Bundesamt für Sicherheit in der Informationstechnik

M 4.248 Sichere Installation von Windows Client-Betriebssystemen

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter

Verantwortlich für Umsetzung: Administrator

Grundlegend erreichen die Out-Of-the-Box-Installationen ab Windows Vista nicht immer ein für den professionellen Einsatz angemessenes Sicherheitsniveau. Ein eigenes Setup muss daher geplant und genutzt werden.

Während der Installationsphase ist ein Windows-System nicht vollständig konfiguriert (siehe M 2.324 Einführung von Windows auf Clients ab Windows XP planen ), so dass auch die gewünschten Sicherheitseinstellungen gegebenenfalls noch nicht aktiviert sind. Die Installation und die initiale Konfiguration eines Windows-Systems sollten daher nach Möglichkeit in einer geschützten Umgebung erfolgen. Für die Erstinstallation sollten Antwortdateien und Policy-Templates herangezogen werden, da die händische Installation riskant ist. Die vorhandenen Checklisten sollten stets aktuell gehalten werden. Wo dies nicht möglich ist, beispielsweise bei der Vor-Ort-Installation von Arbeitsplatz-Systemen (lokal oder über das Netz), sollte alternativ eine vorbereitete (und vorkonfigurierte) Standardkonfiguration aufgespielt werden. Ab Windows 7 sollte diese Art der Installation stets bevorzugt werden. Beim Einsatz von Systemabbildern, den sogenannten Images-Files, ist darauf zu achten, dass vor einer Überführung des IT-Systems in den produktiven Betrieb alle zum Zeitpunkt der Überführung veröffentlichen Updates und Patches installiert werden. Ein Windows-System sollte komplett aktualisiert und mit bereits für die Institution freigegebenen Updates versorgt sein, bevor es in den produktiven Betrieb geht -insbesondere bevor es sich mit dem Internet oder Drittnetzen verbinden darf.

Ist ein Windows-System nicht in eine Active Directory-Domänenstruktur integriert, muss die Konfiguration der Gruppenrichtlinien, die auch die Sicherheitseinstellungen enthalten, lokal auf dem IT-System erfolgen. Dies sollte bei den Microsoft Betriebssystemen ab Windows Vista manuell oder skriptbasiert durchgeführt werden. Wie genau die Einstellungen vorgenommen werden, ist in der Planungsphase zu entscheiden.

Der Mechanismus der Gruppenrichtlinien ermöglicht eine schnellere, zuverlässigere, vollständige und vertraulichere initiale Konfiguration, wenn das IT-System in die Domäne aufgenommen wird. Nach dem Beitritt zur Domäne muss das IT-System-Objekt in die entsprechende Organisationseinheit (Organisational Unit, OU) im Active Directory verschoben werden. Bleibt das IT-System im standardmäßig zugewiesenen Active Directory-Container Computer, werden ausschließlich Standort- und Domänen-GPOs aber keine OU-GPOs angewandt, da an diesen Active Directory-Container keine OU-Gruppenrichtlinienobjekte angehängt werden können. Es ist auch darauf zu achten, dass das IT-System nach dem Verschieben in eine neue OU neu gestartet wird. Auf diese Weise werden an diese OU gelinkte GPOs auf das IT-System geladen und angewandt.

Nach der erfolgten Installation sollte sichergestellt werden, dass die entsprechenden Sicherheitseinstellungen auch tatsächlich angewandt worden sind. Dabei sind installierte Komponenten, angewandte Richtlinien, Berechtigungen im Dateisystem und in der Registrierung, zugewiesene Benutzerrechte und erlaubte Systemdienste zu überprüfen.

Für Windows Vista und Windows 7 gilt ergänzend, dass das Betriebssystem nach der erfolgten Installation aktiviert werden muss. Ein nur installiertes und nicht aktiviertes Windows Vista ohne Service Pack 1 (SP1) ist nach Ablauf einer definierten Kulanzfrist (Grace Period) von 30 Tagen nicht mehr arbeitsfähig. Der Vista Client fällt zwangsweise in den so genannten Reduced Functionality Mode (RFM), in dem nur noch eingeschränkte Funktionalitäten zur Verfügung stehen. Mit dem Erscheinen des Service Pack 1 für Windows Vista hat Microsoft den RFM zurückgenommen. Anstelle des RFM zeigen Windows Vista und Windows 7 nun entsprechende Warnmeldungen an, die allerdings ebenfalls geeignet sind, kritische Arbeiten an einem Windows Vista oder Windows 7 System zu behindern oder zu verzögern.

Bei Clients ab Windows 8 (außer Enterprise) muss der Produkt-Schlüssel nun schon während der Installation eingegeben werden. Bei Windows 8 Enterprise werden anstatt des Produkt-Schlüssels die Mechanismen KMS (Key Management Service) und MAK (Multi Activation Key) eingesetzt.

