Sie befinden sich hier: Themen IT-Grundschutz-Kataloge. Inhalt. Dokumententitel: M 2.324 Einführung von Windows XP planen - IT-Grundschutz-Kataloge - Stand 2006
direkt zu der Navigation Servicebereich. direkt zu der Hauptnavigation. direkt zur Themennavigation. direkt zum Seiteninhalt.

M 2.324 Einführung von Windows XP planen

Verantwortlich für Initiierung: Leiter IT

Verantwortlich für Umsetzung: Leiter IT, IT-Sicherheitsmanagement, Administrator

Die geregelte und sichere Einführung von Windows XP Systemen setzt eine umfangreiche Planung voraus. In der Planungsphase werden die notwendigen Voraussetzungen für einen sicheren Betrieb von Windows XP Systemen geschaffen.

Die einzelnen Planungsschritte sind abhängig von den geplanten Einsatzszenarien der Windows XP Systeme. Die Einführung muss in ihren einzelnen Schritten möglichst detailliert geplant werden. Hierbei müssen nicht nur die Inhalte, sondern auch interne Prozesse und Abläufe der Organisation berücksichtigt werden. Alle Inhalte und Prozesse sind zu definieren, dokumentieren und allen Beteiligten zugänglich zu machen.

Generell muss ausreichend Zeit für die Einführung von Windows XP eingeplant werden. Dabei ist ein Zeitraum von einem halben Jahr für größere Unternehmen und Behörden durchaus als realistischer Planungszeitraum einzukalkulieren. Im Laufe der Planung muss erfahrungsgemäß außerdem mehrfach der Zeitplan angepasst werden.

Die im folgenden genannten sicherheitsrelevanten Aspekte müssen bei der Einführung von Windows XP berücksichtigt werden.

Neuinstallation oder Migration/Upgrade

Für die Einführung von Windows XP stehen verschiedene Verfahren zur Verfügung. Zum einen kann die Einführung durch einen parallelen Aufbau der Windows XP-Infrastruktur (neue Clients werden parallel zu bestehenden eingeführt) erfolgen. Zum anderen kann dies durch eine Migration bzw. ein Update vorhandener Client-Rechner geschehen.

Eine generelle Empfehlung für die Einführung kann nicht gegeben werden, da dies von den lokalen Gegebenheiten abhängt. Im Allgemeinen muss das Verfahren immer auf das Unternehmen bzw. die Behörde zugeschnitten werden.

In erster Linie muss entschieden werden, ob bei der Einführung von Windows XP die Client-Rechner komplett neuinstalliert oder migriert werden. In der Praxis werden häufiger bereits bestehende Client-Systeme migriert anstatt eine vollständige Neuinstallation durchzuführen. Nicht nur die Neuinstallation, sondern auch die Migration von Windows NT 4.0/2000 Professional Clients auf Windows XP Professional bedarf einer ausgiebigen Planung, insbesondere, wenn nicht nur die Clients sondern auch die Domänen (also Domänen-Controller) migriert (z. B. auf Windows Server 2003) werden. Die Migration muss in ihren einzelnen Schritten möglichst detailliert geplant werden, da durch Planungsdefizite in der Zeit der Umstellung leicht Sicherheitslücken entstehen können.

Werden nicht nur Clients, sondern auch Domänen von älteren Windows-Versionen migriert, müssen zusätzlich die entsprechenden Migrationsaspekte auf Server-Seite berücksichtigt werden (siehe M 2.233 Planung der Migration von Windows NT auf Windows 2000).

Es ist zu beachten, dass in der Migrationphase unter Umständen erweiterte Zugriffsberechtigungen (z. B. für ein spezielles Migrationsteam) und schwächere Sicherheitseinstellungen wegen potentieller Kompatibilitäts-probleme gewählt werden müssen. Diese Einstellungen müssen nach dem Abschluss der Migration auf das höchstmögliche Sicherheitsniveau gebracht werden. Die zusätzlichen migrationspezifischen Berechtigungen sind nach der Migration zu entziehen. Generell gilt, dass nach der erfolgten Migration dasselbe Sicherheitsniveau erreicht werden muss wie bei einer Neu-installation. Nach Abschluss der Migration hat ein Soll-Ist-Abgleich aller Sicherheitseinstellungen wie z. B. Berechtigungen und Gruppenmitglied-schaften stattzufinden.

Die Zeitspanne für die Migration muss festgelegt und eingehalten werden. Die Migration darf nicht zu einem "Normalzustand" werden. Dies hat insbesondere sicherheitsrelevante Auswirkungen, da die Sicherheit während der Migration üblicherweise abgeschwächt wird.

Einsatz in gemischten Umgebungen planen

Beim Einsatz von Windows XP Clients in gemischten Umgebungen (z. B. zusammen mit NT 4.0 Rechnern) können Abschwächungen der Sicherheitseinstellungen notwendig sein (z. B. kein durchgehendes digitales Signieren der Netzkommunikation). Diese sind bei der Planung zu berücksichtigen. Insbesondere muss dafür Sorge getragen werden, dass nach der Realisierung einer homogenen Umgebung (d. h. ausschließlich Windows XP Clients, Windows 2000/2003 Domain Controller und Server) die Sicherheitseinstellungen auf das höhere Niveau anzuheben sind.

Werden Windows XP Clients in NT-Umgebungen eingesetzt, stehen Active Directory-basierte Gruppenrichtlinien nicht zur Verfügung. In diesem Fall müssen lokale Sicherheitsrichtlinien zur Umsetzung der gewünschten Sicherheitseinstellungen verwendet werden. Für diesen Fall muss insbesondere der Verteilungsmechanismus für die Richtlinieneinstellungen geplant worden sein. Zusätzlich muss ein Konzept zur Pflege der lokalen Sicherheitsrichtlinien in der Planungsphase erstellt werden.

Active-Directory-bezogene Planung

Bei der Einführung von Windows XP in einer Active Directory Umgebung ist es nicht ausreichend, ausschließlich die Client-Seite zu betrachten. Auch die Server-Seite ist zu berücksichtigen. Hierbei müssen vor allem die Änderungen im Active Directory geplant werden sowie ein Abgleich der Sicherheitseinstellungen auf Client- und Server-Seite erfolgen.

So sind beispielsweise entsprechende Gruppen- und OU-Strukturen (Organisationseinheit, Organizational Unit) im Active Directory zu entwerfen. Denn eine geeignete OU-Struktur begünstigt einen einfacheren und damit wegen der größeren Transparenz einen sichereren Betrieb der Windows XP Systeme in einer Unternehmensumgebung.

Des Weiteren ist die Gruppenrichtlinien-Struktur im Active Directory zu planen. Über den Einsatz von Gruppenrichtlinien-spezifischen Mechanismen wie etwa das Blockieren der Vererbung oder das sogenannte Security Filtering muss in der Planungsphase entschieden werden. Dabei ist die Verarbeitungsreihenfolge für Gruppenrichtlinien zu berücksichtigen.

Die generellen Active Directory-Planungsmaßnahmen sind unter anderem in M 2.229 Planung des Active Directory zusammengefasst.

Sicherheitskonzept/Windows XP Sicherheitsrichtlinie

Das Planen und Erstellen eines Sicherheitskonzeptes bzw. einer Sicherheitsrichtlinie im Vorfeld der Einführung von Windows XP ist immens wichtig. Durch die Sicherheitsrichtlinie sind alle sicherheitsrelevanten Aspekte des Windows XP Betriebs zu berücksichtigen. Weitere Anforderungen an das Sicherheitskonzept sind in der Maßnahme M 2.325 Planung der Windows XP Sicherheitsrichtlinie zusammengefasst.

Benutzerkonzept

Bei der Planung des Benutzerkonzepts muss der Umgang mit lokalen und domänen-weiten Benutzerkonten geregelt werden. Beim Einsatz von Windows XP in einer Windows 2000/2003 Domäne muss auch über den Einsatz von servergespeicherten Benutzerprofilen (Roaming User Profile) entschieden werden. Die Nutzung von servergespeicherten Benutzerprofilen hat vor allem Auswirkungen auf die Backup-Strategie, sowie auf den Einsatz des Windows Encrypting File System (EFS).

Administrationskonzept

Ein Administrationskonzept ist im Vorfeld der Einführung von Windows XP zu erstellen. Insbesondere muss die entfernte Administration der Clients und der Umgang mit lokalen administrativen Konten geregelt werden. Die Fragen der personellen und organisatorischen Zuständigkeiten müssen ebenfalls im Konzept Berücksichtigung finden. Das Trennen von Verantwortlichkeiten (Segregation of Duties) ist im Administrationskonzept zu verankern. Die entsprechende Umsetzung ist sowohl auf der organisatorischen als auch der technischen Ebene zu planen.

Werden die Windows XP Systeme in einer Active Directory Umgebung eingesetzt, so müssen die Fragen der administrativen Zuständigkeiten und Grenzen, sowie die Vergaberichtlinien für administrative Berechtigungen auf Client- und Benutzer-Objekte im Active Directory geklärt werden.

Protokollierungs-/Audit-Konzept

Um die Sicherheit eines Windows XP Systems gewährleisten zu können, muss überwacht werden, ob die festgelegten Sicherheitsrichtlinien (siehe M 2.325 Planung der Windows XP Sicherheitsrichtlinie) eingehalten werden. Insbesondere ist auf organisatorischer und technischer Ebene zu regeln, wie die gesammelten Daten regelmäßig ausgewertet werden. Die Sicherheitsaspekte, die bei der Protokollierung zu beachten sind, sind in der Maßnahme M 4.148 Überwachung eines Windows 2000/XP Systems aufgeführt.

Datenablage, Datensicherung und Verschlüsselung

Es ist festzulegen, wo die Benutzerdaten gespeichert werden (siehe M 2.138 Strukturierte Datenhaltung). Es wird grundsätzlich empfohlen, keine Daten auf Client-Rechnern abzulegen. Dann muss jedoch eine geeignete serverseitige Infrastruktur vorhanden sein. Die Maßnahmen M 5.37 Einschränken der Peer-to-Peer-Funktionalitäten in einem servergestützten Netz und M 2.67 Festlegung einer Sicherheitsstrategie für Peer-to-Peer-Dienste sind dabei zu beachten. Nach welcher Strategie verfahren werden soll, ist anhand der konkreten Umstände im Einzelfall festzulegen. In bestimmten Einsatzszenarien, wie beispielsweise bei der Verwendung mobiler Computer, ist die Datenablage auf Clients hingegen notwendig und erwünscht. In solchen Fällen muss die client-seitige Datenablage und ihr (kryptographischer) Schutz geplant werden. Die Umsetzung der technischen Maßnahmen, die die Sicherheit der lokalen Datenablage gewährleisten (z. B. Festplattenverschlüsselung, EFS, Verschlüsselung der Offline-Dateien), muss vor der Einführung geplant werden.

Um eine saubere Trennung von benutzer- und projektspezifischen Daten, sowie von Programmen und Daten des Betriebssystems durchzusetzen, muss eine geeignete Verzeichnisstruktur geplant werden, durch die eine projekt- und benutzerbezogene Dateiablage unterstützt wird. So können beispielsweise zwei Hauptverzeichnisse \Projekte und \Benutzer angelegt werden, unter denen dann die Dateien und Verzeichnisse der Projekte bzw. Benutzer in jeweils eigenen Unterverzeichnissen abgelegt werden.

Bei der Einführung von Windows XP muss auch eine entsprechende Datensicherungsstrategie festgelegt werden. Für jedes System und für jede Datenart muss die Verfahrensweise der Datensicherung festgelegt werden. Die jeweilige Umsetzung hängt vor allem von der Art der Daten ab, die auf einem Client abgelegt sind. Werden auf einem Client keine Daten abgelegt, nur Standard-Software eingesetzt und haben die Benutzer servergespeicherte Profile, so kann unter Umständen auf client-seitige Datensicherung verzichtet werden. Werden dagegen auf einem Windows XP Client-Rechner Daten abgelegt, müssen diese Daten bei Sicherungen berücksichtigt werden. Weitere Informationen zu diesem Thema werden in den Maßnahmen M 6.32 Regelmäßige Datensicherung und M 6.33 Entwicklung eines Datensicherungskonzepts gegeben.

Die Verwendung von EFS muss beim Festlegen der Backup-Strategie berücksichtigt werden. Wird EFS eingesetzt, so muss generell die Maßnahme M 6.56 Datensicherung bei Einsatz kryptographischer Verfahren beachtet werden. Insbesondere ist jedoch durch das Backup-Konzept der Umgang mit dem Schlüsselmaterial bei Wiederherstellungsoperationen zu regeln (siehe dazu auch M 4.147 Sichere Nutzung von EFS unter Windows 2000/XP).

Roll-out

Die Abläufe bei der Installation, also die Roll-out-Phase, müssen bei der Planung berücksichtigt werden. Unter anderem sind die personellen Zuständigkeiten beim Roll-out eindeutig zu definieren. Es ist zusätzlich ein Roll-out-Notfallkonzept zu erstellen. Durch dieses Notfallkonzept muss sichergestellt werden, dass bei einer fehlgeschlagenen Umstellung für ein System der produktive Zustand schnell wiederhergestellt werden kann.

Weitere Konzepte

Neben den oben aufgeführten Konzepten können je nach Einsatzszenario auch weitere Konzepte notwendig werden, wie z. B. ein Namenskonzept (Namenskonventionen für die Rechner, Benutzergruppen und die Benutzer), ein Softwareverteilungskonzept oder ein Konzept zur Anwendungsmigration. Insbesondere die Anwendungsmigration kann Auswirkungen auf die Sicherheit eines Windows XP Systems haben (z. B. Abschwächung der Zugriffsrechte auf die Registrierung) und ist daher sorgfältig zu planen.

Diese weiteren Konzepte sind dann ebenfalls in der Planungsphase zu berücksichtigen. In der Regel bestehen hier bereits entsprechende Konzeptionen im Unternehmen oder in der Behörde, die jedoch auf ihre Eignung im Windows XP Umfeld hin geprüft werden müssen.

Nicht zuletzt sollte geplant werden, welche Benutzer bzw. Administratoren geschult werden müssen und wann dies zu erfolgen hat. Insbesondere die Administratoren sind hinsichtlich der Verwaltung und der Sicherheit von Windows XP gründlich zu schulen. Erst nach ausreichender Schulung sollte daher der Windows XP-Betrieb aufgenommen werden.

Ergänzende Kontrollfragen