M 2.231 Planung der Gruppenrichtlinien unter Windows

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator, Leiter IT

Zur Konfiguration von Windows Rechnern steht ab Windows 2000 ein leistungsfähiger Mechanismus der so genannten Gruppenrichtlinien zur Verfügung. Schon unter Windows NT gab es mit den Gruppenrichtlinien ein ähnliches, aber deutlich weniger leistungsfähiges Instrument. Gruppenrichtlinien dienen im Active Directory dazu, einen Satz von Konfigurationseinstellungen, zu denen insbesondere auch Sicherheitseinstellungen gehören, auf eine Gruppe von Objekten anzuwenden. Durch ein so genanntes Gruppenrichtlinienobjekt (englisch Group Policy Object, GPO) wird ein vorgegebener Satz von Konfigurationsparametern (standardmäßig über 700) zusammengefasst. Für jeden Parameter kann ein konkreter Wert angegeben werden, der unter Umständen nur aus einem beschränkten Wertebereich stammt. Generell kann der Wert nicht definiert gewählt werden, so dass dann automatisch die Windows Standardeinstellungen für diese Parameter gelten. Die Standardeinstellungen sind in der Hilfedatei zu Gruppenrichtlinien, unter anderem im Windows 2000 Server Resource Kit, dokumentiert.

Die Parameter innerhalb eines Gruppenrichtlinienobjektes sind baumartig oder dateisystemartig thematisch zusammengefasst. Dabei ergibt sich eine generelle Zweiteilung auf oberster Ebene in Einstellungen für Rechner sowie für Benutzer. Aus Sicherheitssicht sind insbesondere die Einstellungen interessant, die sich unterhalb der folgenden "Pfade" finden:

Die Server-Betriebssysteme Windows 2000 Server und Windows Server 2003 (im Folgenden unter dem Begriff Windows-Server zusammengefasst) berechnen generell für jeden an einer Domäne angemeldeten Rechner und für jeden angemeldeten Benutzer die jeweils gültigen Einstellungen für jeden Gruppenrichtlinienparameter. Diese Berechnung ist nötig, da die Vorgaben für die Parametereinstellungen durch unterschiedliche Gruppenrichtlinienobjekte definiert sein können, die sich gegenseitig überlagern können. Folgende Gruppenrichtlinienobjekte können definiert werden:

Für die Berechnung der jeweils für einen konkreten Rechner oder Benutzer geltenden Parametereinstellungen wird das folgende Berechnungs- bzw. Überdeckungsschema (Lokal <- Standort <- Domäne <- Organisationseinheit, LSDO) angewandt: Zunächst werden die lokalen Einstellungen berücksichtigt (L, Lokal). Dann werden diese Einstellungen durch die Einstellungen des Gruppenrichtlinienobjektes, das auf dem zugehörigen Standort definiert ist, überdeckt (S, Standort). Danach erfolgt die Überdeckung durch die auf dem relevanten Domänenobjekt definierten Gruppenrichtlinienobjekte (D, Domäne). Schließlich werden die Gruppenrichtlinienobjekte der OU-Objekte in der Reihenfolge angewandt, wie sie auf dem Weg vom Domänenobjekt zu dem OU-Objekt, das den jeweiligen Rechner oder Benutzer enthält, definiert sind (O, Organisationseinheit).

Die Überdeckung kann durch die Optionen blockieren bzw. erzwingen beeinflusst werden. Stehen die Einstellungen blockieren und erzwingen im Konflikt, so wird die Einstellung erzwingen durchgesetzt. Zusätzlich ist es auf OU-Ebene möglich, mehrere Gruppenrichtlinienobjekte für ein OU-Objekt zu definieren. Dabei erfolgt die Überdeckung gemäß der angegebenen Reihenfolge. Es ist dabei außerdem möglich, jedes einzelne Gruppenrichtlinienobjekt für ein OU-Objekt zu aktivieren oder zu deaktivieren.

Gruppenrichtlinienobjekte können im Active Directory nur auf OU-Objekten definiert werden, nicht jedoch auf einzelnen Rechnern oder Benutzerobjekten. Das lokal definierte Gruppenrichtlinienobjekt wird nicht im Active Directory gespeichert. Soll ein Gruppenrichtlinienobjekt, das auf einem OU-Objekt definiert ist, das Rechnerobjekte zusammenfasst, nicht auf alle enthaltenen Rechnerobjekte wirken, so besteht die Möglichkeit, durch die Vergabe von Zugriffsrechten auf das Gruppenrichtlinienobjekt die Anwendung auf ein konkretes Rechnerobjekt zu unterbinden. Hierzu ist diesem Rechnerobjekt das Zugriffsrecht Anwenden auf das Gruppenrichtlinienobjekt zu entziehen.

Die bisher benutzte Darstellung der Definition von Gruppenrichtlinienobjekten auf OU-Objekten war jedoch vereinfacht: Gruppenrichtlinienobjekte werden separat im Active Directory gespeichert und bilden einen Pool von Objekten. Jedes definierte Gruppenrichtlinienobjekt kann nun einem oder auch mehreren OU-Objekten assoziiert werden. Man spricht dann von einem Link. Durch das Kennzeichnen eines Links als aktiviert oder deaktiviert wird das jeweilige Gruppenrichtlinienobjekt bei der Berechnung für das OU-Objekt herangezogen oder nicht (siehe oben). Für jedes Gruppenrichtlinienobjekt kann über den Eigenschaftsdialog festgestellt werden, mit welchen OU-Objekten ein Link besteht, d. h. auf welche Objekte sie potentiell wirken.

Aus Sicherheitssicht sind bei der Planung und im Umgang mit Gruppenrichtlinienobjekten folgende Aspekte zu berücksichtigen:

Die Einstellungen der verschiedenen Gruppenrichtlinienobjekte müssen sich dabei generell an den Sicherheitsrichtlinien des Unternehmens bzw. der Behörde orientieren und diese umsetzen. Entsprechende Vorgaben für die Sicherheitseinstellungen, die als Ausgangsbasis innerhalb einer Gruppenrichtlinie dienen können, befinden sich im Dokument Hilfsmittel zum Baustein Active Directory im Abschnitt Sicherheitseinstellungen für Gruppenrichtlinien.

Prüffragen: