Vordefinierte Sicherheitsvorlagen
Vorwort
Sicherheitsvorlagen sind Textdateien, die einen Satz von Sicherheitskonfigurationseinstellungen
beschreiben. Sie können eigene Sicherheitsvorlagen
von Grund auf neu einrichten. Allerdings ist es meist einfacher - und auch gründlicher
-, mit einer der mit Windows Server 2003 gelieferten
Sicherheitsvorlagen zu beginnen. Die Windows Server 2003 Familie enthlt mehrere
vordefinierte Sicherheitsvorlagen, die Sie kopieren und modifizieren
können, um die Sicherheitsvorlagen, die Sie kopieren und modifizieren können,
um die Sicherheitsanforderungen Ihrer Organisation zu erfüllen und die
Vorlagen auf die Computer in Ihrem Netzwerk anwenden zu können.
Standardmäßig sind dise vorlagen im Verzeichnis "C:\Windows\Security\Templates"
abgelegt.
Wichtiger Hinweis!
Änder Sie die vordefinierten Sicherhetisvorlagen selbst nicht. Weil diese
Dateien sehr bekannt sind, könnte ein anderer Administrator auf die Idee
kommen, Ihre modifizierte Standardvorlage zu verwenden, ohne von den von Ihnen
vorgenommenen Änderungen zu wissen. Auch ist beispielsweise
die Vorlange "Setup Secutiry.inf" sehr wichtig, da Sie mit ihr die
Standardsicherheitseinstellungen wiederherstellen können sollten Sie sich
einmal
etwas zu sehr verkonfiguriert haben.
Sie zur Erstellung einer eigenen Vorlage stattdessen eine Kopie der Standardvorlage,
die Sie dann nach Bedarf ändern können.
Tipp:
Wenn Sie nicht wissen, welche Sicherheitseinstellungen Sie gerade an einem Rechner
vorfinden, und zb. die Vorlage "Hisec.inf" anwenden möchten.
So wenden Sie als erstes die "Setup Security.inf" Sicherheitsvorlage
an, und anschließend die Richtlinie "Hisec.inf", denn die Einträge
die in den
verschiedenen Sicherheitsvorlagen aktiviert bzw. konfiguriert sind müssen
nicht ident sein, und so könnte es passieren, dass Sie ein regelrechtes
durcheinander an Einstellungen vorfinden dem Sie nicht mehr Herr werden.
Die folgende Liste beschreibt die einzelnen vordefinierten Sicherheitsvorlagen:
Setup Security.inf und DC
Security.inf
Die Setup-Sicherheitsvorlage ist die Standardvorlage für eine Neuinstallation
aus der Windows Server 2003 Familie. Setup Secutiry.inf ist auf jeder
Arbeitsstation und jedem Server anders. Für
ein Setup von Domänencontrollern wird Secutiry.inf gemeinsam mit der Vorlage
DC Security.inf
verwendet. Die DC-Sicherheitsvorlage definiert Systemdiensteinstellungen,
die für einen Domänencontroller angemessen sind.
Compatws.inf
Wenn Sie nicht wollen, dass Ihre Benutzer als "Hauptbenutzer" geführt
werden müssen (meist alte oder schlecht Programmierte Anwendungen die
höhere Privilegien als die des "Benuter" benötigen um zu
funktionieren), schwächt diese Vorlage die Berechtigungen der Gruppe "Benutzer"
so ab,
das auch ältere Anwendungen korrekt ausgeführt werden können.
Diese Konfiguration gilt jedoch nicht als sichere Umgebung. Die Vorlage
entfernt alle Mitglieder der Gruppe "Hauptbenutzer"
auf Computern unter Betriebssystemen der Widnows Server 2003 Familie.
Securews.inf und Securedc.inf
Diese Vorlagen erhöhen die Sicherheit für Bereiche des Betriebssystems,
die nicht durch Berechtigungen abgedeckt sind, darunter
Kontrorichtlinien, Überwachung und ausgewählte sicherheitsrelevante
Registrierungsschlüssel. Die Vorlange entfernt
alle Mitglieder der Gruppe
"Hauptbenutzer" auf Computern unter WIndows XP.
Hisecws.inf und Hisecdc.inf
Diese Vorlagen sind für Computer gedacht, die in einem Netzwerk eingesetzt
werden, das mit der Domänenfunktionsebene Windows 2000 pur oder
Windows Server 2003 läuft. In dieser Konfiguraiton muss die gesamte Konfiguration
muss die gesamte Netzwerkkommunikation digital signiert und
auf einer Ebene verschlüsselt sein, die nur von Windows 2000, Windows XP,
und den Betriebssystemen der Windows Server 2003 Familie realisiert
werden kann. Aus diesenm Grund kann ein hochsicherer Computer unter einem Betriebssystem
der Windows Server 2003 Familie nur mit solchen
Computern kommunizieren, die unter einem dieser Betriebssysteme laufen.
Rootsec.inf
Diese Vorlage setzte die Standardberechtigungseinträge des Systemstammordners
zurück und überträgt die Berechtigungen auf alle Unterordner
und Dateien. Die Berechtigungseinträge des Stammordners werden also von
allen Dateien und Unterordnern mit Ausnahme derjeneigen geerbt, für
die explizite Berechtigungen konfiguriert sind. Beachten Sie, dass diese vorlage
unter Windows Server 2003 neu ist.
Iesacls.inf
Diese Vorlagen ermöglichen die Aktivierung der Überwachung von Registrierungseinstellungen,
die die Sicherheit des Microsoft Internet Explorers
steuern. Die Anwendung der Vorlage verbessert die Sicherheit des Internet Explorers
nciht, sondern soll nur als Ausgangspunkt für die Erstellung
einer Vorlage für die Internet Explorer bezogene Sicherheit dienen.
Insidertipp:
Vielleicht sind Sie versucht, einfach die vordefinierten Sicherheitsvorlagen
für hohe Sicherheit anzuwendne. Schließlich gilt doch: Je sicherer,
desto
besser, nciht wahr? Leider ist es nicht ganz so einfach. Sicherheit ist ein
Kompromiss, und ein mehr an Sicherheit muss praktisch immer mit einem
Weniger an anderer Stelle bezahlt werden. Normalerweise ist es so, dass Sie,
je strikter Sie Ihre Computer absichern, umso mehr Helpdeskanrufe
erhalten, Anwendungsfehlschläge verzeichnen und Produktivitätsverringerungen
feststellen werden, weil Benutzer Systeme, auf die sie Zugriff
haben sollten, nciht verwenden können.
Erstellt von: Haßlinger Stefan
Im: Jahr 2006