M 4.55 Sichere Installation von Windows NT
Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
Vor der Installation von Windows NT sollten einige Überlegungen getroffen werden, die im folgenden kurz dargestellt werden.
Sichere Systemversion
Schon bei der Beschaffung muss entschieden werden, ob Windows NT in der englischen oder in der deutschen Version zum Einsatz kommen soll. Außerdem muss Windows NT, um sicher zu sein, wenigstens in der Version 3.51 mit dem jeweils aktuellen Service Pack betrieben werden (siehe auch M 4.76 Sichere Systemversion von Windows NT). Sofern eine ältere Windows NT Installation vorhanden ist, sollte diese nach Möglichkeit auf die Version 4 oder zumindest auf die Version 3.51 aktualisiert werden.
Partitionen und Dateisysteme
Windows NT unterstützt neben dem eigenen Dateisystem NTFS auch das DOS-Dateisystem FAT und das OS/2-Dateisystem HPFS. Ein Großteil der sicherheitsrelevanten Einstellungen ist allerdings nur unter NTFS gültig. Bei der Installation von Windows NT ist daher zu beachten, dass keine HPFS- oder DOS-Partitionen angelegt werden, da für diese kein Zugriffsschutz gilt, so dass derartige Partitionen zum Unterlaufen des Schutzes von Windows NT missbraucht werden können. Statt dessen müssen alle Partitionen mit dem NTFS-Dateisystem formatiert oder, sofern frühere Daten beibehalten werden sollen, zu diesem Dateisystem konvertiert werden.
Allerdings ist die Unterstützung des FAT-Dateisystems für Disketten notwendig, da das NTFS-Dateisystem aufgrund seiner Größe nicht auf Disketten untergebracht werden kann. Daher sollte der Zugriff auf Diskettenlaufwerke beschränkt werden (siehe M 4.52 Geräteschutz unter Windows NT/2000/XP).
Konfiguration des Anmelde-Vorgangs
Normalerweise zeigt Windows NT beim Anmelden den Namen des letzten Benutzers an, der sich am betreffenden Rechner eingeloggt hat. Diese Anzeige sollte durch Eintrag/Veränderung des Wertes "DontDisplayLastUserName" im Schlüssel "SOFTWARE\Microsoft\Windows NT\Current Version\Winlogon" des Bereiches HKEY_LOCAL_MACHINE der Registrierung auf den Wert REG_SZ = "1" verhindert werden.
Um unberechtigte Benutzer vor einem unzulässigen Zugriff auf das System zu warnen, sollte vor dem eigentlichen Anmelde-Vorgang ein Fenster mit einem geeigneten Text angezeigt werden. Dies wird durch Eingabe geeigneter Texte in die beiden Einträge "LegalNoticeCaption" und "LegalNoticeText" im Schlüssel "SOFTWARE\Microsoft\Windows NT\Current Version\Winlogon" des Bereiches HKEY_LOCAL_MACHINE der Registrierung erreicht.
Die betreffenden Änderungen können mit Hilfe des Registrierungs-Editors (des Programms REGEDT32.EXE im Windows-Systemverzeichnis %SystemRoot%\SYSTEM32) vorgenommen werden. Dabei ist besondere Vorsicht anzuwenden, da fehlerhafte Einstellungen in der Registrierung dazu führen können, dass das System nicht mehr lauffähig ist. Ab der Version 4.0 von Windows NT können diese Werte mit Hilfe des Systemrichtlinien-Editors zentral für die einzelnen Arbeitsstationen vorgegeben werden.
Laden von Subsystemen
Die optionalen Subsysteme POSIX und OS/2 sollten nur dann installiert bleiben, wenn sie zur Durchführung von Anwendungen auch tatsächlich benötigt werden. Sofern dies nicht der Fall ist, sollte auf ihre Installation verzichtet werden, oder die Systeme sollten, falls diese schon erfolgt ist, wieder gelöscht werden. Dazu sind dann die Unterverzeichnisse POSIX bzw. OS2 des Windows-Systemverzeichnisses %SystemRoot%\SYSTEM32 mit ihren eventuellen Unterverzeichnissen zu löschen. Weiterhin sind die folgenden Programme und ladbaren Bibliotheken im Windows-Verzeichnis %SystemRoot%\SYSTEM32 zu löschen:
- OS/2: | OS2.EXE |
OS2SRV.EXE | |
OS2SS.EXE | |
- POSIX: | PSXDLL.DLL |
PAX.EXE | |
POSIX.EXE | |
PSXSS.EXE |
Außerdem sind folgende Einträge im Teilschlüssel \SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems im Bereich HKEY_LOCAL_MACHINE der Registrierung zu löschen:
- - OS/2: Eintrag "Os2" mit dem Wert %SystemRoot%\system32\os2ss.exe
- - POSIX: Eintrag "Posix" mit dem Wert %SystemRoot%\system32\psxss.exe
Starten von Diensten
Sofern Dienste, die keine Standarddienste von Windows NT sind, konfiguriert werden sollen, sollte bei Festlegung der Startart dieser Dienste (mit der Systemsteuerungsoption "Dienste") nach Möglichkeit ein eigenes Benutzerkonto zum Start jedes dieser Dienste vorgesehen werden, um die Befugnisse des betreffenden Dienstes geeignet einschränken zu können. Das dabei verwendete Benutzerkonto muss über das Recht "Als Dienst starten" verfügen, und es sollte außer für diesen Dienst nicht verwendet werden, also insbesondere auch kein Login von Benutzern zulassen. Dienste, die nicht auf diese Weise einem speziellen Benutzerkonto zugeordnet wurden, laufen im Kontext der speziellen Benutzergruppe SYSTEM (siehe M 4.50 Strukturierte Systemverwaltung unter Windows NT), also mit den größtmöglichen Zugriffsberechtigungen.
Geräteschutz
Sofern der Computer über Diskettenlaufwerke, CD-ROM-Laufwerke und/oder Bandlaufwerke verfügt, sollten diese nach Möglichkeit spezifisch geschützt werden, wie in der Maßnahme M 4.52 Geräteschutz unter Windows NT/2000/XP beschrieben.
Notfalldiskette
Bei der Installation bietet Windows NT an, eine Notfalldiskette mit den wichtigsten Konfigurationsinformationen zu erzeugen. Von dieser Möglichkeit sollte Gebrauch gemacht werden, und die Diskette sollte bei Änderungen am System jeweils aktualisiert werden (siehe M 6.42 Erstellung von Rettungsdisketten für Windows NT). Dabei empfiehlt es sich, die Aktualisierung der Notfalldiskette jeweils nach dem nächsten Systemstart vorzunehmen, wenn also sichergestellt ist, dass sich das geänderte System noch starten lässt.
Vordefinierte Benutzerkonten
Das vordefinierte Administratorkonto ist Mitglied der vordefinierten Gruppe "Administratoren". Es erhält die Rechte und Berechtigungen, die dieser Gruppe erteilt wurden. Das Administratorkonto wird von der Person verwendet, welche die Gesamtkonfiguration der Arbeitsstation oder des Servers verwaltet. Der Administrator besitzt mehr Kontrollmöglichkeiten über den Windows NT Computer als jeder andere Benutzer. Daher ist dieses Konto besonders zu schützen (siehe M 4.77 Schutz der Administratorkonten unter Windows NT). Das vordefinierte Gastkonto ist Mitglied der Gruppe "Gäste". Es erhält die Rechte und Berechtigungen, die dieser Gruppe erteilt wurden. Beispielsweise kann sich ein Benutzer beim Gastkonto anmelden, Dateien erstellen und diese wieder löschen sowie Dateien lesen, für die ein Administrator den Gästen die Leseerlaubnis erteilt. Das Gastkonto wird als Service für Benutzer eingerichtet, die gelegentlich oder nur einmal den Rechner benutzen, so dass diese sich anmelden und mit eingeschränktem Funktionsumfang arbeiten können. Das Gastkonto ist bei der Installation von Windows NT 4.0 zunächst gesperrt, und es wird mit einem leeren Kennwort installiert. Das Gastkonto ist auf jeden Fall mit einem sicheren Passwort zu versehen, und die Sperre sollte nicht aufgehoben werden, wenn es keine schwerwiegenden Gründe für seine Benutzung gibt. Das vordefinierte Gastkonto kann umbenannt, aber nicht gelöscht werden. Es sollte unmittelbar nach der Installation umbenannt werden.
Das Erstbenutzerkonto wird für den ersten Benutzer einer Arbeitsstation eingerichtet. Da es Mitglied der Gruppe "Administratoren" ist, kann die Arbeitsstation mit dem Erstbenutzerkonto vollständig verwaltet werden. Das Erstbenutzerkonto wird bei der Installation von Windows NT erstellt, wenn die Arbeitsstation zu einer Arbeitsgruppe hinzugefügt wird oder wenn sie nicht für den Netzbetrieb konfiguriert wurde. Das System fordert zur Eingabe eines Benutzernamens und eines Kennworts auf. Wenn der Rechner bei der Installation von Windows NT zu einer Domäne hinzugefügt wird, wird das Erstbenutzerkonto nicht erstellt, weil erwartet wird, dass sich der Benutzer unter Verwendung eines Kontos von der Domäne anmeldet.
Hinweis: Sofern Windows NT bei der Installation ein Erstbenutzerkonto einrichtet, sollte dieses als Konto zur Systemverwaltung verwendet werden.
Installation im Netz
Weiterhin ist zu beachten, dass alle Clients bei der Konfiguration ihrer Netzsoftware als Mitglieder einer der vorher definierten Domänen (und nicht als Mitglieder von Arbeitsgruppen) konfiguriert werden. Falls auf ihnen Benutzerkonten benötigt werden, müssen diese immer als domänenweite Konten und nicht als lokale Konten definiert werden, um die Entstehung unüberschaubarer Rechtestrukturen zu vermeiden.
Zur Vereinfachung der Installation einer größeren Anzahl von Clients sollten vorher Skripten definiert werden, die eine automatische Installation und Konfiguration dieser Clients ermöglichen. Software aller Art sollte zentral auf einem Server bereitgestellt und von dort aus auf dem entsprechenden Rechner installiert werden.
Ergänzende Kontrollfragen:
- Welchen Benutzern wurde die Zugangskontrollinformation (Benutzername, Passwort) zu den vordefinierten Benutzerkonten mitgeteilt?
- Wird regelmäßig kontrolliert, ob das Gastkonto noch gesperrt ist, bzw. wenn es genutzt werden muss, werden die der Gruppe "Gäste" erteilten Zugriffsrechte und die Gruppenzuordnung des Gastkontos regelmäßig überprüft?