Bundesamt für Sicherheit in der Informationstechnik

M 2.324 Einführung von Windows auf Clients ab Windows XP planen

Verantwortlich für Initiierung: Leiter IT

Verantwortlich für Umsetzung: Administrator, IT-Sicherheitsbeauftragter, Leiter IT

Die geregelte und sichere Einführung von Windows-Clients ab Windows XP setzt eine umfangreiche Planung voraus. In der Planungsphase werden die notwendigen Voraussetzungen für einen sicheren Betrieb von Windows Client-Betriebssystemen geschaffen.

Die einzelnen Planungsschritte sind abhängig von den geplanten Einsatzszenarien der Windows-Client-Systeme. Die Einführung muss in ihren einzelnen Schritten möglichst detailliert geplant werden. Hierbei sind nicht nur die Inhalte, sondern auch interne Prozesse und Abläufe der Institution zu berücksichtigen. Alle Inhalte und Prozesse müssen definiert, in einer Richtlinie dokumentiert und allen Beteiligten zugänglich gemacht werden.

Generell muss ausreichend Zeit für die Einführung von eines neuen Windows-Client-Betriebssystems eingeplant werden. Dabei ist ein Zeitraum von einem halben Jahr für größere Unternehmen und Behörden durchaus realistisch. Im Laufe der Planung muss der Zeitplan erfahrungsgemäß mehrfach angepasst werden.

Die im Folgenden genannten sicherheitsrelevanten Aspekte müssen bei der Einführung ab Windows XP berücksichtigt werden.

Neuinstallation oder Migration/Upgrade

Für die Einführung von Windows-Clients ab Windows XP stehen verschiedene Verfahren zur Verfügung. Zum einen kann die Einführung durch einen parallelen Aufbau der zu migrierenden Windows Infrastruktur (neue Clients werden parallel zu bestehenden eingeführt) erfolgen. Zum anderen kann dies durch eine Migration oder ein Update vorhandener Client-Systeme geschehen.

Eine generelle Empfehlung für die Einführung kann nicht gegeben werden, da dies von den individuellen Rahmenbedingungen abhängt. Das Verfahren ist immer auf das Unternehmen oder die Behörde zuzuschneiden.

In erster Linie muss entschieden werden, ob bei der Einführung der neuen Windows-Version die Client-Systeme komplett neu installiert oder durch ein Update migriert werden. In der Praxis werden häufiger bestehende Client-Systeme migriert, statt eine vollständige Neuinstallation durchzuführen. Bei Neuinstallationen können an die individuellen Anforderungen angepasste Installationsmedien, sogenannte Baseline Images, für eine strukturierte Migration angelegt werden. Bei der Migration von älteren Windows-Clients auf neuere Versionen des Betriebssystems bedarf es einer angemessenen Planung, insbesondere, wenn auch die Domänen-Controller migriert werden (z. B. von Windows Server 2008 auf Windows Server 2012). Dazu sind zusätzliche Migrationsaspekte auf Seiten des Servers zu beachten (z. B. M 4.424 Sicherer Einsatz älterer Software ab Windows 7 ). Die Migration muss in ihren einzelnen Schritten möglichst detailliert geplant werden, da durch Planungsdefizite in der Zeit der Umstellung leicht Sicherheitslücken entstehen können.

Ein Upgrade des Betriebssystems auf Windows Vista ist nur von Windows XP mit Service Pack 2 oder höher möglich. Windows 7 kann nur von Windows Vista migriert werden. Eine Upgrade-Kette von Windows XP über Windows Vista auf Windows 7 wird vom Hersteller nicht unterstützt und sollte nicht durchgeführt werden. Ein direktes Upgrade von Windows 7 auf Windows 8 und Windows 8.1 ist unter Beibehaltung von Windows-Einstellungen, persönlichen Dateien und Anwendungen möglich. Ein Upgrade von Windows 8 auf Windows 8.1 ist sowohl mittels Datenträger als auch über den Windows-Store möglich. Bei einem Update auf Windows 8.1 besteht die Einschränkung, dass ein Update nur mit derselben Version durchgeführt werden kann, also von Windows 8 Pro auf Windows 8.1 Pro. Bei der Verwendung von Datenträgern ist allerdings ein Wechsel der Versionen möglich. Für Volumen-Lizenzversionen von Windows 8 und Windows 8.1 Enterprise kann das Update nicht über den Windows-Store durchgeführt werden. Hierfür werden Datenträger benötigt. Bei Nutzung älterer Versionen von Windows, wie Windows 2000, muss eine Neuinstallation ab Windows Vista erfolgen. Grundsätzlich sollte auch bei einer upgradefähigen Betriebssystemversion eine Neuinstallation des Clients in Betracht gezogen werden.

Aufgrund der verschiedenen Editionen bei Windows-Clients ab Windows Vista stehen im Gegensatz zu früheren Versionen von Windows mehrere Migrationspfade zur Verfügung. Es muss festgelegt werden, welche Edition von Windows in der Institution genutzt werden soll (siehe M 2.440 Geeignete Auswahl einer Windows-Version für Clients ab Windows Vista ). Anhand dieser Festlegung ist unter Berücksichtigung der gegenwärtig eingesetzten Version der entsprechende Migrationspfad zu wählen, sofern von einer kompletten Neuinstallation abgesehen wird.

Bei jeder Neuinstallation und bei jedem Upgrade müssen die Anforderungen an die Aktivierung der Windows-Clients berücksichtigt werden (siehe M 4.336 Aktivierung von Windows-Systemen ab Vista bzw. Server 2008 aus einem Volumenlizenzvertrag und M 4.343 Reaktivierung von Windows-Systemen ab Vista bzw. Server 2008 aus einem Volumenlizenzvertrag ).

Es ist zu beachten, dass in der Migrationsphase unter Umständen erweiterte Zugriffsberechtigungen (z. B. für ein spezielles Migrationsteam) und schwächere Sicherheitseinstellungen wegen potenzieller Kompatibilitätsprobleme gewählt werden müssen. Diese Einstellungen müssen nach dem Abschluss der Migration wieder auf das höchstmögliche Sicherheitsniveau gebracht werden. Die zusätzlichen migrationsspezifischen Berechtigungen sind nach der Migration zu entziehen. Generell gilt, dass nach der erfolgten Migration dasselbe Sicherheitsniveau erreicht werden muss, wie bei einer Neuinstallation. Nach Abschluss der Migration hat ein Soll-Ist-Abgleich aller Sicherheitseinstellungen wie beispielsweise Berechtigungen und Gruppenmitgliedschaften stattzufinden.

Die Zeitspanne für die Migration muss festgelegt und eingehalten werden. Die Migration darf nicht zu einem Normalzustand werden. Dies hat insbesondere sicherheitsrelevante Auswirkungen, da die Sicherheit während der Migration üblicherweise abgeschwächt ist.

Software Kompatibilitätsprüfung beim Wechsel zu einer höheren Windows-Version

Es ist festzulegen, welche Software auf den Windows-Clients installiert werden soll. Für bereits vorhandene Software ist zu prüfen, ob sie unter der neuen Windows-Version lauffähig ist (siehe M 2.441 Kompatibilitätsprüfung von Software gegenüber Windows für Clients ab Windows Vista ). Dies gilt auch für geplante Neubeschaffungen von Software nach einer erfolgten Migration.

Für vorhandene Software, die nicht die Kompatibilitätsanforderungen der zu nutzenden Windows-Version erfüllt, müssen Übergangslösungen definiert werden, z. B. der Betrieb von virtuellen Clients mit alten Windows-Versionen in besonders abgesicherten Umgebungen.

