Bundesamt für Sicherheit in der Informationstechnik

M 4.343 Reaktivierung von Windows-Systemen ab Vista bzw. Server 2008 aus einem Volumenlizenzvertrag

Verantwortlich für Initiierung: Leiter IT

Verantwortlich für Umsetzung: Administrator, Benutzer, IT-Sicherheitsbeauftragter, Leiter IT

Für einen arbeitsfähigen Client ab Windows Vista oder einen Server ab Windows 2008 müssen das Betriebssystem installiert und eine Lizenz aktiviert worden sein (siehe M 4.336 Aktivierung von Windows-Systemen ab Vista bzw. Server 2008 aus einem Volumenlizenzvertrag).

An den Vorgang der Aktivierung einer Lizenz sind bestimmte Vorgaben geknüpft. Wenn gegen diese verstoßen wird, fällt der Windows Vista Client automatisch in den so genannten RFM (Modus mit reduzierter Funktionalität, Reduced Functionality Mode). Im RFM ist der Vista Client solange nicht mehr arbeitsfähig, bis erfolgreich eine Windows Vista Lizenz für den Client reaktiviert wurde. Mit dem Erscheinen des Windows Vista Service Pack 1 und ab Windows 7 sowie Windows Server 2008 hat Microsoft den RFM zurückgenommen. Anstelle des RFM zeigen Windows-Systeme nun entsprechende Warnmeldungen an. Auch diese behindern den Regelbetrieb des Systems. In beiden Fällen ist eine Reaktivierung des betroffenen Systems erforderlich, um in den unbehinderten Regelbetrieb zurückzukehren.

Insbesondere vor Hardwaremodifikationen (z. B. Wechsel der Festplatte oder Erweiterung des Arbeitsspeichers) sollte der Microsoft-Support kontaktiert werden, um Aussagen zu einer möglicherweise erforderlichen Reaktivierung zu erhalten. Es sollte auch überlegt werden, in einer Testumgebung vorab auf eine möglicherweise erforderliche Reaktivierung zu testen.

Speziell für KMS-Aktivierung

Systeme, die im Rahmen eines Volumenlizenzvertrags mit dem Key Management Service (KMS) aktiviert wurden, müssen spätestens nach 180 Tagen plus eines Kulanzzeitraums von 30 Tagen reaktiviert werden. Dazu müssen sie mit dem KMS kommunizieren können. Zur Sicherstellung der Verfügbarkeit sollten jedoch die Verbindungen von den betroffenen Systemen zum KMS in wesentlich kürzeren Zeitabständen regelmäßig erfolgen. Dies mindert die Gefahr der Überschreitung der maximal zulässigen Frist von 210 Tagen.

Für die initiale Aktivierung der Systeme im LAN kommunizieren diese mit dem KMS über das LAN der Institution. Clients werden erst aktiviert, wenn innerhalb von 30 Tagen mindestens 25 Systeme beim KMS angefragt haben ("Activation Threshold"). Server werden bereits ab fünf anfordernden Systemen aktiviert.

Für den Zeitraum einer angestrebten Reaktivierung muss ein KMS verfügbar sein, eventuell kann überlegt werden, einen zweiten KMS zu betreiben.

Speziell für Active Directory-based Activation (ADBA)

Auch für die ab Windows 8 eingeführte Aktivierungsmethode Active Directory-based Activation, das Institutionen das Aktivieren von Windows 8, Windows Server 2012 und Office 2013 im internen Netz über eine Verbindung mit der Domäne ermöglicht, ist eine Reaktivierung spätestens nach 180 Tagen notwendig. Befindet sich das System in einem isolierten Netz, ist ebenfalls sicherzustellen, dass eine Verbindung innerhalb von 180 Tagen zum Domänen-Controller erfolgen kann. Ist dies nicht möglich, kann der Austausch der Aktivierungsdaten auch über einen Wechseldatenträger erfolgen. Microsoft beschreibt hierzu die einzelnen Schritte ausführlich.

Prüffragen:

  • Ist speziell für die KMS-Reaktivierung sichergestellt, dass die Windows-Systeme innerhalb von 210 Tagen nach der letzten Aktivierung mit dem KMS kommunizieren können?

  • Ist speziell für die KMS-Reaktivierung sichergestellt, dass der KMS bei Clients von insgesamt mindestens 25 Windows-Systemen und bei Servern von mindestens 5 Windows-Systemen aktiv genutzt wird?

  • Ist speziell für die KMS -Reaktivierung sichergestellt, dass ein KMS im Zeitraum einer angestrebten Reaktivierung verfügbar ist?

  • Ist für die Active Directory-based Activation sichergestellt, dass die Windows-Systeme sich innerhalb von 180 Tagen mit dem Domänen-Controller im Hauptnetz verbinden können, oder wurden andere Aktivierungsmethoden, wie z. B. die Aktivierung über Wechseldatenträger, berücksichtigt?

Stand: 15. EL Stand 2016