Bundesamt für Sicherheit in der Informationstechnik

M 6.76 Erstellen eines Notfallplans für den Ausfall von Windows-Systemen

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator, Leiter IT

Der Ausfall von einem oder mehreren Windows-Systemen kann bei entsprechender Aufgabe des Windows-Systems gravierende Auswirkungen auf die IT -Umgebung haben, da Benutzer nicht auf die Funktionalitäten zugreifen können, die das Windows-System bereitstellt. Es ist festzulegen, welche Maßnahmen zu treffen sind, um eine Notfallsituation zu vermeiden, die Folgen des Ausfalls zu minimieren und den schnellen, erfolgreichen Wiederanlauf zu gewährleisten. Die bei einem Ausfall (des Servers) benötigten Dokumentationen und Handlungsanweisungen können schützenswerte Informationen enthalten. Sie sind sicher aufzubewahren, um dem Missbrauch der Informationen vorzubeugen. Schützenswerte Informationen können zum Beispiel sein:

  • Konfigurationsdaten,
  • Lizenzschlüssel, gegebenenfalls Volumenlizenz-Datenträger,
  • (administrative) Benutzerkonten und Kennwörter und
  • sonstige vertrauliche Informationen, wie z. B. Schlüsselmaterial für die Festplatten-, Netz- oder E-Mail-Verschlüsselung.

Gleichzeitig muss organisatorisch gewährleistet werden, dass diese Informationen bei einem Ausfall den Personen zur Verfügung stehen, die für die Wiederherstellung verantwortlich sind. Der Notfallplan für Windows- Systeme muss in das Notfallkonzept integriert werden (siehe B 1.3 Notfallmanagement ) und M 6.96 Notfallvorsorge für einen Server kompatibel sein.

Die Notfallplanung sollte bereits in die Planung der Systeme einbezogen werden, da bestimmte Verfügbarkeitsvorgaben, die beispielsweise Redundanz erforderlich machen, frühzeitig beachtet werden müssen (siehe M 6.1 Erstellung einer Übersicht über Verfügbarkeitsanforderungen ). Im Notfallplan sollten eindeutige Kriterien niedergelegt sein, für welche Windows-Systeme der Notfallplan angewendet werden soll.

Datensicherung

Im Notfallplan für Windows-Systeme ist darauf hinzuweisen, dass die Umsetzung der Maßnahmen aus B 1.4 Datensicherungskonzept für die Bewältigung eines Notfalls realisiert sein muss. Bei Server-Systemen ist auf die Umsetzung von M 6.99 Regelmäßige Sicherung wichtiger Systemkomponenten für Windows-Server zu achten.

Die Dokumentation zur Datensicherung ist für den Notfallplan von besonderer Bedeutung. Die Aktualität sollte regelmäßig im Rahmen von Wartungsarbeiten oder Audits überprüft werden. Insbesondere muss der Dokumentation zu entnehmen sein, welchen Umfang die Datensicherung hat, wann die letzte erfolgreiche Datensicherung erstellt wurde und welche Soft- und Hardware für die Datensicherung verwendet wurde.

Das gewählte Datensicherungsverfahren und die dafür verwendete Hard- und Software müssen den Anforderungen an eine Wiederherstellung innerhalb der geforderten Wiederherstellungszeit entsprechen.

Technische Dokumentation

Bei einem Ausfall muss eine angemessene technische Dokumentation der Systeme vorliegen. Sie sollte mindestens folgende Punkte enthalten:

  • BIOS - und Firmware-Versionen
  • Hardwareausstattung
  • installierte Windows-Komponenten
  • installierte Zusatz-Software
  • Netzkonfiguration (siehe Eigenschaften der LAN -Verbindungen, zu finden im Netzwerk- und Freigabecenter in der Systemsteuerung)
  • Dienste (siehe Dienstekonsole)
  • Partitionierung der Festplatten oder des angeschlossenen Festplatten-Systems
  • Benutzerkonten und Gruppen mit Berechtigungen
  • Freigaben und Freigabeberechtigungen, NTFS -Berechtigungen
  • Einstellungen in den Sicherheitsrichtlinien (mittels Vorlagen)

Grundsätzlich sollten im Rahmen der Notfallplanung alle Dokumentationsunterlagen berücksichtigt und gegebenenfalls vervollständigt werden, damit im Notfall keine wichtige Funktionen vergessen werden. Die Dokumentation ist zum Beispiel bei Wartungsarbeiten und bei Veränderungen an Hard- und Software sowie der Systemkonfiguration anzupassen.

Die Aktualisierung der technischen Dokumentation und damit auch des Notfallplans ist Teil des Änderungsmanagements. Es sollte erkennbar sein, durch welche Person Änderungen durchgeführt wurden und wer die Dokumentation aktualisiert hat. Für den Notfallplan müssen alle Dokumentationen vorhanden und lesbar sein.

Ausweichbetrieb

Können nur kurze Ausfallzeiten toleriert werden, so ist ein Ausweichbetrieb zu ermöglichen. Beim Ausfall eines einzelnen Systems sollte die Kapazitätsplanung für die Gesamtheit der Systeme so gestaltet sein, dass andere in Betrieb befindliche Systeme die Rollen und Funktionen des ausgefallenen Systems weitgehend übernehmen können. Hierbei ist M 4.276 Planung des Einsatzes von Windows Server 2003 bzw. M 4.418 Planung des Einsatzes von Windows Server 2008 oder M 4.420 Sicherer Einsatz des Wartungscenters unter Windows 7 Sicherer Einsatz des Wartungscenters ab Windows 7 zu beachten.

Für Windows-Server sollte die Beschaffung von Ersatzgeräten überlegt werden, deren Ausstattung den Betrieb eines Windows-Servers inklusive einiger Anwendungen zulässt, falls mehrere Server ausfallen. Um die Umschaltzeit zu minimieren, sollten diese Geräte vorinstalliert und regelmäßig hochgefahren und gewartet werden. Dies gilt bei Einsatz von Windows-Clients ab Vista und Windows-Servern ab Windows Server 2008 auch für die Geräte mit einem KMS (Key Management Service) oder einem MAK -Proxy (Multi Activation Key Proxy), wenn diese Formen der Aktivierung für Volumenlizenzen eingesetzt werden.

Die Entwicklung von Ausweichszenarien kann hohen Aufwand erzeugen. Es empfiehlt sich, Ausweichszenarien schon in der Planungsphase für den Einsatz des Servers zu berücksichtigen. Es sollten konkrete Handlungsanweisungen für die Aufnahme des Ausweichbetriebs vorliegen.

Wiederanlaufplan

In Abhängigkeit von der Serverrolle und der IT -Umgebung ergeben sich nach einem Ausfall für das Wiederanlaufen bestimmte Anforderungen an Windows-Systeme. Hierbei sind neben dem betrachteten Server auch Anlaufzeiten der angebundenen IT -Umgebung zu beachten (z. B. Router, andere Server, Standortkonnektoren). Ein Anlaufplan wird mit zunehmender Größe des Informationsverbunds komplexer und muss individuell in Abhängigkeit von der Domänenstruktur und den verwendeten Serverrollen erstellt werden. Ein Mitgliedsserver sollte erst neu gestartet werden, nachdem mindestens ein Domänencontroller mit globalem Katalog, ein Zertifikatsserver zum Abrufen von Zertifikatssperrlisten (falls vorhanden) und alle Infrastrukturserver gestartet sind.

