M 4.248 Sichere Installation von Windows Client-Betriebssystemen

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter

Verantwortlich für Umsetzung: Administrator

Während der Installationsphase ist ein Windows System nicht vollständig konfiguriert (siehe Planungsmaßnahmen), so dass auch die gewünschten Sicherheitseinstellungen gegebenenfalls noch nicht aktiviert sind. Die Installation und die initiale Konfiguration eines Windows-Systems sollte daher nach Möglichkeit in einer geschützten Umgebung erfolgen. Wo dies nicht möglich ist, beispielsweise bei der Vor-Ort-Installation von Arbeitsplatzrechnern (lokal oder über das Netz), sollte alternativ eine vorbereitete (und vorkonfigurierte) Standardkonfiguration aufgespielt werden. Vor allem sollte ein Windows-System komplett aktualisiert und mit bereits für die Institution freigegebenen Updates versorgt sein, bevor es in den produktiven Betrieb geht, insbesondere bevor es sich mit dem Internet verbinden darf.

Ist ein Windows System nicht in einer Active Directory-Domänenstruktur integriert, muss die Konfiguration der Gruppenrichtlinien, die auch die Sicherheitseinstellungen enthalten, lokal auf dem Rechner erfolgen. Dies kann manuell oder skriptbasiert durchgeführt werden. Wie genau die Einstellungen vorgenommen werden, ist in der Planungsphase zu entscheiden.

Der Mechanismus der Gruppenrichtlinien ermöglicht eine schnellere initiale Konfiguration, wenn der Rechner in die Domäne aufgenommen wird. Nach dem Beitritt zur Domäne muss das Rechner-Objekt in die entsprechende Organisationseinheit (Organisational Unit, OU) im Active Directory verschoben werden. Bleibt der Rechner im standardmäßig zugewiesenen Active Directory-Container Computer, werden ausschließlich Standort- und Domänen-GPOs aber keine OU-GPOs angewandt, da an diesen Active Directory-Container keine OU-Gruppenrichtlinienobjekte angehängt werden können. Es ist auch darauf zu achten, dass der Rechner nach dem Verschieben in eine neue Organisational Unit neu gestartet wird. Auf diese Weise werden an diese OU gelinkte GPOs auf den Rechner geladen und angewandt.

Nach der erfolgten Installation sollte sichergestellt werden, dass die entsprechenden Sicherheitseinstellungen auch tatsächlich angewandt worden sind. Dabei sind installierte Komponenten, angewandte Richtlinien, Berechtigungen im Dateisystem und in der Registrierung, zugewiesene Benutzerrechte und erlaubte Systemdienste zu überprüfen.

Für Windows Vista gilt ergänzend, dass das Betriebssystem nach der erfolgten Installation aktiviert werden müssen. Ein nur installiertes und nicht aktiviertes Windows Vista ohne Service Pack 1 (SP1) ist nach Ablauf einer definierten Kulanzfrist (Grace Period) von 30 Tagen nicht mehr arbeitsfähig. Der Vista Client fällt zwangsweise in den so genannten Reduced Functionality Mode (RFM), in dem nur noch reduzierte Funktionalitäten zur Verfügung stehen. Mit dem Erscheinen des Service Pack 1 hat Microsoft den RFM zurückgenommen. Anstelle des RFM zeigt Windows Vista nun entsprechende Warnmeldungen an, die allerdings ebenfalls geeignet sind, kritische Arbeiten an einem Windows Vista System zu behindern oder zu verzögern.

Das Thema Aktivierung wird in den Maßnahmen M 4.336 Aktivierung von Windows Vista Clients aus einem Volumenlizenzvertrag und M 4.343 Reaktivierung von Windows Vista Clients aus einem Volumenlizenzvertrag vertieft.

Domänenmitgliedschaft

Um einen Rechner zu einer Domäne hinzuzufügen, muss entweder ein entsprechendes Computerkonto in der Domäne vorbereitet worden sein oder das Computerkonto wird beim Beitritt erzeugt. Dazu sind entsprechende administrative Berechtigungen notwendig, mit denen restriktiv umgegangen werden muss. Ob das Computerkonto vor oder während der Installation erstellt werden soll, ist in Abhängigkeit von der gängigen Praxis des Unternehmens bzw. der Behörde zu entscheiden.

Zukünftige Domänenmitglieder sollten während der Installation in die Domäne aufgenommen und nicht erst als Einzelrechner installiert werden. Dadurch wird beispielsweise gewährleistet, dass die einfache Dateifreigabe deaktiviert bleibt und keine zusätzlichen lokalen Benutzer mit administrativen Berechtigungen angelegt werden.

