M 2.326 Planung der Windows XP und Windows Vista Gruppenrichtlinien
Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT
Verantwortlich für Umsetzung: Administrator, IT-Sicherheitsbeauftragter
Wie bereits unter Windows 2000 steht zur Konfiguration von Windows XP und Windows Vista Systemen der Mechanismus der Gruppenrichtlinien zur Verfügung. Die unter Windows 2000 eingeführten Richtlinien wurden um Windows XP-spezifische Inhalte erweitert, so dass mehr als 200 Richtlinien neu dazugekommen sind (insgesamt mehr als 900 Richtlinien). Die Anzahl wurde mit Windows Vista auf mehr als 2500 Richtlinien erweitert.
Gruppenrichtlinien dienen dazu, einen Satz von Konfigurationseinstellungen, insbesondere auch Sicherheitseinstellungen, auf eine Gruppe von Objekten anzuwenden. Ein so genanntes Gruppenrichtlinienobjekt (Group Policy Object, GPO) fasst dabei einen vorgegebenen Satz von Konfigurationsparametern zusammen. Für jeden Parameter kann ein konkreter Wert angegeben werden, der unter Umständen nur aus einem beschränkten Wertebereich stammt. Generell kann auch der Wert nicht definiert gewählt werden, dann gelten automatisch die Standardeinstellungen für diesen Parameter.
Die Gruppenrichtlinien sind der primäre Mechanismus zur Umsetzung, der in der Maßnahme M 4.244 Sichere Systemkonfiguration von Windows Client-Betriebssystemen, empfohlenen Sicherheitseinstellungen. Sie können als lokale GPO zur Definition der Parametereinstellungen für einen konkreten Rechner oder Benutzer verwendet werden. Beim Betrieb in einer Active Directory-basierten Umgebung lassen sich GPOs noch zusätzlich auf der Standort- und Domänenebene bzw. auf der Ebene einzelner Organisationseinheiten einsetzen.
Die Parameter innerhalb eines Gruppenrichtlinienobjektes sind baumartig oder dateisystemartig thematisch zusammengefasst. Dabei ergibt sich auf der obersten Ebene eine generelle Zweiteilung in Einstellungen für Rechner und für Benutzer. Dies ermöglicht sowohl die Definition von rechner- als auch benutzerbasierten Einschränkungen. Durch die im Benutzerteil einer Gruppenrichtlinie definierten Einstellungen werden auch anwendungsspezifische Einschränkungen festgelegt. Durch den Import zusätzlicher administrativer Vorlagen können weitere Anwendungen, wie z. B. Microsoft Office über die Gruppenrichtlinien zentral konfiguriert werden. Im Allgemeinen wird der Einsatz von benutzerspezifischen und anwendungsspezifischen Gruppenrichtlinien empfohlen.
Die Benutzer- und die Rechnerteile einer Gruppenrichtlinie lassen sich einzeln deaktivieren, so dass der jeweils deaktivierte Teil bei der Anwendung der Gruppenrichtlinie nicht ausgewertet wird. Dies schafft in einigen Einsatzszenarien Geschwindigkeitsvorteile. Über die Deaktivierung eines nicht genutzten Teils einer Gruppenrichtlinie ist im Allgemeinen in Abhängigkeit von aktuellen Gegebenheiten zu entscheiden.
Planung lokaler Gruppenrichtlinien
Werden Gruppenrichtlinien festgelegt, muss auf die Unterschiede zwischen lokalen Gruppenrichtlinien und Richtlinien im Active Directory geachtet werden. Nicht alle Einstellungen, die in einer Active Directory-basierten GPO vorgenommen werden, können auch in einer lokalen Gruppenrichtlinie definiert werden. So fehlen in der lokalen Gruppenrichtlinie z. B. die Kerberos- und die Systemdienst-Richtlinien. Einzelne Richtlinien wie z. B. Kennwörter für alle Domänenbenutzer mit umkehrbarer Verschlüsselung speichern sind nur beim Einsatz in einer Domäne wirksam. Bei der Festlegung einzelner Parametereinstellungen muss folglich der Geltungsbereich einzelner Richtlinien berücksichtigt werden.
Windows Versionen bis einschließlich Windows XP unterstützen pro Computer nur ein lokales GPO. Die Gruppenrichtlinien werden in folgender Reihenfolge verarbeitet:
- Lokale Gruppenrichtlinien
- Standort-GPOs
- Domänen-GPOs
- GPOs der Organisationseinheiten
Windows Vista verwendet dieselbe Bearbeitungsreihenfolge, bietet allerdings drei Ebenen an um lokale Gruppenrichtlinien (sog. Mehrfachgruppenrichtlinienobjekte, kurz MLGPOs) in folgender Reihenfolge zu verarbeiten:
- Richtlinien für lokale Computer
- Richtlinien für Administratoren und Nicht-Administratoren (nur Benutzerrichtlinien)
- Benutzerspezifische lokale Gruppenrichtlinien (nur Benutzerrichtlinien)
Es ist zu beachten, dass die Richtlinien für Administratoren und Nicht-Administratoren sowie die benutzerspezifischen lokalen Gruppenrichtlinien nur die Benutzerrichtlinien enthalten. Eine lokale Konfiguration der Computerrichtlinien ist nur über die lokale Computerrichtlinie gegeben.
Gruppenrichtlinien-Bereiche
Folgende Bereiche existieren im Computer-Teil einer Gruppenrichtlinie: Softwareeinstellungen, Windows-Einstellungen, Administrative Vorlagen.
Die Softwareeinstellungen sind vor allem beim Einsatz in einer Domäne relevant. Mit ihrer Hilfe kann über die Gruppenrichtlinien Software installiert, aktualisiert oder deinstalliert werden. Über Skript-Richtlinien können Skripte spezifiziert werden, die beim Starten bzw. Herunterfahren des Systems ausgeführt werden.
Sicherheitsrelevante Einstellungen werden als Unterbereich der Windows Einstellungen über die Sicherheitseinstellungen verwaltet. Die Sicherheitseinstellungen unterteilen sich in weitere Bereiche wie z. B. Kontorichtlinien (Kennwortrichtlinien, Kontosperrungsrichtlinien, Kerberos-Richtlinie), Lokale Richtlinien (Überwachungsrichtlinien, Zuweisen von Benutzerrechten, Sicherheitsoptionen), Richtlinien öffentlicher Schlüssel, Richtlinien für Softwareeinschränkung, IP-Sicherheitsrichtlinien. Bei der Festlegung von Richtlinien für Sicherheitseinstellungen ist zu beachten:
- Kontorichtlinien werden in einer Active Directory Umgebung nur auf Domänenebene durchgesetzt.
- Die Verwendung von Richtlinien für eingeschränkte Gruppen verhindert nicht, dass Modifikationen an Gruppenmitgliedschaften durchgeführt werden können. Die unerlaubten Modifikationen werden aber bei der nächsten Anwendung der Richtlinien rückgängig gemacht.
Hervorzuhebende Neuerung bei den Sicherheitseinstellungen unter Windows Vista sind die Konfigurationsmöglichkeiten für die Windows Vista Firewall sowie für die Benutzerkontensteuerung (User Account Control, UAC).
Der Bereich Administrative Vorlagen wird für die Konfiguration der Windows Komponenten, des Systems, des Netzes sowie weiterer Anwendungen verwendet.
Anwendungsspezifische Richtlinien
Anwendungsspezifische Richtlinien werden im Bereich Computerkonfiguration | Administrative Vorlagen und Benutzerkonfiguration | Administrative Vorlagen definiert. Dabei können nicht nur Windows Komponenten wie NetMeeting, Internet Explorer, Windows Explorer und Windows Messenger konfiguriert werden, sondern auch Anwendungen, die ihre eigenen administrativen Vorlagen mitbringen, wie es bei Microsoft Office der Fall ist. Solche zusätzlichen administrativen Vorlagen müssen durch Administratoren explizit in eine Gruppenrichtlinie importiert werden.
Für die meisten Behörden und Unternehmen ist es empfehlenswert, alle vorhandenen Möglichkeiten zur zentralisierten anwendungsspezifischen Konfiguration auszunutzen Durch die zentralisierte Vorgabe von sicherheitsrelevanten Einstellungen lassen sich viele Sicherheitsrisiken beseitigen. Welche Komponenten und/oder Anwendungen zentral durch GPOs konfiguriert werden, ist in Abhängigkeit von der lokalen Umgebung festzulegen. Auch an dieser Stelle sollte die Grundsatzregel gelten, dass alle nicht benötigten Anwendungen bzw. Komponenten zu deaktivieren sind (z. B. Windows Messenger). Die erforderlichen Anwendungen und Komponenten sind so restriktiv wie möglich zu konfigurieren. Wird z. B. Microsoft NetMeeting benötigt, jedoch kein Desktop Sharing verwendet, so ist dieses Merkmal durch die Definition entsprechender Richtlinien zu deaktivieren.
Windows Vista bietet im Bereich Administrative Vorlagen wesentlich mehr Konfigurationsmöglichkeiten als frühere Versionen, die bei der Planung zu betrachten sind. Insbesondere sind unter Windows Vista folgende sicherheitsrelevante Neuerungen der anwendungsspezifischen Richtlinien hervorzuheben:
- Erweiterte GPO-Konfigurationsmöglichkeiten für den Internet Explorer.
Die Erweiterungen betreffen insbesondere den Phishing Filter, die zentrale Aktivierung des geschützten Modus (Protected Mode) und die Behandlung von ActiveX-Steuerelementen. Diese anwendungsspezifischen Richtlinien werden im Bereich Computerkonfiguration | Administrative Vorlagen | Windows-Komponenten | Internet Explorer und Benutzerkonfiguration | Administrative Vorlagen | Windows-Komponenten | Internet Explorer konfiguriert. - GPO-Konfigurationsmöglichkeiten für die BitLocker-Laufwerkverschlüsselung.
Diese anwendungsspezifischen Richtlinien werden im Bereich Computerkonfiguration | Administrative Vorlagen | Windows-Komponenten | BitLocker-Laufwerkverschlüsselung konfiguriert.
TPM-spezifische Richtlinien sind im Bereich Computerkonfiguration | Administrative Vorlagen | System | Trusted Plattform Module-Dienste konfigurierbar. - GPO-Konfigurationsmöglichkeiten für Windows Defender.
Da Windows Defender vorwiegend für den Privatbereich entworfen wurde und nur ein geringes Sicherheitsniveau aufweist, ist vom alleinigen Einsatz des Windows Defender zur Identifizierung und Behandlung von Schadsoftware im professionellen Umfeld abzusehen. Der parallele Einsatz von Windows Defender mit einer Sicherheits- bzw. Antivirenlösung eines Drittherstellers muss zuvor in einer Produktivumgebung getestet werden. Potentielle Probleme können bei Bedarf durch Deaktivierung des Windows Defender über die anwendungsspezifische Richtlinie Windows Defender deaktivieren im Bereich Computerkonfiguration|Administrative Vorlagen|Windows-Komponenten|Windows Defender vermieden werden.
Benutzerspezifische Richtlinien
Windows XP und Windows Vista ermöglichen (wie auch schon Windows 2000) die Definition benutzerspezifischer Gruppenrichtlinien, die auf Benutzerbasis angewandt werden. Speziell beim Einsatz in einer Active Directory Umgebung kann dies Sicherheitsvorteile bringen, indem Einschränkungen in Abhängigkeit vom Benutzertyp definiert werden und beispielsweise zwischen normalen und administrativen Benutzern unterschieden wird. Jede Differenzierung lässt sich durch eine geeignete OU-Struktur und die Definition entsprechender Gruppenrichtlinien umsetzen. Durch die in Windows Vista erweiterte lokale Gruppenrichtlinie um Mehrfachgruppenrichtlinienobjekte (siehe Abschnitt: Planung lokaler Gruppenrichtlinien), lässt sich eine entsprechende Differenzierung mit Windows Vista auch ohne Active Directory implementieren.
Die Arbeitsumgebung eines Benutzers kann unter Windows XP bzw. Windows Vista durch die Verwendung von Gruppenrichtlinien in ihrer Funktionalität eingeschränkt werden. Insbesondere wird an dieser Stelle empfohlen, durch die Definition der geeigneten Parametereinstellungen die Konfiguration der Microsoft Management Console (MMC), des Startmenüs, der Taskleiste, des Desktops, der angezeigten Systemsteuerungskomponenten sowie der zugelassenen Windows-Anwendungen vorzunehmen.
Für die Arbeitsumgebung eines normalen Benutzers sollten nach Möglichkeit folgende Einschränkungen vorgenommen werden:
- Ausschließlich Anzeige zugelassener Systemsteuerungskomponenten,
- Sperren der meisten MMC Snap-Ins (das Zertifikate Snap-In sollte zugelassen bleiben, wenn Zertifikate zum Einsatz kommen),
- Einschränkungen des Taskplaners,
- Deaktivierung oder Einschränkung des Active Desktops,
- Einschränkungen im Bereich der Start- und Taskleiste,
- Einschränkungen bei der Installation und Nutzung von Wechselspeichergeräten (z. B. USB-Flash-Speicher, USB-Festplatten, CD s und DVD s) in Windows Vista.
Bei der Definition von Richtlinien Nur zugelassene Windows-Anwendungen ausführen und Angegebene Windows-Anwendungen nicht ausführen ist zu beachten, dass diese Einschränkungen nur für den Start der Anwendungen mit dem Windows Explorer gelten. Der Start einer "verbotenen" Anwendung durch den Taskmanager, von der Kommandozeile oder aus einem anderen Programm heraus, wird damit nicht verhindert. Hierfür stehen je nach Notwendigkeit andere Mittel wie Richtlinien für Softwareeinschränkung (englisch Software Restriction Policy) zur Verfügung.
Außerdem sollten die anwendungsspezifischen Richtlinien zur Einschränkung der Anwendungen/Systemkomponenten auf Benutzerbasis verwendet werden.
Einsatz außerhalb von Active Directory-basierten Umgebungen
Beim Einsatz von Windows XP und Windows Vista als Stand-alone-Rechner oder in einer Windows NT Domäne sind die zentralen Konfigurationsmöglichkeiten mittels globaler Gruppenrichtlinien nicht verfügbar. In diesem Fall müssen die lokalen Gruppenrichtlinien jedes Rechners zur Umsetzung der definierten sicherheitsrelevanten Parametereinstellungen benutzt werden. Grundlage ist der, in der Planungsphase festgelegte, Mechanismus zur Pflege von lokalen Gruppenrichtlinien auf mehreren Rechnern.
Einsatz in Active Directory-basierten Umgebungen
Beim Einsatz von Windows XP und Windows Vista Systemen in Active-Directory-basierten Umgebungen (Windows 2000/2003 Domänen) ist der Einsatz lokaler Gruppenrichtlinien auf einzelnen Rechnern ebenfalls möglich. In diesem Fall werden jedoch die Vorteile der zentralen Administration nicht genutzt. Folglich ist es grundsätzlich empfehlenswert, die Active Directory-basierten Gruppenrichtlinien auf der Standort-, Domänenebene bzw. auf Ebene einzelner Organisationseinheiten für die Umsetzung der Sicherheitseinstellungen zu benutzen.
Lokale Gruppenrichtlinien auf einzelnen Rechnern sollten aufgrund ihrer schlechten zentralen Verwaltbarkeit nach Möglichkeit nicht eingesetzt werden. Ist jedoch der gemeinsame Einsatz lokaler und Active Directory-basierter Gruppenrichtlinien aus bestimmten Gründen erforderlich, so müssen die Parametereinstellungen aller Gruppenrichtlinien aufeinander abgestimmt werden.
Die Verwendung von Active Directory-basierten Gruppenrichtlinien macht die Planung ihres Einsatzes in der Domäne (Windows 2000/2003) erforderlich. Weitere Informationen zu Windows 2000 Active Directory-basierten Gruppenrichtlinien sind in der Maßnahme M 2.231 Planung der Gruppenrichtlinien unter Windows zusammengefasst. Im Allgemeinen müssen folgende Aspekte der Verwendung von Active Directory-basierten Gruppenrichtlinien bedacht werden:
- OU- und Gruppenstruktur im Active Directory,
- Hierarchie der GPOs im Active Directory und generell das GPO-Konzept,
- Vererbung der Gruppenrichtlinien,
- Blockieren und Erzwingen der GPO-Überdeckung,
- Priorisierung bzw. die Festlegung der Reihenfolge bei Abarbeitung mehrerer GPOs,
- Berechnung der jeweils gültigen Einstellungen für einen Gruppenrichtlinienparameter und die GPO-Abarbeitungsreihenfolge,
- Steuerung der Abarbeitung von Gruppenrichtlinien,
- Verlinken der Gruppenrichtlinien,
- GPO-Schutz.
Im Folgenden werden nur die davon abweichenden bzw. ergänzenden Informationen und Empfehlungen gegeben.
Windows XP bringt Änderungen und Neuerungen in der Gruppenrichtlinien-Funktionalität. Neue Features sind durch die aktualisierten clientseitigen Erweiterungen, administrative Vorlagen (ADM-Dateien) und das aktualisierte GPO Snap-in realisiert. Um die neuen Windows XP-spezifischen Merkmale auch in einer Windows 2000 Domäne zu nutzen, müssen die bestehenden Windows 2000 Gruppenrichtlinien aufgerüstet werden. Ein Upgrade erfolgt durch die Anwendung neuer ADM-Dateien und wird beim Laden der zu aktualisierenden Gruppenrichtlinie auf einem Windows XP Domänenmitglied mittels des Gruppenrichtlinien Snap-ins realisiert.
Das Upgrade der Gruppenrichtlinien muss unter Umständen wiederholt werden, wenn ein neues Service Pack (SP) auf Windows 2000 Domänen-Controllern angewandt wird. So ist beispielsweise die erneute Aktualisierung der Gruppenrichtlinien nach Installation des Windows 2000 SP4 notwendig.
Die Verwaltung der Windows XP-spezifischen Richtlinien im Active Directory sollte ausschließlich mit einem Windows XP Domänenmitglied erfolgen. Bei der Verwendung des Windows 2000 Gruppenrichtlinien Standard-Snap-ins sind Kompatibilitätsprobleme zu erwarten, die zwar nicht die Funktion der Gruppenrichtlinien, jedoch das Einsehen und das Modifizieren von GPOs beeinträchtigen können.
Analog dazu gestaltet sich die Verwaltung Vista-spezifischer Richtlinien: Mit Windows Vista wurden die Gruppenrichtlinien Standard-Snap-ins Gruppenrichtlinienverwaltung und Gruppenrichtlinienobjekt-Editor zur Erstellung und Verwaltung von Gruppenrichtlinienobjekten überarbeitet. Windows Vista-spezifische Richtlinien können nur von den, in Windows Vista enthaltenen, neuen Versionen dieser Verwaltungswerkzeuge dargestellt werden. Die Verwaltung der Windows Vista-spezifischen Richtlinien im Active Directory sollte ausschließlich von einem Windows Vista Domänenmitglied aus erfolgen.
Die computerspezifischen Gruppenrichtlinien werden während des Boot-Vorgangs angewandt, die benutzerspezifischen Gruppenrichtlinien erst bei der Benutzeranmeldung. Dabei besitzt die benutzerspezifische Gruppenrichtlinie den Vorrang und überschreibt gegebenenfalls Einstellungen, die in der Computer-Richtlinie definiert sind. Für Active Directory-basierte Gruppenrichtlinien bietet sich der sogenannte Loopback-Verarbeitungsmodus an. Dieser stellt sicher, dass eine Computer-Richtlinie nicht von benutzerspezifischen Gruppenrichtlinien ausgehebelt werden kann. Dieser Verarbeitungsmodus sollte vor allem aktiviert werden, wenn sich die Einstellungen ausdrücklich auf den Computer beziehen und von Benutzern unabhängig sein sollen wie beispielsweise bei einem Windows XP System als Kiosk. Es gibt zwei Varianten der Loopback-Verarbeitung: Ersetzen und Zusammenführen. Im Ersetzen-Modus werden keine benutzerspezifischen Einstellungen gesammelt und die computerspezifische Gruppenrichtlinie wird angewandt. Der Zusammenführen-Modus führt die Einstellungen der Benutzer-GPO mit den Einstellungen der Computer-GPO zusammen. Ob eine Gruppenrichtlinie im Loopback-Verarbeitungsmodus und in welcher Variante eingesetzt werden soll, hängt immer vom jeweiligen Einsatzszenario und den Anforderungen der bestehenden Umgebung ab. Je nach Szenario kann dieser Modus sicherheitsrelevante Vorteile bringen, eine allgemeine Empfehlung ist an dieser Stelle nicht möglich.
Wird eine GPO gleichzeitig auf Windows Vista, Windows XP und Windows 2000 Systemen in einer Domäne angewandt, muss auf die Anwendbarkeit der Parametereinstellungen auf diese unterschiedlichen Systeme geachtet werden. Grundsätzlich gilt, dass Windows XP-spezifische Parametereinstellungen von Windows 2000 Systemen ignoriert werden. Das unterschiedliche Verhalten verschiedener Betriebssysteme bei gleichen Einstellungen, wie z. B. EFS Richtlinien (siehe M 4.147 Sichere Nutzung von EFS unter Windows), ist ebenfalls zu berücksichtigen. Es ist wesentlich zu wissen, ab welcher Betriebssystemversion die zu definierenden Einstellungen angewandt werden, um potentielle Probleme zu vermeiden.
Auch bei Verwendung von Windows XP mit verschiedenen Service Packs ergeben sich Unterschiede bei der Anwendung von Parametereinstellungen einer GPO. Für Systeme mit Windows XP Service Pack 2 sind zusätzliche Sicherheitseinstellungen möglich, die von Systemen ohne Service Pack 2 ignoriert werden. Auch hier gilt: die Information, ab welcher Version die zu definierenden Einstellungen angewandt werden, ist bei der Festlegung der Gruppenrichtlinien unbedingt zu beachten.
Die beiden Mechanismen Sicherheitsfilter (englisch Security Filtering) und WMI Filter ermöglichen es, Gruppenrichtlinien differenziert anzuwenden. Der Security Filtering Mechanismus gibt Sicherheitsgruppen an, für die die jeweilige Gruppenrichtlinie gilt. Standardmäßig wird eine Gruppenrichtlinie auf Authentifizierte Benutzer angewandt. WMI Filter steuern die Anwendung einer Gruppenrichtlinie in Abhängigkeit von der Beschaffenheit des Rechners (z. B. Betriebssystem, Service Pack Version, Festplattenplatz). Es sollte beachtet werden, dass Windows 2000-basierte Rechner die definierten WMI Filter nicht auswerten und die Gruppenrichtlinie somit immer zum Einsatz kommt. Beide Mechanismen ermöglichen im Allgemeinen eine flexible Steuerung der Anwendung einer Gruppenrichtlinie auf ein Benutzer- oder Computer-Objekt im Active Directory. Ihr Einsatz erfordert jedoch genaue Planung und ausreichendes Testen im Vorfeld.
Sicherheitsvorlagen
Die Parametereinstellungen in Gruppenrichtlinien können nicht nur direkt mit dem entsprechenden MMC Snap-in, sondern auch durch den Import einer Sicherheitsvorlage vorgenommen werden. Sicherheitsvorlagen werden zur Konfiguration der Sicherheitseinstellungen verwendet. Sie werden in textbasierter Form in Richtliniendateien gespeichert (INF-Dateien) und können mit dem MMC Snap-in Sicherheitsvorlagen oder mit einem gewöhnlichen Texteditor bearbeitet werden. Eine Vielzahl definierter Sicherheitsvorlagen sind sowohl von Microsoft als auch von Drittanbietern frei verfügbar.
Als grundsätzliche Vorgehensweise kann folgendes vorgeschlagen werden:
- Eine bestehende Sicherheitsvorlage wird ausgewählt (z. B. von Microsoft). Die Wahl einer Vorlage mit einem höheren Sicherheitsniveau wie hisecws wird dabei empfohlen, da es aus Sicherheitssicht vorteilhafter ist, "sicherere" Einstellungen bei Notwendigkeit abzuschwächen als umgekehrt.
- Die Vorlage muss an lokale Anforderungen angepasst werden, die vorgenommenen Änderungen sind dabei zu begründen und zu dokumentieren.
- Die erstellte Vorlage wird in die entsprechende Gruppenrichtlinie importiert. Um beim Import einer Sicherheitsvorlage in eine Gruppenrichtlinie sicherzustellen, dass alle Einstellungen überschrieben werden, wird die Verwendung der Option Datenbank vor dem Importieren aufräumen empfohlen.
Eine weitere Verwendungsmöglichkeit finden die Sicherheitsvorlagen bei der Sicherheitsanalyse vorgenommener Einstellungen. Die aktuell auf einem Computer gültigen Einstellungen können mit denjenigen innerhalb einer INF-Datei verglichen werden. Dies kann entweder mittels des Sicherheitskonfiguration und -analyse Snap-ins der MMC oder mittels des Kommandozeilenwerkzeugs secedit erfolgen.
Durch das Anwenden der Sicherheitsvorlage secsetup.inf, die sich im Verzeichnis %SystemRoot%\repair befindet, können die Standardeinstellungen von Windows XP wiederhergestellt werden.
Definition eigener administrativer Vorlagen
Die sicherheitsrelevanten Einstellungen in Gruppenrichtlinien sind nicht nur im Bereich Windows-Einstellungen, sondern auch im Bereich der administrativen Vorlagen zu finden. Administrative Vorlagen bestehen aus einzelnen Parametern, die die Einstellungen zugehöriger Registry-Schlüssel konfigurieren. Die entsprechenden ADM-Dateien bestimmen die einzelnen Parameter, die sich innerhalb der administrativen Vorlagen konfigurieren lassen. Windows XP enthält standardmäßig mehrere ADM-Dateien, die beispielsweise Konfigurationsmöglichkeiten für Internet Explorer beinhalten. Es ist zu beachten, dass die administrativen Vorlagen lediglich Einstellungsparameter und keine Einstellungen definieren und somit nicht zum Speichern und Verteilen der Einstellungen verwendet werden.
Mit Windows Vista wurden die ADM-Dateien durch ADMX-Vorlagedateien ersetzt, die eine neue Syntax auf XML-Basis für die Registry-basierten Richtlinien verwenden. ADMX-Dateien bieten den Vorteil, dass sie, im Gegensatz zu ADM-Dateien, sprachneutral sind und in Verbindung mit sprachspezifischen ADML-Dateien auf beliebige Sprachversionen angewendet werden können.
In Unterschied zu ADM-Dateien werden ADMX-Dateien nicht mehr einzeln in jedes Gruppenrichtlinienobjekt geladen, sondern in einem zentralen Speicher verwaltet. Da sich die Gruppenrichtlinien Snap-ins Gruppenrichtlinienverwaltung und Gruppenrichtlinienobjekt-Editor standardmäßig mit dem PDC-Emulator verbinden, wird in einer Active Directory-basierten Umgebung die zentrale Speicherung der ADMX/ADML-Dateien im SYSVOL-Verzeichnis auf diesem Betriebsmaster empfohlen.
Es ist auch möglich, eigene administrative Vorlagen zu definieren. Diese Vorgehensweise empfiehlt sich vor allem, wenn in einem Unternehmen bzw. einer Behörde ein reger Gebrauch von direkten Registry-Einstellungen gemacht wird. Durch die einmalige Definition einer administrativen Vorlage können die entsprechenden Registry-Einstellungen komfortabel über den Gruppenrichtlinien-Mechanismus verteilt werden. Dies stellt unter anderem sicher, dass die Registry-Einstellungen tatsächlich auf allen Zielrechnern umgesetzt werden.
Testen der festgelegten Gruppenrichtlinien
Die festgelegten Gruppenrichtlinien müssen getestet werden, bevor sie in einer Produktivumgebung eingesetzt werden. Die Tests müssen gewährleisten, dass einerseits die benötigte Funktionalität für die Mitarbeiter nicht eingeschränkt wurde und dass andererseits alle sicherheitsrelevanten Einschränkungen korrekt umgesetzt werden.
Prüffragen:
- Erfolgt eine geeignete Verteilung der Sicherheitseinstellungen auf mehrere GPOs?
- Ist sichergestellt, dass auf allen Rechnern die richtigen GPOs angewandt werden?
- Sind organisatorische Aspekte für die GPO-Erstellung und -Pflege berücksichtigt worden?
- Sind die Richtlinien (Gruppen, anwendungsspezifische, benutzerspezifische) bedarfsgerecht konfiguriert?
- Wurden alle sicherheitsrelevanten Einstellungen in den Gruppenrichtlinien konfiguriert?
- Sind alle nicht benötigten Anwendungen bzw. Komponenten deaktiviert?
- Ist eine bedarfsgerechte Arbeitsumgebung für die Benutzer eingerichtet worden?
- Werden die Gruppenrichtlinien getestet, bevor sie in einer Produktivumgebung eingesetzt werden?