Entsprechende Hardwareausstattung vorausgesetzt, kann auch über den Einsatz von Virtualisierung nachgedacht werden. Dazu wird auf dem Windows-Client eine Virtualisierungssoftware installiert. Diese stellt virtuelle Hardware zur Verfügung, auf der ein anderes Betriebssystem mit der benötigten Anwendungssoftware installiert werden kann. In der Enterprise und Ultimate Edition von Windows 7 ist die Microsoft Virtualisierungssoftware VirtualPC bereits enthalten. Windows 7 Professional, Enterprise und Ultimate verfügen zusätzlich über den Windows XP Mode mit einer Lizenz für eine virtuelle Windows-XP-Maschine. Mit der Einführung von Windows 8 hat Microsoft die Virtualisierungslösung Hyper-V in die Professional- und Enterprise-Versionen integriert. Der XP-Mode ist unter Windows 8 nicht mehr verfügbar. Beim Einsatz einer Virtualisierungssoftware muss das virtuelle Betriebssystem ebenfalls abgesichert werden.

Einsatz in gemischten Windows-Umgebungen planen

Beim Einsatz von Clients in gemischten Windows-Umgebungen können Abschwächungen der Sicherheitseinstellungen notwendig sein. Diese sind bei der Planung zu berücksichtigen. Insbesondere muss dafür Sorge getragen werden, dass nach der Realisierung einer homogenen Umgebung, das heißt wenn ausschließlich Clients, Domänencontroller und Server mit aktuellen Windows-Versionen verwendet werden, die Sicherheitseinstellungen auf das höhere Niveau anzuheben sind.

Active Directory-bezogene Planung

Bei der Einführung von Clients ab Windows XP in einer Active-Directory-Umgebung ist es nicht ausreichend, ausschließlich die Clients zu betrachten. Auch die Server sind zu berücksichtigen. Hierbei müssen vor allem die Änderungen im Active Directory geplant werden sowie ein Abgleich der Sicherheitseinstellungen auf Client- und Server-Seite erfolgen.

So sind beispielsweise entsprechende Gruppen- und OU -Strukturen (Organisationseinheit, Organisational Unit) im Active Directory zu entwerfen. Eine geeignete OU -Struktur begünstigt einen einfacheren und wegen der größeren Transparenz einen sichereren Betrieb unterschiedlicher Windows- Client-Systeme.

Wenn Window Client Versionen ab Windows Vistain einer Active Directory-Umgebung betrieben werden sollen, muss auf allen Domänen-Controllern mindestens Windows Server 2003 mit Service Pack 1 ( SP 1) oder höher ausgeführt werden. Sofern der Betrieb eines Windows-8-Clients in einer Windows-2003-Domäne erfolgt, besteht die Möglichkeit, dass einige Funktionalitäten nicht verfügbar sind oder einer zusätzlichen Konfiguration bedürfen. So wäre für die Speicherung von BitLocker- und TPM -Informationen in einer Windows-2003-Domäne ein Schema-Update notwendig.

Wenn eine ältere Serverversion als Windows Server 2008 auf den Domänen-Controllern ausgeführt wird, muss die Konfiguration der Gruppenrichtlinien auf einem Client ab Windows Vista erfolgen, da sich die Gruppenrichtlinien ab Windows Vista nicht mit der Group Policy Management Console von Windows Server 2003 verwalten lassen.

Auf dem Client muss ein Domänenadministrator mit dem Tool GPOAccelerator die notwendigen Konfigurationen der Gruppenrichtlinien erstellen. Im Anschluss müssen diese auf den Domänen-Controller übertragen werden. Alternativ können hierfür auch die Remote Server Administration Tools ( RSA T) genutzt werden, da hier ein Programm zur Gruppenrichtlinienverwaltung integriert ist, mit dem sich die Gruppenrichtlinien ab Windows Vista konfigurieren und mit einem Objekt im Active Directory von einer Arbeitsstation verknüpfen lassen. Der Security Compliance Manager bietet auch die Möglichkeit, Sicherheitsvorlagen für Windows-Systeme zu erstellen und diese als Gruppenrichtlinienobjekt auf dem Domänencontroller zu importieren.

Entsprechende Sicherheitsvorlagen für verschiedene Windows-Versionen sind mit den Hilfsmitteln für die IT -Grundschutz-Kataloge auf der Webseite des BSI verfügbar.

