M 2.324 Einführung von Windows XP, Vista und Windows 7 planen
Verantwortlich für Initiierung: Leiter IT
Verantwortlich für Umsetzung: Administrator, IT-Sicherheitsbeauftragter, Leiter IT
Die geregelte und sichere Einführung von Windows XP, Vista oder Windows 7 Systemen setzt eine umfangreiche Planung voraus. In der Planungsphase werden die notwendigen Voraussetzungen für einen sicheren Betrieb von Windows XP, Vista und Windows 7 Systemen geschaffen.
Die einzelnen Planungsschritte sind abhängig von den geplanten Einsatzszenarien der Windows XP, Vista und Windows 7 Systeme. Die Einführung muss in ihren einzelnen Schritten möglichst detailliert geplant werden. Hierbei sind nicht nur die Inhalte, sondern auch interne Prozesse und Abläufe der Institution zu berücksichtigen. Alle Inhalte und Prozesse müssen definiert, in einer Richtlinie dokumentiert und allen Beteiligten zugänglich gemacht werden.
Generell muss ausreichend Zeit für die Einführung von Windows XP, Vista und Windows 7 eingeplant werden. Dabei ist ein Zeitraum von einem halben Jahr für größere Unternehmen und Behörden durchaus realistisch. Im Laufe der Planung muss der Zeitplan erfahrungsgemäß mehrfach angepasst werden.
Die im Folgenden genannten sicherheitsrelevanten Aspekte müssen bei der Einführung von Windows XP, Vista und Windows 7 berücksichtigt werden.
Neuinstallation oder Migration/Upgrade
Für die Einführung von Windows XP, Windows Vista oder Windows 7 stehen verschiedene Verfahren zur Verfügung. Zum einen kann die Einführung durch einen parallelen Aufbau der zu migrierenden Windows Infrastruktur (neue Clients werden parallel zu bestehenden eingeführt) erfolgen. Zum anderen kann dies durch eine Migration oder ein Update vorhandener Client-Systeme geschehen.
Eine generelle Empfehlung für die Einführung kann nicht gegeben werden, da dies von den individuellen Rahmenbedingungen abhängt. Das Verfahren ist immer auf das Unternehmen oder die Behörde zuzuschneiden.
In erster Linie muss entschieden werden, ob bei der Einführung der neuen Windows-Version die Client-Systeme komplett neu installiert oder migriert werden. In der Praxis werden häufiger bestehende Client-Systeme migriert, statt eine vollständige Neuinstallation durchzuführen. Bei Neuinstallationen können an die individuellen Anforderungen angepasste Installationsmedien, sogenannte Baseline Images, für eine strukturierte Migration angelegt werden. Bei der Migration von älteren Windows-Clients auf neuere Versionen des Betriebssystems bedarf es einer angemessenen Planung, insbesondere, wenn auch die Domänen-Controller migriert werden (z. B. auf Windows Server 2008). Dazu sind zusätzliche Migrationsaspekte auf Seiten des Servers zu beachten (z.B. M 4.424 Sicherer Einsatz älterer Software unter Windows 7). Die Migration muss in ihren einzelnen Schritten möglichst detailliert geplant werden, da durch Planungsdefizite in der Zeit der Umstellung leicht Sicherheitslücken entstehen können.
Ein Upgrade des Betriebssystems auf Windows Vista ist nur von Windows XP mit Service Pack 2 oder höher möglich. Windows 7 kann nur von Windows Vista migriert werden. Eine Upgrade-Kette von Windows XP über Windows Vista auf Windows 7 wird vom Hersteller nicht unterstützt und sollte nicht durchgeführt werden. Bei Nutzung älterer Versionen von Windows, wie Windows 2000, muss eine Neuinstallation von Windows Vista und Windows 7 erfolgen. Grundsätzlich sollte auch bei einer upgradefähigen Betriebssystemversion eine Neuinstallation des Clients in Betracht gezogen werden.
Aufgrund der verschiedenen Windows Vista und Windows 7 Editionen stehen im Gegensatz zu früheren Versionen von Windows mehrere Migrationspfade zur Verfügung. Es muss festgelegt werden, welche Edition von Windows Vista oder Windows 7 in der Institution genutzt werden soll (siehe M 2.440 Geeignete Auswahl einer Windows Vista und Windows 7 Version).
Bei jeder Neuinstallation und bei jedem Upgrade müssen die Anforderungen an die Aktivierung der Windows Vista oder Windows 7 Clients berücksichtigt werden (siehe M 4.336 Aktivierung von Windows-Systemen ab Vista bzw. Server 2008 aus einem Volumenlizenzvertrag und M 4.343 Reaktivierung von Windows-Systemen ab Vista bzw. Server 2008 aus einem Volumenlizenzvertrag).
Es ist zu beachten, dass in der Migrationsphase unter Umständen erweiterte Zugriffsberechtigungen (z. B. für ein spezielles Migrationsteam) und schwächere Sicherheitseinstellungen wegen potentieller Kompatibilitätsprobleme gewählt werden müssen. Diese Einstellungen müssen nach dem Abschluss der Migration wieder auf das höchstmögliche Sicherheitsniveau gebracht werden. Die zusätzlichen migrationsspezifischen Berechtigungen sind nach der Migration zu entziehen. Generell gilt, dass nach der erfolgten Migration dasselbe Sicherheitsniveau erreicht werden muss, wie bei einer Neuinstallation. Nach Abschluss der Migration hat ein Soll-Ist-Abgleich aller Sicherheitseinstellungen wie beispielsweise Berechtigungen und Gruppenmitgliedschaften stattzufinden.
Die Zeitspanne für die Migration muss festgelegt und eingehalten werden. Die Migration darf nicht zu einem Normalzustand werden. Dies hat insbesondere sicherheitsrelevante Auswirkungen, da die Sicherheit während der Migration üblicherweise abgeschwächt ist.
Software Kompatibilitätsprüfung beim Wechsel zu Windows Vista oder Windows 7
Es ist festzulegen, welche Software auf den Windows Vista oder Windows 7 Clients installiert werden soll. Für bereits vorhandene Software ist zu prüfen, ob sie unter Windows Vista beziehungsweise Windows 7 lauffähig ist (siehe M 2.441 Kompatibilitätsprüfung von Software gegenüber Windows Vista und Windows 7). Dies gilt auch für geplante Neubeschaffungen von Software nach einer erfolgten Migration auf Windows Vista oder Windows 7.
Vorhandene Software, die nicht die Kompatibilitätsanforderungen von Windows Vista oder Windows 7 erfüllt, kann in einer Übergangszeit auf Windows XP Clients weiter betrieben werden.
Entsprechende Hardwareausstattung vorausgesetzt, kann auch über den Einsatz von Virtualisierung nachgedacht werden. Dazu wird auf dem Windows Vista respektive Windows 7 Client eine Virtualisierungssoftware installiert. Diese stellt virtuelle Hardware zur Verfügung, auf der ein anderes Betriebssystem mit der benötigten Anwendungssoftware installiert werden kann. In der Enterprise und Ultimate Edition von Windows 7 ist die Microsoft Virtualisierungssoftware VirtualPC bereits enthalten. Windows 7 Professional, Enterprise und Ultimate verfügen zusätzlich über den Windows XP Mode mit einer Lizenz für eine virtuelle Windows XP Maschine. Beim Einsatz einer Virtualisierungssoftware muss das virtuelle Betriebssystem ebenfalls abgesichert werden.
Einsatz in gemischten Windows-Umgebungen planen
Beim Einsatz von Windows XP, Vista oder Windows 7 Clients in gemischten Windows-Umgebungen (z. B. zusammen mit NT 4.0 Systemen) können Abschwächungen der Sicherheitseinstellungen wie kein durchgehendes digitales Signieren der Netzkommunikation notwendig sein. Diese sind bei der Planung zu berücksichtigen. Insbesondere muss dafür Sorge getragen werden, dass nach der Realisierung einer homogenen Umgebung, das heißt wenn ausschließlich Windows XP, Vista oder Windows 7 Clients, sowie Windows 2000/2003/2008 Domain Controller und Server verwendet werden, die Sicherheitseinstellungen auf das höhere Niveau anzuheben sind.
Werden Windows XP, Vista oder Windows 7 Clients in NT 4.0 Umgebungen eingesetzt, stehen Active Directory-basierte Gruppenrichtlinien nicht zur Verfügung. In diesem Fall müssen lokale Sicherheitsrichtlinien zur Umsetzung der gewünschten Sicherheitseinstellungen verwendet werden. Für diesen Fall muss insbesondere der Verteilungsmechanismus für die Richtlinieneinstellungen geplant worden sein. Zusätzlich muss in der Planungsphase ein Konzept zur Pflege der lokalen Sicherheitsrichtlinien erstellt werden.
Active Directory-bezogene Planung
Bei der Einführung von Windows XP bzw. Vista oder Windows 7 in einer Active Directory-Umgebung ist es nicht ausreichend, ausschließlich die Clients zu betrachten. Auch die Server sind zu berücksichtigen. Hierbei müssen vor allem die Änderungen im Active Directory geplant werden sowie ein Abgleich der Sicherheitseinstellungen auf Client- und Server-Seite erfolgen.
So sind beispielsweise entsprechende Gruppen- und OU-Strukturen (Organisationseinheit, Organisational Unit) im Active Directory zu entwerfen. Eine geeignete OU-Struktur begünstigt einen einfacheren und wegen der größeren Transparenz einen sichereren Betrieb der Windows XP, Vista und Windows 7 Systeme.
Wenn Windows Vista oder Windows 7 Clients in einer Active Directory-Umgebung betrieben werden sollen, muss auf allen Domänen-Controllern Windows Server 2003 mit Service Pack 1 (SP1) oder höher ausgeführt werden.
Wenn eine ältere Serverversion als Windows Server 2008 auf den Domänen-Controllern ausgeführt wird, muss die Konfiguration der Gruppenrichtlinien auf einem Client mit Windows Vista oder Windows 7 erfolgen.
Auf dem Client muss ein Domänenadministrator mit dem Tool GPOAccelerator die notwendigen Konfigurationen der Gruppenrichtlinien erstellen. Im Anschluss müssen diese auf den Domänen-Controller übertragen werden.
Des Weiteren ist die Gruppenrichtlinien-Struktur im Active Directory zu planen. Über den Einsatz von Gruppenrichtlinien-spezifischen Mechanismen wie etwa das Blockieren der Vererbung oder das sogenannte Security Filtering muss in der Planungsphase entschieden werden. Dabei ist die Verarbeitungsreihenfolge für Gruppenrichtlinien zu berücksichtigen. Die Maßnahmen im Zusammenhang mit der Planung von Gruppenrichtlinien sind in M 2.326 Planung der Windows XP, Vista und Windows 7 Gruppenrichtlinien beschrieben.
Die generellen Active Directory-Planungsmaßnahmen sind unter anderem in M 2.229 Planung des Active Directory zusammengefasst.
Sicherheitskonzept und Sicherheitsrichtlinie
Das Planen und Erstellen eines Sicherheitskonzeptes beziehungsweise einer Sicherheitsrichtlinie im Vorfeld der Einführung von Windows XP, Vista oder Windows 7 ist immens wichtig. In der Sicherheitsrichtlinie sind alle sicherheitsrelevanten Aspekte des Betriebs von Windows XP, Vista oder Windows 7 zu berücksichtigen. Weitere Anforderungen an das Sicherheitskonzept sind in der Maßnahme M 2.325 Planung der Sicherheitsrichtlinien von Windows XP, Vista und Windows 7 zusammengefasst.
Benutzerkonzept
Bei der Planung des Benutzerkonzepts muss der Umgang mit lokalen und domänenweiten Benutzerkonten geregelt werden. Beim Einsatz von Windows XP, Vista und Windows 7 in einer Windows-Domäne muss auch über den Einsatz von servergespeicherten Benutzerprofilen (Roaming User Profile) entschieden werden. Die Nutzung von servergespeicherten Benutzerprofilen hat vor allem Auswirkungen auf die Backup-Strategie, sowie auf den Einsatz des Windows Encrypting File System (EFS).
Bei der Planung des Benutzerkonzepts muss unter Windows Vista oder Windows 7 der Umgang mit der Benutzerkontensteuerung (User Account Control, UAC) geregelt werden (siehe M 4.340 Einsatz der Windows-Benutzerkontensteuerung UAC ab Windows Vista). Es wird empfohlen, die Einstellungen so zu wählen, dass für Standardbenutzer keine Privilegienerhöhung möglich ist.
Administrationskonzept
Im Vorfeld der Einführung von Windows XP, Vista und Windows 7 ist ein Administrationskonzept zu erstellen. Es sind grundsätzlich zwei verschiedene Konten für administratives Personal vorzusehen. Soweit möglich, sollten die Administratoren für ihre Arbeit ein Konto mit den Privilegien eines Standardbenutzers verwenden. Nur wenn diese Privilegien nicht mehr ausreichend sind, sollte ein Konto mit administrativen Privilegien genutzt werden. Nach der Erfüllung der Aufgaben sollte sich der Administrator wieder vom Konto mit administrativen Privilegien abmelden und mit dem Standardbenutzerkonto weiterarbeiten.
Welche Konfiguration für die Benutzerkontensteuerung vorzunehmen ist, sollte im Administrationskonzept dokumentiert werden.
Weiterhin muss die Fernadministration der Clients und der Umgang mit lokalen administrativen Konten geregelt werden. Die Fragen der personellen und organisatorischen Zuständigkeiten müssen ebenfalls im Konzept Berücksichtigung finden. Verantwortlichkeiten sind zu trennen (Segregation of Duties) und im Administrationskonzept zu verankern. Die entsprechende Umsetzung ist sowohl auf der organisatorischen als auch der technischen Ebene zu planen.
Werden die Windows XP, Vista oder Windows 7 Systeme in einer Active Directory-Umgebung eingesetzt, so müssen die administrativen Zuständigkeiten und Grenzen, sowie die Vergaberichtlinien für administrative Berechtigungen auf Client- und Benutzerobjekte im Active Directory geklärt werden.
Protokollierungs-/Audit-Konzept
Um die Sicherheit eines Windows XP, Vista oder Windows 7 Clients gewährleisten zu können, muss überwacht werden, ob die festgelegten Sicherheitsrichtlinien (siehe M 2.325 Planung der Sicherheitsrichtlinien von Windows XP, Vista und Windows 7) eingehalten werden. Insbesondere ist auf organisatorischer und technischer Ebene zu regeln, wie die gesammelten Daten regelmäßig ausgewertet werden. Wird Windows Vista oder 7 eingesetzt, sollten die Protokollierungen der Windows Firewall mit einbezogen werden. Die Sicherheitsaspekte, die bei der Protokollierung zu beachten sind, sind in M 4.148 Überwachung eines Windows 2000/XP Systems und M 4.344 Überwachung von Windows Vista-, Windows 7 und Windows Server 2008-Systemen aufgeführt.
Datenablage, Datensicherung und Verschlüsselung
Es ist festzulegen, wo die Benutzerdaten gespeichert werden (siehe M 2.138 Strukturierte Datenhaltung). Es wird grundsätzlich empfohlen, keine Daten auf Client-Systemen abzulegen. Daher muss eine geeignete serverseitige Speicherinfrastruktur vorhanden sein. Nach welcher Strategie verfahren werden soll, ist anhand der konkreten Umstände im Einzelfall festzulegen. In bestimmten Einsatzszenarien, wie beispielsweise bei der Verwendung mobiler IT-Systeme, ist die Datenablage auf diesen notwendig und erwünscht. In solchen Fällen muss die Client-seitige Datenablage und ihr (kryptographischer) Schutz geplant werden (siehe M 4.29 Einsatz eines Verschlüsselungsproduktes für tragbare IT-Systeme). Die Umsetzung der technischen Maßnahmen, die die Sicherheit der lokalen Datenablage gewährleisten, wie Festplattenverschlüsselung, EFS oder Verschlüsselung der Offline-Dateien, muss vor der Einführung geplant werden.
Für die Client-seitige Datenablage und ihren kryptographischen Schutz bieten Windows Vista und Windows 7 mit BitLocker eine Offline-Verschlüsselung der Bootpartition an. Offline-Verschlüsselung bedeutet, dass die Verschlüsselung nur beim ausgeschalteten IT-System wirksam ist. Mit Windows Vista ab Service Pack 1 und Windows 7 verschlüsselt BitLocker auch andere Partitionen. In Verbindung mit einem Trusted Platform Module (TPM) im IT-System stellt BitLocker auch die Systemintegrität während des Bootprozesses sicher.
Der Einsatz von BitLocker ist insbesondere beim Einsatz mobiler Systeme in Betracht zu ziehen. Wenn BitLocker eingesetzt werden soll, muss auch festgelegt werden, welche der vier möglichen Formen zur Authentisierung des Benutzers genutzt werden soll. Vertiefende Informationen zu BitLocker sind in M 4.337 Einsatz von BitLocker Drive Encryption zu finden.
Um eine saubere Trennung von benutzer- und projektspezifischen Daten, sowie von Programmen und Daten des Betriebssystems durchzusetzen, muss eine geeignete Verzeichnisstruktur geplant werden. So können beispielsweise zwei Hauptverzeichnisse \Projekte und \Benutzer angelegt werden, unter denen die Dateien und Verzeichnisse der Projekte bzw. Benutzer in jeweils eigenen Unterverzeichnissen abgelegt werden.
Bei der Einführung von Windows XP, Vista oder Windows 7 muss auch eine entsprechende Datensicherungsstrategie festgelegt werden. Die Verfahrensweise ist für jedes IT-System und für jede Datenart zu bestimmen. Die Umsetzung hängt vor allem von der Art der Daten ab, die auf einem Client abgelegt sind. Werden auf einem Client keine Daten abgelegt, nur Standard-Software eingesetzt und haben die Benutzer servergespeicherte Profile, so kann unter Umständen auf Client-seitige Datensicherung verzichtet werden. Werden dagegen auf einem Windows XP, Vista oder Windows 7 System Daten abgelegt, müssen sie bei Sicherungen berücksichtigt werden. Weitere Informationen zu diesem Thema werden in M 6.32 Regelmäßige Datensicherung und M 6.33 Entwicklung eines Datensicherungskonzepts gegeben.
Die Verwendung von EFS oder BitLocker muss beim Festlegen der Backup-Strategie berücksichtigt werden. Wird EFS eingesetzt, ist generell die Maßnahme M 6.56 Datensicherung bei Einsatz kryptographischer Verfahren zu beachten. Insbesondere sollte das Backup-Konzept den Umgang mit dem Schlüsselmaterial bei Wiederherstellungsoperationen regeln (siehe dazu auch M 4.147 Sichere Nutzung von EFS unter Windows).
Roll-out
Die Abläufe bei der Installation, also die Roll-out-Phase, müssen bei der Planung berücksichtigt werden. Unter anderem sind die personellen Zuständigkeiten beim Roll-out eindeutig zu definieren. Es ist zusätzlich ein Roll-out-Notfallkonzept zu erstellen. Durch dieses Notfallkonzept muss sichergestellt werden, dass bei einer fehlgeschlagenen Umstellung der produktive Zustand schnell wiederhergestellt werden kann. Wenn neben Clientbetriebssystemen auch Server migriert werden, sollte die Migration der Server zuerst durchgeführt werden. Neu erstellte oder geänderte Gruppenrichtlinien, Active Directory-Einstellungen oder Berechtigungskonzepte können anschließend für zu migrierende Clients übernommen werden.
Weitere Konzepte
Neben den oben aufgeführten Konzepten können je nach Einsatzszenario weitere Konzepte notwendig werden, zum Beispiel ein Namenskonzept (Namenskonventionen für die Rechner, Benutzergruppen und die Benutzer), ein Softwareverteilungskonzept oder ein Konzept zur Anwendungsmigration. Insbesondere die Anwendungsmigration kann Auswirkungen auf die Sicherheit eines Windows-Systems haben (z. B. Abschwächung der Zugriffsrechte auf die Registrierung) und ist daher sorgfältig zu planen.
Die weiteren Konzepte sind ebenfalls in der Planungsphase zu berücksichtigen.
In der Regel bestehen hier bereits entsprechende Konzeptionen im Unternehmen oder in der Institution, die jedoch auf ihre Eignung im Umfeld von Windows XP, Vista und Windows 7 Umfeld geprüft werden müssen.
Nicht zuletzt sollte geplant werden, welche Benutzer und Administratoren geschult werden müssen und wann dies zu erfolgen hat. Insbesondere die Administratoren sind hinsichtlich der Verwaltung und der Sicherheit der eingesetzten Windows-Versionen gründlich zu schulen. Erst nach dieser Schulung sollte der Betrieb dieser Windows-Systeme aufgenommen werden.
Prüffragen:
-
Gibt es Richtlinien für die Neuinstallation bzw. Migration/Upgrade von Windows-Systemen und werden diese allen Beteiligten zugänglich gemacht?
-
Werden wegen der Migration erweiterte Zugriffsberechtigungen und gelockerte Sicherheitseinstellungen der Domäne nach Abschluss der Migration wieder auf das höchstmögliche Sicherheitsniveau gebracht?
-
Falls die Domänen-Controller bei einem Einsatz von Windows Vista und Windows 7 nicht unter Windows Server 2008 laufen: Erfolgt die Konfiguration der Gruppenrichtlinien von einem Windows Vista oder Windows 7 Client?
-
Gibt es ein Benutzer- und Administrationskonzept für Windows XP, Windows Vista bzw. Windows 7?
-
Gibt es Regelungen zur Überwachung ob die festgelegten Sicherheitsrichtlinien eingehalten werden?
-
Gibt es für Windows XP, Vista und Windows 7 ein Konzept zur Datenablage, Datensicherung und Verschlüsselung der Benutzerdaten?