Arbeitsstationsklassen

Der Zugriff auf den zentralen Speicherplatz im SCC soll prinzipiell von jedem Rechner und Betriebssystem aus möglich sein. Aus Sicherheitsgründen kann dabei aber nicht jedem Clientsystem uneingeschränkt Zugriff auf das Speichersystem eingeräumt werden. Im folgenden wird versucht eine Klassifizierung der vorhanden Arbeitsstationen innerhalb der Bauhaus-Universität vorzunehmen. Ziel dieser Einteilung ist es, die Arbeitstationen nach ihrer Vertrauenswürdigkeit zu kategorisieren. Es wird davon ausgegangen das Rechnersysteme mit zentraler Betreuung im allgemeinen einen vertrauenswürdigeren Sicherheitszustand aufweisen, als Rechnersysteme bei denen keine konkreten Aussagen über den Betreuungszustand gemacht werden kann.
Nachfolgend sind die für die Zugriffsdifferenzierung herangezogenen Arbeitsstationsklasse aufgezählt:

• Zentral administrierte Arbeitstationen innerhalb des Active Directory Domäne oder einem vertrauenden Kerberos-Domäne
• Zentral administrierte Arbeitstationen außerhalb des Active Directory
• Arbeitsplatzrechner mit unbestimmten Administrationskonzeptes innerhalb der Bauhaus-Universität Weimar
• Alle anderen Arbeitsstationen einschließlich Studentenwohnheime und VPN-Rechner

Erläuterung zu den Abkürzungen

• Domänencontroller -> DC
• CIFS-Server (DFS/Round-Robin) -> CS
• WebDAV Standard -> WP
• WebDAV TLS/SSL -> WS
• Proxy-Zugriff auf WebDAV TLS/SSL -> PX
• Zentrale administrierte Arbeitstationen -> ZaA

Unter zentral administrierten Arbeitsstation sollen all diejenigen Rechnersysteme verstanden werden, deren Wartung und Pflege von zentral authorisierten IT-Institutionen innerhalb der Bauhaus-Universität übernommen werden. Den Nutzern dieser Arbeitstationen werden keine administrativen Rechte auf ihren Arbeitsplatzrechnern eingeräumt, so dass der Betrieb (WWW, E-Mail usw.) dieser Systeme immer unter unprivilegierten Nutzerkennungen erfolgt, was die Gefährdung für diese Systeme wesentlich reduziert und somit diese Systeme als die Vertrauenswürdigsten eingestuft werden.

Arbeitstationen die zentral administriert werden und sich innerhalb eines Domänen/Kerberos-Verbundes befinden, sind in der Lage bei der Authentifizierung auf Kerberos zurückzugreifen und können somit das sicherste Authentifizierungsverfahren nutzen. Diese Rechner benötigen Zugriff auf die Domänencontroller innerhalb des Active Directories.

Arbeitstationen in dieser Klasse besitzen die selbe Vertrauenswürdigkeit wie die zentral administrierten Arbeitsstationen, die in einem Domänenverbund integriert sind. Da sie aber außerhalb dieses Verbundes stehen, können sie kein Kerberos für die Authentifizierung nutzen und benötigen daher auch kein Zugriff auf die Domänencontroller. Aus diesem Grund wurden sie in einer extra Klasse zusammengefasst.

Alle Arbeitsstationen innerhalb der Bauhaus-Universität Weimar, die einen fest zugeordneten Internetanschluss innerhalb des BUW-Netzes haben und sich nicht innerhalb der beiden vorangestellten Arbeitsstationsklassen befinden, erfüllen die Kriterien dieser Klasse. Explizit ausgeschlossen aus dieser Klasse werden Rechnersystemen aus den Studentenwohnheimen, sowie VPN- und Gastanschlüsse.

Alle Arbeitstationen, die keiner der vorangestellten Klasse zugeordnet werden können, fallen in diese Klasse. Es sind somit alle übriggebliebenen Rechnersysteme innerhalb der Bauhaus-Universität Weimar, als auch alle weiteren Rechnersysteme im Internet weltweit (ob man hier das ganze Internet nehmen will kann man ja noch diskutieren).