M 4.248 Sichere Installation von Windows XP
Verantwortlich für Initiierung: IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
Während der Installationsphase ist ein Windows XP System nicht vollständig konfiguriert (siehe Planungsmaßnahmen), so dass auch die gewünschten Sicherheitseinstellungen noch nicht aktiviert sind. Die Installation und die initiale Konfiguration eines Windows XP Systems sollte daher nach Möglichkeit in einer geschützten Umgebung erfolgen. Wo dies nicht möglich ist, beispielsweise bei der Vor-Ort-Installation von Arbeitsplatzrechnern (lokal oder über das Netz), sollte alternativ eine vorbereitete (und vorkonfigurierte) Standardkonfiguration aufgespielt werden (Imaging). Vor allem sollte ein Windows XP System komplett aktualisiert sein, bevor es produktiv geht, insbesondere bevor es sich mit dem Internet verbinden darf.
Wird ein Windows XP System außerhalb einer Active Directory-basierten Umgebung betrieben, muss die Konfiguration der Gruppenrichtlinien, die auch die Sicherheitseinstellungen enthalten, lokal auf dem Rechner erfolgen. Dies kann manuell oder skriptbasiert erfolgen. Wie genau die Einstellungen vorgenommen werden, ist in der Planungsphase zu entscheiden.
Der Mechanismus der Gruppenrichtlinien ermöglicht eine schnellere initiale Konfiguration, wenn der Rechner in die Domäne aufgenommen wird. Nach dem Beitritt zur Domäne muss das Rechner-Objekt in die entsprechende Organisationseinheit im Active Directory verschoben werden. Bleibt der Rechner im standardmäßig zugewiesenen AD-Container Computer, werden ausschließlich Standort- und Domänen-GPOs aber keine OU-GPOs angewandt, da an diesen AD-Container keine OU-Gruppenrichtlinienobjekte angehängt werden können. Es ist auch darauf zu achten, dass der Rechner nach dem Verschieben in eine neue OU neu gestartet wird. Auf diese Weise werden an diese OU gelinkte GPOs auf den Rechner geladen und angewandt.
Nach der erfolgten Installation sollte sichergestellt werden, dass die entsprechenden Sicherheitseinstellungen auch tatsächlich angewandt worden sind. Dabei sind installierte Komponenten, angewandte Richtlinien, Berechtigungen im Dateisystem und Registrierung, zugewiesene Benutzerrechte und erlaubte Systemdienste zu überprüfen.
Domänenmitgliedschaft
Beim Hinzufügen eines Rechners zu einer Domäne muss entweder ein entsprechendes Computerkonto in der Domäne vorbereitet werden oder das Computerkonto wird beim Beitritt erzeugt. Dazu sind dann entsprechende administrative Berechtigungen notwendig, mit denen restriktiv umgegangen werden muss. Ob das Computerkonto vor oder während der Installation erstellt werden soll, ist in Abhängigkeit von der gängigen Praxis des Unternehmens bzw. der Behörde zu entscheiden.
Zukünftige Domänenmitglieder sollten direkt während der Installation in die Domäne aufgenommen und nicht erst als Einzelrechner installiert werden. Dadurch wird beispielsweise gewährleistet, dass die einfache Dateifreigabe deaktiviert bleibt und keine zusätzlichen lokalen Benutzer mit administrativen Berechtigungen angelegt werden.
Unbeaufsichtigte Installationen
Windows XP bietet einen Mechanismus zur unbeaufsichtigten Installation des Betriebssystems an (d. h. unter Verwendung einer vorgefertigten Antwortdatei und ohne Interaktion mit dem Administrator, der die Installation durchführt). Dabei wird im Vorfeld einer Installation eine sog. Antwortdatei mit dem Installations-Manager Setup Manager erstellt, die die notwendigen Installationseingaben beinhaltet.
Werden Windows XP Systeme unbeaufsichtigt installiert, so ist Folgendes zu berücksichtigen:
- Sensitive Informationen wie Kennwörter in Antwortdateien müssen vor unberechtigter Einsichtnahme geschützt sein. So sind die verwendeten Kennwörter beim Erstellen der Antwortdatei mit dem Installations-Manager Setup Manager zu verschlüsseln.
