M 2.368 Umgang mit administrativen Vorlagen unter Windows Server 2003

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Die Windows-Gruppenrichtlinien sind ein effektives und vielseitiges Mittel zur Konfiguration von diversen Windows-Systemen, unter anderem Windows Server 2003. Notwendige Vorüberlegungen für den Einsatz von Gruppenrichtlinien sind den Maßnahmen M 2.326 Planung der Windows XP und Windows Vista Gruppenrichtlinien und M 2.231 Planung der Gruppenrichtlinien unter Windows zu entnehmen.

Zusammenhang von Gruppenrichtlinien und der Registrierdatenbank

Die meisten Einstellungen in den Gruppenrichtlinien führen zu Änderungen in der Registrierdatenbank eines Windows-Systems. Die Registrierdatenbank gehört zu den kritischen Kernkomponenten eines Windows-Servers und benötigt besonderen Schutz und besondere Sorgfalt. Die Aspekte "Test", "Sicherheitsüberwachung", "Rückführung" und "Dokumentation" sollten immer berücksichtigt werden. Hierzu müssen geeignete Werkzeuge verwendet werden - der Registrierungseditor von Windows allein deckt die genannten Aspekte nicht ab.

Gruppenrichtlinien können durch Vorlagen von Microsoft und durch benutzerdefinierte Vorlagen, z. B. von anderen Softwareherstellern, erweitert werden. Diese so genannten administrativen Vorlagen stellen einen Satz von Einstellungsoptionen bereit, die gezielt und automatisiert Registrierungsschlüssel in die Registrierdatenbank schreiben. Im Zusammenspiel mit der in Windows Server 2003 mitgelieferten Gruppenrichtlinienverwaltung (Group Policy Management Console, GPMC) und den umfangreichen netzbasierten Bereitstellungsmechanismen (Active Directory) von Gruppenrichtlinien sind administrative Vorlagen ein geeignetes Mittel zum sicheren Umgang mit der Registrierdatenbank von Windows-Server-2003 Systemen.

Es wird empfohlen, Änderungen an Schlüsseln in der Registrierungsdatenbank ausschließlich über administrative Vorlagen vorzunehmen und auf manuelle Änderungen vollständig zu verzichten. Im Rahmen des Änderungsmanagements sollten zumindest manuell durchgeführte Änderungen an Registrierungsschlüsseln zeitnah in einer benutzerdefinierten administrativen Vorlage implementiert werden.

Kompatibilität von administrativen Vorlagen

Jede Version von Windows-Betriebsystemen ab Windows 2000 und fast jedes Service Pack enthält administrative Vorlagen des Herstellers, die um neue Einstellungsoptionen erweitert worden sind und alle Optionen der Vorgänger-Versionen beinhalten. Dies gilt auch für Windows Server 2003. Die Abwärtskompatibilität der neuen Einstellungsoptionen ist in den Vorlagen dokumentiert und wird in der GPMC-Konsole angezeigt. Die meisten Einstellungsoptionen haben auf einer inkompatiblen Windows-Version keine Wirkung. Beim Öffnen einer in Windows Server 2003 enthaltenen Vorlage auf einem Windows 2000 Server-System bleiben die inkompatiblen Einstellungsoptionen unsichtbar.

Eine Gruppenrichtlinie sollte immer basierend auf der administrativen Vorlage der neusten Windows-Version erstellt werden, auf welcher die Richtlinie voraussichtlich verwendet wird. Die jeweiligen Vorlagen sind auf den Internetseiten von Microsoft in der Datei 'adminpak.msi' verfügbar. Wenn eine benutzerdefinierte administrative Vorlage für Windows Server 2003 erstellt wird, so sind Kompatibilität und Wirkung auf frühere Windows-Versionen ausreichend zu testen und in der Vorlage zu dokumentieren.

Aktualisierung des Betriebssystems

Nach einer Aktualisierung des Betriebssystems bleiben alle Einstellungen erhalten und können mit den gegebenenfalls erneuerten administrativen Vorlagen des Betriebssystems verwaltet werden. Benutzerdefinierte Vorlagen samt aktivierten Einstellungen bleiben unverändert erhalten und können in den zugehörigen Gruppenrichtlinienobjekten ("Group Policy Objects", GPO) verwaltet werden.

Anwenden benutzerdefinierter administrativer Vorlagen

Das Anwenden einer benutzerdefinierten administrativen Vorlage schreibt für jede aktivierte Einstellungsoption den entsprechenden Registrierungsschlüssel dauerhaft - wie bei den Windows NT 4-Systemrichtlinien - in die Registrierdatenbank. Zum Entfernen ist dann manuelles Editieren der Registry erforderlich. Der Effekt heißt in Windows 2000 Server und Windows Server 2003 "nicht verwaltbare Richtlinieneinstellung" und wird auch "Registry Tattooing" genannt. Danach kann in der GPMC-Konsole nur noch der Wert des Schlüssels geändert werden, z. B. von 1 auf 0 für "ja" oder "nein" oder von 0x000D auf 0x0020 für die Veränderung einer Warteperiode, jedoch nicht mehr der Schlüssel selbst.

Der "Tattooing-Effekt" tritt nicht bei mitgelieferten administrativen Vorlagen einiger Microsoft-Produkte auf, z. B. Windows 2000/XP/2003 und Office XP/2003. Sie heißen in Windows XP/2003 "voll verwaltbare Vorlagen", die resultierenden Einstellungen heißen kurz "Richtlinien" (engl. "True Policies"). Diese Richtlinieneinstellungen werden zusätzlich in den Registrierschlüsseln

HKEY_LOCAL_MACHINE\Software\Policies
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\Policies
HKEY_CURRENT_USER\Software\Policies
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies

verwaltet und als .pol-Dateien im Dateisystem abgelegt. Die Policies-Schlüssel sollten nicht durch benutzerdefinierte administrative Vorlagen manipuliert werden.

Vor der Anwendung sollte der Systemstatus (englisch "Systemstate") gesichert werden (siehe M 6.99 Regelmäßige Sicherung wichtiger Systemkomponenten für Windows Server 2003). Das Sichern der Registrierung allein genügt nicht, um bei Komplikationen mit einer Vorlage den Ursprungszustand wiederherstellen zu können. Außerdem müssen Funktionalität und Wirkung der Einstellungen unbedingt auf einem isolierten Testsystem erprobt werden. Hierbei sind alle Windows-Versionen zu berücksichtigen, mit denen die Vorlage verwendet werden soll.

Werden die Einstellungen auf mehrere Server angewendet, so ist der Ausroll-Prozess in einem unkritischen Bereich der Produktivumgebung zu beginnen. Der Bereich ist unter ständiger Beobachtung und Erfolgskontrolle sukzessive auf kritischere Schichten der Produktivumgebung auszuweiten. Zur Erfolgskontrolle dient in einer Active-Directory-Umgebung die GPMC-Konsole oder auf einem allein stehenden Server die Richtlinienergebnissatz-Konsole (RSOP-Konsole).

Für jeden so erstellten Schlüssel sind im Sicherheitsprotokoll mindestens Schreibzugriffe zu erfassen. Die Einstellung der Objektüberwachung mittels Sicherheitsprotokoll wird in der Maßnahme M 2.365 Planung der Systemüberwachung unter Windows Server 2003 beschrieben. Die Schreibberechtigung für normale Benutzerkonten ist zu deaktivieren. Beides kann manuell mit dem Registrierungseditor, skriptgesteuert (siehe M 2.367 Einsatz von Kommandos und Skripten unter Windows Server 2003) oder mittels einer Windows-Sicherheitsvorlage (siehe M 2.366 Nutzung von Sicherheitsvorlagen unter Windows Server 2003) geschehen.

