M 2.324 Einführung von Windows XP und Windows Vista planen

Verantwortlich für Initiierung: Leiter IT

Verantwortlich für Umsetzung: Administrator, IT-Sicherheitsbeauftragter, Leiter IT

Die geregelte und sichere Einführung von Windows XP und Windows Vista Systemen setzt eine umfangreiche Planung voraus. In der Planungsphase werden die notwendigen Voraussetzungen für einen sicheren Betrieb von Windows XP und Windows Vista Systemen geschaffen.

Die einzelnen Planungsschritte sind abhängig von den geplanten Einsatzszenarien der Windows XP und Windows Vista Systeme. Die Einführung muss in ihren einzelnen Schritten möglichst detailliert geplant werden. Hierbei müssen nicht nur die Inhalte, sondern auch interne Prozesse und Abläufe der Organisation berücksichtigt werden. Alle Inhalte und Prozesse sind zu definieren, zu dokumentieren und allen Beteiligten zugänglich zu machen.

Generell muss ausreichend Zeit für die Einführung von Windows XP und Windows Vista eingeplant werden. Dabei ist ein Zeitraum von einem halben Jahr für größere Unternehmen und Behörden durchaus realistisch. Im Laufe der Planung muss der Zeitplan erfahrungsgemäß mehrfach angepasst werden.

Die im Folgenden genannten sicherheitsrelevanten Aspekte müssen bei der Einführung von Windows XP und Windows Vista berücksichtigt werden.

Neuinstallation oder Migration/Upgrade

Für die Einführung von Windows XP und Windows Vista stehen verschiedene Verfahren zur Verfügung. Zum einen kann die Einführung durch einen parallelen Aufbau der zu migrierenden Windows Infrastruktur (neue Clients werden parallel zu bestehenden eingeführt) erfolgen. Zum anderen kann dies durch eine Migration bzw. ein Update vorhandener Client-Rechner geschehen.

Eine generelle Empfehlung für die Einführung kann nicht gegeben werden, da dies von den lokalen Gegebenheiten abhängt. Im Allgemeinen muss das Verfahren immer auf das Unternehmen bzw. die Behörde zugeschnitten werden.

In erster Linie muss entschieden werden, ob bei der Einführung der neuen Windows Version die Client-Rechner komplett neu installiert oder migriert werden. In der Praxis werden häufiger bestehende Client-Systeme migriert, anstatt eine vollständige Neuinstallation durchzuführen. Doch auch die Migration von älteren Windows Clients auf neuere Versionen des Betriebssystems bedarf einer ausgiebigen Planung, insbesondere, wenn zudem die Domänen-Controller migriert (z. B. auf Windows Server 2003) werden. Die Migration muss in ihren einzelnen Schritten möglichst detailliert geplant werden, da durch Planungsdefizite in der Zeit der Umstellung leicht Sicherheitslücken entstehen können.

Ein Upgrade des Betriebssystems auf Windows Vista ist nur von Windows XP mit Service Pack 2 (oder höher) aus möglich. Bei Nutzung älterer Versionen von Windows, wie Windows 2000, muss eine Neuinstallation von Windows Vista erfolgen. Grundsätzlich sollte auch bei einer upgradefähigen Betriebssystemversion eine Neuinstallation des Clients in Betracht gezogen werden.

Aufgrund der verschiedenen Windows Vista Editionen stehen im Gegensatz zu früheren Versionen von Windows mehrere Migrationspfade zur Verfügung. Es muss daher festgelegt werden, welche Edition von Windows Vista in der Organisation genutzt werden soll (siehe M 2.440 Geeignete Auswahl einer Windows Vista Version)

Das Microsoft Lizenzmodell "Windows Anytime Upgrade" bietet nachträgliche Upgrades zwischen den verschiedenen Windows Vista Editionen. Es sind Upgrades von der Windows Vista Edition Home Basic zu Home Premium sowie von Home Premium und Business zu Windows Vista Ultimate möglich.

Bei jeder Neuinstallation und bei jedem Upgrade müssen die Anforderungen an die Aktivierung der Windows Vista Clients berücksichtigt werden (siehe M 4.336 Aktivierung von Windows Vista Clients aus einem Volumenlizenzvertrag und M 4.343 Reaktivierung von Windows Vista Clients aus einem Volumenlizenzvertrag).

Werden nicht nur Clients, sondern auch Domänen von älteren Windows Versionen migriert, müssen zusätzlich die entsprechenden Migrationsaspekte auf Server-Seite berücksichtigt werden (siehe M 2.233 Planung der Migration von Windows NT auf Windows 2000).

Es ist zu beachten, dass in der Migrationphase unter Umständen erweiterte Zugriffsberechtigungen (z. B. für ein spezielles Migrationsteam) und schwächere Sicherheitseinstellungen wegen potentieller Kompatibilitäts-probleme gewählt werden müssen. Diese Einstellungen müssen nach dem Abschluss der Migration auf das höchstmögliche Sicherheitsniveau gebracht werden. Die zusätzlichen migrationspezifischen Berechtigungen sind nach der Migration zu entziehen. Generell gilt, dass nach der erfolgten Migration dasselbe Sicherheitsniveau erreicht werden muss, wie bei einer Neuinstallation. Nach Abschluss der Migration hat ein Soll-Ist-Abgleich aller Sicherheitseinstellungen wie beispielsweise Berechtigungen und Gruppenmitgliedschaften stattzufinden.

Die Zeitspanne für die Migration muss festgelegt und eingehalten werden. Die Migration darf nicht zu einem "Normalzustand" werden. Dies hat insbesondere sicherheitsrelevante Auswirkungen, da die Sicherheit während der Migration üblicherweise abgeschwächt ist.

Software Kompatibilitätsprüfung beim Wechsel zu Windows Vista

Es ist festzulegen, welche Software auf den Windows Vista Clients laufen soll. Für bereits vorhandene Software ist zu prüfen, ob sie unter Windows Vista lauffähig ist (siehe M 2.441 Kompatibilitätsprüfung neuer Software gegenüber Windows Vista). Dies gilt auch für geplante Neubeschaffungen von Software nach einer erfolgten Migration auf Windows Vista.

Vorhandene Software, die nicht die Kompatibilitätsanforderungen von Windows Vista erfüllt, kann in einer Übergangszeit auf Windows XP Clients weiter betrieben werden.

Entsprechende Hardwareausstattung vorausgesetzt, kann auch über den Einsatz von Virtualisierung nachgedacht werden. Dazu wird auf dem Windows Vista Client eine Virtualisierungssoftware installiert. Diese stellt virtuelle Hardware zur Verfügung, auf der ein anderes Betriebssystem mit der benötigten Anwendungssoftware installiert werden kann. In der Enterprise Edition von Windows Vista ist die Microsoft Virtualisierungssoftware Virtual PC bereits enthalten.

Einsatz in gemischten Windows-Umgebungen planen

Beim Einsatz von Windows XP oder Windows Vista Clients in gemischten Windows-Umgebungen (z. B. zusammen mit NT 4.0 Rechnern) können Abschwächungen der Sicherheitseinstellungen wie kein durchgehendes digitales Signieren der Netzkommunikation notwendig sein. Diese sind bei der Planung zu berücksichtigen. Insbesondere muss dafür Sorge getragen werden, dass nach der Realisierung einer homogenen Umgebung, das heißt ausschließlich Windows XP bzw. Windows Vista Clients, sowie Windows 2000/2003 Domain Controller und Server, die Sicherheitseinstellungen auf das höhere Niveau anzuheben sind.

Werden Windows XP bzw. Windows Vista Clients in NT 4.0 Umgebungen eingesetzt, stehen Active Directory-basierte Gruppenrichtlinien nicht zur Verfügung. In diesem Fall müssen lokale Sicherheitsrichtlinien zur Umsetzung der gewünschten Sicherheitseinstellungen verwendet werden. Für diesen Fall muss insbesondere der Verteilungsmechanismus für die Richtlinieneinstellungen geplant worden sein. Zusätzlich muss in der Planungsphase ein Konzept zur Pflege der lokalen Sicherheitsrichtlinien erstellt werden.

Active Directory-bezogene Planung

Bei der Einführung von Windows XP bzw. Windows Vista in einer Active Directory Umgebung ist es nicht ausreichend, ausschließlich die Client-Seite zu betrachten. Auch die Server-Seite ist zu berücksichtigen. Hierbei müssen vor allem die Änderungen im Active Directory geplant werden sowie ein Abgleich der Sicherheitseinstellungen auf Client- und Server-Seite erfolgen.

So sind beispielsweise entsprechende Gruppen- und OU-Strukturen (Organisationseinheit, Organizational Unit) im Active Directory zu entwerfen. Eine geeignete OU-Struktur begünstigt einen einfacheren und wegen der größeren Transparenz einen sichereren Betrieb der Windows XP und Windows Vista Systeme in einer Unternehmensumgebung.

Wenn Windows Vista Clients in einer Active Directory Umgebung betrieben werden sollen, muss auf allen Domänen-Controllern Windows Server 2003 mit Service Pack 1 (SP1) oder höher ausgeführt werden.

Wenn nicht Windows Server 2008 auf den Domänen-Controllern ausgeführt wird, muss die Konfiguration der Gruppenrichtlinien von einem Windows Vista Client aus erfolgen.

Auf dem Client muss ein Domänenadministrator mit dem Tool GPOAccelerator die notwendigen Konfigurationen der Gruppenrichtlinien erstellten. Im Anschluss müssen diese auf den Domänen-Controller übertragen werden.

Des Weiteren ist die Gruppenrichtlinien-Struktur im Active Directory zu planen. Über den Einsatz von Gruppenrichtlinien-spezifischen Mechanismen wie etwa das Blockieren der Vererbung oder das sogenannte Security Filtering muss in der Planungsphase entschieden werden. Dabei ist die Verarbeitungsreihenfolge für Gruppenrichtlinien zu berücksichtigen. Die Maßnahmen im Zusammenhang mit der Planung von Gruppenrichtlinien sind in M 2.326 Planung der Windows XP und Windows Vista Gruppenrichtlinien beschrieben.

Die generellen Active Directory-Planungsmaßnahmen sind unter anderem in M 2.229 Planung des Active Directory zusammengefasst.

Sicherheitskonzept und Sicherheitsrichtlinie

Das Planen und Erstellen eines Sicherheitskonzeptes bzw. einer Sicherheitsrichtlinie im Vorfeld der Einführung von Windows XP bzw. Windows Vista ist immens wichtig. In der Sicherheitsrichtlinie sind alle sicherheitsrelevanten Aspekte des Betriebs von Windows XP bzw. Windows Vista zu berücksichtigen. Weitere Anforderungen an das Sicherheitskonzept sind in der Maßnahme M 2.325 Planung der Sicherheitsrichtlinien von Windows XP und Windows Vista zusammengefasst.

Benutzerkonzept

Bei der Planung des Benutzerkonzepts muss der Umgang mit lokalen und domänenweiten Benutzerkonten geregelt werden. Beim Einsatz von Windows XP und Windows Vista in einer Windows Domäne muss auch über den Einsatz von servergespeicherten Benutzerprofilen (Roaming User Profile) entschieden werden. Die Nutzung von servergespeicherten Benutzerprofilen hat vor allem Auswirkungen auf die Backup-Strategie, sowie auf den Einsatz des Windows Encrypting File System ( EFS ).

Bei der Planung des Benutzerkonzepts muss unter Windows Vista der Umgang mit der Benutzerkontensteuerung (User Account Control, UAC) geregelt werden (siehe M 4.340 Einsatz der Windows Vista Benutzerkontensteuerung - UAC). Es wird empfohlen, die Einstellungen so zu wählen, dass für Standardbenutzer keine Privilegienerhöhung möglich ist.

