Sie befinden sich hier: Themen IT-Grundschutz-Kataloge. Inhalt. Dokumententitel: M 2.326 Planung der Windows XP Gruppenrichtlinien - IT-Grundschutz-Kataloge - Stand 2006
direkt zu der Navigation Servicebereich. direkt zu der Hauptnavigation. direkt zur Themennavigation. direkt zum Seiteninhalt.

M 2.326 Planung der Windows XP Gruppenrichtlinien

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement

Verantwortlich für Umsetzung: IT-Sicherheitsmanagement, Administrator

Wie bereits unter Windows 2000 steht zur Konfiguration von Windows XP Systemen der Mechanismus der Gruppenrichtlinien zur Verfügung. Die unter Windows 2000 eingeführten Richtlinien wurden um Windows-XP-spezifische Inhalte erweitert , so dass mehr als 200 neue Richtlinien neu dazugekommen sind (insgesamt mehr als 900 Richtlinien).

Gruppenrichtlinien dienen dazu, einen Satz von Konfigurationseinstellungen, insbesondere auch Sicherheitseinstellungen, auf eine Gruppe von Objekten anzuwenden. Ein so genanntes Gruppenrichtlinienobjekt (englisch Group Policy Object, GPO) fasst dabei einen vorgegebenen Satz von Konfigurationsparametern zusammen. Für jeden Parameter kann ein konkreter Wert angegeben werden, der unter Umständen nur aus einem beschränkten Wertebereich stammt. Generell kann auch der Wert nicht definiert gewählt werden, dann gelten automatisch die Standardeinstellungen für diese Parameter.

Die Gruppenrichtlinien sind der primäre Mechanismus zur Umsetzung der in der Maßnahme M 4.244 Sichere Windows XP Systemkonfiguration empfohlenen Sicherheitseinstellungen. Sie können zur Definition der Parametereinstellungen für einen konkreten Rechner oder Benutzer lokal auf dem Rechner (lokale GPO) und beim Betrieb in einer Active Directory-basierten Umgebung noch zusätzlich auf der Standort-, Domänenebene bzw. auf der Ebene einzelner Organisationseinheiten eingesetzt werden.

Die Parameter innerhalb eines Gruppenrichtlinienobjektes sind baumartig oder dateisystemartig thematisch zusammengefasst. Dabei ergibt sich eine generelle Zweiteilung auf oberster Ebene in Einstellungen für Rechner und Benutzer. Dies ermöglicht sowohl die Definition von rechner- als auch benutzerbasierten Einschränkungen. Durch die im Benutzerteil einer Gruppenrichtlinie definierten Einstellungen werden unter anderem auch anwendungsspezifische Einschränkungen festgelegt. Durch den Import zusätzlicher administrativer Vorlagen können weitere Anwendungen, wie z. B. Microsoft Office, über die Gruppenrichtlinien zentral konfiguriert werden. Im Allgemeinen wird der Einsatz von benutzerspezifischen und anwendungsspezifischen Gruppenrichtlinien zum Einsatz empfohlen.

Benutzer- und Rechnerteile einer Gruppenrichtlinie lassen sich einzeln deaktivieren, so dass der jeweils deaktivierte Teil bei der Anwendung der Gruppenrichtlinie nicht ausgewertet wird. Dies schafft in einigen Einsatzszenarien Geschwindigkeitsvorteile. Über die Deaktivierung eines nicht genutzten Teils einer Gruppenrichtlinie ist im Allgemeinen in Abhängigkeit von aktuellen Gegebenheiten zu entscheiden.

Werden Gruppenrichtlinien festgelegt, muss auf die Unterschiede zwischen lokalen Gruppenrichtlinien und Richtlinien im Active Directory geachtet werden. Nicht alle Einstellungen, die in einer Active Directory-basierten GPO vorgenommen werden können, können auch in einer lokalen Gruppenrichtlinie definiert werden. So fehlen in der lokalen Gruppenrichtlinie z. B. die Kerberos- und die Systemdienst-Richtlinien. Einzelne Richtlinien wie z. B. Kennwörter für alle Domänenbenutzer mit umkehrbarer Verschlüsselung speichern sind nur beim Einsatz in einer Domäne wirksam. Bei der Festlegung einzelner Parametereinstellungen muss folglich stets der Geltungsbereich einzelner Richtlinien berücksichtigt werden.

Gruppenrichtlinien-Bereiche

Folgende Bereiche existieren im Computer-Teil einer Gruppenrichtlinie: Softwareeinstellungen, Windows-Einstellungen|Skripts, Windows-Einstellungen|Sicherheitseinstellungen, Administrative Vorlagen. Die Softwareeinstellungen sind vor allem beim Einsatz in einer Domäne relevant. Mit ihrer Hilfe kann über die Gruppenrichtlinien Software installiert, aktualisiert oder deinstalliert werden. Über die Skript-Richtlinien können Skripte spezifiziert werden, die beim Starten bzw. Herunterfahren des Systems ausgeführt werden.

Die Sicherheitseinstellungen-Richtlinien unterteilen sich in weitere Bereiche: Kontorichtlinien (Kennwortrichtlinien, Kontosperrungsrichtlinien, Kerberos-Richtlinie), Lokale Richtlinien (Überwachungsrichtlinien, Zuweisen von Benutzerrechten, Sicherheitsoptionen), Ereignisprotokoll, Eingeschränkte Gruppen, Systemdienste, Registrierung, Dateisystem, Richtlinien öffentlicher Schlüssel, Richtlinien für Softwareeinschränkung, IP-Sicherheitsrichtlinien. Bei der Festlegung von Richtlinien für Sicherheitseinstellungen ist zu beachten:

Der Bereich Administrative Vorlagen wird für die Konfiguration der Windows-Komponenten, des Systems, des Netzes sowie weiterer Anwendungen verwendet.

Anwendungsspezifische Richtlinien

Anwendungsspezifische Richtlinien werden im Bereich Computer-konfiguration|Administrative Vorlagen und Benutzerkon-figuration|Administrative Vorlagen definiert. Dabei können nicht nur Windows Komponenten wie NetMeeting, Internet Explorer, Windows Explorer, Windows Messenger konfiguriert werden, sondern auch andere Anwendungen, die ihre eigenen administrativen Vorlagen mitbringen, wie es bei Microsoft Office der Fall ist. Solche zusätzlichen administrativen Vorlagen müssen durch Administratoren explizit in eine Gruppenrichtlinie importiert werden.

Für die meisten Behörden und Unternehmen ist es empfehlenswert, alle vorhandenen Möglichkeiten zur zentralisierten anwendungsspezifischen Konfiguration auszunutzen, um durch die zentralisierte Vorgabe von sicherheitsrelevanten Einstellungen viele Sicherheitsrisiken zu beseitigen. Welche Komponenten und/oder Anwendungen zentral durch GPOs konfiguriert werden, ist in Abhängigkeit von der lokalen Umgebung festzulegen. Auch an dieser Stelle sollte die Grundsatzregel gelten, dass alle nicht benötigten Anwendungen bzw. Komponenten zu deaktivieren sind (z. B. Windows Messenger). Die erforderlichen Anwendungen und Komponenten sind so restriktiv wie möglich zu konfigurieren. Wird z. B. Microsoft NetMeeting benötigt, jedoch kein Desktop Sharing verwendet, so ist dieses Merkmal durch die Definition entsprechender Richtlinien zu deaktivieren.

Benutzerspezifische Richtlinien

Windows XP ermöglicht (wie auch schon Windows 2000) die Definition benutzerspezifischer Gruppenrichtlinien, die auf Benutzerbasis angewandt werden. Speziell beim Einsatz in einer Active Directory Umgebung kann dies Sicherheitsvorteile bringen, indem Einschränkungen in Abhängigkeit vom Benutzertyp definiert werden und beispielsweise zwischen normalen und administrativen Benutzern unterschieden wird. Jede Differenzierung lässt sich durch eine geeignete OU-Struktur und die Definition entsprechender Gruppenrichtlinien umsetzen.

Auch die Arbeitsumgebung eines Benutzers kann unter Windows XP durch die Verwendung von Gruppenrichtlinien in ihrer Funktionalität eingeschränkt werden. Insbesondere wird an dieser Stelle empfohlen, durch die Definition der geeigneten Parametereinstellungen die Konfiguration der MMC, des Startmenüs, der Taskleiste, des Desktops, der angezeigten Systemsteuerungskomponenten sowie der zugelassenen Windows-Anwendungen vorzunehmen.

Für die Arbeitsumgebung eines normalen Benutzers sollten nach Möglichkeit folgende Einschränkungen vorgenommen werden:

Bei der Definition von Richtlinien Nur zugelassene Windows-Anwendungen ausführen und Angegebene Windows-Anwendungen nicht ausführen ist zu beachten, dass diese Einschränkungen nur für den Start der Anwendungen mit dem Windows Explorer gelten. Der Start einer "verbotenen" Anwendung durch den Taskmanager, von der Kommandozeile oder aus einem anderen Programm heraus wird damit also nicht verhindert. Hierfür stehen je nach Notwendigkeit andere Mittel wie Richtlinien für Softwareeinschränkung (englisch Software Restriction Policy) zur Verfügung.

Außerdem sollten die anwendungsspezifischen Richtlinien zur Einschränkung der Anwendungen/Systemkomponenten auf Benutzerbasis verwendet werden.

Einsatz außerhalb von Active Directory-basierten Umgebungen

Beim Einsatz von Windows XP als Stand-alone-Rechner oder in einer Windows NT Domäne sind die zentralen Konfigurationsmöglichkeiten mittels globaler Gruppenrichtlinien nicht verfügbar. In diesem Fall müssen die lokalen Gruppenrichtlinien eines jeden Rechners zur Umsetzung der definierten sicherheits-relevanten Parametereinstellungen benutzt werden. Grundlage ist dabei der in der Planungsphase festgelegte Mechanismus zur Pflege von lokalen Gruppenrichtlinien auf mehreren Rechnern.

Einsatz in Active Directory-basierten Umgebungen

Beim Einsatz von Windows XP Systemen in Active-Directory-basierten Umgebungen (Windows 2000/2003 Domänen) ist der Einsatz lokaler Gruppenrichtlinien auf einzelnen Rechnern ebenfalls möglich. In diesem Fall werden jedoch die Vorteile der zentralen Administration nicht genutzt. Folglich ist es grundsätzlich empfehlenswert, die Active Directory-basierten Gruppenrichtlinien auf der Standort-, Domänenebene bzw. auf Ebene einzelner Organisationseinheiten für die Umsetzung der Sicherheitseinstellungen zu benutzen. Lokale Gruppenrichtlinien auf einzelnen Rechnern sollten aufgrund ihrer schlechten zentralen Verwaltbarkeit nach Möglichkeit nicht eingesetzt werden. Ist jedoch der gemeinsame Einsatz lokaler und Active-Directory-basierter Gruppenrichtlinien aus bestimmten Gründen erforderlich, so müssen die Parametereinstellungen aller Gruppenrichtlinien aufeinander abgestimmt werden.

Die Verwendung von Active-Directory-basierten Gruppenrichtlinien macht die Planung ihres Einsatzes in der Domäne (Windows 2000/2003) erforderlich. Weitere Informationen zu Windows 2000 Active-Directory-basierten Gruppenrichtlinien sind in der Maßnahme M 2.231 Planung der Gruppenrichtlinien unter Windows 2000 zusammengefasst. Im allgemeinen müssen folgende Aspekte der Verwendung von Active-Directory-basierten Gruppenrichtlinien bedacht werden:

Im Folgenden werden nur die davon abweichenden bzw. ergänzenden Informationen und Empfehlungen gegeben.

Windows XP bringt Änderungen und Neuerungen in der Gruppenrichtlinien-Funktionalität. Neue Features sind durch die aktualisierten clientseitigen Erweiterungen, .adm-Dateien (administrative Vorlagen) und das aktualisierte GPO Snap-in realisiert. Um die neuen Windows XP-spezifischen Merkmale auch in einer Windows 2000 Domäne zu nutzen, müssen die bestehenden Windows 2000 Gruppenrichtlinien aufgerüstet werden. Ein Upgrade erfolgt durch die Anwendung neuer .adm-Dateien und wird beim Laden der zu aktualisierenden Gruppenrichtlinie auf einem Windows XP Domänenmitglied mittels des Gruppenrichtlinien Snap-ins realisiert.

Das Upgrade der Gruppenrichtlinien muss unter Umständen wiederholt werden, wenn etwa ein neues Service Pack (SP) auf Windows 2000 Domain Controller angewandt wird. So ist beispielsweise die erneute Aktualisierung der Gruppenrichtlinien nach Installation des Windows 2000 SP4 notwendig.

Die Verwaltung der Windows XP-spezifischen Richtlinien im Active Directory sollte ausschließlich mit einem Windows XP Domänenmitglied erfolgen. Bei der Verwendung des Windows 2000 Gruppenrichtlinien Standard-Snap-ins sind Kompatibilitätsprobleme zu erwarten, die zwar nicht die Funktion der Gruppenrichtlinien, jedoch das Einsehen und das Modifizieren von GPOs beeinträchtigen können.

Die computerspezifischen Gruppenrichtlinien werden während des Boot-Vorgangs angewandt, die benutzerspezifischen Gruppenrichtlinien erst bei der Benutzeranmeldung. Dabei besitzt die benutzerspezifische Gruppenrichtlinie den Vorrang und überschreibt gegebenenfalls Einstellungen, die in der Computer-Richtlinie definiert sind. Für Active Directory-basierte Gruppenrichtlinien bietet sich der sogenannte Loopback-Verarbeitungsmodus an. Dieser stellt sicher, dass eine Computer-Richtlinie nicht von benutzerspezifischen Gruppenrichtlinien ausgehebelt werden kann. Dieser Verarbeitungsmodus sollte vor allem aktiviert werden, wenn sich die Einstellungen ausdrücklich auf den Computer beziehen und von Benutzern unabhängig sein sollen (z. B. ein Windows XP System als Kiosk). Es gibt zwei Varianten der Loopback-Verarbeitung: Ersetzen und Zusammenführen. Im Ersetzen-Modus werden keine benutzerspezifischen Einstellungen gesammelt und die Computer-spezifische Gruppenrichtlinie wird angewandt. Der Zusammenführen-Modus führt die Einstellungen der Benutzer GPO mit den Einstellungen der Computer GPO zusammen. Ob eine Gruppenrichtlinie im Loopback-Verarbeitungsmodus und in welcher Variante eingesetzt werden soll, hängt immer vom jeweiligen Einsatzszenario und den Anforderungen der bestehenden Umgebung ab. Je nach Szenario kann dieser Modus sicherheitsrelevante Vorteile bringen, eine allgemeine Empfehlung ist jedoch an dieser Stelle nicht möglich.

Wird eine GPO gleichzeitig auf Windows XP und Windows 2000 Systemen in einer Domäne angewandt, muss auf die Anwendbarkeit der Parametereinstellungen auf diese unterschiedlichen Systeme geachtet werden. Grundsätzlich gilt, dass Windows XP-spezifische Parametereinstellungen von Windows 2000 Systemen ignoriert werden. Das unterschiedliche Verhalten der beiden Betriebssysteme bei gleichen Einstellungen (wie z. B. EFS Richtlinien, M 4.147 Sichere Nutzung von EFS unter Windows 2000/XP) ist ebenfalls zu berücksichtigen. Die Information, ab welcher Betriebssystemversion die zu definierenden Einstellungen angewandt werden, ist bei der Festlegung der Gruppenrichtlinien wesentlich, um potentielle Probleme zu vermeiden.

Auch bei Verwendung von Windows XP mit verschiedenen Service Packs ergeben sich Unterschiede bei der Anwendung von Parametereinstellungen einer GPO. So sind für Systeme mit Windows XP Service Pack 2 zusätzliche Sicherheitseinstellungen möglich, die von Systemen ohne Service Pack 2 ignoriert werden. Auch hier gilt: die Information, ab welcher Version die zu definierenden Einstellungen angewandt werden, ist somit bei der Festlegung der Gruppenrichtlinien unbedingt zu beachten.

Die beiden Mechanismen Sicherheitsfilter (englisch Security Filtering) und WMI Filter ermöglichen es, Gruppenrichtlinien differenziert anzuwenden. Der Security Filtering Mechanismus gibt Sicherheitsgruppen an, für die die jeweilige Gruppenrichtlinie gilt. Standardmäßig wird eine Gruppenrichtlinie auf Authentifizierte Benutzer angewandt. WMI Filter steuern die Anwendung einer Gruppenrichtlinie in Abhängigkeit von der Beschaffenheit des Rechners (z. B. Betriebssystem, Service Pack Version, Festplattenplatz). Es sollte beachtet werden, dass Windows 2000-basierte Rechner die definierten WMI Filters nicht auswerten und die Gruppenrichtlinie somit immer zum Einsatz kommt. Beide Mechanismen ermöglichen im allgemeinen eine flexible Steuerung der Anwendung einer Gruppenrichtlinie auf ein Benutzer- oder Computer-Objekt im Active Directory. Ihr Einsatz erfordert jedoch genaue Planung und ausreichendes Testen im Vorfeld.

Sicherheitsvorlagen

Die Parametereinstellungen in Gruppenrichtlinien können nicht nur direkt mit dem entsprechenden MMC Snap-In, sondern auch durch den Import einer entsprechenden Sicherheitsvorlage vorgenommen werden. Sicherheitsvorlagen werden zur Konfiguration der Sicherheitseinstellungen verwendet. Sie werden in textbasierter Form in Richtliniendateien gespeichert (INF-Dateien) und können mit dem MMC Snap-In Sicherheitsvorlagen oder mit einem gewöhnlichen Texteditor bearbeitet werden. Eine Vielzahl definierter Sicherheitsvorlagen sind sowohl von Microsoft als auch von Drittanbietern frei verfügbar.

Als grundsätzliche Vorgehensweise kann folgendes vorgeschlagen werden:

Eine weitere Verwendungsmöglichkeit finden die Sicherheitsvorlagen bei der Sicherheitsanalyse vorgenommener Einstellungen. Die aktuell auf einem Computer gültigen Einstellungen können mit denjenigen innerhalb einer INF-Datei verglichen werden. Dies kann entweder mittels des Sicherheitskonfiguration und -analyse Snap-Ins der MMC oder mittels des secedit Kommandozeilenwerkzeuges erfolgen.

Durch das Anwenden der Sicherheitsvorlage secsetup.inf, die sich im Verzeichnis %SystemRoot%\repair befindet, können die Standardeinstellungen von Windows XP wiederhergestellt werden.

Definition eigener administrativer Vorlagen

Die sicherheitsrelevanten Einstellungen in Gruppenrichtlinien sind nicht nur im Bereich Windows-Einstellungen, sondern auch im Bereich der administrativen Vorlagen zu finden. Administrative Vorlagen bestehen aus einzelnen Parametern, die die Einstellungen zugehöriger Registry-Schlüssel konfigurieren. Die entsprechenden ADM-Dateien bestimmen die einzelnen Parameter, die sich innerhalb der administrativen Vorlagen konfigurieren lassen. Windows XP beinhaltet standardmäßig mehrere ADM-Dateien, die beispielsweise Konfigurationsmöglichkeiten für Internet Explorer beinhalten. Es ist zu beachten, dass die administrativen Vorlagen lediglich Einstellungsparameter und keine Einstellungen definieren und somit nicht zum Speichern und Verteilen der Einstellungen verwendet werden.

Es ist auch möglich, eigene administrative Vorlagen zu definieren. Diese Vorgehensweise empfiehlt sich vor allem, wenn in einem Unternehmen bzw. einer Behörde ein reger Gebrauch von direkten Registry-Einstellungen gemacht wird. Durch die einmalige Definition einer administrativen Vorlage können die entsprechenden Registry-Einstellungen komfortabel über den Gruppenrichtlinien-Mechanismus verteilt werden. Dies stellt unter anderem auch sicher, dass die Registry-Einstellungen tatsächlich auf allen Zielrechnern umgesetzt werden.

Testen der festgelegten Gruppenrichtlinien

Die festgelegten Windows XP Gruppenrichtlinien müssen getestet werden, bevor sie in einer Produktivumgebung eingesetzt werden. Die Tests müssen gewährleisten, dass einerseits die benötigte Funktionalität nicht eingeschränkt wurde und dass andererseits alle sicherheitsrelevanten Einschränkungen korrekt umgesetzt werden.

Ergänzende Kontrollfragen