Des Weiteren ist die Gruppenrichtlinien-Struktur im Active Directory zu planen. Über den Einsatz von Gruppenrichtlinien-spezifischen Mechanismen wie etwa das Blockieren der Vererbung oder das sogenannte Security Filtering muss in der Planungsphase entschieden werden. Dabei ist die Verarbeitungsreihenfolge für Gruppenrichtlinien zu berücksichtigen. Die Maßnahmen im Zusammenhang mit der Planung von Gruppenrichtlinien sind in M 2.326 Planung der Gruppenrichtlinien für Clients ab Windows XP beschrieben.

Die generellen Active Directory-Planungsmaßnahmen sind unter anderem in M 2.229 Planung des Active Directory zusammengefasst.

Sicherheitskonzept und Sicherheitsrichtlinie

Das Planen und Erstellen eines Sicherheitskonzeptes beziehungsweise einer Sicherheitsrichtlinie im Vorfeld der Einführung von Clients ab Windows XP ist immens wichtig. In der Sicherheitsrichtlinie sind alle sicherheitsrelevanten Aspekte des Betriebs von Cient-Systemen ab Windows XP zu berücksichtigen. Weitere Anforderungen an das Sicherheitskonzept sind in der Maßnahme M 2.325 Planung der Sicherheitsrichtlinien für Windows-Clients ab Windows XP zusammengefasst.

Secure Boot

Windows-8-kompatible Hardware muss nach den Richtlinien von Microsoft mit aktiviertem "Secure Boot" ausgeliefert werden. Diese Funktion des BIOS -Nachfolgers UEFI soll sicherstellen, dass eine Manipulation des zu bootenden Betriebssystems, z. B. durch Schadsoftware, unterbunden wird. Secure Boot verhindert auch das Starten von Live-Betriebssystemen von mobilen Datenträgern. Der Einsatz von Secure Boot ist grundsätzlich zu empfehlen.

TPM-Nutzung ab Windows 8

Bei einem Trusted Platform Module ( TPM ) handelt es sich um einen Kryptochip, der u. A. Sicherheitsfunktionen (Zufallszahlenerzeugung, Hashfunktionen), ein sicheres Messen des Plattformzustandes sowie einen sicheren Speicher für Schlüsselmaterial (z. B. für Festplattenverschlüsselung) von Anwendungen und für das Betriebssystem bereit stellt. Bei einigen Rechnern muss dieser TPM -Chip über das Setup im BIOS eingeschaltet werden. Standardmäßig übernimmt Windows ab der Version Windows 8 die Oberhoheit über ein vorhandenes, nicht initialisiertes TPM während des Betriebssystemstarts. Die Nutzung des TPM s in Windows 8 ist wegen des damit verbundenen Kontrollverlustes umstritten. So könnten durch die Nutzung von Betriebssystemfunktionen Schadprogramme im TPM Schlüssel vor dem Zugriff Dritter (einschließlich der Administratoren, Auditoren oder Forensiker) schützen und damit z. B. die Nutzerdaten verschlüsseln, was einen Zugriff auf die Daten durch Drittsoftware ausschließt. Der Einsatz eines TPM s muss daher vorab in der Institution abgewogen und eine entsprechende Festlegung getroffen werden.

Benutzerkonzept

Bei der Planung des Benutzerkonzepts muss der Umgang mit lokalen und domänenweiten Benutzerkonten geregelt werden. Hierbei muss auch über den Einsatz von servergespeicherten Benutzerprofilen (Roaming User Profile) entschieden werden. Die Nutzung von servergespeicherten Benutzerprofilen hat vor allem Auswirkungen auf die Backup-Strategie, sowie auf den Einsatz des Windows Encrypting File System ( EFS ).