Administrationskonzept

Im Vorfeld der Einführung von Windows XP und Windows Vista ist ein Administrationskonzept zu erstellen. Es sind grundsätzlich zwei verschiedene Konten für die Administration vorzusehen. Soweit möglich, sollten die Administratoren für ihre Arbeit ein Konto mit den Privilegien eines Standardbenutzers verwenden. Nur wenn diese Privilegien nicht mehr ausreichend sind, sollte ein Konto mit administrativen Privilegien genutzt werden. Nach der Erfüllung der Aufgaben sollte sich der Administrator wieder vom Konto mit administrativen Privilegien abmelden und mit dem Standardbenutzerkonto weiterarbeiten.

Windows Vista unterstützt diese Vorgehensweise durch das Sicherheitsmerkmal. Welche Konfiguration für die Benutzerkontensteuerung vorzunehmen ist, sollte im Administrationskonzept dokumentiert werden.

Weiterhin muss die entfernte Administration der Clients und der Umgang mit lokalen administrativen Konten geregelt werden. Die Fragen der personellen und organisatorischen Zuständigkeiten müssen ebenfalls im Konzept Berücksichtigung finden. Das Trennen von Verantwortlichkeiten (Segregation of Duties) ist im Administrationskonzept zu verankern. Die entsprechende Umsetzung ist sowohl auf der organisatorischen als auch der technischen Ebene zu planen.

Werden die Windows XP bzw. Windows Vista Systeme in einer Active Directory Umgebung eingesetzt, so müssen die Fragen der administrativen Zuständigkeiten und Grenzen, sowie die Vergaberichtlinien für administrative Berechtigungen auf Client- und Benutzerobjekte im Active Directory geklärt werden.

Protokollierungs-/Audit-Konzept

Um die Sicherheit eines Windows XP bzw. Windows Vista Clients gewährleisten zu können, muss überwacht werden, ob die festgelegten Sicherheitsrichtlinien (siehe M 2.325 Planung der Sicherheitsrichtlinien von Windows XP und Windows Vista) eingehalten werden. Insbesondere ist auf organisatorischer und technischer Ebene zu regeln, wie die gesammelten Daten regelmäßig ausgewertet werden. Wird Windows Vista eingesetzt, sollte die Protokollierungen der Windows Vista Firewall mit einbezogen werden. Die Sicherheitsaspekte, die bei der Protokollierung zu beachten sind, sind in der Maßnahme M 4.148 Überwachung eines Windows 2000/XP Systems aufgeführt.

Datenablage, Datensicherung und Verschlüsselung

Es ist festzulegen, wo die Benutzerdaten gespeichert werden (siehe M 2.138 Strukturierte Datenhaltung). Es wird grundsätzlich empfohlen, keine Daten auf Client-Rechnern abzulegen. Dann muss eine geeignete serverseitige Speicherinfrastruktur vorhanden sein. Nach welcher Strategie verfahren werden soll, ist anhand der konkreten Umstände im Einzelfall festzulegen. In bestimmten Einsatzszenarien, wie beispielsweise bei der Verwendung mobiler Computer, ist die Datenablage auf Clients notwendig und erwünscht. In solchen Fällen muss die Client-seitige Datenablage und ihr (kryptographischer) Schutz geplant werden (siehe M 4.29 Einsatz eines Verschlüsselungsproduktes für tragbare IT-Systeme). Die Umsetzung der technischen Maßnahmen, die die Sicherheit der lokalen Datenablage gewährleisten, wie z. B. Festplattenverschlüsselung, EFS oder Verschlüsselung der Offline-Dateien, muss vor der Einführung geplant werden.

Für die Client-seitige Datenablage und ihren kryptographischen Schutz bietet Windows Vista mit BitLocker eine Offline-Verschlüsselung der Bootpartition an. Offline-Verschlüsselung bedeutet, dass die Verschlüsselung nur dann wirksam ist, wenn das IT-System ausgeschaltet ist. Mit Windows Vista Service Pack 1 verschlüsselt BitLocker auch andere Partitionen. In Verbindung mit einem Trusted Platform Module (TPM) im IT-System stellt BitLocker auch die Systemintegrität während des Bootprozesses sicher.

