M 4.248 Sichere Installation von Windows Client-Betriebssystemen

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter

Verantwortlich für Umsetzung: Administrator

Grundlegend erreichen die Out-Of-the-Box-Installationen von Windows Vista und Windows 7 nicht immer ein für den professionellen Einsatz angemessenes Sicherheitsniveau. Ein eigenes Setup muss daher geplant und genutzt werden.

Während der Installationsphase ist ein Windows-System nicht vollständig konfiguriert (siehe Planungsmaßnahmen), so dass auch die gewünschten Sicherheitseinstellungen gegebenenfalls noch nicht aktiviert sind. Die Installation und die initiale Konfiguration eines Windows-Systems sollten daher nach Möglichkeit in einer geschützten Umgebung erfolgen. Für die Erstinstallation sollten Antwortdateien und Policy-Templates herangezogen werden, da die händische Installation riskant ist. Die vorhandenen Checklisten sollten stets aktuell gehalten werden. Wo dies nicht möglich ist, beispielsweise bei der Vor-Ort-Installation von Arbeitsplatz-Systemen (lokal oder über das Netz), sollte alternativ eine vorbereitete (und vorkonfigurierte) Standardkonfiguration aufgespielt werden. Ab Windows 7 sollte diese Art der Installation stets bevorzugt werden. Beim Einsatz von Systemabbildern, den sogenannten Images-Files, ist darauf zu achten, dass vor einer Überführung des IT -Systems in den produktiven Betrieb alle zum Zeitpunkt der Überführung veröffentlichen Updates und Patches installiert werden. Ein Windows-System sollte komplett aktualisiert und mit bereits für die Institution freigegebenen Updates versorgt sein, bevor es in den produktiven Betrieb geht -insbesondere bevor es sich mit dem Internet oder Drittnetzen verbinden darf.

Ist ein Windows-System nicht in eine Active Directory-Domänenstruktur integriert, muss die Konfiguration der Gruppenrichtlinien, die auch die Sicherheitseinstellungen enthalten, lokal auf dem IT-System erfolgen. Dies sollte bei den Microsoft Betriebssystemen Windows Vista und Windows 7 manuell oder skriptbasiert durchgeführt werden. Wie genau die Einstellungen vorgenommen werden, ist in der Planungsphase zu entscheiden.

Der Mechanismus der Gruppenrichtlinien ermöglicht eine schnellere, zuverlässigere, vollständige und vertraulichere initiale Konfiguration, wenn das IT-System in die Domäne aufgenommen wird. Nach dem Beitritt zur Domäne muss das IT-System-Objekt in die entsprechende Organisationseinheit (Organisational Unit, OU) im Active Directory verschoben werden. Bleibt das IT-System im standardmäßig zugewiesenen Active Directory-Container Computer, werden ausschließlich Standort- und Domänen-GPOs aber keine OU-GPOs angewandt, da an diesen Active Directory-Container keine OU-Gruppenrichtlinienobjekte angehängt werden können. Es ist auch darauf zu achten, dass das IT-System nach dem Verschieben in eine neue OU neu gestartet wird. Auf diese Weise werden an diese OU gelinkte GPOs auf das IT-System geladen und angewandt.

Nach der erfolgten Installation sollte sichergestellt werden, dass die entsprechenden Sicherheitseinstellungen auch tatsächlich angewandt worden sind. Dabei sind installierte Komponenten, angewandte Richtlinien, Berechtigungen im Dateisystem und in der Registrierung, zugewiesene Benutzerrechte und erlaubte Systemdienste zu überprüfen.

Für Windows Vista und Windows 7 gilt ergänzend, dass das Betriebssystem nach der erfolgten Installation aktiviert werden muss. Ein nur installiertes und nicht aktiviertes Windows Vista ohne Service Pack 1 (SP1) ist nach Ablauf einer definierten Kulanzfrist (Grace Period) von 30 Tagen nicht mehr arbeitsfähig. Der Vista Client fällt zwangsweise in den so genannten Reduced Functionality Mode (RFM), in dem nur noch eingeschränkte Funktionalitäten zur Verfügung stehen. Mit dem Erscheinen des Service Pack 1 für Windows Vista hat Microsoft den RFM zurückgenommen. Anstelle des RFM zeigen Windows Vista und Windows 7 nun entsprechende Warnmeldungen an, die allerdings ebenfalls geeignet sind, kritische Arbeiten an einem Windows Vista oder Windows 7 System zu behindern oder zu verzögern.

Das Thema Aktivierung wird in M 4.336 Aktivierung von Windows-Systemen ab Vista bzw. Server 2008 aus einem Volumenlizenzvertrag und M 4.343 Reaktivierung von Windows-Systemen ab Vista bzw. Server 2008 aus einem Volumenlizenzvertrag vertieft.

Domänenmitgliedschaft

Um ein IT-System zu einer Domäne hinzuzufügen, muss entweder ein entsprechendes Computerkonto in der Domäne vorbereitet worden sein oder das Computerkonto wird beim Beitritt erzeugt. Dazu sind entsprechende administrative Berechtigungen notwendig, mit denen restriktiv umgegangen werden muss. Ob das Computerkonto vor oder während der Installation erstellt werden soll, ist in Abhängigkeit von der gängigen Praxis des Unternehmens oder der Behörde zu entscheiden.

