12:48:16 (UTC)
Goto Top
Zu den obirigen Ideen, das WLAN Symbol wird zudem in den GPO's ausgeblendet, eine Netzwerkauthentifizierung gibt es bereits und eine App-/ Device-Protection ebenfalls...
Also sollte ich diese "Schritte" alle zu dem Thema "Absicherung von Endgeräten in der Produktion" zusammenfügen?
aqui
aqui Feb 28, 2021 updated at 13:31:55 (UTC)
Goto Top
Was sind "obirige" Ideen und was soll ein "WLAN Symbol" sein ??
eine Netzwerkauthentifizierung gibt es bereits
So so...welche denn ? Mit statischen PSKs die Klaus wieder an die Kumpels und Kollegen weitergibt ?!
Jenzoo
Jenzoo Feb 28, 2021 at 18:21:31 (UTC)
Goto Top
Ich meinte das wir bereits einen RADIUS Server für die Authentifizierung haben, ich bin der Meinung, dass man das Netzwerksymbol per GPO deaktivieren kann. Zudem kommt mit den Terminal auch eien Software für Schreibschutz und USB Port deaktivierung, das sind halt 3 Klicks zum einrichten.
aqui
Solution aqui Feb 28, 2021 at 18:22:03 (UTC)
Goto Top
Das wäre dann die perfekte Lösung !
Jenzoo
Jenzoo Feb 28, 2021 at 18:52:39 (UTC)
Goto Top
Also soll ich das mit dem ausblenden und der Software noch mit reinnehmen, obwohl das kaum Aufwand ist? Danke für deine Hilfe!
Daemmerung
Daemmerung Feb 28, 2021 at 21:07:22 (UTC)
Goto Top
Kaum Aufwand musst du ja nicht verraten. Es sorgt aber dafür, dass du tiefer ins Thema einsteigen musst.
GPOs erstellst du innerhalb einer Windows-Domäne. Geh noch bisschen auf die Server-Infrastruktur ein und beschreib auch wie du vor hast die logs zu erstellen.. Bring also ein paar Fachbegriffe mit rein.

Viel Erfolg!
Daemmerung
aqui
aqui Mar 01, 2021 at 09:40:18 (UTC)
Goto Top
Radius und 802.1x Port Security nicht vergessen. Idealerweise mit einem Zertifikats Infrastruktur. Security ist heute immens wichtig. Da kann man sich dann richtig auslassen.
Doskias
Doskias Mar 02, 2021 at 07:06:38 (UTC)
Goto Top
Moin,

noch ein kleiner Hinweis, da das oft falsch gemacht wird von den Azubis/Ausbildern:
4.2 Projekt Dokumentation erstellen 7
Mit der Zeit, die du hier für die Projektdokumentation planst ist die Projektdokumentation gemeint, die du erstellst, damit dein Auftraggeber (intern oder extern) anschließend ohne dich zu Fragen selbstständig mit der Lösung arbeiten kann. Das beinhaltet zum Beispiel Rechte- und Kennwortdokumentation. Damit istnicht deine Dokumentation gemeint, die du bei der IHK abgibst.

Die zeit wird Erfahrungsgemäß immer mit etwa 20% der Gesamtdauer angegeben, da dies aus der realen Projektwelt abgeleitet wird. Du solltest dir also immer die Frage stellen: Brauche ich wirklich 7 Stunden um das zu dokumentieren was ich gemacht habe? Wenn nein, dann ist das Projekt wohl zu wenig.

Bei der Dokumentation für die IHK ist dann nicht nur das was, sondern auch das wie und warum interessant.

Gruß
Doskias
Jenzoo
Jenzoo Mar 02, 2021 at 10:14:13 (UTC)
Goto Top
Das wären jetzt die Dinge die ich mit einbringen würde, ich weiß nicht was ich da zu dem Radius-Server noch schreiben soll, somal man auch nur 1000 *Zeichen* im Antrag zur Verfügung hat.

1.1 Kurzform der Aufgabenstellung
Die ... ist ein Dienstleister in der Automotive-Branche und übernimmt unter anderem die Lagerhaltung und das Leerguthandling für die ... an ihrem Standort in Bremen. Im Lager werden zudem Stapler eingesetzt, welche über ein Computerterminal verfügen. Im Rahmen des Projektes soll für die IT-Sicherheit der Stapler gesorgt werden. Es soll über GPO’s festgelegt werden welche Programme die Staplerfahrer ausführen dürfen und welche Symbole auf dem Desktop, der Taskleiste, angezeigt werden. Es soll zudem ein Log-Skript geben, welches die Aktivitäten der Staplerfahrer aufzeichnet. Zudem sollen die ungenutzten USB Ports gesperrt werden und ein Schreibfilter soll eingerichtet werden.

1.2 Ist-Analyse
Derzeit bestehen auf den Staplerterminals keine Softwareeinschränkungen. Da nach der Windows Installation der Benutzer Stapler eingerichtet wird, hat er schon alle vorinstallierten Dateien zur Verfügung und somit das Recht diese auf dem PC ohne Einschränkungen auszuführen. Bisher werden nur Downloads aus dem Internet durch eine Firewall beschränkt und Programminstallationen auf den Stapler-Benutzer-Accounts bei fehlenden Administratorrechten verhindert. Der jetzige Stand verhindert jedoch nicht das Ausführen von z.B. ausführbaren Dateien (executables), die im sogenannten Portable-Format vorliegen. Zudem können die Mitarbeiter einen USB Stick am seitlichen USB-Port einzustecken, da Mitarbeiter/-innen somit unbeabsichtigt Schadsoftware verbreiten könnten, entstehen potenzielle Sicherheitsrisiken. Da es im Moment keinen Schreibschutz auf den Terminals gibt, kann der Benutzer beliebige Veränderungen vornehmen und der nächste der den Stapler benutzt, kann nicht vernünftig arbeiten.

2.1 Was soll am Ende des Projekts erreicht sein?
Nach der Fertigstellung des Projektes und der Integration in das Produktivsystem, sollen die Staplerterminals sicherer gegen Schadsoftware jeglicher Art werden.
Zudem sollen alle Programme, Dateien oder Verknüpfungen, die nicht in der Whitelist aufgelistet sind, nach der Integration gesperrt werden. Nach Rücksprache mit meinem Ausbilder habe ich entschieden, dass die Software Restriction Policies mit einer sogenannten Whitelist arbeiten sollen, somit sind alle unbekannten Dateien nicht ausführbar. Es soll dem Staplerfahrer nicht möglich sein, einen USB Stick am Terminal anzuschließen um somit Schadsoftware zu verbreiten. Sollte der Stapler-Benutzer am Terminal Veränderungen vornehmen, so sollen diese nach einem Neustart per Schreibschutz wieder rückgängig gemacht werden. Zudem soll es ein Skript geben welches Fehler der GPO's notiert, anschließend kann diese Skript-Datei von einem Administrator analysiert werden, dadurch kann das System in Zukunft noch weiter verbessert werden.

2.2 Welche Anforderungen müssen erfüllt sein?
Folgende Anforderungen sollen durch das Projekt erfüllt werden:
- Unterbindung der Ausführung von ungewollten Dateien
- Aktivieren eines Schreibschutzes
- Sperrung der unbenutzten USB-Ports
- Erstellung eines Log-Skriptes aus dem man Informationen über mögliche Fehler auslesen kann
- Ausblendung von nicht benötigten Symbolen und Programmen auf dem Staplerterminal
- Programme aus der Whitelist müssen ohne Probleme funktionieren
- Es darf keine Möglichkeiten für den User geben die Group Policies zu deaktivieren/umgehen