Microsoft Security Tool Kit: Ein neues Windows NT 4.0-System installieren und absichern

Veröffentlicht: 06. Aug 2003

(Engl. Originaltitel: Microsoft Security Tool Kit: Installing and Securing a New Windows NT 4.0 System)

In dieser Anleitung erfahren Sie, wie Sie ein neues Windows NT 4.0-System installieren und absichern können. Ziel der kurzen Anleitung ist es, Ihnen das Verständnis für die grundlegend notwendigen Schritte bei der Installation zu vermitteln.

*
**
Links zu verwandten Themen
Engl. Originalversion dieses Artikels
**
Auf dieser Seite
Schritt 1: Eine Basisinstallation durchführenSchritt 1: Eine Basisinstallation durchführen
Schritt 2: Absichern der BasisinstallationSchritt 2: Absichern der Basisinstallation
Schritt 3: Absichern des Internet Information ServerSchritt 3: Absichern des Internet Information Server
Schritt 4: SystemwartungSchritt 4: Systemwartung

Ziel dieser kurzen Anleitung ist es, Ihnen das Verständnis für die grundlegenden notwendigen Schritte bei der Installation von Windows NT 4.0 zu Vermitteln. Diese Anleitung bezieht sich auf zusätzliche Dokumente, die Sie im Abschnitt Inhalte des Microsoft Security Tool Kits finden.

Die Informationen in dieser Anleitung beziehen sich auf:

Microsoft Windows NT Server 4.0, Enterprise Edition

Microsoft Windows NT Workstation 4.0

Microsoft Windows NT Server 4.0

Schritt 1: Eine Basisinstallation durchführen

Während des Installationsprozesses ist ein System, solange der Installationsprozess nicht vollständig abgeschlossen ist, und alle Servicepacks und Hotfixes installiert sind, verwundbar für Angriffe auf bekannte Sicherheitslücken. Um zu vermeiden, dass ein System schon während des Installationsvorganges kompromittiert wird, trennen Sie, wenn möglich das System von allen Netzwerken. Weitere Informationen, die Ihnen helfen zu erkennen, ob Ihr System oder Netzwerk kompromittiert wurde, finden Sie hier. Wählen Sie eine der zwei folgenden Installationsmethoden:

Installation von Windows NT 4.0 ohne Netzwerkverbindung: Normalerweise wird dies unter Verwendung einer CD durchgeführt.
Die Basisinstallation des Internet Information Server (IIS) ist für Sicherheitsangriffe verwundbar und sollte deaktiviert bleiben, bis Sie das Windows NT 4.0 Service Pack 6a und das IIS Security Roll-up Package installiert haben.

Installation von Windows NT 4.0 mit einer Verbindung zu einem Netzwerk das nicht kompromittiert wurde.

Zum SeitenanfangZum Seitenanfang

Schritt 2: Absichern der Basisinstallation

Nachdem das Betriebssystem installiert und lauffähig ist, ist es an der Zeit es weiter abzusichern. Abhängig von Ihrer Installation aus Schritt 1 könnte es sein, dass Sie einige der folgenden Schritte überspringen können.

Installieren Sie das Windows NT 4.0 Service Pack 6a.
Informationen zur Installation von Servicepacks unter Windows NT 4.0 finden Sie unter Windows NT 4.0 SP6a Readme (englischsprachig) und Windows NT 4.0 SP6a über den Systems Management Server 1.2 und 2.0 verteilen (englischsprachig).

Sie haben bei der Absicherung des Internet Explorers ein paar Möglichkeiten:

Installieren Sie den Internet Explorer 5.01 SP2 um den minimalen Anforderungen an eine grundlegende Sicherheit zu genügen.

ODER

Installieren Sie den Internet Explorer 5.5 SP2, wenn Sie die erweiterten Funktionen dieser neueren Browserversion nutzen möchten.

ODER

Installieren Sie den Internet Explorer 6.0 SP1 und den kumulativen Patch aus dem Microsoft Knowledge Base Artikel 810847 (englischsprachig) oder höher (dies wird empfohlen), wenn Sie die erweiterten Funktionen dieser neueren Browserversion nutzen möchten.

Installieren Sie entweder das Windows NT 4.0 Server Option Pack, oder das Windows NT Workstation 4.0 Option Pack, wenn der IIS installiert ist und ausgeführt wird, oder wenn Sie dies für die Zukunft planen. Das Optionpack aktualisiert die IIS-Version auf die Version 4.0.

Warnung: Ignorieren Sie die Warnmeldung die Ihnen mitteilt, dass das Optionpack für das Servicepack 4.0 oder höher nicht getestet wurde.

Installieren Sie Windows NT 4.0 Service Pack 6a erneut, um die durch die Installation des Windows NT 4.0 Optionpack entstandenen Dateien zu aktualisieren.

Installieren Sie das Security Rollup (SRP) aus dem Microsoft Knowledge Base Artikel 29944 (englischsprachig) und alle grundlegenden Sicherheits-Hotfixes, die nach dem Security Rollup veröffentlicht wurden. Diese müssen über die folgenden Schritte nach der Installation des Servicepacks 6a installiert werden.

Installieren Sie das WPost-Windows NT 4.0 Service Pack 6a Security Roll-up.

Installieren Sie alle Post-SRP Sicherheits-Hotfixes. Verwenden Sie hierzu, wie unten beschrieben, Qchain.

Installieren Sie das IIS 4.0 Security Roll-up Package, wenn Sie die Verwendung dieses Dienstes planen. Bedenken Sie: Wenn Sie das Betriebssystem ohne Netzwerkverbindung installieren, und der IIS ausgeführt wird, sollten Sie erst nach der vollständigen Ausführung dieses Schrittes eine Netzwerkverbindung erstellen.

Installieren Sie die Windows Media Player 6.4 Patches.

Zum SeitenanfangZum Seitenanfang

Schritt 3: Absichern des Internet Information Server

Sie haben nun durch die installierte Sicherheitspatches eine gute Grundlage. Webserver sind für Sicherheitsangriffe besonders verwundbar, und das folgende Tool wurde entwickelt, um Sie zu unterstützen. Wenn der IIS auf Ihrem System ausgeführt wird führen Sie bitte den folgenden Schritt aus.

IIS Lockdown:
Mit diesem Tool können Sie IIS 4.0 oder 5.0 Webserver für einen sicheren Betrieb konfigurieren. Es enthält Vorlagen für die Serverrollen Microsoft Exchange, Commerce Server, BizTalk, Small Business Server, SharePoint Portal Server, FrontPage Server Extensions und SharePoint Team Server. Das Tool stellt eine Rückgängig-Funktion zur Verfügung, so dass jeweils die letzte Änderung am IIS wieder entfernt werden kann. Es überwacht alle am IIS-Webserver eingehenden Anfragen und lässt nur die passieren, die mit den vom Administrator erstellten Regeln übereinstimmen. Dies führt zu einer deutlichen Steigerung der Sicherheit auf dem Server und stellt sicher, dass er nur auf gültige Anfragen antwortet. Der Administrator kann mit dem Tool Anfragen basierend auf deren Länge, Zeichensatz, Inhalt und anderen Faktoren filtern. Es wird ein Standartfiltersatz zur Verfügung gestellt. Dieser kann für die Bedürfnisse auf einem bestimmten Server angepasst werden.

Anmerkung: Es sollten vor und nach der Anwendung des IIS Lockdown Tools alle SRP und Post-SRP Sicherheits-Hotfixes installiert werden.

Zum SeitenanfangZum Seitenanfang

Schritt 4: Systemwartung

Sie haben Ihr System nun mit einer guten, grundlegenden Sicherheit installiert. Ohne eine fortwährende Wartung des Systems könnte es jedoch für neue Arten von Angriffen wieder verwundbar werden.

Verwenden Sie das Tool HFNetChk um festzustellen welche Sicherheits-Hotfixes für das Betriebssystem Windows NT 4.0 und den Internet Information Server 4.0, SQL Server 7.0, SQL Server 2000 (inklusive der Microsoft Data Engine-MSDE) und den Internet Explorer 5.01 oder höher installiert wurden.
Wenn Sie das Tool HFNetChk nach der oben beschriebenen Einrichtung einer grundlegenden Sicherheit ausführen, werden von HFNetChk viele Sicherheits-Hotfixes als nicht installiert angezeigt. Das ist richtig, und entspricht unseren Erwartungen. Dieses Dokument beschreibt nur eine Grundlage, auf der Sie aufbauen können. Wir empfehlen Ihnen alle weiterhin notwendigen Schritte vorzunehmen, um sicherzustellen, dass alle kritischen Sicherheitspatches installiert sind.
Sie sollten die abzusichernden Computer täglich mit dem Tool prüfen, und zwar so oft bis Sie sicher sind alle von diesem vorgeschlagenen Hotfixes installiert zu haben. Sie können den Prüfzeitraum danach vergrößern. Wenn Sie neue Sicherheits-Hotfixes verteilen, sollten Sie aber weiterhin Prüfungen durchführen, um fehlende Hotfixes zu erkennen.

Anmerkung: Auch wenn der Microsoft Baseline Security Analyzer (MBSA) nicht unter Windows NT 4.0 ausgeführt werden kann, sollten Sie diese Maschinen von einem Windows 2000 oder Windows XP Computer aus analysieren. Zusätzlich zur Erkennung von fehlenden Patches oder Updates erkennt der MBSA auch häufig auftretende Sicherheitslöcher und schlägt Lösungen für diese vor.

Abonnieren Sie den Microsoft Sicherheitsbenachrichtigungsdienst. Hierbei handelt es sich um einen kostenlosen E-Mail-Benachrichtigungsdienst, der seine Abonnenten über die Sicherheit von Microsoft Produkten informiert.

Laden Sie Sich über die Windows Update-Webseite eine Liste der aktuellen kritischen Updates herunter.

Wenn Sie Hotfixes auf mehrere Systeme verteilen, verwenden Sie das Tool Qchain um Hotfixes zusammenzufassen. So müssen Sie bei der Installation von mehreren Hotfixes nur einen Neustart durchführen.

Nach der Fertigstellung können Sie Sysprep unter dieser Installation ausführen, um ein Image mit grundlegenden Sicherheitseinstellungen für spätere Verwendung zu erstellen. Verwenden Sie hierzu ein Werkzeug eines Drittanbieters. Dieses Image kann dann für weitere Maschinen verwendet werden.

Weitere Artikel aus dem Microsoft Security Tool Kit:

Microsoft Security Tool Kit: Anleitungen, Updates und Tools

Microsoft Security Tool Kit: Kompromittierte Systeme

Microsoft Security Tool Kit: Ein neues Windows 2000-System installieren und absichern

Microsoft Security Tool Kit: Ein neues Windows NT 4.0-System installieren und absichern

Microsoft Security Tool Kit: Ein neues Windows NT Server 4.0, Terminal Server Edition-System installieren und absichern

Microsoft Security Tool Kit: Ein vorhandenes Windows NT 4.0-System absichern

Microsoft Security Tool Kit: Ein vorhandenes Windows NT 4.0, Terminal Server Edition-System absichern


Zum SeitenanfangZum Seitenanfang