Zukünftige Domänenmitglieder sollten während der Installation in die Domäne aufgenommen und nicht erst als Einzelsystem installiert werden. Dadurch wird beispielsweise gewährleistet, dass die einfache Dateifreigabe deaktiviert bleibt und keine zusätzlichen lokalen Benutzer mit administrativen Berechtigungen angelegt werden.

Unbeaufsichtigte Installationen

Windows bietet einen Mechanismus zur unbeaufsichtigten Installation des Betriebssystems. Hierbei wird die Installation unter Verwendung einer vorgefertigten Antwortdatei und ohne Interaktion mit dem Administrator durchführt. Diese Antwortdatei, die die notwendigen Installationseingaben enthält, wird im Vorfeld einer Windows XP Installation mit dem Installations-Manager Setup Manager erstellt.

Windows Vista und Windows 7 nutzen zur unbeaufsichtigten Installation des Betriebssystems die Antwortdatei Unattend.xml. Diese Antwortdatei kann mit dem Windows-Systemabbild-Manager erstellt und geändert werden. Der Windows-Systemabbild-Manager ist Bestandteil des Windows Automated Installation Kit (WAIK). Das WAIK ist nicht auf den Installationsmedien von Windows Vista und Windows 7 enthalten, kann jedoch über die Internetseiten von Microsoft () bezogen werden. Im neuen Bereitstellungswerkzeug Business Desktop Deployment (BDD) für Windows Vista und Windows 7 ist das WAIK bereits enthalten. Das BDD enthält Funktionen um Windows Vista und Windows 7 zu Planen, aufzubauen, zu testen und bereitzustellen. Das Microsoft Deployment Toolkit 2010 (MDT 2010) löst das bereits bestehende BDD 2010 ab.

Werden Windows-Systeme unbeaufsichtigt installiert, so ist Folgendes zu berücksichtigen:

Angepasste Installationsmedien

Wenn Windows von möglicherweise veralteten Originalmedien installiert wird, müssen nach der Installation die existierenden Patches, Service Packs und Updates gesondert eingespielt werden. Dies verlängert die Installationszeit und erhöht das Risiko eines erfolgreichen Angriffs auf das IT-System, da es sich für eine gewisse Zeit nicht auf dem aktuellen Stand befindet. Um die Updates gleich bei der Installation einzuspielen und das Risiko eines erfolgreichen Angriffs zu mindern, kann eine der beiden, mit Windows XP eingeführten, Installationsfunktionen verwendet werden:

Unter Windows Vista und Windows 7 können Updates während der Installation mit dem Bereitstellungswerkzeug BDD beziehungsweise MDT 2010 eingespielt werden. Bei der integrierten Installation wird Windows zusammen mit einem Service Pack installiert. Die kombinierte Installation ermöglicht die Installation des Betriebssystems zusammen mit Hotfixes und zusätzlichen Anwendungen im unbeaufsichtigten Modus.

Für eine integrierte Installation wird ein neues Installationsmedium erstellt. Dabei werden die Originaldateien durch Dateien des Service Packs überschrieben. Mögliche Installationsmedien sind optische Datenträger wie CD-ROM oder DVD, Netz-Distributionsfreigaben oder Installationsordner der Remoteinstallationsdienste (RIS) beziehungsweise die Windows Deployment Services (WDS). Es ist zu beachten, dass ein Service Pack, das im integrierten Modus installiert wurde, nicht deinstalliert werden kann.

Ein kombiniertes Installationsmedium wird erstellt, indem zusätzliche Installationsdateien in das Original-Installationsmedium integriert werden. Die Antwortdatei für die unbeaufsichtigte Installation (standardmäßig wird sie Unattend.txt beziehungsweise bei Windows Vista und Windows 7 AutoUnattend.xml genannt) und cmdlines.txt müssen entsprechend angepasst werden. Die genaue Vorgehensweise ist der Dokumentation von Microsoft zu entnehmen.

Der Einsatz von angepassten Installationsmedien ist grundsätzlich zu empfehlen. Welches der beiden Verfahren bei einem Unternehmen oder einer Behörde eingesetzt werden soll, ist im Einzelfall zu entscheiden. Für Windows XP ist dabei M 2.329 Einführung von Windows XP SP2 zu beachten.

Seit Windows Vista und Windows 7 ist zur Verteilung lediglich die Anpassung des WIM-Images erforderlich. Das WIM-Image ist ein Betriebssystem-Abbild mit dem Format WIM. Dieses wird entweder auf Wechseldatenträgern oder im Netz bereitgestellt. Für zeitnahe Änderungen und Updates werden während des Installationsprozesses eine Serverfreigabe oder ein WSUS-Server abgefragt. Dies ist aber nicht zwingend notwendig.

Systemkomponenten

Bei der Installation des Systems ist zu gewährleisten, dass nur die benötigten Systemkomponenten installiert werden. Je nach existierenden geschäftlichen Anforderungen der Institution können weitere Komponenten installiert werden, die in der Tabelle in den Hilfsmitteln zum IT-Grundschutz als Optional markiert wird. Von der Installation der Windows-Komponenten, die mit Deaktiviert markiert sind, ist aus Sicherheitssicht abzuraten.

Prüffragen: