Skip to Content
Last modified by Tobias Wintrich on 2023/11/24 10:01
From version 13.1
edited by Tobias Wintrich
on 2022/10/14 13:03
Change comment: There is no comment for this version
To version 3.1
edited by Tobias Wintrich
on 2022/10/14 11:09
Change comment: There is no comment for this version

Summary

Details

Page properties
Content
... ... @@ -1,120 +1,33 @@
1 1  Unser Rangee OS Thin Client Betriebssystem ist bereits in seiner Standardkonfiguration ein sehr sicheres System. Bisher sind keine Angriffe bekannt bei denen unser System als Einfallstor für Hacker und andere Eindringe genutzt wurde.
2 2  
3 -Dennoch ist es möglich, das System über die Standardeinstellungen Hinaus weiter abzusichern und vor potentiellen Angriffen zu schützen. Dieser Artikel enthält eine Übersicht einiger Sicherheitsrelevanter Einstellungen.
3 +Dennoch ist es möglich, das System über die Standardeinstellungen Hinaus wieter abzusichern und vor potentiellen Angriffen zu schützen. Dieser Artikel enthält eine Übersicht einiger Sicherheitsrelevanter Einstellungen.
4 4  
5 -{{toc/}}
6 -
7 7  = RangeeOS =
8 8  
9 -== Samba-Dienst deaktivieren ==
10 -
11 -SMB wir häufiger als potentielles Einfallstor verwendet. Auf dem Rangee OS können Sie SMB vollständig deaktivieren.
12 -
13 -[[RangeeOS - Samba-Dienst deaktivieren>>doc:HowTos.RangeeOS - Samba-Dienst deaktivieren.WebHome]]
14 -
15 -{{info}}
16 -Durch Deaktivieren des Samba Dienstes sind folgende Features nicht mehr verfügbar:
17 -
18 -* Mitgliedschaft innerhalb einer Domäne
19 -(Nutzung der Benutzeranmeldung über eine Domäne ist weiterhin möglich)
20 -* Verwendung von SMB-Netzwerkdruckern
21 -* Freigabe von lokal angeschlossenen Drucker über SMB
22 -* Verwendung von SMB-Dateifreigaben
23 -* Freigabe von Dateien
24 -{{/info}}
25 -
26 -== SSH-Dienst deaktivieren ==
27 -
28 -Sie können den SSH Dienst auf den Geräten unter {{status title="KOMMBOX"/}}(% id="cke_bm_3642S" style="display:none" %) (%%) → {{status title="Remote-Administration"/}} mit der Option **"SSH"** steuern.
29 -
30 -== Herstellerzugang deaktivieren ==
31 -
32 -{{info}}
33 -Der Herstellerzugriff ermöglich uns keinerlei Zugriff über Firewallgrenzen hinweg. Das heißt damit wir uns auf ein Gerät verbinden können, müssen wir uns bereits mit anderen Fernwartungstools in Ihr Netzwerk eingeladen worden sein.
34 -{{/info}}
35 -
36 -Der Herstellerzugrang besteht in unserem RangeeOS aus einem **"root"** Zugang über Passwort und SSH-Key. Die entsprechenden Login Informationen werden bei uns unter Verschluss gehalten und nicht nach außen kommuniziert. Der Zugang ermöglich unseren Support Mitarbeiten den Zugriff auf ein Linux Terminal und wird zu Debugzwecken verwendet.
37 -
38 -Sie können den Herstellerzugang auf den Geräten unter {{status title="KOMMBOX"/}}(% id="cke_bm_3642S" style="display:none" %) (%%) → {{status title="Remote-Administration"/}} mit der Option **"Herstellerzugang"** steuern.
39 -
40 -== AD-Benutzeranmeldung zwischenspeichern von Kennwörten deaktivieren ==
41 -
42 -Wenn am Gerät **"Beim Systemstart an der Domäne anmelden"** aktiviert wird, werden in Standard Einstellungen die Zugangsdaten des Nutzers zur Verwendung im Single Sign On gespeichert. Dieses Verhalten kann unter (% id="cke_bm_1295S" style="display:none" %) (%%) (% id="cke_bm_4161S" style="display:none" %) (%%) {{status title="KOMMBOX"/}}(% id="cke_bm_3642S" style="display:none" %) (%%) → {{status title="Active Directory-Konfiguration"/}} (% id="cke_bm_4211S" style="display:none" %) (%%)→ {{status title="Benutzeranmeldung"/}} mit der Option **"Passwort für SSO temporär zwischenspeichern"** gesteuert werden.
