Sicherheitsvorkehrungen im TSN (1)

DruckversionDruckversionPDF versionPDF version

Sicherheit ist ein Dauerthema und so werden auch die Sicherheitsvorkehrungen im TSN weiter ausgebaut. Dabei kommt man manchmal nicht umhin, auch den User miteinzubeziehen, wobei es jeder Benutzerin und jedem Benutzer möglich sein sollte, aufgrund der folgenden Anleitung mit geringem Aufwand die notwendigen Schritte zu setzen. Wir bitten um Ihre Mitarbeit zur Hebung des Sicherheitsniveaus im TSN bzw. auf Ihrem Rechner!
Inwiefern sind Sie hinsichtlich des Direktionsrechners davon betroffen und was müssen Sie tun?

In einem ersten Schritt muss die Standardverschlüsselung für TSN-Dienste auf ein höheres Level gehoben werden. Davon sind nur Geräte mit Windows 7 als Betriebssystem betroffen.
(Anm.: Wir gehen davon aus, dass diese alle Windows 7 SP 1 - steht für Service Pack 1 - installiert haben.)

  1. --> So finden Sie heraus, welche Betriebssystem-Version  auf Ihrem Gerät installiert ist. Nur für den Fall, dass Windows 7 installiert ist, machen Sie mit den Punkten 2. und 3. weiter.
     
  2. Sie haben Windows 7? Es muss in diesem Fall der Patch "KB3140245" installiert sein. Da es sich um ein empfohlenes Windows-Update handelt, sollte es auch auf Ihrem Rechner schon automatisch mit den regelmäßigen und sicherheitsrelevanten Windows-Updates installiert worden sein.
    --> So überprüfen Sie, ob dieser Patch auf Ihrem Windows 7 - Rechner installiert ist; im Anschluss machen Sie bitte mit Punkt 3) weiter.
    Falls dieser Patch wider Erwarten nicht installiert ist, --> installieren Sie ihn bitte (--> hier die Anleitung).
     
  3. Der letzte Schritt betrifft nun wirklich alle Windows 7 - Rechner! Es muss das MS-Fixit-Paket 51044 installiert werden.
    --> Installieren Sie bitte MicrosftEasyFix51044.msi (--> hier die Anleitung).
     

Hinweis: In Kürze folgt --> ein zweiter Artikel mit den notwendigen Anpassungen für alle Direktionsrechner mit einem Mailclient (wie MS Outlook).

------

Hintergrund und mehr Details:

U. a. aufgrund von Vorgaben des österreichischen Portalverbunds werden demnächst im TSN Sicherheitsmaßnahmen umgesetzt, bspw. die Deaktivierung von TLS in der Version kleiner 1.2 und Verschlüsselungsalgorithmen basierend auf SHA-1.

Es gilt die beiden Zugriffsarten auf TSN-Dienste am Direktionsrechner - einerseits mit Web-Browser und andererseits mit einem Mail-Client (MS Outlook) - auseinanderzuhalten.

  1. TSN-Zugriff via Web-Browser
    Die gute Nachricht bei Punkt 1) ist, dass gängige Web-Browser in den aktuellen Versionen nicht betroffen sind und die Sicherheitsanforderungen erfüllen.
    Ebenso verhält es sich bei Portal-Anwendungen mit JAVA, wo eine aktuelle JAVA-Version Voraussetzung ist.
    Die Information der betroffenen Benutzer beim Internetzugriff erfolgt direkt im Portal Tirol, indem eine Sicherheitsmeldung ähnlich wie im Screenshot dargestellt wird.
    (Allgemeiner Hinweis: Vertrauen Sie nur dieser Meldung auf dieser Seite und keinen nachgestellten mit Phishing-Absicht, wo Sie auf fremden Seiten zur Passwortherausgabe aufgefordert werden!)
     
     
    Man beachte das Extended-Validation-Zertifikat (--> Erklärung Wikipedia) vom Land Tirol!
     
