M 6.24 Erstellen eines Notfall-Bootmediums
Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator, Benutzer
Bei der Einrichtung eines Rechners sollte ein Bootmedium erstellt werden, das bei Ausfall einer Festplatte zum Starten des Systems oder bei Auftreten eines Computer-Virus zum Erzeugen eines kontrollierten Systemzustands genutzt werden kann. Solche Medien können beispielsweise "Notfalldisketten" oder CDs sein, deren Erstellung das jeweilige Betriebssystem eventuell anbietet, es können aber auch eigens eingerichtete CDs oder portable Laufwerke (beispielsweise USB-Sticks oder externe Festplatten mit USB- oder Firewire-Schnittstelle) erstellt werden. Art und Umfang des Notfall-Bootmediums richten sich nach dem Einsatzzweck des Rechners und den vorhandenen Schnittstellen.
Das Notfall-Bootmedium sollte idealerweise alle notwendigen Programme und Daten enthalten, die im Falle von Problemen wie
- Datenverlust durch Fehlbedienung,
- Bedienungs- und Administrationsfehlern, die die Benutzung und einen Neustart verhindern,
- Infektion des Systems mit Schadsoftware (beispielsweise Computerviren),
- Kompromittierung des Systems durch einen Angreifer, oder auch
- Hardwareproblemen
zu einer Untersuchung und falls möglich der Behebung der Probleme benötigt werden. Gegebenenfalls können unterschiedliche Medien für verschiedene Problemszenarien erstellt werden, die jeweils nur einen Teil dieser Szenarien abdecken.
Als "Grundausstattung" werden folgende Programme empfohlen:
- Virenscanner mit aktuellen Signaturen,
- Programme zur Bearbeitung von Systemkonfigurationsdateien oder -daten-banken (Dateieditor, Registryeditor oder ähnliche)
- Programm zur Wiederherstellung des Bootsektors der Systemplatte
- Backup- / Recoveryprogramme,
- Diagnoseprogramme zur Analyse von Hardwaredefekten,
- sowie eventuell Programme zur weitergehenden Analyse, etwa zur Entdeckung von Rootkits oder zur forensischen Analyse eines kompromittierten Systems.
Dabei ist es wichtig, dass alle Programme und Bibliotheken ausschließlich vom Bootmedium geladen werden. Es dürfen keine Komponenten des installierten Systems verwendet werden.
Bei der Erstellung des Bootmediums ist außerdem darauf zu achten, dass neben den notwendigen Programmen auch alle Treiber vorhanden sind, die für den Zugriff auf die eingebauten Platten des Rechners benötigt werden. Dazu zählen beispielsweise Treiber für Festplattencontroller (insbesondere RAID-Controller) und Treiber für eine Festplattenverschlüsselung oder Festplattenkomprimierung.
Falls das Bootmedium genügend Speicherplatz bietet, so können weitere Programme oder Dokumentation auf dem Medium gespeichert werden. Beispielsweise kann es die Effizienz der Fehlersuche erhöhen, wenn auf dem Bootmedium stets eine aktuelle Dokumentation der Systemkonfiguration enthalten ist.
Das Notfall-Bootmedium muss selbst frei von Viren und anderen Schadprogrammen sein. Die eingesetzten Programmversionen sollten daher nur aus vertrauenswürdigen Quellen (etwa direkt von der CD des Herstellers) oder nach Überprüfung vorhandener digitaler Signaturen verwendet werden.
Es ist nicht unbedingt notwendig, für jedes System ein eigenes Bootmedium zu erstellen. Ein entsprechend flexibel angelegtes Bootmedium kann für eine große Anzahl verschiedener Systeme ausreichend sein. Auf dem Bootmedium braucht nicht einmal notwendigerweise das selbe Betriebssystem eingesetzt zu werden, wie auf dem Zielsystem selbst. Aus Gründen der Kompatibilität ist dies jedoch oft vorteilhaft. Es muss jedoch unbedingt durch entsprechende Tests sichergestellt werden, dass das Medium auch wirklich bei allen Rechnern funktioniert, für die es eingesetzt werden soll. Je nach Betriebssystem müssen außerdem noch systemspezifische Aspekte beachtet werden, die in den jeweiligen Bausteinen beschrieben werden.
Nach Veränderungen am Zielsystem, etwa einem Update des Betriebssystems oder Konfigurationsänderungen muss gegebenenfalls das Notfall-Bootmedium und die darauf gespeicherte Dokumentation aktualisiert werden. Änderungen am Bootmedium müssen dokumentiert werden.
Das Notfall-Bootmedium muss für die Systembetreuer schnell greifbar sein, damit im Falle einer Störung nicht wertvolle Zeit verloren geht. Andererseits muss es auch so sicher aufbewahrt werden, dass Unbefugte keinen Zugriff darauf haben.
Die Funktion des Notfall-Bootmediums sollte regelmäßig getestet und die Bedienung der darauf gespeicherten Programme geübt werden, damit sichergestellt ist, dass das Medium im Fall von Problemen funktioniert und die Administratoren mit der Bedienung vertraut sind. Es ist empfehlenswert, mit dem Medium eine Art "Kurzanleitung" in gedruckter Form aufzubewahren, die für typische Einsatzszenarien die wichtigsten Schritte zusammenfasst.
Ergänzende Kontrollfragen:
- Wurde für jeden eingesetzten Rechnertyp bzw. jede Betriebssystem-Version ein Notfall-Bootmedium erstellt?
- Wo wird dieses Medium aufbewahrt? Ist der schnelle Zugriff für die Administratoren sichergestellt?
- Wird die Funktion des Notfall-Bootmediums regelmäßig getestet?