Das Thema Aktivierung wird in M 4.336 Aktivierung von Windows-Systemen ab Vista bzw. Server 2008 aus einem Volumenlizenzvertrag und M 4.343 Reaktivierung von Windows-Systemen ab Vista bzw. Server 2008 aus einem Volumenlizenzvertrag vertieft.

Domänenmitgliedschaft

Um ein IT-System zu einer Domäne hinzuzufügen, muss entweder ein entsprechendes Computerkonto in der Domäne vorbereitet worden sein oder das Computerkonto wird beim Beitritt erzeugt. Dazu sind entsprechende administrative Berechtigungen notwendig, mit denen restriktiv umgegangen werden muss. Ob das Computerkonto vor oder während der Installation erstellt werden soll, ist in Abhängigkeit von der gängigen Praxis des Unternehmens oder der Behörde zu entscheiden.

Zukünftige Domänenmitglieder sollten während der Installation in die Domäne aufgenommen und nicht erst als Einzelsystem installiert werden. Dadurch wird beispielsweise gewährleistet, dass die einfache Dateifreigabe deaktiviert bleibt und keine zusätzlichen lokalen Benutzer mit administrativen Berechtigungen angelegt werden.

Unbeaufsichtigte Installationen

Windows bietet einen Mechanismus zur unbeaufsichtigten Installation des Betriebssystems. Hierbei wird die Installation unter Verwendung einer vorgefertigten Antwortdatei und ohne Interaktion mit dem Administrator durchführt. Diese Antwortdatei, die die notwendigen Installationseingaben enthält, wird im Vorfeld einer Windows XP Installation mit dem Installations-Manager Setup Manager erstellt.

Clients ab Windows Vista nutzen zur unbeaufsichtigten Installation des Betriebssystems die Antwortdatei Unattend.xml. Diese Antwortdatei kann mit dem Windows-Systemabbild-Manager erstellt und geändert werden. Der Windows-Systemabbild-Manager ist Bestandteil des Windows Automated Installation Kit (WAIK). Das WAIK ist nicht auf den Installationsmedien von Clients ab Windows Vista enthalten, kann jedoch über die Internetseiten von Microsoft bezogen werden. Im neuen Bereitstellungswerkzeug Business Desktop Deployment (BDD) für Clients ab Windows Vista ist das WAIK bereits enthalten. Das BDD enthält Funktionen um das Betriebssystem ab Windows Vista zu planen, aufzubauen, zu testen und bereitzustellen. Das Windows Assessment and Deployment Kit (Windows ADK) ist der Nachfolger des WAIK. Mit Hilfe des ADK und seinen Tools kann das Windows-Betriebssystemen personalisiert, bewertet und bereitgestellt werden. Für Betriebssysteme ab Windows 8 stellt Microsoft auf seiner Homepage das Deployment Kit (MDT), eine Sammlung von Tools, Prozessen und Anleitungen in einer grafischen Oberfläche, zur Verfügung.

Werden Windows-Systeme unbeaufsichtigt installiert, so ist Folgendes zu berücksichtigen:

  • Sensitive Informationen wie Kennwörter in Antwortdateien müssen vor unberechtigter Einsichtnahme geschützt sein. Die verwendeten Kennwörter sind beim Erstellen der Antwortdatei mit dem Installations-Manager Setup Manager oder bei Clients ab Windows Vista mit dem Windows-Systemabbild-Manager zu verschlüsseln.
  • Der Umgang mit Kennwörtern für die Aufnahme in die Domäne, die in einem Installationsskript oder einer Antwortdatei verwendet werden, muss definiert sein. Da sich diese Funktion nicht verschlüsseln lässt, sollte ein IT-System über die Windows Bereitstellungsdienste (Windows Deployment Services WDS) der Domäne beitreten.
  • Das Administrator-Kennwort darf im Rahmen der unbeaufsichtigten Installationen unter Windows XP nicht leer sein, da sonst die automatische Anmeldung selbsttätig aktiviert wird. Bei Clients ab Windows Vista wird die automatische Anmeldung im Rahmen der unbeaufsichtigten Installationen nur durch eine entsprechende Konfiguration der zugehörigen vorgefertigten Antwortdatei aktiviert.
  • Nach der Installation müssen die Skripte sowie alle Dateien mit vertraulichem Inhalt umgehend sicher gelöscht werden (siehe auch M 4.56 Sicheres Löschen unter Windows-Betriebssystemen ).

Angepasste Installationsmedien

Wenn Windows von möglicherweise veralteten Originalmedien installiert wird, müssen nach der Installation die existierenden Patches, Service Packs und Updates gesondert eingespielt werden. Dies verlängert die Installationszeit und erhöht das Risiko eines erfolgreichen Angriffs auf das IT-System, da es sich für eine gewisse Zeit nicht auf dem aktuellen Stand befindet. Um die Updates gleich bei der Installation einzuspielen und das Risiko eines erfolgreichen Angriffs zu mindern, kann eine der beiden, mit Windows XP eingeführten, Installationsfunktionen verwendet werden:

  • integrierte Installation (auch Slipstream-Installation bezeichnet) oder
  • kombinierte Installation.

Bei Clients ab Windows Vista können Updates während der Installation mit dem Bereitstellungswerkzeug BDD beziehungsweise MDT 2010 eingespielt werden. Bei der integrierten Installation wird Windows zusammen mit einem Service Pack installiert. Die kombinierte Installation ermöglicht die Installation des Betriebssystems zusammen mit Hotfixes und zusätzlichen Anwendungen im unbeaufsichtigten Modus.

Für eine integrierte Installation wird ein neues Installationsmedium erstellt. Dabei werden die Originaldateien durch Dateien des Service Packs überschrieben. Mögliche Installationsmedien sind optische Datenträger wie CD-ROM oder DVD, Netz-Distributionsfreigaben oder Installationsordner der Remoteinstallationsdienste (RIS) beziehungsweise die Windows Deployment Services (WDS). Es ist zu beachten, dass ein Service Pack, das im integrierten Modus installiert wurde, nicht deinstalliert werden kann.

Ein kombiniertes Installationsmedium wird erstellt, indem zusätzliche Installationsdateien in das Original-Installationsmedium integriert werden. Die Antwortdatei für die unbeaufsichtigte Installation (standardmäßig wird sie Unattend.txt beziehungsweise bei Clients ab Windows Vista AutoUnattend.xml genannt) und cmdlines.txt müssen entsprechend angepasst werden. Die genaue Vorgehensweise ist der Dokumentation von Microsoft zu entnehmen.

Der Einsatz von angepassten Installationsmedien ist grundsätzlich zu empfehlen. Welches der beiden Verfahren bei einem Unternehmen oder einer Behörde eingesetzt werden soll, ist im Einzelfall zu entscheiden. Für Windows XP ist dabei M 2.329 Einführung von Windows XP SP2 zu beachten.

Seit Windows Vista ist zur Verteilung lediglich die Anpassung des WIM-Images erforderlich. Das WIM-Image ist ein Betriebssystem-Abbild mit dem Format WIM. Dieses wird entweder auf Wechseldatenträgern oder im Netz bereitgestellt. Für zeitnahe Änderungen und Updates werden während des Installationsprozesses eine Serverfreigabe oder ein WSUS-Server abgefragt. Dies ist aber nicht zwingend notwendig.

Systemkomponenten

Bei der Installation des Systems ist zu gewährleisten, dass nur die benötigten Systemkomponenten installiert werden. Je nach existierenden geschäftlichen Anforderungen der Institution können weitere Komponenten installiert werden, die in der Tabelle in den Hilfsmitteln zum IT-Grundschutz als Optional markiert wird. Von der Installation der Windows-Komponenten, die mit Deaktiviert markiert sind, ist aus Sicherheitssicht abzuraten.

TPM-Nutzung ab Windows 8

Je nach Einsatzentscheidung aus M 2.324 Einführung von Windows auf Clients ab Windows XP planen muss das TPM in den Firmware-Einstellungen abgeschaltet oder ggf. für die Verwendung initialisiert werden. Die genaue Vorgehensweise hierbei sowie die anschließenden Nutzungsmöglichkeiten des TPMs durch das Betriebssystem unterscheiden sich je nach Firmware-Version, Version des TPMs und Version des Betriebssystems.

Prüffragen:

  • Ist sichergestellt, dass Windows-Systeme erst nach der vollständigen Installation, Konfiguration und dem Einspielen aller Patches und Updates produktiv ins Netz gehen?

  • Wird gewährleistet, dass bei der Installation von Windows-Systemen nur die benötigten Systemkomponenten installiert werden?

  • Ist sichergestellt, dass die erforderlichen Windows-Sicherheitseinstellungen nach der Installation auch tatsächlich konfiguriert werden (installierte Komponenten, angewandte Richtlinien, Berechtigungen im Dateisystem/ Registry, zugewiesene Benutzerrechte, erlaubte Systemdienste usw. )?

  • Sind Kennwörter in Installationsskripten und Konfigurationsdateien geschützt und wurden diese nach der Installation vom System gelöscht?

  • Wird bei einer unbeaufsichtigten Installation von Windows ein Administrator-Kennwort vergeben?

  • Sind die Vor- und Nachteile des Einsatzes eines TPM abgewogen und eine Entscheidung zur Verwendung im Betriebssystem getroffen worden?

Stand: 15. EL Stand 2016