Seit der Einführung von Windows 8 besteht die Möglichkeit, dass Benutzer sich auch mit einer Windows Live-ID am System anmelden oder das Benutzerkonto mit einer Live-ID verknüpfen. Dies soll dem Benutzer ermöglichen, Cloud-Dienste wie z. B. OneDrive (ehemals SkyDrive) zu nutzen oder Daten wie Einstellungen für App s oder Favoriten automatisch zwischen Systemen zu synchronisieren. Hierdurch besteht allerdings die Möglichkeit, dass sensible oder personenbezogene Daten bewusst und unbewusst das Unternehmen verlassen und ein Verlust der Kontrolle über diese Daten eintritt.

Da durch die Anmeldung an einem Windows-System mittels Live-ID die Möglichkeit besteht, dass vertrauliche Daten mit Geräten synchronisiert werden, die sich nicht unter der Kontrolle der Institution befinden, sollte die Live-ID-Anmeldung durch die Aktivierung der Gruppenrichtlinie Benutzer können keine Microsoft-Konten hinzufügen oder sich damit anmelden unter Computerkonfiguration | Windows-Einstellungen | Sicherheitseinstellungen | Lokale Richtlinien | Sicherheitsoptionen | Konten: Microsoft-Konten blockieren unterbunden werden. Allerdings muss hierbei beachtet werden, dass die Richtlinie gesetzt werden muss, bevor sich ein Benutzer mit einer Live-ID anmeldet. Wurde bereits ein Profil mit einer Live-ID angelegt, so ist mit dieser auch weiterhin die Anmeldung möglich, wenn die Richtlinie schon in Kraft ist.

Sofern die Nutzung von Microsofts Cloud-Diensten gewollt ist, besteht unter Windows 8 auch die Möglichkeit, ein Domänenkonto mit einer Live-ID zu verknüpfen, wodurch weiterhin die Anmeldung an der Domäne erfolgt, aber auch die Nutzung des Windows Stores möglich ist. Die Konfiguration der Synchronisierungseinstellungen erfolgt über eine Gruppenrichtlinie, die regelt, welche Cloud-Funktionen genutzt und welche Daten darüber synchronisiert werden können. Diese Synchronisationseinstellungen sind unter Computerkonfiguration | Administrative Vorlagen | Windows-Komponenten | Einstellungen synchronisieren konfigurierbar.

Sofern die Nutzung des Cloud-Speicherdienstes OneDrive nicht erforderlich ist, sollten die Cloud-Speicher-Funktionen komplett deaktiviert werden, damit Dateien nicht unbemerkt das Unternehmen verlassen können. Die Deaktivierung von OneDrive ist über die Einstellung Verwendung von SkyDrive für die Dateispeicherung verhindern unter der Richtlinie Computerkonfiguration | Administrative Vorlagen | Windows-Komponenten | SkyDrive möglich. Für die Nutzung von Cloud-Speicherdiensten in einem Unternehmenskontext mit Kollaborationsfunktion bietet Microsoft OneDrive Pro, einen Onlinespeicher für geschäftliche Zwecke an. Die Administration der Dokumentenbibliothek erfolgt durch die Administratoren der Institution.

Bei der Planung des Benutzerkonzepts ab Windows Vista muss der Umgang mit der Benutzerkontensteuerung (User Account Control, UAC ) geregelt werden (siehe M 4.340 Einsatz der Windows-Benutzerkontensteuerung UAC ab Windows Vista ). Es wird empfohlen, die Einstellungen so zu wählen, dass für Standardbenutzer keine Privilegienerhöhung möglich ist.

Administrationskonzept

Im Vorfeld der Einführung von Windows-Clients ab Windows XP ist ein Administrationskonzept zu erstellen. Es sind grundsätzlich zwei verschiedene Konten für administratives Personal vorzusehen. Soweit möglich, sollten die Administratoren für ihre Arbeit ein Konto mit den Privilegien eines Standardbenutzers verwenden. Nur wenn diese Privilegien nicht mehr ausreichend sind, sollte ein Konto mit administrativen Privilegien genutzt werden. Nach der Erfüllung der Aufgaben sollte sich der Administrator wieder vom Konto mit administrativen Privilegien abmelden und mit dem Standardbenutzerkonto weiterarbeiten.

