Anforderungen SAP-Client-Arbeitsplatz
Für die SAP-Arbeitsplätze werden sowohl aufgrund der verwendeten Software als vielmehr auch aus Sicherheitsgründen und im Hinblick auf den Support-Aufwand einige Restriktionen vorgegeben. Nicht alle PC-Konfigurationen, mit denen die SAP-Client-Software funktioniert, sind daher als SAP-Clients zugelassen.
Die Vorgaben werden bei den SAP-Basistreffen vorgestellt und diskutiert. Für die LUH ergibt sich für die Sicherheitsvorgaben eine Verpflichtung aus Paragraph 6.2 der Ordnung zur IT-Sicherheit.
Endgeräte-Typen
Für die Nutzung der SAP-GUI (direkt oder mittelbar über einen Terminalserver) sind nur in der Hochschule aufgestellte Desktop-Systeme zugelassen. Mobile Clients, also Notebooks, Tablets oder Smartphones dürfen SAP nicht nutzen. Für die Telearbeit werden derzeit besondere Regelungen und Anforderungen erstellt.
Die verwendeten PCs müssen im Besitz der Hochschule sein, die Verwendung privater Endgeräte ist untersagt. Die Freischaltung für die Verbindung zu den SAP-Servern erfolgt für an die Clients fest vergebene IP-Adressen (am Client fest eingetragen oder als statisches DHCP-Lease).
SAP-GUI auf Windows-Desktops
Die Verwendung der SAP-GUI-Software auf Desktop-PCs ist nur unter Windows vorgesehen. Das zu verwendende Betriebssystem ist derzeit Windows 10 in den 64-Bit-Varianten Professional oder Enterprise. Für die Konfiguration und den Betrieb sind weitere Dinge vorgegeben:
- Windows 10 64 Bit in den Editionen Professional oder Enterprise
- System-Betreuung durch einen Systemadministrator
- Netzwerkverbindungs-Eigenschaften auf "Client für MS-Netzwerke" und "Internetporotokoll V. 4 (TCP/IPv4)" einschränken,
IPv6-Tunneltechniken (6to4, Teredo, isatap) deaktivieren - Windows-Firewall aktiv belassen, grundsätzlich keine reingehenden Öffnungen (außer Wartung im LAN und ICMP-echo-request)
- Tägliche Windows-Updates aktivieren (so möglich über WSUS-Server), Updates regelmäßig zeitnah einspielen (auch für Applikationen)
- Im Internet-Explorer die automatische Proxy-Einstellung (WPAD) deaktivieren
- Antivirus verwenden mit aktiver On-Access- & Verhaltens-Prüfung
- Kein Gastzugang, keine Arbeit als Administrator, nur benannte Nutzeraccounts
- Aktivierung vorgegebener Passwort-Richtlinien mit Kontosperrungen,
Deaktivierung von LM-Hashes,
Sperrung des Bildschirms (Windowstaste-L) beim Verlassen des Arbeitsplatzes - Anbindung an einen Zeitserver, z.B. über ntp an die Zeitserver in der LUH
SAP-GUI auf Terminalservern
Derzeit sind vereinzelt Terminalserver unter Windows-Server mit SAP-GUI-Installationen im Einsatz. Ein zentral supportete Konfiguration existiert bisher noch nicht, der Einsatz der Smartcards für SAP mit Terminalservern wurde getestet.