43 -
44 -[[image:AD-Login.jpg||height="369" width="600"]]
45 -
46 -Insofern diese Option deaktiviert wird, bietet sich als Alternative zur Active Directory Anmeldung beim Systemstart auch die Anmeldung beim Anwendungsstart infrage:
47 -
48 -[[RangeeOS - Passwortwechsel ohne global vorgeschaltete Domänen-Anmeldung>>doc:HowTos.RangeeOS - Passwortwechsel ohne Systemweit vorgeschaltete Domänen-Anmeldung.WebHome]]
49 -
50 -== VNC-Zugriff steuern / deaktivieren ==
51 -
52 -Sie können den Zugriff per VNC (% id="cke_bm_2705S" style="display:none" %) (%%)unter {{status title="KOMMBOX"/}}(% id="cke_bm_3642S" style="display:none" %) (%%) → {{status title="Remote-Administration"/}} unter der Überschrift **"VNC"** konfigurieren.
53 -
54 -Insofern Sie den VNC Zugriff nutzen möchten, wird Empfohlen hier ein **"Passwort"** zu vergeben und den Benutzer den zugrif per VNC über **"Verhalten bei externem Verbindungsaufbau über VNC"** bestätigen zu lassen.
55 -
56 -Wenn Sie den VNC Zugriff nicht benötigen können Sie Ihn über die Option **"Remote-Zugriff über VNC" **steuern.
57 -
58 -[[image:grafik.png||height="253" width="600"]]
59 -
60 -== Rangee Hybrid Tools deaktivieren ==
61 -
62 -Die Rangee Hybrid Tools erlauben es verschiedene Aktionen auf dem Gerät aus der Ferne zu steuern. Wenn Sie diese Tools deaktivieren, können folgende Funktionen nicht mehr genutzt werden:
63 -
64 -* Servergesteuerter Start einzelner Vebrindungen, sicheres Entfernen von Datenträger und ähnlichem
65 -* AppControl
66 -* SoundControl
67 -* ClientControl
68 -* Automatische Erkennung der Client IP und des Verbindungstokens innerhalb der Rangee Browser Redirection
69 -
70 -Sie können die Option über unter (% id="cke_bm_4161S" style="display:none" %) (%%) {{status title="KOMMBOX"/}}(% id="cke_bm_3642S" style="display:none" %) (%%) → {{status title="Remote-Administration"/}}  mit "Rangee Hybrid Tools aktivieren" steuern
71 -
72 -[[image:HD-Tools.png||height="226" width="600"]]
73 -
74 -== TCMS Zertifikat verifizieren ==
75 -
76 -Unter (% id="cke_bm_4161S" style="display:none" %) (%%) {{status title="KOMMBOX"/}}(% id="cke_bm_3642S" style="display:none" %) (%%) → {{status title="Remote-Administration"/}} (% id="cke_bm_4211S" style="display:none" %) (%%)→ {{status title="TCMS-Einstellungen"/}} finden Sie die Option** "HTTPS-Zertifikat verifizieren"**.** **Ist diese Option aktiviert, wird das HTTPS Zertifikat des TCMS auf Gültigkeit überprüft.
77 -
78 -(% class="box warningmessage" %)
79 -(((
80 -Hierzu ist es erforderlich ein verifizierbares Zertifikat auf dem TCMS zu installieren. Und dem Austeller dieses Zertifikats zu Vertrauen.
81 -Siehe hierzu:
82 -[[Kommbox- bzw. TCMS Webserver Zertifikat austauschen>>doc:HowTos.Allgemein - Kommbox- bzw\. TCMS Webserver Zertifikat austauschen.WebHome]]
83 -[[Zertifikate Installieren>>doc:Handbuecher.Handbuch11.Kapitel 3 - Administration des Clients.3\.K\. Tools.3\.K\.I\. Zertifikate.WebHome]]
84 -)))
85 -
86 -== TCMS Discovery verbieten ==
87 -
88 -Wenn das **"TCMS Discovery"** erlaubt ist, so kann ein beliebiger TCMS Endgeräte **"Einsammeln"** und mit ins eigene Management übernehmen. Wird das **"TCMS Discovery"** verboten, so kann der von einem Client verwendete Managementserver nicht aus der Ferne überschrieben werden.
89 -
90 -Sie können die Option über unter (% id="cke_bm_4161S" style="display:none" %) (%%) {{status title="KOMMBOX"/}}(% id="cke_bm_3642S" style="display:none" %) (%%) → {{status title="Remote-Administration"/}} (% id="cke_bm_4211S" style="display:none" %) (%%)→ {{status title="TCMS-Einstellungen"/}} mit **"Discovery"** steuern
91 -
92 -= Bootmenü verstecken =
93 -
94 -Sie können das Bootmenü (GRUB) des RangeeOS für den Nutzer am Gerät unzugänglich machen. Hierzu genügt es wenn Sie den **"Timeout"** unter {{status title="KOMMBOX"/}} → {{status title="WERKZEUGE"/}} → {{status title="BOOT-KONFIGURATION"/}}  auf **"0"** setzen.