Unbeaufsichtigte Installationen

Windows bietet einen Mechanismus zur unbeaufsichtigten Installation des Betriebssystems Hierbei wird die Installation unter Verwendung einer vorgefertigten Antwortdatei und ohne Interaktion mit dem Administrator durchführt. Diese Antwortdatei, die die notwendigen Installationseingaben beinhaltet, wird im Vorfeld einer Windows XP Installation mit dem Installations-Manager Setup Manager erstellt.

Windows Vista nutzt zur unbeaufsichtigten Installation des Betriebssystems die Antwortdatei Unattend.xml. Diese Antwortdatei kann mit dem Windows-Systemabbild-Manager erstellt und geändert werden. Der Windows-Systemabbild-Manager ist Bestandteil des Windows Automated Installation Kit (WAIK). Das WAIK ist nicht auf den Installationsmedien von Windows Vista enthalten, kann jedoch www.microsoft.com/downloads über die Internetseiten von Microsoft bezogen werden. Im neuen Bereitstellungswerkzeug Business Desktop Deployment(BDD) für Windows Vista ist das WAIK enthalten. Das BDD enthält Funktionen für das Planen, Aufbauen, Testen und Bereitstellen von Windows Vista.

Werden Windows Systeme unbeaufsichtigt installiert, so ist Folgendes zu berücksichtigen:

Angepasste Installationsmedien

Wenn Windows von möglicherweise veralteten Originalmedien installiert wird, müssen nach der Installation die existierenden Patches, Service Packs und Updates gesondert eingespielt werden. Dies verlängert die Installationszeit und erhöht das Risiko einer erfolgreichen Attacke auf den Computer, da er sich für eine gewisse Zeit nicht auf dem aktuellen Stand befindet. Um die Updates gleich bei der Installation einzuspielen und das Risiko einer Attacke zu mindern, kann eine der beiden, mit Windows XP eingeführten, Installationsfunktionen verwendet werden:

Unter Windows Vista können Updates während der Installation mit dem Bereitstellungswerkzeug BDD eingespielt werden.Bei der integrierten Installation wird Windows zusammen mit einem Service Pack installiert. Die kombinierte Installation ermöglicht die Installation des Betriebssystems zusammen mit Hotfixes und zusätzlichen Anwendungen im unbeaufsichtigten Modus.

Für eine integrierte Installation wird ein neues Installationsmediums erstellt. Dabei werden die Originaldateien durch Dateien des Service Packs überschrieben. Mögliche Installationsmedien sind optische Datenträger wie CD-ROM oder DVD , Netz-Distributionsfreigaben oder Installationsordner der Remoteinstallationsdienste (RIS) bzw. die Windows Deployment Services (WDS). Es ist zu beachten, dass ein Service Pack, das im integrierten Modus installiert wurde, nicht deinstalliert werden kann.

Ein kombiniertes Installationsmedium wird erstellt, indem zusätzliche Installationsdateien in das Original-Installationsmedium integriert werden. Die Antwortdatei für die unbeaufsichtigte Installation (standardmäßig wird sie Unattend.txt beziehungsweise bei Windows Vista AutoUnattend.xml genannt) und cmdlines.txt müssen entsprechend angepasst werden. Die genaue Vorgehensweise ist der Dokumentation von Microsoft zu entnehmen.

Der Einsatz von angepassten Installationsmedien ist grundsätzlich zu empfehlen. Welches der beiden Verfahren bei einem Unternehmen bzw. einer Behörde eingesetzt werden soll, ist im Einzelfall zu entscheiden. Für Windows XP ist dabei die Maßnahme M 2.329 Einführung von Windows XP SP2 zu beachten.

Systemkomponenten

Bei der Installation des Systems ist zu gewährleisten, dass nur die benötigten Systemkomponenten installiert werden. In Beispieltabellen unter den Hilfsmitteln zum IT-Grundschutz werden Komponenten aufgezählt, die für eine Basis-Installation von Windows verwendet werden sollten (Status: Aktiviert). Je nach existierenden geschäftlichen Anforderungen können weitere Komponenten installiert werden, die in der Tabelle in den Hilfsmitteln zum IT-Grundschutz als Optional markiert wird. Von der Installation der Windows-Komponenten, die mit Deaktiviert markiert sind, ist aus Sicherheitssicht abzuraten.

Prüffragen: