Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
Vor der Installation von Windows NT sollten einige Überlegungen getroffen werden, die im folgenden kurz dargestellt werden.
Sichere Systemversion Schon bei der Beschaffung muß entschieden werden, ob Windows NT in der englischen oder in der deutschen Version zum Einsatz kommen soll. Außerdem muß Windows NT, um sicher zu sein, wenigstens in der Version 3.51 mit dem jeweils aktuellen Service Paket4 betrieben werden (siehe auch M 476 Sichere Systemversion von Windows NT). Sofern eine ältere Windows NT Installation vorhanden ist, sollte diese nach Möglichkeit auf die Version 4 oder zumindest auf die Version 3.51 aktualisiert werden.
Partitionen und Dateisysteme
Windows NT unterstützt neben dem eigenen Dateisystem NTFS auch das DOS-Dateisystem FAT und das OS/2-Dateisystem HPFS. Ein Großteil der sicherheitsrelevanten Einstellungen ist allerdings nur unter NTFS gültig. Bei der Installation von Windows NT ist daher zu beachten, daß keine HPFS- oder DOS-Partitionen angelegt werden, da für diese kein Zugriffsschutz gilt, so daß derartige Partitionen zum Unterlaufen des Schutzes von Windows NT mißbraucht werden können. Statt dessen müssen alle Partitionen mit dem NTFS-Dateisystem formatiert oder, sofern frühere Daten beibehalten werden sollen, zu diesem Dateisystem konvertiert werden.
Allerdings ist die Unterstützung des FAT-Dateisystems für Diskette notwendig, da das NTFS-Dateisystem aufgrund seiner Größe nicht auf Disketten untergebracht werden kann. Daher sollte der Zugriff auf Diskettenlaufwerke beschränkt werden (siehe M 4.52 Geräteschutz unter Windows NT ).
Konfiguration des Anmelde-Vorgangs
Normalerweise zeigt Windows NT beim Einloggen den Namen des letzten Benutzers an, der sich am betreffenden Rechner eingeloggt hat. Diese Anzeige sollte durch Eintrag/Veränderung des Wertes " DontDisplayLastUserName " im Schlüssel " SOFTWARE\Microsoft\Windows NT\Current Version\Winlogon " des Bereiches HKEY_LOCAL_MACHINE der Registrierung auf den Wert REG_SZ = "1" verhindert werden.
Um unberechtigte Benutzer vor einem unzulässigen Zugriff auf das System zu warnen, sollte vor dem eigentlichen Anmelde-Vorgang ein Fenster mit einem geeigneten Text angezeigt werden. Dies wird durch Eingabe geeigneter Texte in die beiden Einträge " LegalNoticeCaption " und " LegalNoticeText " im Schlüssel " SOFTWARE\Microsoft\Windows NT\Current Version\ Winlogon " des Bereiches HKEY_LOCAL_MACHINE der Registrierung erreicht.
Die betreffenden Änderungen können mit Hilfe des Registrierungs-Editors (des Programms REGEDT32.EXE im Windows-Systemverzeichnis %SystemRoot%\SYSTEM32 ) vorgenommen werden. Dabei ist besondere Vorsicht anzuwenden, da fehlerhafte Einstellungen in der Registrierung dazu führen können, daß das System nicht mehr lauffähig ist. Ab der Version 4.0 von Windows NT können diese Werte mit Hilfe des Systemrichtlinien-Editors zentral für die einzelnen Arbeitsstationen vorgegeben werden.
Laden von Subsystemen
Die optionalen Subsysteme POSIX und OS/2 sollten nur dann installiert bleiben, wenn sie zur Durchführung von Anwendungen auch tatsächlich benötigt werden. Sofern dies nicht der Fall ist, sollte auf ihre Installation verzichtet werden, oder die Systeme sollten, falls diese schon erfolgt ist, wieder gelöscht werden. Dazu sind dann die Unterverzeichnisse POSIX bzw. OS2 des Windows-Systemverzeichnisses %SystemRoot%\SYSTEM32 mit ihren eventuellen Unterverzeichnissen zu löschen. Weiterhin sind die folgenden Programme und ladbaren Bibliotheken im Windows-Verzeichnis %SystemRoot%\SYSTEM32 zu löschen:
OS2.EXE
OS2SRV.EXE
OS2SS.EXE
PSXDLL.DLL
PAX.EXE
POSIX.EXE
PXSS.EXE
Sofern Dienste, die keine Standarddienste von Windows NT sind, konfiguriert werden sollen, sollte bei Festlegung der Startart dieser Dienste (mit der Systemsteuerungsoption " Dienste ") nach Möglichkeit ein eigenes Benutzerkonto zum Start jedes dieser Dienste vorgesehen werden, um die Befugnisse des betreffenden Dienstes geeignet einschränken zu können. Das dabei verwendete Benutzerkonto muß über das Recht " Als Dienst starten " verfügen, und es sollte außer für diesen Dienst nicht verwendet werden, also insbesondere auch kein Login von Benutzern zulassen. Dienste, die nicht auf diese Weise einem speziellen Benutzerkonto zugeordnet wurden, laufen im Kontext der speziellen Benutzergruppe SYSTEM (siehe M 4.50 Strukturierte Systemverwaltung unter Windows NT ), also mit den größtmöglichen Zugriffsberechtigungen.
Geräteschutz
Sofern der Computer über Diskettenlaufwerke, CD-ROM-Laufwerke und/oder Bandlaufwerke verfügt, sollten diese nach Möglichkeit spezifisch geschützt werden, wie in der Maßnahme M 4.52 Geräteschutz unter Windows NT beschrieben.
Notfalldiskette
Bei der Installation bietet Windows NT an, eine Notfalldiskette mit den wichtigsten Konfigurationsinformationen zu erzeugen. Von dieser Möglichkeit sollte Gebrauch gemacht werden, und die Diskette sollte bei Änderungen am System jeweils aktualisiert werden (siehe M 6.42 Erstellung von Rettungsdisketten für Windows NT ). Dabei empfiehlt es sich, die Aktualisierung der Notfalldiskette jeweils nach dem nächsten Systemstart vorzunehmen, wenn also sichergestellt ist, daß sich das geänderte System noch starten läßt.
Vordefinierte Benutzerkonten
Das vordefinierte Administratorkonto ist Mitglied der vordefinierten Gruppe "Administratoren". Es erhält die Rechte und Berechtigungen, die dieser Gruppe erteilt wurden. Das Administratorkonto wird von der Person verwendet, welche die Gesamtkonfiguration der Arbeitsstation oder des Servers verwaltet. Der Administrator besitzt mehr Kontrollmöglichkeiten über den Windows NT Computer als jeder andere Benutzer.
Daher ist dieses Konto besonders zu schützen (s. M4.77 Schutz der Administratorkonten unter Windows NT). Das vordefinierte Gastkonto ist Mitglied der Gruppe "Gäste". Es erhält die Rechte und Berechtigungen, die dieser Gruppe erteilt wurden. Beispielsweise kann sich ein Benutzer beim Gastkonto anmelden, Dateien erstellen und diese wieder löschen sowie Dateien lesen, für die ein Administrator den Gästen die Leseerlaubnis erteilt. Das Gastkonto wird als Service für Benutzer eingerichtet, die gelegentlich oder nur einmal den Rechner benutzen, so daß diese sich anmelden und mit eingeschränktem Funktionsumfang arbeiten können. Das Gastkonto ist bei der Installation von Windows NT 4.0 zunächst gesperrt, und es wird mit einem leeren Kennwort installiert. Das Gastkonto ist auf jeden Fall mit einem sicheren Paßwort zu versehen, und die Sperre sollte nicht aufgehoben werden, wenn es keine schwerwiegenden Gründe für seine Benutzung gibt. Das vordefinierte Gastkonto kann umbenannt, aber nicht gelöscht werden. Es sollte unmittelbar nach der Installation umbenannt werden.
Das Erstbenutzerkonto wird für den ersten Benutzer einer Arbeitsstation eingerichtet. Da es Mitglied der Gruppe "Administratoren" ist, kann die Arbeitsstation mit dem Erstbenutzerkonto vollständig verwaltet werden. Das Erstbenutzerkonto wird bei der Installation von Windows NT erstellt, wenn die Arbeitsstation zu einer Arbeitsgruppe hinzugefügt wird oder wenn sie nicht für den Netzbetrieb konfiguriert wurde. Das System fordert zur Eingabe eines Benutzernamens und eines Kennworts auf. Wenn der Rechner bei der Installation von Windows NT zu einer Domäne hinzugefügt wird, wird das Erstbenutzerkonto nicht erstellt, weil erwartet wird, daß sich der Benutzer unter Verwendung eines Kontos von der Domäne anmeldet.
Hinweis: Sofern Windows NT bei der Installation ein Erstbenutzerkonto einrichtet, sollte dieses als Konto zur Systemverwaltung verwendet werden.
Installation im Netz
Weiterhin ist zu beachten, daß alle Clients bei der Konfiguration ihrer Netzsoftware als Mitglieder einer der vorher definierten Domänen (und nicht als Mitglieder von Arbeitsgruppen) konfiguriert werden. Falls auf ihnen Benutzerkonten benötigt werden, müssen diese immer als domänenweite Konten und nicht als lokale Konten definiert werden, um die Entstehung unüberschaubarer Rechtestrukturen zu vermeiden.
Zur Vereinfachung der Installation einer größeren Anzahl von Clients sollten vorher Skripten definiert werden, die eine automatische Installation und Konfiguration dieser Clients ermöglichen. Software aller Art sollte zentral in einem Server bereitgestellt und von dort aus auf dem entsprechenden Rechner installiert werden.
Ergänzende Kontrollfragen:
© Copyright by Bundesamt für Sicherheit in der Informationstechnik 2000 .