Der Einsatz von BitLocker ist insbesondere beim Einsatz mobiler Rechner in Betracht zu ziehen. Wenn BitLocker eingesetzt werden soll, muss auch festgelegt werden, welche der vier möglichen Formen zur Authentisierung des Benutzers genutzt werden soll. Vertiefende Informationen zu BitLocker sind in M 4.337 Einsatz von BitLocker Drive Encryption zu finden.

Um eine saubere Trennung von benutzer- und projektspezifischen Daten, sowie von Programmen und Daten des Betriebssystems durchzusetzen, muss eine geeignete Verzeichnisstruktur geplant werden. So können beispielsweise zwei Hauptverzeichnisse \Projekte und \Benutzer angelegt werden, unter denen die Dateien und Verzeichnisse der Projekte bzw. Benutzer in jeweils eigenen Unterverzeichnissen abgelegt werden.

Bei der Einführung von Windows XP bzw. Windows Vista muss auch eine entsprechende Datensicherungsstrategie festgelegt werden. Für jedes IT-System und für jede Datenart muss die Verfahrensweise der Datensicherung festgelegt werden. Die Umsetzung hängt vor allem von der Art der Daten ab, die auf einem Client abgelegt sind. Werden auf einem Client keine Daten abgelegt, nur Standard-Software eingesetzt und haben die Benutzer servergespeicherte Profile, so kann unter Umständen auf Client-seitige Datensicherung verzichtet werden. Werden dagegen auf einem Windows XP bzw. Windows Vista Rechner Daten abgelegt, müssen sie bei Sicherungen berücksichtigt werden. Weitere Informationen zu diesem Thema werden in den Maßnahmen M 6.32 Regelmäßige Datensicherung und M 6.33 Entwicklung eines Datensicherungskonzepts gegeben.

Die Verwendung von EFS muss beim Festlegen der Backup-Strategie berücksichtigt werden. Wird EFS eingesetzt, so muss generell die Maßnahme M 6.56 Datensicherung bei Einsatz kryptographischer Verfahren beachtet werden. Insbesondere ist durch das Backup-Konzept der Umgang mit dem Schlüsselmaterial bei Wiederherstellungsoperationen zu regeln (siehe dazu auch M 4.147 Sichere Nutzung von EFS unter Windows).

Roll-out

Die Abläufe bei der Installation, also die Roll-out-Phase, müssen bei der Planung berücksichtigt werden. Unter anderem sind die personellen Zuständigkeiten beim Roll-out eindeutig zu definieren. Es ist zusätzlich ein Roll-out-Notfallkonzept zu erstellen. Durch dieses Notfallkonzept muss sichergestellt werden, dass bei einer fehlgeschlagenen Umstellung der produktive Zustand schnell wiederhergestellt werden kann.

Weitere Konzepte

Neben den oben aufgeführten Konzepten können je nach Einsatzszenario auch weitere Konzepte notwendig werden, wie z. B. ein Namenskonzept (Namenskonventionen für die Rechner, Benutzergruppen und die Benutzer), ein Softwareverteilungskonzept oder ein Konzept zur Anwendungsmigration. Insbesondere die Anwendungsmigration kann Auswirkungen auf die Sicherheit eines Windows Systems haben (z. B. Abschwächung der Zugriffsrechte auf die Registrierung) und ist daher sorgfältig zu planen.

Diese weiteren Konzepte sind dann ebenfalls in der Planungsphase zu berücksichtigen.

In der Regel bestehen hier bereits entsprechende Konzeptionen im Unternehmen oder in der Behörde, die jedoch auf ihre Eignung im Umfeld von Windows XP und Windows Vista Umfeld hin geprüft werden müssen.

Nicht zuletzt sollte geplant werden, welche Benutzer bzw. Administratoren geschult werden müssen und wann dies zu erfolgen hat. Insbesondere die Administratoren sind hinsichtlich der Verwaltung und der Sicherheit von Windows XP und Windows Vista gründlich zu schulen. Der Betrieb von Windows XP und Windows Vista sollte erst nach ausreichender Schulung aufgenommen werden.

Prüffragen: