Sicherheitsvorlageneinstellungen
Vorwort
Von ihrer Struktur her sind Sicherheitsrichtlinien und Sicherheitsvorlagen identisch,
d.h. Sie sind bereits mit vielen
Einstellungen vertraut, die innerhalb einer Sicherheitsvorlage vorkommen können.
So können Sie eine Sicherheits-
vorlage etwa zur Konfiguration der Berechtigungen verwenden, die mit Dateien,
Ordnern, Registrierungseinträgen
und Diensten verknüpft sind. Sicherheitsvorlagen können allerdings
mehr Optionen aufweisen als die Richtlinie für
den lokalen Computer, denn sie enthalten Optionen sowohl für eigenständige
Computer als auch
für solche, die Mitglied einer Domäne sind.
Zu wissen, welche Sicherheitseinstellungen mithilfe von Sicherheitseinstellungen
mithilfe von Sicherheitsvorlagen
konfiguriert bzw. nicht konfiguriert werden können, ist wesentlich für
die erfolgreiche Verwendung von Sicherheits-
vorlagen. Die folgenden Abschnitte beschreiben die verschiedenen Einstellungstypen
die in einer Sicherheitsvor-
lage definiert werden können.
Kontorichtlinien
Kontorichtlinien steuern die Art und Weise, wie Benutzerkonten mit dem Computer
oder der Domäne interagieren
können. Kontorichtlinien können in einer Domäne nur einmal definiert
werden. Der Knoten Kontorichtlinien enthält
drei Knoten:
Kennwortrichtlinien
Legen Einstellungen
für Kennwörter fest, zB. ob eine Kennwortchronik aufbewahrt wird,
wie hoch das minimale
und maximale
Kennwortalter sein darf und wie komplex und lang ein Kennwort sein muss.
Sicherheitswarnung!
Stellen Sie das minimale Kennwortalter nur ein, wenn Sie auch ein maximales
Alter und die Erzwingung einer
Kennwortchronik definiert haben. Das minimale Kennwortalter verhindert, dass
Benutzer ihr Kennwort unmittelbar
nach einer durch das maximale Alter erzwungenen Änderung wiederherstellen.
Kontosprerrungsrichtlinien
Bestimmt die
Umstände und die Dauer der Sperrung eines Kontos.
Sicherheitswarnung!
Durch Aktivierung einer Kontosperrung wird die Sicherheit nicht unbedingt erhöht.
Tatsächlich entsteht hierdurch
eine neue "Sicherheitslücke". Ein Angreifer, der gültige
Benutzernamen kennt, kann falsche Kennwörter für Benu-
tzer erraten und so rechtmäßige Benutzer aussperren. Auf diese Weise
findet ein sog. Denial-of-Service-Angriff statt.
Kerberos-Richtlinie
Bestimmt Einstellungen
im zusammenhang mit Kerberos, zB. Gültigkeitsdauern von Tickets und deren
erzwun-
gene Erneuerung.
In den Richtlinien für lokalen Computer existiert die Kerberos-Richtlinie
nicht.
Für Domänenkonten kann es nur eine Kontorichtline
geben. Diese Kontorichtlinie muss in der Standarddomänen-
richtlinie definiert sein und wird durch die Domänencontroller erzwungen,
die die domäne bilden. Ein Domänencon-
troller erhält die Kontorichtlinie auch dann immer vom Gruppenrichtlinienobjekt
der Standarddomänenrichtlinie, wenn
auf die Organisationseinheit, die den Domänencontroller enthält, eine
andere Kontorichtlinie angewendet wird.
Standardmäßig erhalten Arbeitsstationen und Server, die einer Domäne
beitreten (zB. Mitgliedscomputer), ebenfalls
die gleiche Kontorichtlinie für ihre lokalen Konten. Allerdings können
sich die lokalen Kontrorichtlinien von der Domänen-
kontorichtlinie unterscheiden. Dies ist etwa der Fall, wenn Sie iene Kontorichtlinie
speziell für lokale Konten definieren.
Lokale Richtlinien
Der Knoten Lokale Richtlinien in einer Sicherheitsvorlage
enthlt Richtlinien, die die Überwachung, die Benutzerrechte
und verschiedene Sicherheitsoptionen für einen Computer konfigurieren.
Der Knoten Lokale Richtlinien enthält drei
Knoten:
Überwachungsrichtlinie
Hier definieren
Sie die Überwachungsrichtlinien, die Sie für die Ereigniskategorien
wählen. Auf Mitgliedsservern und
Arbeitsstaionen,
die einer Domäne beitreten, sind die Überwachungseinstellungen für
die Ereigniskategorien stan-
dardmäßig
nicht definiert. Auf Domänencontrollern ist die Überwachung standardmäßig
abgeschaltet. Durch Defi-
nition von Überwachungseinstellungen
für die einzelnen Ereigniskategorien können Sie eine Überwachungsrichtlinie
erstellen, die
den Sicherheitsbedürfnissen Ihrer Organisation entspicht.
Zuweisen von Benutzerrechten
Diese Richtlinien
definieren Dutzende von Optionen, die angeben, welche Benutzer verschiedene
Handlungen auf ei-
nem Computer
durchführen können.Sie können die in diesem Knoten enthaltenen
Richtlinien verwenden, um unter
anderem zu steuern,
wer sich an einem Computer anmelden, Dateien auf dem Computer sichern und ein
System
neu starten
kann bzw. nicht kann. In der Regel ist es empfehlenswerter, Benutzer, die zusätzliche
Rechte benötigen,
vordefinierten
Gruppe (zB. der Gruppe "Hauptbenutzer") zuzuweisen.
Sicherheitsoptionen
Der Knoten Sicherheitsoptionen
enthält Richtlinien, die sinngemäß nicht in die anderen Richtliniengruppen
passten.
Hierzu gehören
Optionen wie etwa, ob ein Computer selbstständig herunterfährt, wenn
das Sicherheitsereignispro-
tokoll voll
ist, ob unsignierte Treiber installiert werden können und ob die Tastenkombination
STRG+ALT+ENTF
bei der Anmeldung
benötigt wird.
Ereignisprotokolle
Der Knoten Ereignisprotokolle in einer Sicherheitsvorlage
enthält Richtlinien, die das Verhalten der Ereignisprotokolle
auf einem Computer definieren. Diese Richtlinien definieren die maximale Größe
der 3 wesentliche Protokolldateien:
Anwendungsrotokoll
Sicherheitsprotokoll
Systemprotokoll
Sie können mithilfe dieser Richtlinien auch steuern, welche Benutzer zum
Zugriff auf die 3 Ereignisprotokolle berechtigt
sind. Von besonderer Bedeutung für Umgebungen, in denen eine Chronik der
auf einem Computer durchgeführten
Aktionen aufbewahrt werden soll, sind Richtlinien die die Aufbewahrungsmethoden
festlegen. So können Sie etwa
definieren, dass Protokolldateien für eine bestimmte Anzahl an Tagen aufbewahrt
werden soll, und ob Ereignisse bei
Bedarf überschrieben oder nach einer bestimmten Anazahl von Tagen gelöscht
werden soll.
Es ist gängige Praxis, die Richtlinie Sicherheitsprotokoll
aufbewahren so zu definieren, dass Windows Server 2003
das Sicherheitsprotokoll 30 Tage lang aufbewahrt. Auf diese Weise können
Sie das Sicherheitsprotokoll nach einem
erkannten Angriff überprüfen, um möglicherweise Hinweise darauf
zu erhalten, wie der Angreifer auf das System zuge-
griffen hat.
Gruppenmitgliedschaften
Anders als bei den Knoten Kontorichtlinien, lokale Richtlinien und Ereignisprotokolle
enthält der Knoten eingeschränkte
Gruppen keine Richtlinienliste. Stattdessen können Sie diesen Knoten verwenden,
um Sicherheitsgruppen namentlich
festzulegen und die Mitgliedschaften dieser Gruppen dann einzuschränken.
Für jede Gruppe, die Sie angeben, können
Sie 2 Eigenschaften Festlegen:
Mitglieder
Mitgliedschaft
Die Liste Mitglieder definiert wer und wer nicht zur eingeschränkten Gruppe
gehört. Die Liste Mitgliedschaft hingegen
gibt an, zu welchen anderen Gruppen die eingeschränkte Gruppe gehört.
Wenn eine Richtlinie Eingeschränkte Gruppen erzwungen
wird, werden alle aktuellen Mitglieder einer Eingeschränkten
Gruppe, die nicht auf der Liste Mitglieder stehen entfernt. Umgekehrt werden
alle Benutzer der Liste Mitglieder, die der-
zeit nicht Mitglied der Eingeschränkten Gruppe sind dieser hinzugefügt.
Systemdienste
Dieser Knoten einer Sicherheitsvorlage dient der Feststellung des Starttyps
und der Autorisierung von Systemdiensten
eines Computers. Wenn Sie beispielsweise wollen, dass Benutzer den Nachrichtendienst
nach bedarf starten können,
können Sie eine Richtlinieneinstellung festlegen, die den Autostarttyp
des Nachrichtendienstes auf "manuell"
setzt,
und die Autorisierung dann so konfiguriert, dass nur Domänenbenutzer den
Dienst starten, anhalten und beenden können.
Registrierung
Dieser Knoten einer Sicherheitsvorlage wird zur Autorisierungsdefinition für
Registrierungsschlüssel und -werte
verwendet. Zwar sind die Standardautorisierungseinstellungen für die Registrierung
unter Windows Server 2003 für
die meisten Umgebungen ausreichen, aber Anwendungen legen häufig Daten
in der Regisrierung ab, die privater
Natur sind. Anwendungen, die eigene Schlüssel und Werte in der Registierung
anlegen, neigen dazu, die für
diese Daten notwendigen Berechtigungen nicht restriktiv genug zu halten. Glücklicherweise
lassen sich diese
Berechtigungen jedoch mithilfe von Sicherheitsvorlagen weiter einschränken.
Um einen Registrierungsschlüssel zu einer Sicherheitsvorlage
hinzuzufügen, klicken Sie mit der rechten Maustaste auf
den Knoten Registrierung und wählen dann
Schlüssel hinzufügen. Im Dialogfeld
Registrierungsschlüssel
auswählen, geben Sie den gewünschten Registierungsschlüssel
an. Wenn dieser nicht auf dem lokalen Computer vor-
handen ist, Sie die Sicherheitsvorlage aber zur Anwendung von Berechtigungen
auf anderen Computern verwenden
wollen, können Sie den Namen des Schlüssels auch manuell in das Feld
Ausgewählter Schlüssel eintragen.
Datei- und Ordnerberechtigungen
Der Knoten Dateisytem einer Sicherheitsvorlage
erlaubt Ihnen die Angabe von Datei- und Ordnerberechtigungen in der
Vorlage. Um eine Datei oder einen Ordner zu einer Sicherheitsvorlage hinzuzufügen,
klicken Sie mit der rechten
Maustaste auf den Knoten Dateisystem und wählen
dann Datei hinzufügen. Im Dialog Datei
oder Ordner hinzu-
fügen, geben Sie das Dateisystemobjekt an. Wenn dieses nicht auf
dem lokalen Computer vorhanden ist, Sie die
Sicherheitsvorlage aber zur Anwendung von Berechtigungen auf anderen Computern
verwenden wollen, können Sie
den Namen der Datei oder des Ordners auch manuell eingeben. Nach Angabe des
Dateisystemobjekts können Sie
die Oberfläche zur Konfiguration von Standardberechtigungen und speziellen
Berechtigungen, wie Sie diese auch vom
Register "Sicherheit" eines Objektes kennen.
Erstellt von: Haßlinger Stefan
Im: Jahr 2006