Microsoft Security Tool Kit: Ein neues Windows 2000-System installieren und absichern

Veröffentlicht: 06. Aug 2003

(Engl. Originaltitel: Microsoft Security Tool Kit: Installing and Securing a New Windows 2000 System)

In dieser Anleitung erfahren Sie, wie Sie ein neues Windows 2000-System installieren und absichern können. Ziel der kurzen Anleitung ist es, Ihnen das Verständnis für die grundlegend notwendigen Schritte bei der Installation zu vermitteln.

Links zu verwandten Themen

•	Engl. Originalversion dieses Artikels

Auf dieser Seite

	Inhalt
	Schritt 1: Eine Basisinstallation durchführen
	Schritt 2: Absichern der Basisinstallation
	Schritt 3: Absichern des Internet Information Server
	Schritt 4: Kritische Updates erkennen
	Schritt 5: Systemwartung

Inhalt

Die Informationen in dieser Anleitung beziehen sich auf:

•	Microsoft Windows 2000 Advanced Server
•	Microsoft Windows 2000 Professional
•	Microsoft Windows 2000 Server

Kunden mit Microsoft Windows 2000 Datacenter Server sollten den Hersteller kontaktieren, um eine Anleitung zur Absicherung ihrer Systeme zu erhalten.

Zum Seitenanfang

Schritt 1: Eine Basisinstallation durchführen

Während des Installationsprozesses ist ein System, solange der Installationsprozess nicht vollständig abgeschlossen ist, und alle Servicepacks und Hotfixes installiert sind, verwundbar für Angriffe auf bekannte Sicherheitslücken. Um zu vermeiden, dass ein System schon während des Installationsvorganges kompromittiert wird, trennen Sie, wenn möglich, das System von allen Netzwerken. Wenn für den Installationsprozess eine Netzwerkverbindung notwendig ist, stellen Sie sicher, dass das Netzwerk nicht von Sicherheitsangriffen betroffen ist und das es aus dem Internet und für Systeme die mit Würmern oder Viren infiziert sind nicht erreichbar ist.

Wählen Sie eine der zwei folgenden Installationsmethoden:

•

Installation von Windows 2000 ohne Netzwerkverbindung: Normalerweise wird dies unter Verwendung einer CD durchgeführt. Es wird empfohlen, das Windows 2000 Service Pack 3 in die Installations-CD zu integrieren. Eine Anleitung hierzu erhalten sie unter: Microsoft Windows 2000 Service Pack 4 Installation and Deployment Guide (englischsprachig).
Stellen Sie sicher, dass Service Packs und Security Rollup Packs auch ohne Netzwerkverbindung zur Installation zur Verfügung stehen. Weitere Informationen zur Installation von Hotfixes erhalten Sie in der Anleitung Microsoft Windows 2000 Hotfix Installation and Deployment Guide (englischsprachig). Die Basisinstallation von Windows 2000 ist für Sicherheitsangriffe verwundbar, und sollte bis zu Installation aller aktuellen Servicepacks und Patches vom Netzwerk getrennt bleiben.

•

Installation von Windows 2000 mit einer Verbindung zu einem Netzwerk, das nicht kompromittiert wurde und aus dem öffentlichen Internet nicht erreichbar ist: Es wird für diese Installationsart eine Freigabe mit integriertem Servicepack empfohlen.

Die Basisinstallation des Internet Information Server (IIS) umfasst viele der am häufigsten ausgenutzten Sicherheitslücken. Um das Risiko einer Kompromittierung zu minimieren sollten Sie den IIS während der Installation von Windows 2000 über eine unattend.txt Datei deaktivieren. Weiter Informationen über die Datei unattend.txt in Verbindung mit einer Installation von Windows 2000 erhalten Sie im Kapitel 13 des "Deployment Planning Guide" (englischsprachig). Es wird für dieses Verfahren eine Freigabe mit einem integrierten Servicepack empfohlen.

Zum Seitenanfang

Schritt 2: Absichern der Basisinstallation

Nachdem das Betriebssystem installiert und lauffähig ist, ist es an der Zeit dies weiter abzusichern. Abhängig von Ihrer Installation aus Schritt 1 könnte es sein, dass Sie einige der folgenden Schritte überspringen können.

•	Installieren Sie das aktuellste Windows 2000 Service Pack. Weitere Informationen zur Installation von Servicepacks finden Sie unter Microsoft Windows 2000 Service Pack 4 Installation and Deployment Guide (englischsprachig).
•	Installieren Sie alle Updates (englischsprachig), die seit dem letzten Servicepack veröffentlicht wurden. Weiter Informationen zur Installation von Hotfixes finden Sie unter Microsoft Windows 2000 Hotfix Installation and Deployment Guide (englischsprachig). Bedenken Sie: Sie sollten den Computer nicht vor der Beendigung dieses Schrittes mit dem Netzwerk verbinden.
•	Installieren Sie die aktuellste Version des Internet Explorer, und ebenso alle Servicepacks und kritischen Updates. Dieser Schritt ist auch auf Servern notwendig, da Administratoren bei der Arbeit am System den IE häufig benutzen.

Zum Seitenanfang

Schritt 3: Absichern des Internet Information Server

Sie haben nun über die installierten der Sicherheitspatches eine gute Grundlage. Webserver sind für Sicherheitsangriffe besonders verwundbar, und das folgende Tool wurde entwickelt um Sie zu unterstützen.

•

IIS Lockdown:
Mit diesem Tool können Sie IIS 4.0 oder 5.0 Webserver für einen sicheren Betrieb konfigurieren. Es stellt zwei Modi zu Verfügung: Einen Standartmodus, der für die meisten Standard-Webserver ausreichend ist, und einen erweiterten Modus, der es dem Administrator erlaubt die Technologien die der Server unterstützen soll auszuwählen. Das Tool stellt eine Rückgängig-Funktion zur Verfügung, so dass jeweils die letzte Änderung am IIS wieder entfernt werden kann. Es überwacht alle am IIS-Webserver eingehenden Anfragen und lässt nur die passieren, die mit den vom Administrator erstellten Regeln übereinstimmen.
Dies führt zu einer deutlichen Steigerung der Sicherheit auf dem Server und stellt sicher, dass er nur auf gültige Anfragen antwortet. Der Administrator kann mit dem Tool Anfragen basierend auf deren Länge, Zeichensatz, Inhalt und anderen Faktoren filtern. Es wird ein Standartfiltersatz zur Verfügung gestellt. Dieser kann für die Bedürfnisse auf einem bestimmten Server angepasst werden.

•

UrlScan:
Das Tool IIS Lockdown installiert UrlScan. UrlScan ist ein ISAPI-Filter, der am IIS-Server eingehende Anfragen überwacht und analysiert. Wenn UrlScan korrekt konfiguriert ist, wird der Schutz gegen Angriffe aus dem Internet deutlich gesteigert. In der Standartkonfiguration bietet UrlScan eine deutliche Steigerung gegenüber der Standartinstallation des IIS. Trotzdem schlägt Microsoft eine weitere Konfiguration von UrlScan vor, die Webanfragen bei gleichzeitiger Unterstützung Ihrer Anwendungen weiter einschränkt. Im Idealfall sollten nur noch Anfragen für die von Ihren Anwendungen genutzten Dateierweiterungen erlaubt sein. Sie sollten alle Änderungen vor der Implementierung in Ihrer Produktionsumgebung ausführlich testen.

Zum Seitenanfang

Schritt 4: Kritische Updates erkennen

Wenn Ihr System nicht mit dem Internet verbunden ist, sollten Sie jetzt eine Verbindung aufbauen, um auf das Windows Update zuzugreifen und so sicherzustellen, dass alle kritischen Updates installiert wurden. Von Zeit zu Zeit werden von Microsoft kritische Updates zur Behebung von aktuell entdeckten Sicherheitslöchern in Windows 2000 veröffentlicht. Über die Windows Update Webseite könnten kritische Updates, die nicht in diesem Dokument behandelt werden, erhalten.

Um auf die Windows Update Webseite zuzugreifen verbinden Sie Sich mit dem Internet, und wählen Windows Update im Startmenü. Wenn Sie zur Installation eines Steuerelementes aufgefordert werden, überprüfen Sie ob das Steuerelement von Microsoft ausgestellt wurde und klicken Sie auf Ja. Folgen Sie den angezeigten Anweisungen um alle kritischen Updates und Servicepacks zu finden und zu installieren.

Es könnte sein, dass Windows Update nicht alle verfügbaren Updates zusammen installieren kann. Wenn notwendig rufen Sie daher die Webseite nach dem Neustart des Systems erneut auf, und wiederholen Sie den oben beschriebenen Prozess, bis alle kritischen Updates und Servicepacks installiert wurden.

Zum Seitenanfang

Schritt 5: Systemwartung

Sie haben Ihr System nun mit einer guten, grundlegenden Sicherheit installiert. Ohne eine fortwährende Wartung des Systems könnte es jedoch für neue Arten von Angriffen wieder verwundbar werden.

•	Verwenden Sie Automatische Updates um automatisch bei Verfügbarkeit von neuen Sicherheits-Hotfixes benachrichtigt zu werden. Wenn möglich konfigurieren sie Automatisches Update so, dass die Updates automatische heruntergeladen und installiert werden. Zur Konfiguration wählen Sie in der Systemsteuerung die Option "Automatisches Update".
•	Abonnieren Sie den Microsoft Sicherheitsbenachrichtigungsdienst. Hierbei handelt es sich um einen kostenlosen E-Mail-Benachrichtigungsdienst, der seine Abonnenten über die Sicherheit von Microsoft Produkten informiert.
•	Der Microsoft Baseline Security Analyzer (MBSA) prüft Ihre Systeme und stellt Ihnen einen Sicherheitsbericht mit Vorschlägen zur Steigerung der Sicherheit zur Verfügung. Der MBSA erkennt fehlende Hotfixes und Fehlkonfigurationen des Betriebssystems, des IIS, des SQL-Servers und des Internet Explorers. Verwenden sie den MBSA, um nach der Installation vorhandene Sicherheitslöcher zu erkennen, und führen Sie ihn regelmäßig aus um neue Sicherheitslöcher zu finden. Wenn Sie ihn nach der Einrichtung der oben beschriebenen grundlegenden Sicherheit ausführen, werden im Bericht des MBSA viele Sicherheits-Hotfixes als nicht installiert angezeigt. Das ist richtig und entspricht unseren Erwartungen. Dieses Dokument stellt nur eine Grundlage zur Verfügung, auf der Sie aufbauen können. Es wird empfohlen, dass Sie die notwendigen Schritte ausführen um sicherzustellen, dass alle kritischen Sicherheitspatches installiert sind. Sie sollten die abzusichernden Computer täglich mit dem Tool prüfen, und zwar so oft bis Sie sicher sind, dass Sie alle von diesem vorgeschlagenen Hotfixes installiert zu haben. Sie können den Prüfzeitraum danach vergrößern, sollten aber weiterhin Prüfungen durchführen, um Hotfixes die deinstalliert oder überschrieben wurden, zu erkennen. Auch wenn Sie neue Sicherheits-Hotfixes verteilen, sollten Sie das Tool zur Erkennung von fehlenden Sicherheits-Hotfixes ausführen.
•	Wenn Sie Hotfixes auf mehrere Systeme verteilen, verwenden Sie das Tool Qchain um Hotfixes zusammenzufassen. So müssen Sie bei der Installation von mehreren Hotfixes nur einen Neustart durchführen.

Nach der Fertigstellung können Sie Sysprep unter dieser Installation ausführen, um ein Image mit grundlegenden Sicherheitseinstellungen für spätere Verwendung zu erstellen. Verwenden Sie hierzu ein Werkzeug eines Drittanbieters. Dieses Image kann dann für weitere Maschinen verwendet werden. Wenn es sich bei dem Image um eine Windows 2000 Professional Installation handelt, können Sie das Image über einen Windows 2000 RIS Server zur Verfügung stellen.

Weitere Artikel aus dem Microsoft Security Tool Kit:

•	Microsoft Security Tool Kit: Anleitungen, Updates und Tools
•	Microsoft Security Tool Kit: Kompromittierte Systeme
•	Microsoft Security Tool Kit: Ein neues Windows 2000-System installieren und absichern
•	Microsoft Security Tool Kit: Ein neues Windows NT 4.0-System installieren und absichern
•	Microsoft Security Tool Kit: Ein neues Windows NT Server 4.0, Terminal Server Edition-System installieren und absichern
•	Microsoft Security Tool Kit: Ein vorhandenes Windows NT 4.0-System absichern
•	Microsoft Security Tool Kit: Ein vorhandenes Windows NT 4.0, Terminal Server Edition-System absichern

Zum Seitenanfang