95 -
96 -Durch das Versteckne des  Bootmenüs steht das Rescue Panel anschließend nicht mehr zur Verfügung.
97 -
98 -[[Rescue Panel>>doc:Handbuecher.Handbuch11.Kapitel 4 - Erweiterte Administration.4\.F\. Rescue Panel.WebHome]]
99 -
100 100  == Fastboot deaktivieren ==
101 101  
102 102  Wenn der Fastboot Modus auf dem Gerät aktiviert ist, wird das Betriebssystem auf die Festplatte des Clients entpackt und dadurch bis zum nächsten Update dauerhaft Änderbar.  Durch deaktivieren des Fastboot stellen Sie sicher, dass am System keine dauerhaften Änderungen vorgenommen werden können.
103 103  
104 -Sie können die Verwendung von Fastboot unter {{status title="KOMMBOX"/}} → {{status title="WERKZEUGE"/}} → {{status title="BOOT-KONFIGURATION"/}} mit der Option** "Aktiviere RangeeOS Fastboot" **steuern.
11 +Sie können die Verwendung von Fastboot über {{status title="KOMMBOX"/}} → {{status title="WERKZEUGE"/}} → {{status title="BOOT-KONFIGURATION"/}} **Aktiviere RangeeOS Fastboot **steuern.
105 105  
106 106  [[image:Fastboot-Deaktivieren.png||height="183" width="600"]]
107 107  
108 -== USBGuard aktivieren ==
15 += Samba-Dienst deaktivieren =
109 109  
110 -Durch die Nutzung des USBGuards können Sie sicherstellen, dass nur zuvor expliziert konfigurierte USB-Geräte am Client genutzt werden können.
17 +SMB wir ufiger als potentielles Einfallstor verwendet. Auf dem Rangee OS können Sie SMB vollständig deaktivieren.
111 111  
112 -[[USB-Geräte Verwaltung mit USBGuard>>doc:HowTos.RangeeOS - USB-Gete Verwaltung mit USBGuard.WebHome]]
19 +[[RangeeOS - Samba-Dienst deaktivieren>>doc:HowTos.RangeeOS - Samba-Dienst deaktivieren.WebHome]]
113 113  
114 -= TCMS =
21 +{{info}}
22 +Durch Deaktivieren des Samba Dienstes sind follgende Features nicht mehr verfügbar:
115 115  
116 -== Clientsignaturprüfung ==
24 +* Mitgliedschaft innerhalb einer Domäne
25 +(Nutzung der Benutzeranmeldung über eine Domäne ist weierhin möglich)
26 +* Verwendung von SMB Netzwerkdruckern
27 +* Freigabe von lokal angeschlossenen Drucker über SMB
28 +* Freigabe von Dateien/Drucker per SMB
29 +{{/info}}
117 117  
118 -Über die Clientsignaturprüfung können Sie am TCMS vorgeben, dass sich nur die Clients registrieren und konfiguriert werden können, welche Sie zuvor expliuziet freigegeben haben. Die Option entspricht funktional dem Gegenstück zur Option "TCMS-Zertifikat verifizieren" auf Clientseite und verhindert, dass sich nicht autorisierte Clients an dem TCMS anmelden und eine Konfiguration erhalten können.
31 +== SSH-Dienst deatkivieren ==
119 119  
120 -[[TCMS - Signaturprüfung>>doc:HowTos.TCMS - Signaturprüfung.WebHome]]
33 +Sie können den SSH Dienst auf den Geräten über (% id="cke_bm_3652S" style="display:none" %) (%%) {{status title="KOMMBOX"/}}(% id="cke_bm_3642S" style="display:none" %) (%%) → {{status title="Remote-Administration"/}}
AD-Login.jpg
Author
... ... @@ -1,1 +1,0 @@
1 -XWiki.twintrich
Size
... ... @@ -1,1 +1,0 @@
1 -47.7 KB
Content
HD-Tools.png
Author
... ... @@ -1,1 +1,0 @@
1 -XWiki.twintrich
Size
... ... @@ -1,1 +1,0 @@
1 -111.0 KB
Content
grafik.png
Author
... ... @@ -1,1 +1,0 @@
1 -XWiki.twintrich
Size
... ... @@ -1,1 +1,0 @@
1 -61.9 KB
Content