      

    => Lösung für Betroffene:
    Bitte aktualisieren Sie Ihren Webbrowser, falls Sie diesen Sicherheitshinweis beim Portal Tirol erhalten.
    Falls auf Ihrem Rechner JAVA installiert ist, meldet sich diese Anwendung regelmäßig, wenn Updates installiert werden sollen (sicherheitsrelevant!). In der Taskleiste rechts unten erscheint in diesen Fällen ein oranges Symbol (Kaffeetasse).


     




     

  2. TSN-Zugriff via Mail-Clients
    Clientanwendungen wie MS Outlook, die auf TSN-Dienste zugreifen, müssen zukünftig über das Betriebssystem TLS 1.2 unterstützen. Nach Auskunft der DVT benötigen Rechner mit Windows 7 SP1 als Betriebssysten das empfohlene Update KB3140245 und zusätzlich einen Registry-Eintrag für das Betriebssystem Windows 7 SP1.
    (Ältere Betriebssysteme sollten unserer Einschätzung nach schon länger nicht mehr im Einsatz sein.)


    => Lösung für Betroffene - alle Direktionsrechner mit Windows 7 SP 1:

    Falls das "empfohlene Update" nicht automatisch mit den wichtigen Windowsupdates installiert wurde, bitte Betriebssystem-Patch KB3140245 installieren - s. Anleitung u. (es sollten nur einzelne Rechner betroffen sein).

    Damit die geforderte Vershlüsselung TLS 1.2 standardmäßig verwendet wird, müssen bestimmte Registry-Einträge beim Betriebssystem gesetzt werden.
    Dies betrifft alle Windows 7 - Rechner, Sie erledigen dies ohne Aufwand und unkompliziert mit dem msi-Paket MSFixit51044 - s. Anleitung u. letzter Punkt.






     


      

      

Die Situationen auf anderen/privaten Nicht-Direktionsgeräten können nicht eingeschätzt und auch nicht supportet werden. Die Hinweise hier sowie ggf. eine Internetsuche nach "Browser updaten" o. Ä. sollte Sie weiterbringen.
S. a. die weiterführenden Informationen --> im TSN-Wiki, v. a. was Handybetriebssysteme usw. betrifft.

 
-> Zum Anfang der Seite

 

------

Anleitungen:

  • Wie finden sie Ihre installierte Windowsversion heraus, wenn Sie es nicht wissen oder anderweitig erkennen?
    WIN + R   oder alternativ "Ausführen" --> Befehl "winver" öffnen/ausführen. Dies zeigt Ihnen die installierte Windows-Version.


     
    -> Zum Anfang der Seite
     

  • Wie finden Sie heraus, ob der Patch KB3140245 bei Ihrem Betriebssystem Windows 7 SP 1 installiert ist?
    Systemsteuerung -> Programme und Features -> Installierte Updates
    Liste fertig aufbauen lassen (dauert!) und danach rechts oben nach KB3140245 suchen;
    alternativ "Eingabeaufforderung als Administrator" und die Befehlskette hineinkopieren/ausführen:
    wmic qfe list | find "KB3140245"
     
    -> Zum Anfang der Seite

  • Wie installiere ich das MS Fixitpaket 51044? (Alle Direktionsrechner mit Windws 7 SP 1!)

    Falls --> dieser Direktlink nicht funktioniert, rufen Sie die --> MS-Anleitungsseite auf und blättern hinunter bis zum Abschnitt "Easy fix":
     


    Herunterladen und anschließend im Standard-Download-Ordner Ihres Browsers ausführen.

    -> Zum Anfang der Seite
     

------

Quellen:
Weiterführende TSN-Informationen: -> Deaktivierung TLS < 1.2 und SHA-1Cipher
Dokumentation auf der Microsoft-Seite
TLS -> Erklärung Wikipedia
SHA-1 -> Erklärung Wikipedia
JAVA -> Erklärung Wikipedia; Aktualisierung  -> https://java.com/de/download/
 

Kategorie: