Sicherheitseinstellungen für Desktopcomputer
Vorwort
Wenn ein Computerhersteller einen neuen Computer an eine Organisation ausliefert,
ist das Betriebssytem im
Allgemeinen so konfiguriert, dass es dem typischen Benutzer möglichst viel
Flexibilität bietet. In vielen
Organisationen wird zusätzliche Software wie etwa Microsoft Office unter
dem Betriebssystem installiert.
Auf diese Weise erhalten forgeschrittene Benutzer die Werkzeuge, die sie zur
Erledigung ihrer Aufgaben
benötigen.
Allerdings benötigen viele Mitarbeiter kein solches Maß
an Flexibilität, sondern sind vielmehr weitaus
produktiver, wenn die Software auf ihren Computern eingeschränkt ist. So
benötigt ein Benutzer in der Buch-
haltungsabteilung etwa nur ein Mailclient, eine Abrechnungssoftware und einen
Webbrowser. Einen
solchen Benutzertyp kann die Einschränkung der auführbaren Anwendungen
produktiver machen (indem
man etwa Solitaire entfernt). Außerdem verringern Sie so das Risiko einer
Infektion des Computers mit
heimtückischer Software wie Viren oder Trojaner.
Bei einer typischen eingeschränkten Desktopcomputerrolle
präsentieren sich der Desktop und das Start-
menü erheblich vereinfacht. Benutzer können - mit Ausnahme einer eingeschränkten
Anzahl anwendungs-
spezifischer Einstellungen - keinerlei umfangreiche Anpassungen vornehmen. Anwendungen
werden
Benutzern in der Regel basierend auf Ihren Arbeitsaufgaben zugeordnet, und Benutzer
können Anwendungen
nicht selbstständig hinzufügen oder entfernen. Diese Art der Desktopkonfiguration
ist beispielsweise
für eine Vertriebs- oder Firmenabteilung durchaus angemessen. In diesem
Bereich benötigen Benutzer
nur einen bestimmten, stark eingeschränkten Satz von (meist drei bis fünf)
Produktivitäts- und internen
Anwendungen, um ihre Aufgaben zu erledigen.
Wenn in Ihrer Umgebung sichere Desktopcomputer benötigt
werden, erstellen Sie eine Sicherheitsvorlage,
die Standardeinstellungen für die Desktopsicherheit enthält. Erstellen
Sie diese neue Sicherheitsvorlage
auf der Basis der vordefinierten Sicherheitsvorlage Hisecws.inf,
die bereits die Mehrzahl der von Ihnen
festzulegenden Einstellungen enthalten dürfte. Neben den in der vorlage
Hisecws.inf vorhandenen
Einstellungen sollten Sie in Betracht ziehen die beiden Richtlinien im Konten:
Administrator umbenennen
und Konten: Gastkonto umbenennen zu aktivieren.
Ferner sollten die Sicherheitsrichtlinien Ihrer Organisation
vorsehen, dass Ihre Benutzer über die aktiven Richtlinien Interaktive
Anmeldung: Nachrift für Benutzer, die
sich anmelden wollen und Interaktive
Meldung: Nachrichtentitel für Benutzer, die sich anmelden wollen
bei
der Anmeldung Warnhinweise erhalten. Um zu erfahren, welche Warnhinweise genau
angezeigt werden
sollen, sollten SIe sich an die Rechtsabteilung Ihrer Organisation wenden.
Wenn Sie die Sicherheitsvorlage erstellt haben, legen Sie
ein neues GPO für Ihren sicheren Desktopcom-
puter an und importieren Sie die Sicherheitsvorlage in dieses GPO. Es gibt viele
Einstellungen innerhalb
des GPO, die zur Absicherung eines Desktopcomputers hilfreich sind, aber nicht
in der Sicherheits-
vorlage definiert werden können. Insbesondere sollten Sie alle Gruppenrichtlinieneinstellungen
im Knoten
Benutzerkonfiguration-Administrative Vorlagen
überprüfen. Diese Einstellungen ermöglichen Ihnen eine
sorgfältige Konfiguraiton des Desktops. Sie können hier auch unnötige
oder unerwünschte Elemente
entfernen, zB. die Option Ausführen im
Startmenü.
Des Weiteren können Sie auch mit GPOs Dateiberechtigungen
und Registrierungsberechtigungen
konfigurieren, was sich auch als sehr hilfreich beweisen kann.
Generell sollten Sie sich einmal die Zeit nehmen, die Möglichen Einstellungen
in den Gruppenrichtlinien
durchzulesen damit Sie einen Überblick über die Möglichkeiten
und einen von Ihnen eventuellen
Einsatz der Richtlinien bekommen.
Erstellt von: Haßlinger Stefan
Im: Jahr 2006