Welche Konfiguration für die Benutzerkontensteuerung vorzunehmen ist, sollte im Administrationskonzept dokumentiert werden.

Weiterhin muss die Fernadministration der Clients und der Umgang mit lokalen administrativen Konten geregelt werden. Die Fragen der personellen und organisatorischen Zuständigkeiten müssen ebenfalls im Konzept Berücksichtigung finden. Verantwortlichkeiten sind zu trennen (Segregation of Duties) und im Administrationskonzept zu verankern. Die entsprechende Umsetzung ist sowohl auf der organisatorischen als auch der technischen Ebene zu planen.

Werden Windows Client-Systeme ab Windows XP in einer Active Directory-Umgebung eingesetzt, so müssen die administrativen Zuständigkeiten und Grenzen, sowie die Vergaberichtlinien für administrative Berechtigungen auf Client- und Benutzerobjekte im Active Directory geklärt werden.

Mit der Einführung von Windows 8 wurde auch das Konzept von App s eingeführt, die eine Ergänzung zu den klassischen Desktop-Anwendungen sind. App s sind Anwendungen, die über einen Microsoft-eigenen Onlineshop ("Windows Store") im Internet durch den Benutzer bezogen werden können. Der Vorteil von App s ist die simple Handhabung bei der Installation. Für die Nutzung des Windows Stores ist die Anmeldung mit einem Windows-Konto (Live-ID) oder mit einem Anmeldekonto, das mit einer Live-ID verknüpft ist, notwendig. Grundsätzlich ist es im Unternehmenseinsatz empfehlenswert, Standard- App s, die nicht benötigt werden, vom System zu entfernen und nur die Installation freigegebener App s aus dem Store zu erlauben. Ebenfalls besteht die Möglichkeit, einen eigenen Unternehmens- App -Store zu betreiben, um App s auszurollen. Weiterhin bietet Windows 8 einen Mechanismus namens Sideloading, mit dem App s ohne einen App -Store direkt auf Zielcomputern installiert werden können. Voraussetzung zur Nutzung des Sideloadings ist allerdings eine Windows-8-Enterprise-Lizenz und eine Anbindung des Zielsystems an die Domäne.

Die Nutzung des Windows Stores ist entsprechend den Sicherheitsrichtlinien der Institution und den Vorgaben aus dem Datenschutz zu konfigurieren. Einstellungen für den Zugriff auf den Windows Store sind per Gruppenrichtlinie unter Computerkonfiguration | Windows-Einstellungen | Administrative Vorlagen | Store konfigurierbar. Unter Windows 8 ist es ebenfalls möglich zu steuern, ob App s Zugriff auf den Standort, den Namen des Benutzers und dessen Profilbild haben dürfen.

Protokollierungs-/Audit-Konzept

Um die Sicherheit von Windows-Clients ab Windows XP gewährleisten zu können, muss überwacht werden, ob die festgelegten Sicherheitsrichtlinien (siehe M 2.325 Planung der Sicherheitsrichtlinien für Windows-Clients ab Windows XP ) eingehalten werden. Insbesondere ist auf organisatorischer und technischer Ebene zu regeln, wie die gesammelten Daten regelmäßig ausgewertet werden. Werden Windows-Clients ab Windows Vista eingesetzt, sollten die Protokollierungen der Windows Firewall mit einbezogen werden. Die Sicherheitsaspekte, die bei der Protokollierung zu beachten sind, sind in M 4.148 Überwachung eines Windows 2000/XP Systems und M 4.344 Überwachung von Windows-Systemen ab Windows Vista und Windows Server 2008 -Systemen aufgeführt.

Datenablage, Datensicherung und Verschlüsselung

Es ist festzulegen, wo die Benutzerdaten gespeichert werden (siehe M 2.138 Strukturierte Datenhaltung ). Es wird grundsätzlich empfohlen, keine Daten auf Client-Systemen abzulegen. Daher muss eine geeignete serverseitige Speicherinfrastruktur vorhanden sein. Nach welcher Strategie verfahren werden soll, ist anhand der konkreten Umstände im Einzelfall festzulegen. In bestimmten Einsatzszenarien, wie beispielsweise bei der Verwendung mobiler IT -Systeme, ist die Datenablage auf diesen notwendig und erwünscht. In solchen Fällen muss die Client-seitige Datenablage und ihr (kryptographischer) Schutz geplant werden (siehe M 4.29 Einsatz eines Verschlüsselungsproduktes für tragbare IT-Systeme ). Die Umsetzung der technischen Maßnahmen, die die Sicherheit der lokalen Datenablage gewährleisten, wie Festplattenverschlüsselung, EFS oder Verschlüsselung der Offline-Dateien, muss vor der Einführung geplant werden.

Microsoft liefert mit Windows auch das eigene Verschlüsselungsprodukt BitLocker aus. Vertiefende Informationen zu BitLocker sind in M 4.337 Einsatz von BitLocker Drive Encryption zu finden.

Ab Windows 8 wird betriebssystemseitig das Unified Extensible Firmware Interface (UEFI) unterstützt, das den Nachfolger des klassischen PC - BIOS darstellt. UEFI ist für die Nutzung von Secure Boot notwendig, welches das Booten auf vorher signierte Bootloader beschränkt. Dies erhöht die Sicherheit beim Starten des Systems, da das Starten von Schadsoftware und anderen Betriebssystemen nicht möglich ist. Mittels Secure Boot werden nur Betriebssysteme mit korrekter Signatur gebootet. Der Einsatz von Secure Boot wird auf UEFI-basierten Systemen dringend empfohlen.

Um eine saubere Trennung von benutzer- und projektspezifischen Daten, sowie von Programmen und Daten des Betriebssystems durchzusetzen, muss eine geeignete Verzeichnisstruktur geplant werden. So können beispielsweise zwei Hauptverzeichnisse \Projekte und \Benutzer angelegt werden, unter denen die Dateien und Verzeichnisse der Projekte bzw. Benutzer in jeweils eigenen Unterverzeichnissen abgelegt werden.

Bei der Einführung von Windows-Versionen ab Windows XP muss auch eine entsprechende Datensicherungsstrategie festgelegt werden. Die Verfahrensweise ist für jedes IT -System und für jede Datenart zu bestimmen. Die Umsetzung hängt vor allem von der Art der Daten ab, die auf einem Client abgelegt sind. Werden auf einem Client keine Daten abgelegt, nur Standard-Software eingesetzt und haben die Benutzer servergespeicherte Profile, so kann unter Umständen auf Client-seitige Datensicherung verzichtet werden. Werden dagegen auf Windows-Clients Daten abgelegt, müssen sie bei Sicherungen berücksichtigt werden. Weitere Informationen zu diesem Thema werden in M 6.32 Regelmäßige Datensicherung und M 6.33 Entwicklung eines Datensicherungskonzepts gegeben.

Die Verwendung von EFS oder einer anderen, clientseitigen Festplattenverschlüsselung muss beim Festlegen der Backup-Strategie berücksichtigt werden. Wird EFS eingesetzt, ist generell die Maßnahme M 6.56 Datensicherung bei Einsatz kryptographischer Verfahren zu beachten. Insbesondere sollte das Backup-Konzept den Umgang mit dem Schlüsselmaterial bei Wiederherstellungsoperationen regeln (siehe dazu auch M 4.147 Sichere Nutzung von EFS unter Windows ).

Windows unterstützt den auf heute praktisch jedem PC vorhandenen Kryptochip TPM (Trusted Platform Module), um darin Schlüssel und Zertifikate sicher zu speichern. Dies erhöht einerseits die Sicherheit der kryptographischen Anwendungen, schränkt andererseits aber auch den Zugriff des Benutzers bzw. der Administratoren ein, da auch für diese nur eingeschränkter Zugriff auf TPM -Inhalte besteht. Beim Einsatz des TPM müssen daher zusätzliche Vorkehrungen für den Verlust kryptographischer Geheimnisse durch Ausfälle Fehler getroffen werden.

