M 4.243 Verwaltungswerkzeuge unter Windows Client-Betriebssysteme
Verantwortlich für Initiierung: Administrator
Verantwortlich für Umsetzung: Administrator
Das Kommandozeilen-basierte Tool secedit ist bereits aus Windows 2000 bekannt. Es ermöglicht das Automatisieren von Aufgaben bei der Konfiguration der Sicherheitseinstellungen. Mit diesem Tool können unter anderem Vorlagen automatisch erstellt, angewandt und analysiert werden. Eines seines wichtigsten Merkmale ist die Fähigkeit, einen Abgleich der geltenden Gruppenrichtlinieneinstellungen mit einem Mustersatz zu erstellen. Es sollte beachtet werden, dass ein Teil der secedit-Funktionalität unter Windows XP in das Tool gpupdate ausgelagert wurde. Wird unter Windows Vista secedit von der Kommandozeile aus gestartet, muss der Kommandozeilen-Prozess mit expliziten Administrator-Rechten ("Als Administrator ausführen") gestartet worden sein.
Die Analyse der aktuell geltenden Einstellungen kann auch mit dem MMC Snap-in Sicherheitskonfiguration und -analyse durchgeführt werden. Die Ergebnisse werden im Gegensatz zu secedit graphisch aufbereitet und präsentiert. Es ist zu beachten, dass sowohl das secedit-Tool als auch das MMC Snap -in Sicherheitskonfiguration- und -analyse nicht zur Konfiguration und Analyse der definierten Parameter in administrativen Vorlagen verwendet werden können.
Die Bearbeitung von Sicherheitsvorlagen erfolgt unter Windows XP und Windows Vista mit dem MMC Snap-in Sicherheitsvorlagen. Da die Sicherheitsvorlagen einfache Textdateien sind, können sie auch mit einem gewöhnlichen Texteditor bearbeitet werden. Dies kann unter anderem für die Spezifizierung zusätzlicher Registry-Schlüssel notwendig sein.
Ändern sich die Einstellungen einer Gruppenrichtlinie, so werden die Konfigurationsänderungen nur mit einer Verzögerung wirksam, die durch die Verarbeitungseinstellungen der Gruppenrichtlinien vorgegeben wird. Um die Änderungen für einen Benutzer oder Computer unverzüglich zu verbreiten, kann das Kommandozeilenwerkzeug gpupdate benutzt werden. Dieses Tool ersetzt das von Windows 2000 bekannte Kommando secedit /refreshpolicy.
Das Kommandozeilentool gpresult kann auf einem Windows Client ab Windows XP benutzt werden, um das Resultat aller eingerichteten Gruppenrichtlinien aufzulisten. Es dient unter anderem dazu herauszufinden, was bei der Anmeldung eines bestimmten Benutzers auf einem bestimmten Computer passiert (gpresult /s:computername /u:benutzername). Dieses Werkzeug kann vor allem zur Fehlersuche oder zur Dokumentation der geltenden Einstellungen verwendet werden.
Eine ähnliche Funktionalität wie gpresult bietet auch das MMC Snap-in Richtlinienergebnissatz (rsop.msc). Dieses Tool kann nicht nur zur Dokumentation der aktuell geltenden Einstellungen verwendet werden (Protokollierungsmodus), sondern auch, um mögliche andere Szenarien durchzuspielen (Planungsmodus).
Damit lässt sich eine Richtlinienimplementierung simulieren, die vor allem in der Design-Phase immens wichtig ist und vor vielen Implementierungsfehlern, insbesondere bei komplexen Gruppenrichtlinien-Strukturen und -Hierarchien, bewahren kann.
Das von Microsoft frei verfügbare Tool Group Policy Management Console (GPMC) bietet deutlich bessere Verwaltungsmöglichkeiten für Gruppenrichtlinien im Active Directory als die Standard Snap-ins von Windows 2000 und XP. Das Tool ist bei einer Standardinstallation von Windows Vista bereits enthalten. Dieses Tool stellt weitergehende Funktionalitäten zur Verfügung, welche für die Verwaltung der Gruppenrichtlinien im Active Directory sehr wichtig sind: das Erstellen, Verlinken und Löschen von GPOs, Importieren der Einstellungen aus gesicherten Gruppenrichtlinienobjekten, Erstellung von GPO-Reports (die unter anderem für Dokumentationszwecke verwendet werden können) sowie das Sichern und Wiederherstellen von GPOs. Nicht zuletzt bietet GPMC eine Scripting-Schnittstelle, die bei einer Vielzahl administrativer Aufgaben sinnvoll eingesetzt werden kann. Der Einsatz von GPMC wird daher in Active Directory Umgebungen dringend empfohlen.
Das GPOAccelerator-Tool unterstützt die Konfigurationen von Gruppenrichtlinien für den Betrieb von Windows Vista Clients in einer Domäne, wenn die Domänen-Controller noch nicht unter Windows Server 2008 betrieben werden. Die Konfiguration der Gruppenrichtlinien muss dann von einem Windows Vista Client aus erfolgen. Auf dem Client kann ein Domänenadministrator mit dem GPOAccelerator-Tool die notwendigen Konfigurationen der Gruppenrichtlinien erstellen. Im Anschluss müssen diese in den sysvol-Ordner des Domänen-Controllers übertragen werden.
Ein weiteres sinnvolles Tool ist der Migrationstabellen-Editor mtedit, das im Lieferumfang des GPMC enthalten ist. Dieses Tool ermöglicht eine bequeme Erstellung von Migrationstabellen, die beim domänenübergreifenden Kopieren oder Importieren einer Sicherheitsrichtlinie verwendet werden können. Durch die Verwendung von Migrationstabellen lassen sich domänenspezifische Informationen modifizieren (z. B. Gruppennamen oder SIDs).
Zur Konfiguration von Überwachungsrichtlinien steht unter Windows Vista das Werkzeug Auditpol zur Verfügung.
Microsoft stellt mit dem Baseline Security Analyzer (MBSA) ein Tool zur Verfügung, das für die automatische Auswertung der Patch-Stände eingesetzt werden kann. Der Einsatz dieses Tools verschafft den Administratoren einen aktuellen Überblick über den Patch-Stand der Systeme und trägt somit wesentlich zur Gesamtsicherheit bei (siehe M 4.249 Windows Client-Systeme aktuell halten).
Alle diese Werkzeuge sollten unbedingt von Administratoren bei der Fehlersuche oder während der Design- und Test-Phasen eingesetzt werden. Die Verwendung dieser Tools hilft, Konfigurationsschwächen zu entdecken und zu vermeiden.
Prüffragen:
- Werden die Werkzeuge entsprechend den Anforderungen in der Planungsphase bzw. im Betrieb eingesetzt?