Entfernen benutzerdefinierter administrativer Vorlagen

Das Entfernen administrativer Vorlagen erfordert einen ähnlich hohen administrativen Aufwand wie das Einspielen. Wenn einige oder alle Einstellungsoptionen einer administrativen Vorlage nicht mehr verwendet werden sollen, dann wird sie üblicherweise aus der GPMC-Konsole entfernt und gegebenenfalls durch eine modifizierte Version ersetzt. Jedoch werden dadurch Registrierungsschlüssel weder entfernt noch wenigstens zurückgesetzt. Daher müssen vor dem Entfernen der Vorlage aus der GPMC-Konsole alle aktiven Einstellungen, die in der GPMC-Konsole sichtbar sind, dokumentiert und anschließend auf einen unkritischen Wert gesetzt werden. Unkritisch sind solche Werte, die zur Unwirksamkeit eines Registrierungsschlüssels führen. Die Vorlage sollte erst nach entsprechender Erfolgskontrolle mittels GPMC- oder RSOP-Konsole entfernt werden. Das erneute Hinzufügen einer versehentlich entfernten Vorlage zeigt in der GPMC-Konsole nicht die vorhandenen Registriereinstellungen an, auch wenn der oder die Registrierungsschlüssel noch gesetzt und wirksam sind.

Um die Gefahr des Missbrauchs solcher verwaisten Registrierungsschlüssel auszuschließen, müssen anschließend alle nicht mehr verwendeten Registrierungsschlüssel vor ungewollter Verwendung geschützt werden. Dies ist im Normalfall nur durch Löschung möglich. Die Löschung kann manuell mit dem Registrierungseditor oder skriptgesteuert erfolgen. Alternativ können durch eine

Windows-Sicherheitsvorlage der Zugriff auf die Schlüssel verweigert und die Überwachungseinstellungen verschärft werden, wodurch sich allerdings die Eintragungshäufigkeit im Sicherheitsprotokoll erhöht und der Aufwand für die Auswertung steigt.

Dokumentation

Für eine minimale Dokumentation von administrativen Vorlagen genügt es, für jeden Server die verwendeten Vorlagendateien (Dateien mit der Erweiterung ".adm"), deren Version und bei benutzerdefinierten Vorlagen auch deren Inhalt in die Systemdokumentation aufzunehmen. Durch entsprechendes Versionsmanagement und Zugriffskontrolle auf die Vorlagen sollte nachvollziehbar sein, wer wann welche Vorlagen editiert hat. Weiterhin müssen jede aktivierte Einstellungsoption, ihr aktueller Wert und die zugrunde liegende Vorlage erfasst werden. Wird die Vorlage über Active Directory bereitgestellt, sind alle weiteren Faktoren zu dokumentieren, welche die Wirksamkeit der Einstellungen für den oder die Server bestimmen (z. B. OU, Sicherheits- und WMI-Filter). Es muss immer nachvollziehbar sein, woher der einzelne Registrierungsschlüssel stammt.

Auf dieser Basis sollten Dokumentationen und gegebenenfalls Konzepte für Tests, eigene Skripte und Bereitstellungs- und Rückführungsszenarien im Zusammenhang mit administrativen Vorlagen erstellt werden. Die Dokumentation sollte ebenfalls zur Planung der regelmäßigen Auswertung von System- und Sicherheitsprotokollen herangezogen werden.

Zur Dokumentation von aktiven Einstellungen ist die GPMC-Konsole gut geeignet, sofern Active Directory zum Einsatz kommt. Für die Gruppenrichtlinienobjekte, Richtlinienergebnissätze und Gruppenrichtlinienmodellierungen können Berichte in druckbarem Format in eine HTML-Datei exportiert werden (gewünschtes Objekt markieren | Menü Aktion | Bericht speichern...).

Ergänzende Kontrollfragen: