M 4.136 Sichere Installation von Windows 2000
Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
Nach erfolgter Planung eines Windows 2000 Systems (siehe M 2.227 Planung des Windows 2000 Einsatzes) muss das Windows 2000 Betriebssystem auf den relevanten Rechnern installiert werden. Während der Installationsphase ist ein Windows 2000 Rechner nicht vollständig konfiguriert, sodass auch die gewünschten Sicherheitseinstellungen noch nicht aktiviert sind. Es empfiehlt sich daher, die initiale Konfiguration entweder in einer geschützten Umgebung durchzuführen oder alternativ eine vorbereitete Standardkonfiguration aufzuspielen.
Während der Installation erfolgt unter anderem auch die Konfiguration der lokalen Sicherheitseinstellungen. Die wichtigsten Grundeinstellungen beziehen sich auf die
- Dateisystemsicherheit,
- Sicherheit der Registrierdatenbank (Registry),
- Sicherheit für den Netzzugriff,
die während der Standardinstallation zunächst mit Standardwerten initialisiert werden. Generell erfolgt die Installation eines Rechners in mehreren Schritten: in einem ersten Schritt erfolgt nach dem Aufspielen der Systemdateien die Konfiguration der Dateisystem- und Registrierdatenbanksicherheit durch das Festlegen von Zugriffsrechten. Danach werden die Basisdienste eines Systems konfiguriert, z. B. die Netzkonfiguration. In einem letzten Schritt erfolgt insbesondere für Server die Konfiguration von Serverdiensten. Für Server, die als Domänen-Controller betrieben werden sollen, erfolgt ein weiterer Schritt, in dem die für Domänen-Controller spezifischen Dienste (z. B. Active Directory, Kerberos) installiert und konfiguriert werden.
Das Hinzufügen eines Rechners zu einer Domäne ist ein weiterer wichtiger Konfigurationsschritt für Clients und Server. Als Spezialfall ist hier die Konfiguration des ersten Domänen-Controllers einer neuen Domäne zu sehen. Dabei sind besondere Sorgfalt und besondere Rechte notwendig, da nur ein Mitglied der Gruppe Domänen-Admins eine neue Domäne in einen existierenden Domänenverbund aufnehmen kann.
Generell ist bei der Installation aus Sicherheitssicht Folgendes zu beachten:
- Die geltenden Zugriffseinstellungen für das Dateisystem und die Registrierdatenbank eines Rechner nach einer Windows 2000 Installation hängen davon ab, ob der Rechner neu installiert wurde oder ob ein Upgrade (z. B. von Windows NT) auf Windows 2000 erfolgt ist. Bei einem Upgrade kommen die Windows 2000 Standardeinstellungen nicht zum tragen. Vielmehr werden die vorgefundenen Einstellungen übernommen. Es ist dabei zu beachten, dass mit Windows 2000 die Trennung zwischen Benutzer (User) und Hauptbenutzer (Poweruser) wesentlich strenger erfolgt, sodass ein System nach einem Upgrade in der Regel mit weniger strengen Sicherheitseinstellungen konfiguriert ist.
- Nach Aufspielen der reinen Betriebssystemsoftware müssen auf Servern weitere Dienste konfiguriert werden. Dabei ist zu beachten, dass auf Server in der Regel sofort nach Einstellen der Netzparameter vom Netz aus zugegriffen werden kann. Daher muss der Netzzugriff entsprechend eingeschränkt werden.
- Soll ein neuer Rechner in eine existierende Windows 2000 Domäne aufgenommen werden, so erlaubt es der Mechanismus der Gruppenrichtlinien, die initiale Konfiguration deutlich abzukürzen. Beim Beitritt zu einer Domäne werden die für den Rechner relevanten Gruppenrichtlinienobjekte ausgewertet und der Rechner wird entsprechend konfiguriert. Dazu muss entweder ein entsprechendes Computerkonto in der Domäne vorbereitet werden, oder das Computerkonto wird beim Beitritt erzeugt. Dazu sind dann entsprechende administrative Berechtigungen notwendig. Wird das Computerkonto erst beim Beitritt erzeugt, so muss das Computerkonto anschließend in die gewünschte Organisationseinheit (OU) im Active Directory verschoben werden, da solche Computerkonten standardmäßig im AD-Container Computer erzeugt werden. Damit solche Computer eine Standardsicherheitseinstellung erhalten, bis sie in die gewünschte OU verschoben sind, sollten diese Einstellungen über die Gruppenrichtlinieneinstellungen der Domäne erfolgen, da an AD-Container keine Gruppenrichtlinienobjekte angehängt werden können.
- Wird ein Rechner als Stand-alone Rechner betrieben, ist also dieser in keine Domäne aufgenommen worden, muss die Konfiguration der Gruppenrichtlinien, die auch die Sicherheitseinstellungen enthalten, lokal erfolgen.
Für die Installation von Domänen-Controllern gilt außerdem:
- Bei der Installation von Domänen-Controllern ist besondere Sorgfalt gefordert, da diese im späteren Betrieb sensitive Daten speichern, beispielsweise Passwörter oder Kerberos-Schlüssel in nicht gehashter Form.
- Domänen-Controller dürfen nur auf Rechnern installiert werden, die sich in einer physikalisch sicheren Umgebung befinden (siehe auch M 1.29 Geeignete Aufstellung eines IT-Systems).
- Wird ein Windows 2000 Server zu einem Domänen-Controller heraufgestuft, so muss ein Passwort angegeben werden, welches im so genannten Active Directory Recovery Modus abgefragt wird. In diesem Modus, der für Notfallreparaturen am Active Directory gedacht ist, können u. a. aktuelle Active Directory Daten mit Backup-Daten überschrieben werden. Da dies eine sehr sicherheitskritische Operation darstellt, darf dieser Zugang nicht ungeschützt sein. Im Rahmen der Heraufstufung wird ein Domänen-Administratorkonto erzeugt und das rechnerlokale Administratorkonto als Anmeldekonto für den Active Directory Recovery Modus genutzt. Dieses muss mit einem starken Passwort gesichert sein.
- Die Installationsreihenfolge der jeweils ersten Domänen-Controller einer Domäne muss eingehalten werden. Die erste in einem Netz durch die Installation eines zugehörigen Windows 2000 Domänen-Controllers erzeugte Domäne übernimmt die Rolle der Forest-Root-Domäne (FRD), die wichtige Verwaltungsaufgaben im zukünftigen Domänenverbund über-nimmt. Die Rolle der FRD kann nachträglich nicht anderen Domänen zugewiesen werden.
Hinweise zu Einstellungen der Gruppenrichtlinienparameter finden sich in Maßnahme M 2.231 Planung der Gruppenrichtlinien unter Windows 2000.
Ergänzende Kontrollfragen:
- Wurden die installierten Zugriffsrechte für Dateien und die Registrierdatenbank bedarfsgerecht geplant?
- Wurden die Zugriffsrechte für Dateien und die Registrierdatenbank bei Systemen, die von Windows NT auf Windows 2000 aktualisiert wurden, ebenfalls aktualisiert?
- Sind alle Gruppenrichtlinienobjekte installiert, damit neue Rechner mit den neuen Sicherheitseinstellungen versorgt werden?
- Wurde die FRD als erste Domäne installiert?
- Ist der AD Recovery Modus für jeden Domänen-Controller mit einem starken Passwort gesichert?