Test des Notfallplans

Im Rahmen des Wartungsplans sollte der Notfallplan regelmäßig (z. B. einmal pro Quartal) in einer Testumgebung, aber auch gelegentlich, mit besonderer Vorsicht, in der Produktivumgebung getestet werden. Je häufiger Konfigurationsänderungen zu erwarten sind, desto häufiger sollten Tests durchgeführt werden, um die Aktualität des Notfallplans sicherzustellen. Die Ergebnisse müssen dokumentiert werden und führen gegebenenfalls zu Änderungen am bestehenden Notfallplan. Grundsätzlich sind Wiederherstellungsszenarien zu proben und die Ergebnisse zu dokumentieren (siehe M 6.41 Übungen zur Datenrekonstruktion ).

Wiederherstellung

Im Notfallplan sind die notwendigen Voraussetzungen zur Wiederherstellung durch Neuinstallation festzuhalten. Das Bereitstellungskonzept oder vorhandene Installationskonzepte (im Falle eines Windows Server 2003 Systems M 4.281 Sichere Installation und Bereitstellung von Windows Server 2003 ) sind zu berücksichtigen. Dies gilt bei Einsatz von Windows-Clients ab Windows Vista und Windows-Server ab Windows Server 2008 auch für die Geräte mit einem KMS (Key Management Service) oder einem MAK -Proxy (Multi Activation Key Proxy), wenn diese Formen der Aktivierung für Volumenlizenzen eingesetzt werden (siehe hierzu M 4.336 Aktivierung von Windows-Systemen ab Vista bzw. Server 2008 aus einem Volumenlizenzvertrag und M 4.343 Reaktivierung von Windows-Systemen ab Vista bzw. Server 2008 aus einem Volumenlizenzvertrag ). Kritisch sind unter anderem notwendige Treiber für die einzusetzende Hardware. Es kann bei bestimmten RAID -Controllern erforderlich werden, während der Installation Treiber zu installieren. In der Regel werden hierfür vom Hersteller Treiber auf einem Datenträger mitgeliefert oder im Internet auf den Herstellerseiten bereitgestellt. Eine aktuelle Version dieses Treibers muss auf einem Datenträger vorliegen.

Für die Wiederherstellung müssen die Originalsoftware mit den Originaldatenträgern inklusive Produktschlüssel sowie Lizenzinformationen vorhanden sein. Falls kein Volumenlizenzprogramm verwendet wird, ist hinsichtlich der möglicherweise erforderlichen Aktivierung von Windows-Systemen darauf hinzuweisen, dass mehrfache Aktivierungen per Internet mit Hilfe desselben Produktschlüssels auf verschiedenen Festplatten fehlschlagen können. Infolgedessen kann der direkte telefonische Kontakt mit Microsoft erforderlich werden. Microsoft ist dann auf den Systemausfall hinzuweisen.

Bei Einsatz von Windows ab Windows Vista ist auch bei Nutzung von Volumenlizenzen eine erneute Aktivierung der Windows-Clients erforderlich.

Auf die Verfügbarkeit einer stets ausreichenden Anzahl von Lizenzen muss bei der Nutzung von Windows-Clients ab Windows Vista geachtet werden. Bei einer Neuinstallation und einer automatischen Aktivierung über einen MAK -Proxy oder KMS werden durch die Windows-Clients zunächst Lizenzen angefordert. Durch ein Lizenzmanagement muss sicher gestellt werden, dass die benötigte Anzahl von Lizenzen für eine Aktivierung vorhanden ist. Weitere Informationen zur Aktivierung sind in M 4.336 Aktivierung von Windows-Systemen ab Vista bzw. Server 2008 aus einem Volumenlizenzvertrag und M 4.343 Reaktivierung von Windows-Systemen ab Vista bzw. Server 2008 aus einem Volumenlizenzvertrag zu finden.Die Wiederherstellungsschlüssel der Festplattenverschlüsselung müssen bei Bedarf kurzfristig zur Verfügung gestellt werden können. Bei der Übermittlung muss eine unbefugte Kenntnisnahme ausgeschlossen werden.

Die vorhandenen Authentisierungsmittel und Wiederherstellungsschlüssel für eine vorhandene Festplattenverschlüsselung werden bei einer Neuinstallation der Systeme in der Regel ungültig. Für neu erstellte Authentisierungsmittel und Wiederherstellungsschlüssel muss sicher gestellt werden, dass nur Befugte Zugang dazu haben (siehe M 4.337 Einsatz von BitLocker Drive Encryption ).

Windows 8 unterstützt die Generierung, Speicherung und Nutzung von kryptographischen Schlüsseln und Zertifikaten mit einem Trusted Platform Module ( TPM ), also einem in den Rechner eingebauten Kryptochip. Die hier gespeicherten kryptographischen Informationen werden durch übliche Datensicherungsverfahren nicht erfasst. Für die Notfallplanung ist daher zu prüfen, welche kryptographischen Daten im TPM gespeichert werden, und wie diese wiederhergestellt oder neu generiert werden können.

Durch das Anlegen von Replikaten wichtiger Informationen und Dateien auf mehreren Servern kann beim Ausfall einzelner Server auf diese Replikate zugegriffen werden. Damit ist es möglich, Benutzern kurzfristig eine Kopie von Daten anzubieten. Im Rahmen der Notfallplanung sollte geprüft werden, ob und für welche Daten dies notwendig ist. Windows-Server bieten dazu den File Replication Service ( FRS ) an, der auch in Verbindung mit dem DFS (Distributed File System) genutzt werden kann. In den Server-Versionen vor Windows Server 2003 R2 sind diese Dienste jedoch nur eingeschränkt für ein Notfallkonzept geeignet und meist mit hohem Aufwand für Test und Wartung verbunden.

Die Notfallplanung ist im Hinblick auf bestimmte Rollen von Windows-Systemen, zum Beispiel DNS -Server und Zertifikatsserver, zu differenzieren, um die vollständige Wiederherstellung gewährleisten zu können. Dazu gehört die Sicherung von rollenspezifischen Systemkomponenten (z. B. Datenbanken des DNS -Dienstes oder der Zertifizierungsstelle) sowie eine umfassende Dokumentation der mit den betreffenden Rollen verbundenen Einstellungen.

Prüffragen:

  • Haben die Personen, die für die Wiederherstellung verantwortlich sind, bei einem Ausfall des IT-Systems Zugriff auf alle notwendigen Informationen wie Konfigurationsdaten, Lizenzschlüssel, administrative Benutzerkonten und Kennwörter?

  • Existiert ein Notfallplan, und ist er Bestandteil des Notfallkonzeptes der Institution?

  • Bei der Verwendung von Ausweichsystemen: Ist die Kapazität der Gesamtheit der Systeme bei einer möglichen Übernahme von Rollen und Funktionen ausreichend, um die ausgefallenen Systeme abzudecken?

  • Ist die Aktualität des Notfallplans auch nach Konfigurationsänderungen sichergestellt?

  • Sind im Notfallplan die notwendigen Voraussetzungen zur Wiederherstellung durch Neuinstallation festgehalten?

  • Wird für die Systemwiederherstellung das vorhandene Bereitstellungs- bzw. Installationskonzept berücksichtigt?

  • Ist die vollständige Wiederherstellung von rollenspezifischen Systemkomponenten gewährleistet, und sind die mit den Rollen verbundenen Einstellungen dokumentiert?

  • Sind kryptographische Schlüssel und Zertifikate, insbesondere bei der Speicherung im TPM und beim Einsatz einer Festplattenverschlüsselung, in der Notfallplanung geeignet berücksichtigt?

  • Sind die für eine Neuinstallation notwendigen Installationsdatenträger und Produktschlüssel vorhanden?

  • Sind die notwendigen Dokumentationen und Handlungsanweisungen vor unbefugtem Zugriff geschützt?

  • Ist eine aktuelle Dokumentation der Datensicherung vorhanden?

  • Entsprechen das gewählte Datensicherungsverfahren und die dafür verwendete Hard- und Software den Anforderungen an eine Wiederherstellung innerhalb der geforderten Wiederherstellungszeit?

Stand: 15. EL Stand 2016