Roll-out

Die Abläufe bei der Installation, also die Roll-out-Phase, müssen bei der Planung berücksichtigt werden. Unter anderem sind die personellen Zuständigkeiten beim Roll-out eindeutig zu definieren. Es ist zusätzlich ein Roll-out-Notfallkonzept zu erstellen. Durch dieses Notfallkonzept muss sichergestellt werden, dass bei einer fehlgeschlagenen Umstellung der produktive Zustand schnell wiederhergestellt werden kann. Wenn neben Clientbetriebssystemen auch Server migriert werden, sollte die Migration der Server zuerst durchgeführt werden. Neu erstellte oder geänderte Gruppenrichtlinien, Active Directory-Einstellungen oder Berechtigungskonzepte können anschließend für zu migrierende Clients übernommen werden.

Weitere Konzepte

Neben den oben aufgeführten Konzepten können je nach Einsatzszenario weitere Konzepte notwendig werden, zum Beispiel ein Namenskonzept (Namenskonventionen für die Rechner, Benutzergruppen und die Benutzer), ein Softwareverteilungskonzept oder ein Konzept zur Anwendungsmigration. Insbesondere die Anwendungsmigration kann Auswirkungen auf die Sicherheit eines Windows-Systems haben (z. B. Abschwächung der Zugriffsrechte auf die Registrierung) und ist daher sorgfältig zu planen.

Die weiteren Konzepte sind ebenfalls in der Planungsphase zu berücksichtigen.

In der Regel bestehen hier bereits entsprechende Konzepe im Unternehmen oder in der Institution, die jedoch auf ihre Eignung im Umfeld des eingesetzten Windows-Betriebssystems geprüft werden müssen.

Nicht zuletzt sollte geplant werden, welche Benutzer und Administratoren geschult werden müssen und wann dies zu erfolgen hat. Insbesondere die Administratoren sind hinsichtlich der Verwaltung und der Sicherheit der eingesetzten Windows-Versionen gründlich zu schulen. Erst nach dieser Schulung sollte der Betrieb dieser Windows-Systeme aufgenommen werden.

Prüffragen:

  • Gibt es Richtlinien für die Neuinstallation bzw. Migration/Upgrade von Windows-Systemen und werden diese allen Beteiligten zugänglich gemacht?

  • Werden wegen der Migration erweiterte Zugriffsberechtigungen und gelockerte Sicherheitseinstellungen der Domäne nach Abschluss der Migration wieder auf das höchstmögliche Sicherheitsniveau gebracht?

  • Falls die Domänen-Controller bei einem Einsatz von Windows-Clients ab Windows Vista nicht unter Windows Server 2008 laufen: Erfolgt die Konfiguration der Gruppenrichtlinien von einem Windows-Client mit den entsprechenden Werkzeugen wie z. B. RSAT?

  • Gibt es ein Benutzer- und Administrationskonzept für Windows-Client-Betriebssysteme?

  • Gibt es Regelungen zur Überwachung, ob die festgelegten Sicherheitsrichtlinien eingehalten werden?

  • Gibt es für Windows Versionen ab Windows XP ein Konzept zur Datenablage, Datensicherung und Verschlüsselung der Benutzerdaten?

  • Gibt es Vorgaben für die Installation von Apps aus dem Windows-Store und deren Nutzung? Sind die Vorgaben und Anforderungen entsprechend in der Planung berücksichtigt?

  • Ist die Nutzung von Cloud-Diensten wie z. B. OneDrive in der Sicherheitsrichtlinie für Client-Systeme geregelt, und in der Einführungsplanung berücksichtigt?

  • Ist eine begründete Entscheidung zum Einsatz des TPM getroffen worden, und bestehen adäquate Konzepte für den Verlust dort gespeicherter kryptographischer Informationen?

Stand: 15. EL Stand 2016

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK