Bundesamt für Sicherheit in der Informationstechnik

M 4.281 Sichere Installation und Bereitstellung von Windows Server 2003

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Die Bereitstellung umfasst die Schritte nach Planung und Beschaffung des Servers oder einer Gruppe von Servern bis zur Aufnahme des produktiven Betriebs. Besonders kritisch ist die Installation des Betriebssystems. Während dieser Phase greifen die Schutzmechanismen von Windows Server 2003 nicht. Viele Vorgaben aus Sicherheitsrichtlinien können erst auf einem installierten Server durchgesetzt werden. Andererseits werden wichtige Parameter für den späteren Betrieb schon durch die Installation festgelegt. Daher muss ein Installationskonzept gemäß M 2.318 Sichere Installation eines IT-Systems erstellt werden, das dem spezifischen Verhalten von Windows Server 2003 Rechnung trägt. Bei einer Gruppe von Servern oder bei wiederkehrenden Installationen gewinnt die Automatisierung und Standardisierung von Installationen an Bedeutung, außerdem haben die vorhandene IT-Umgebung und eventuell vorhandene Software-Management-Systeme Einfluss auf die Installation und Bereitstellung. Solche Betrachtungen sprengen oft den Rahmen eines Installationskonzepts für den einzelnen Server. Daher ist die Erstellung eines umfassenderen, wiederverwendbaren Bereitstellungskonzepts zu empfehlen, welches die bestehenden Installationskonzepte berücksichtigt. Die Konzepte für Installation und Bereitstellung sollten so angelegt sein, dass dem Administrator eine konkrete Handlungsanweisung für seinen jeweiligen Installationsauftrag zur Verfügung steht.

Neben der manuellen Installation von einem unveränderten Windows-Server-2003-Datenträger sind zwei grundlegende Bereitstellungsvarianten zu unterscheiden: Festplattenabbild (Image) und Installation von einer Installationsquelle mittels Setup-Programm. Mit beiden Varianten ist eine Automatisierung und Standardisierung auf unterschiedliche Art und Weise möglich.

In der Abbildung werden für die weiteren Betrachtungen diese Bereitstellungsvarianten exemplarisch als zwei mögliche Pfade zugrunde gelegt:

Aus der Abbildung können die grundlegenden Mittel für die Bereitstellung und die Reihenfolge abgeleitet werden, in welcher die Mittel vorbereitet werden. Das Szenario kann variiert und durch Zusatz-Software ergänzt werden. Der Administrator sollte zumindest in der Anwendung der hier gezeigten Mittel geschult sein, da sie fast allen Verfahren zugrunde liegen.

Für das Installationskonzept zu berücksichtigende Aspekte

Im Installationskonzept für den einzelnen Server müssen eine Reihe von Faktoren berücksichtigt werden:

  • Bootvorgang und Initiierung der Installation
  • Treiber für Massenspeichergeräte und gegebenenfalls Netzwerktreiber müssen beim Bootvorgang zur Verfügung gestellt werden
  • Art der Installationsquelle (Datenträger, Netzwerk)
  • Service Packs in die Installationsquelle integrieren (sog. slipstreamed)
  • Bereitstellung des Produktschlüssels
  • Hardware-Treiber zur Verfügung stellen
  • Einspielen von Produktaktualisierungen (Patches)
  • gegebenenfalls Domänenbeitritt
  • Serverrollen konfigurieren
  • sicherheitsrelevanten Einstellungen vornehmen, gemäß Sicherheitsrichtlinien
  • Produktaktivierung von Windows Server 2003

Für ein Bereitstellungskonzept werden diese und weitere Aspekte systemübergreifend betrachtet. Eine Orientierungshilfe findet sich unter den Hilfsmitteln zum IT-Grundschutz (siehe Bereitstellungskonzept von Windows Server 2003 in Hilfsmittel zum Windows Server 2003).

Die gängigen Produkte für Softwaremanagement und -verteilung integrieren und automatisieren einige Basismechanismen von Windows Server 2003, z. B. Antwortdateien oder Treiberbereitstellung. Nachfolgend werden daher einige allgemeingültige Sicherheitsaspekte erläutert.

Sicherheitsaspekte

Ein Festplattenabbild wird von einem vollständig installierten lauffähigen Server gezogen und auf einen anderen Server gespiegelt. Ein Manko dieses Verfahrens ist die identische Sicherheitskennung (SID) von gespiegelten Systemen. Für Authentisierungsvorgänge in einer Windows-Umgebung sind eindeutige SIDs zwingend erforderlich. Das Verfahren zur nachträglichen Änderung der SID (Sysprep oder Programme von Drittanbietern) greift tief in das System ein und berührt sämtliche sicherheitskritischen Objekte. Außerdem ist ein Festplattenabbild unflexibel gegenüber Änderungen der Hard- und Softwarekonfiguration. Gespiegelte Systeme müssen aktiviert werden, daher sind Mehrfach- oder Volumenlizenzprogramme zu empfehlen. In geeigneten Testverfahren sollte der zuverlässige Betrieb der gespiegelten Systeme nachgewiesen werden.

Abbilder ermöglichen einen hohen Grad an Standardisierung sowie Schutz vor Installationsproblemen. Sie können leicht verwaltet und archiviert werden. Softwaremanagementprogramme können bei der Aufspielung von Festplattenabbildern gewisse Systemparameter anpassen, weitere Anpassung erfolgen durch Sysprep (mit Antwortdatei) und Post-Installationsskripte. Die Vorteile dieses Konzeptes kommen bei einer großen Anzahl von Abbildern mit jeweils geringem Anpassungsbedarf zum Tragen.

Automatisierte angepasste Installationen basieren auf einer Antwortdatei für den Installationsvorgang. Sie bieten hohe Flexibilität und Modularität für Hard- und Softwarekonfiguration und sind mit geringem Aufwand anzupassen. Der Installationsverlauf ist anfälliger für Fehler oder Kompromittierungsversuche, allerdings wird für jede Installation ein individuelles Protokoll generiert. Für vollständige Automation sind Lizenzprogramme mit einheitlichem Produktschlüssel zu empfehlen.

Am Ende der Installation sollten die Installationsprotokolle gesichert werden. Dies sind setuplog.txt und alle Dateien mit der Erweiterung .log, im Systemstammverzeichnis (meist C:\WINDOWS), sowie alle .log-Dateien in C:\WINDOWS\security\logs. Die Datei setuperr.log muss immer ausgewertet werden.

Antwortdateien (unattended.txt, winnt.sif, winpeoem.sif, ini-Dateien usw.) enthalten kritische Konfigurationsinformationen, die von unbefugten Personen für Einbruchsversuche missbraucht werden können. Installationsmedien oder Installationsquellen mit angepassten Antwortdateien sollten daher immer vor unbefugtem Zugriff geschützt aufbewahrt bzw. mit eingeschränkten Berechtigungen versehen werden. Zum Erstellen der Antwortdateien dient der Setup Manager (Datei SetupMgr.exe auf der Installations- CD bzw. CD1 bei Windows Server 2003 R2 in \SUPPORT\TOOLS\DEPLOY.CAB). Der Zugriff sollte auf Administratoren beschränkt werden sowie einer Versionskontrolle unterliegen.

Besonders wichtig ist Planung der Installationskonten, die während der Bereitstellungsphase verwendet werden sollen. Diese sind ähnlich kritisch wie administrative Konten und sollten entsprechend überwacht werden. Sie sollten mit minimalen Berechtigungen versehen werden, die Möglichkeiten der Anmeldung sollten eingeschränkt sein.

Das Laden von Produktaktualisierungen schon während des Installationsprozesses erhöht die Sicherheit. Dennoch sollten die Aktualisierungen nicht direkt aus dem Internet (Windows Update) geladen werden. Vorzugsweise sollte Dynamic Update verwendet werden, welches auf eine lokale Quelle zugreift und die individuelle und bewusste Freigabe von Aktualisierungen ermöglicht. Dazu muss die Option DUShare manuell in die Antwortdatei eingetragen werden. DUShare verweist auf einen Ordner der Installationsquelle, der Update-Pakete in Form von .cab-Dateien enthält.

Alternativ zu diesem Verfahren können Produktaktualisierungen nach der Installation mit Hilfe von Windows Update und Post-Installationsskripten von einem lokalen Update-Server eingespielt werden. Eines der beiden beschriebenen Verfahren sollte im Bereitstellungskonzept definiert werden.

Hinweis: Die Herstellerdokumentation zum Thema Antwortdateien ist in den Dateien ref.chm und deploy.chm auf der Installations-CD bzw. CD1 bei Windows Server 2003 R2 in \SUPPORT\TOOLS\DEPLOY.CAB zu finden.

Ab Windows Server 2003 mit Service Pack 1 ist während und nach der Installation die lokale Firewall solange aktiv und restriktiv eingestellt, bis der Aktualisierungsprozess einmal durchlaufen wurde. Erst danach ist die volle Konnektivität gegeben. Dieser Modus schützt den Server, wenn Produktaktivierung und -aktualisierung direkt über das Internet vorgenommen werden. Für geringen Schutzbedarf genügt dieses Szenario, jedoch ersetzt es nicht ein isoliertes Installationsnetz.

Konformität mit Sicherheitsrichtlinien

Die Konformität mit den aktuellen Sicherheitsrichtlinien bei Aufnahme des produktiven Betriebs muss durch den Bereitstellungsvorgang gewährleistet werden. Sicherheitsvorlagen werden meist durch Gruppenrichtlinien und Active Directory auf den Server übertragen und aktiviert. Alternativ oder zusätzlich können die Vorlagen mit Hilfe von Post-Installationsskripten eingespielt werden. Die fertige Installation muss mit den aktuellen Vorlagen und den sonstigen aktuellen Sicherheitsvorgaben getestet werden. Das Durchsetzen der Vorlagen und Einstellungen sollte Teil des Installations- bzw. Bereitstellungskonzeptes sein.

Dokumentation

Das Bereitstellungskonzept ist ausführlich und verständlich zu dokumentieren. Es sollte für jeden Server eine aktuelle Installationsanweisung geben.

Prüffragen:

  • Bei einer hohen Anzahl von Windows Server 2003 Systemen: Existiert zusätzlich zum Installationskonzept ein umfassenderes, wiederverwendbares Bereitstellungskonzept?

  • Werden die Installationsprotokolle der Windows Server 2003 gesichert und die erzeugten Fehlermeldungen ausgewertet?

  • Betrifft die skriptgesteuerte Installation von Windows Server 2003 Systemen: Ist in dem Bereitstellungskonzept die Installation per Image beziehungsweise per Antwortdatei berücksichtigt?

  • Erfolgt die Installation neuer Systeme über gesonderte Konten und sind diese mit den minimal erforderlichen Berechtigungen versehen.

  • Ist in dem Bereitsstellungskonzept das Einspielen von Patches und Updates auf dem neu erstellten Windows Server 2003 System definiert?

  • Betrifft die skriptgesteuerte Installation von Windows Server 2003 Systemen: Ist sichergestellt, dass die Antwortdateien keine Klartextkennwörter aus der Produktivumgebung beinhalten?

Stand: 13. EL Stand 2013