- Der Umgang mit Kennwörtern für die Aufnahme in die Domäne, die in einem Installationsskript oder einer Antwortdatei verwendet werden, muss definiert werden.
- Das Administrator-Kennwort darf nicht leer sein, da sonst das Autologon-Feature automatisch aktiviert wird.
- Nach der Installation müssen die Skripte sowie alle Dateien mit vertraulichem Inhalt umgehend sicher gelöscht werden (siehe auch M 4.56 Sicheres Löschen unter Windows-Betriebssystemen).
Angepasste Installationsmedien
Wenn Windows XP von möglicherweise veralteten Originalmedien installiert wird, müssen dabei nach der Installation die existierenden Service Packs und Updates gesondert eingespielt werden. Dies verlängert die Installationszeit und erhöht das Risiko einer erfolgreichen Attacke auf den Computer, da er sich eine gewisse Zeit nicht auf dem aktuellen Stand befindet. Um die Updates gleich bei der Installation einzuspielen und somit das Risiko einer Attacke zu mindern, kann eine der beiden mit Windows XP eingeführten Installationsfunktionen verwendet werden:
- integrierte Installation (auch Slipstream-Installation bezeichnet) oder
- kombinierte Installation.
Mit der integrierten Installation wird das Betriebssystem zusammen mit einem Service Pack installiert. Die kombinierte Installation ermöglicht die Installation von Windows XP zusammen mit Hotfixes und zusätzlichen Anwendungen im unbeaufsichtigten Modus.
Für eine integrierte Installation wird ein neues Installationsmediums erstellt. Dabei werden die Originaldateien durch Dateien des Service Packs überschrieben. Mögliche Installationsmedien sind CD-ROM, Netz-Distributionsfreigabe oder Installationsordner der Remoteinstallationsdienste (RIS). Es ist zu beachten, dass ein Service Pack, das im integrierten Modus installiert wurde, nicht deinstalliert werden kann.
Ein kombiniertes Installationsmedium wird erstellt, indem zusätzliche Installationsdateien in das Original-Installationsmedium integriert werden. Die Antwortdatei für die unbeaufsichtigte Installation (standardmäßig wird sie Unattend.txt genannt) und cmdlines.txt müssen dann entsprechend angepasst werden. Die genaue Vorgehensweise ist der Dokumentation von Microsoft zu entnehmen.
Der Einsatz von angepassten Installationsmedien ist grundsätzlich zu empfehlen. Welches der beiden Verfahren bei einem Unternehmen bzw. einer Behörde eingesetzt werden soll, ist im Einzelfall zu entscheiden. Die Maßnahme M 2.329 Einführung von Windows XP SP2 ist dabei zu beachten.
Systemkomponenten
Bei der Installation des Systems ist zu gewährleisten, dass nur die benötigten Systemkomponenten installiert werden. In Beispieltabellen unter den Hilfsmitteln zum IT-Grundschutz werden Komponenten aufgezählt, die für eine Basis-Installation von Windows XP verwendet werden sollten (Status: Aktiviert). Je nach existierenden geschäftlichen Anforderungen können weitere Komponenten installiert werden, die in der nachfolgenden Tabelle als Optional markiert wird. Von der Installation der Windows-Komponenten, die mit Deaktiviert markiert sind, ist aus Sicherheitssicht abzuraten.
Ergänzende Kontrollfragen:
- Wurde sichergestellt, dass die entsprechenden Sicherheitseinstellungen nach der Installation auch tatsächlich angewandt worden sind (installierte Komponenten, angewandte Richtlinien, Berechtigungen im Dateisystem/Registry, zugewiesene Benutzerrechte, erlaubte Systemdienste usw.)?
- Sind Kennwörter in Installationsskripten bzw. Konfigurationsdateien geschützt?
- Sind Installationsskripte und/oder Konfigurationsdateien mit vertraulichen Informationen unmittelbar nach der Installation vom System gelöscht worden?
- Werden angepasste Installationsmedien verwendet?