M 2.326 Planung der Windows XP, Vista und Windows 7 Gruppenrichtlinien
Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT
Verantwortlich für Umsetzung: Administrator, IT-Sicherheitsbeauftragter
Gruppenrichtlinien repräsentieren eine Vielzahl von Benutzer- und Konfigurationseinstellungen, die mit Computern, Standorten, Domänen oder Organisationseinheiten (OUs) verknüpft werden. Bei der Anwendung einer oder mehrerer Gruppenrichtlinien werden im Grunde Änderungen in der Registry der betroffenen Systeme vorgenommen.
Gruppenrichtlinien bieten eine einfache Möglichkeit, um das Verhalten von Clients zu steuern und zudem Sicherheitseinstellungen sowie An- und Abmeldeskripte zu definieren. Durch Gruppenrichtlinien lässt sich das Verhalten von Betriebssystemen bestimmen und der Zugriff von Benutzern mittels Gruppenrichtlinienobjekten, auf bestimmte Funktionalitäten des Systems einschränken. Ein Gruppenrichtlinienobjekt (Group Policy Object, GPO) fasst dabei einen vorgegebenen Satz von Konfigurationsparametern zusammen. Für jeden Parameter kann ein konkreter Wert angegeben werden, der unter Umständen nur aus einem beschränkten Wertebereich stammt. Generell kann auch der Wert nicht definiert gewählt werden. Dann gelten automatisch die Standardeinstellungen für diesen Parameter.
Die unter Windows 2000 eingeführten Richtlinien wurden um Windows XP-spezifische Inhalte erweitert, so dass mehr als 200 Richtlinien neu dazugekommen sind (insgesamt mehr als 900 Richtlinien). Diese Anzahl wurde mit Windows Vista und Windows 7 auf mehr als 3000 Richtlinien erweitert.
Die Planung und Einführung von Client-Gruppenrichtlinien sollte anhand eines standardisierten Prozesses wie dem folgenden durchgeführt werden:
- Anforderungen der Clientanwendungen und Sicherheitseinstellungen ermitteln und die Client-Konfiguration definieren
- Entscheidung, welche Einstellungen zentral verwaltet werden sollen
- Testinstallation
- Dokumentation der per Gruppenrichtlinie verwalteten Einstellungen (einschließlich Checkliste), Client-Bereitstellungskonzept anpassen
- Export der Einstellungen
a. auf Clients mittels gpedit.msc, rsop.msc oder gpresult
b. oder mittels DomaincontrollerEventlog-Filter für GPO-Events setzen und regelmäßig kontrollieren, ob GPO-Objekt(e) keine Fehler verursachen und wirksam sind. Dazu können: - Events ggf. auf einen Verwaltungs-Server umgeleitet und überwacht (z. B. System Center-Server) oder
- auf Clients mittels GPLogView.exe (separat von Microsoft erhältlich) ausgewertet werden.
Die Gruppenrichtlinien sind der primäre Mechanismus zur Umsetzung, der in der Maßnahme M 4.244 Sichere Systemkonfiguration von Windows Client-Betriebssystemen , empfohlenen Sicherheitseinstellungen. Sie können als lokale GPO zur Einstellung von Parametern für ein konkretes IT -System oder einen konkreten Benutzer verwendet werden. Beim Betrieb in einer Active Directory-basierten Umgebung lassen sich GPOs zusätzlich auf der Standort- und Domänenebene und auf der Ebene einzelner Organisationseinheiten einsetzen.
Die Parameter innerhalb eines Gruppenrichtlinienobjektes sind baumartig oder dateisystemartig thematisch zusammengefasst. Auf der obersten Ebene ergibt sich eine generelle Zweiteilung in Einstellungen für IT-Systeme und für Benutzer. Dies ermöglicht sowohl die Definition von IT-System- als auch von benutzerbasierten Einschränkungen. Durch die im Benutzerteil definierten Einstellungen werden auch anwendungsspezifische Einschränkungen festgelegt. Werden zusätzliche administrative Vorlagen importiert, lassen sich weitere Anwendungen wie Microsoft Office über die Gruppenrichtlinien zentral konfigurieren. Es sollten benutzerspezifische und anwendungsspezifische Gruppenrichtlinien eingesetzt werden.
Die Benutzer- und die IT-Systemteile einer Gruppenrichtlinie lassen sich einzeln deaktivieren, so dass der jeweils deaktivierte Teil bei der Anwendung der Gruppenrichtlinie nicht ausgewertet wird. Dies schafft in einigen Einsatzszenarien Geschwindigkeitsvorteile. Über die Deaktivierung eines nicht genutzten Teils einer Gruppenrichtlinie sollte in Abhängigkeit von den individuellen Anforderungen entschieden werden.
Beim Einsatz von Windows Vista und Windows 7 vereinfacht die Benutzerkontensteuerung (User Account Control, UAC) den Einsatz lokaler Administratorrechte für normale Benutzer. Die Administratorrechte sind zwar immer zweckgebunden und zeitlich eingeschränkt, jedoch könnten Benutzer auch sicherheitsrelevante Systemeinstellungen ändern. Daher sollten sicherheitsrelevante Einstellungen nur via Gruppenrichtlinien des Active Directory konfiguriert werden. Dadurch können sie nicht mehr lokal geändert werden.
Planung lokaler Gruppenrichtlinien
Werden Gruppenrichtlinien festgelegt, muss auf die Unterschiede zwischen lokalen Gruppenrichtlinien und Richtlinien im Active Directory geachtet werden. Nicht alle Einstellungen, die in einer Active Directory-basierten GPO vorgenommen werden, können auch in einer lokalen Gruppenrichtlinie definiert werden. So fehlen in der lokalen Gruppenrichtlinie zum Beispiel die Kerberos- und die Systemdienst-Richtlinien. Einzelne Richtlinien wie Kennwörter für alle Domänenbenutzer mit umkehrbarer Verschlüsselung speichern sind nur beim Einsatz in einer Domäne wirksam. Bei der Festlegung einzelner Parameter muss folglich der Geltungsbereich einzelner Richtlinien berücksichtigt werden.
Windows Versionen bis einschließlich Windows XP unterstützen pro Computer nur eine lokale Gruppenrichtlinie. Die Gruppenrichtlinien werden in folgender Reihenfolge verarbeitet:
- Lokale Gruppenrichtlinien
- Standort-GPOs
- Domänen-GPOs
- GPOs der Organisationseinheiten
Windows Vista und Windows 7 verwendet dieselbe Bearbeitungsreihenfolge, bietet allerdings drei Ebenen an, um lokale Gruppenrichtlinien (sog. Mehrfachgruppenrichtlinienobjekte, kurz MLGPOs) in folgender Reihenfolge zu verarbeiten:
- Richtlinien für lokale Computer
- Richtlinien für Administratoren und Nicht-Administratoren (nur Benutzerrichtlinien)
- Benutzerspezifische lokale Gruppenrichtlinien (nur Benutzerrichtlinien)
Es ist zu beachten, dass die Richtlinien für Administratoren und Nicht-Administratoren sowie die benutzerspezifischen lokalen Gruppenrichtlinien nur die Benutzerrichtlinien enthalten. Eine lokale Konfiguration der Computerrichtlinien ist nur über die lokale Computerrichtlinie gegeben.
Gruppenrichtlinien-Bereiche
Folgende Bereiche existieren im Computer-Teil einer Gruppenrichtlinie: Softwareeinstellungen, Windows-Einstellungen, Administrative Vorlagen.
Die Softwareeinstellungen sind vor allem beim Einsatz in einer Domäne relevant. Mit ihrer Hilfe kann über die Gruppenrichtlinien Software installiert, aktualisiert oder deinstalliert werden. Es sollte darüber nachgedacht werden, Software Deployment Tools für diese Funktion einzuführen. Über Skript-Richtlinien können Skripte spezifiziert werden, die beim Starten oder Herunterfahren des Systems ausgeführt werden. Diese Methode sollte genutzt werden, da die Benutzerkontensteuerung alte Netlogon-Skripte blockt.
Für die toolgesteuerte Verteilung von Software bietet Microsoft beispielsweise das Tool Microsoft System Center Configuration Manager 2007 an. Die Softwareverteilung mit einem Tool sollte aufgrund einer höheren Effizienz und Effektivität im Vergleich zur manuellen Verteilung bevorzugt werden.
Sicherheitsrelevante Einstellungen werden als Unterbereich der Windows Einstellungen über die Sicherheitseinstellungen verwaltet. Die Sicherheitseinstellungen unterteilen sich in weitere Bereiche wie Kontorichtlinien (Kennwortrichtlinien, Kontosperrungsrichtlinien, Kerberos-Richtlinie), Lokale Richtlinien (Überwachungsrichtlinien, Zuweisen von Benutzerrechten, Sicherheitsoptionen), Richtlinien öffentlicher Schlüssel, Richtlinien für Softwareeinschränkung, IP-Sicherheitsrichtlinien. Bei der Festlegung von Richtlinien für Sicherheitseinstellungen ist zu beachten:
- Kontorichtlinien werden in einer Active Directory-Umgebung nur auf Domänenebene durchgesetzt.
- Die Verwendung von Richtlinien für eingeschränkte Gruppen verhindert nicht, dass Modifikationen an Gruppenmitgliedschaften durchgeführt werden können. Die unerlaubten Modifikationen werden aber bei der nächsten Anwendung der Richtlinien rückgängig gemacht.
Hervorzuhebende Neuerungen bei den Sicherheitseinstellungen unter Windows Vista und Windows 7 sind die Konfigurationsmöglichkeiten für die Windows Vista und Windows 7 Firewall sowie für die Benutzerkontensteuerung (User Account Control, UAC).
Der Bereich Administrative Vorlagen wird für die Konfiguration der Windows Komponenten, des Systems, des Netzes sowie weiterer Anwendungen verwendet.
Anwendungsspezifische Richtlinien
Anwendungsspezifische Richtlinien werden im Bereich Computerkonfiguration | Administrative Vorlagen und Benutzerkonfiguration | Administrative Vorlagen definiert. Dabei können nicht nur Windows Komponenten wie NetMeeting, Internet Explorer, Windows Explorer und Windows Messenger konfiguriert werden, sondern auch Anwendungen, die ihre eigenen administrativen Vorlagen mitbringen, wie es bei Microsoft Office der Fall ist. Solche zusätzlichen administrativen Vorlagen müssen durch Administratoren explizit in eine Gruppenrichtlinie importiert werden.
Für die meisten Behörden und Unternehmen ist es empfehlenswert, alle vorhandenen Möglichkeiten zur zentralisierten anwendungsspezifischen Konfiguration auszunutzen. Durch die zentralisierte Vorgabe von sicherheitsrelevanten Einstellungen lassen sich viele Sicherheitsrisiken beseitigen. Welche Komponenten und/oder Anwendungen zentral durch GPOs konfiguriert werden, ist in Abhängigkeit von den individuellen Anforderungen festzulegen. Auch an dieser Stelle sollte die Grundsatzregel umgesetzt werden, dass alle nicht benötigten Anwendungen und Komponenten zu deaktivieren sind ( z. B. Windows Messenger).. Die erforderlichen Anwendungen und Komponenten sind so restriktiv wie möglich zu konfigurieren. Wird zum Beispiel Microsoft NetMeeting benötigt, jedoch kein Desktop Sharing verwendet, so ist dieses Merkmal durch die Definition entsprechender Richtlinien zu deaktivieren.
Windows Vista und Windows 7 bieten im Bereich Administrative Vorlagen wesentlich mehr Konfigurationsmöglichkeiten die bei der Planung zu betrachten sind, als frühere Versionen. Insbesondere sind unter Windows Vista und Windows 7 folgende sicherheitsrelevante Neuerungen der anwendungsspezifischen Richtlinien hervorzuheben:
- Erweiterte GPO-Konfigurationsmöglichkeiten für den Internet Explorer.
Die Erweiterungen betreffen insbesondere den Phishing Filter, die zentrale Aktivierung des geschützten Modus (Protected Mode) und die Behandlung von ActiveX-Steuerelementen. Diese anwendungsspezifischen Richtlinien werden im Bereich Computerkonfiguration | Administrative Vorlagen | Windows-Komponenten | Internet Explorer und Benutzerkonfiguration | Administrative Vorlagen | Windows-Komponenten | Internet Explorer konfiguriert. - GPO-Konfigurationsmöglichkeiten für die BitLocker-Laufwerkverschlüsselung.
Diese anwendungsspezifischen Richtlinien werden im Bereich Computerkonfiguration | Administrative Vorlagen | Windows-Komponenten | BitLocker-Laufwerkverschlüsselung konfiguriert.
TPM-spezifische Richtlinien sind im Bereich Computerkonfiguration | Administrative Vorlagen | System | Trusted Plattform Module-Dienste konfigurierbar. - GPO-Konfigurationsmöglichkeiten für Windows Defender.
Da Windows Defender vorwiegend für den Privatbereich entworfen wurde und nur ein geringes Sicherheitsniveau aufweist, ist vom alleinigen Einsatz des Windows Defender zur Identifizierung und Behandlung von Schadsoftware im professionellen Umfeld abzusehen. Der parallele Einsatz von Windows Defender mit einer Sicherheitslösung oder Lösung zum Schutz vor Schadsoftware eines Drittherstellers muss zuvor in einer Produktivumgebung getestet werden. Potenzielle Probleme können bei Bedarf durch Deaktivierung des Windows Defender über die anwendungsspezifische Richtlinie Windows Defender deaktivieren im Bereich Computerkonfiguration | Administrative Vorlagen | Windows-Komponenten | Windows Defender vermieden werden.
Benutzerspezifische Richtlinien
Windows XP, Vista und Windows 7 ermöglichen (wie auch schon Windows 2000) die Definition benutzerspezifischer Gruppenrichtlinien, die auf Benutzerbasis angewandt werden. Speziell beim Einsatz in einer Active Directory-Umgebung kann dies Sicherheitsvorteile bringen, indem Einschränkungen in Abhängigkeit vom Benutzertyp definiert werden und beispielsweise zwischen normalen und administrativen Benutzern unterschieden wird. Jede Differenzierung lässt sich durch eine geeignete OU-Struktur und die Definition entsprechender Gruppenrichtlinien umsetzen. Durch die in Windows Vista und Windows 7 erweiterte lokale Gruppenrichtlinie um Mehrfachgruppenrichtlinienobjekte (siehe Abschnitt: Planung lokaler Gruppenrichtlinien), lässt sich eine entsprechende Differenzierung auch ohne Active Directory implementieren.
Die Arbeitsumgebung eines Benutzers kann unter Windows XP, Vista und Windows 7 durch die Verwendung von Gruppenrichtlinien in ihrer Funktionalität eingeschränkt werden. Insbesondere sollte durch die Definition der geeigneten Parameterwerte die Konfiguration der Microsoft Management Console (MMC), des Startmenüs, der Taskleiste, des Desktops, der angezeigten Systemsteuerungskomponenten sowie der zugelassenen Windows-Anwendungen vorgenommen werden.
Für die Arbeitsumgebung eines normalen Benutzers sollten nach Möglichkeit folgende Einschränkungen vorgenommen werden:
- Ausschließlich Anzeige zugelassener Systemsteuerungskomponenten,
- Sperren der meisten MMC Snap-ins (das Zertifikate Snap-in sollte zugelassen bleiben, wenn Zertifikate zum Einsatz kommen),
- Einschränkungen des Taskplaners,
- Deaktivierung oder Einschränkung des Active Desktops,
- Einschränkungen im Bereich der Start- und Taskleiste,
- Einschränkungen bei der Installation und Nutzung von Wechselspeichergeräten (z. B. USB-Flash-Speicher, USB-Festplatten, CDs und DVDs) in Windows Vista und Windows 7.
Bei der Definition der Richtlinien Nur zugelassene Windows-Anwendungen ausführen und Angegebene Windows-Anwendungen nicht ausführen ist zu beachten, dass diese Einschränkungen nur für den Start der Anwendungen mit dem Windows Explorer gelten. Der Start einer "verbotenen" Anwendung durch den Taskmanager, von der Kommandozeile oder aus einem anderen Programm heraus, wird damit nicht verhindert. Hierfür stehen je nach Notwendigkeit andere Mittel wie Richtlinien für Softwareeinschränkung (englisch Software Restriction Policy) oder ab Windows 7 AppLocker zur Verfügung.
Außerdem sollten die anwendungsspezifischen Richtlinien zur Einschränkung der Anwendungen/Systemkomponenten auf Benutzerbasis verwendet werden.
Einsatz außerhalb von Active Directory-basierten Umgebungen
Beim Einsatz von Windows XP, Vista und Windows 7 als Stand-alone-System oder in einer Windows NT Domäne sind die zentralen Konfigurationsmöglichkeiten mittels globaler Gruppenrichtlinien nicht verfügbar. In diesem Fall müssen die lokalen Gruppenrichtlinien jedes IT-Systems zur Umsetzung der definierten sicherheitsrelevanten Parametereinstellungen benutzt werden. Grundlage ist der, in der Planungsphase festgelegte, Mechanismus zur Pflege von lokalen Gruppenrichtlinien auf mehreren IT-Systemen.
Einsatz in Active Directory-basierten Umgebungen
Beim Einsatz von Windows XP, Vista und Windows 7 Systemen in Active-Directory-basierten Umgebungen (Windows Server 2000-, Windows Server 2003- und Windows Server 2008-Domänen) ist der Einsatz lokaler Gruppenrichtlinien auf einzelnen Systemen ebenfalls möglich. In diesem Fall werden jedoch die Vorteile der zentralen Administration nicht genutzt. Folglich sollten, die Active Directory-basierten Gruppenrichtlinien auf der Standort und Domänenebene bzw. auf Ebene einzelner Organisationseinheiten für die Umsetzung der Sicherheitseinstellungen benutzt werden.
Lokale Gruppenrichtlinien auf einzelnen Systemen sollten aufgrund ihrer schlechten zentralen Verwaltbarkeit nach Möglichkeit nicht eingesetzt werden. Ist jedoch der gemeinsame Einsatz lokaler und Active Directory-basierter Gruppenrichtlinien aus bestimmten Gründen erforderlich, so müssen die Parametereinstellungen aller Gruppenrichtlinien aufeinander abgestimmt werden.
Die Verwendung von Active Directory-basierten Gruppenrichtlinien macht die Planung ihres Einsatzes in der Domäne (Windows 2000/2003/2008) erforderlich. Weitere Informationen zu Windows 2000 Active Directory-basierten Gruppenrichtlinien sind in der Maßnahme M 2.231 Planung der Gruppenrichtlinien unter Windows zusammengefasst. Im Allgemeinen müssen folgende Aspekte der Verwendung von Active Directory-basierten Gruppenrichtlinien bedacht werden:
- OU- und Gruppenstruktur im Active Directory,
- Hierarchie der GPOs im Active Directory und generell das GPO-Konzept,
- Vererbung der Gruppenrichtlinien,
- Blockieren und Erzwingen der GPO-Überdeckung,
- Priorisierung bzw. die Festlegung der Reihenfolge bei Abarbeitung mehrerer GPOs,
- Berechnung der jeweils gültigen Einstellungen für einen Gruppenrichtlinienparameter und die GPO-Abarbeitungsreihenfolge,
- Steuerung der Abarbeitung von Gruppenrichtlinien,
- Verlinken der Gruppenrichtlinien,
- GPO-Schutz.
Im Folgenden werden nur die davon abweichenden bzw. ergänzenden Informationen und Empfehlungen gegeben.
Windows XP bringt Änderungen und Neuerungen in der Gruppenrichtlinien-Funktionalität. Neue Features sind durch die aktualisierten clientseitigen Erweiterungen, administrative Vorlagen (ADM-Dateien) und das aktualisierte GPO Snap-in realisiert. Um die neuen Windows XP-spezifischen Merkmale auch in einer Windows 2000 Domäne zu nutzen, müssen die bestehenden Windows 2000 Gruppenrichtlinien aufgerüstet werden. Ein Upgrade erfolgt durch die Anwendung neuer ADM-Dateien und wird beim Laden der zu aktualisierenden Gruppenrichtlinie auf einem Windows XP Domänenmitglied mittels des Gruppenrichtlinien Snap-ins realisiert.
Das Upgrade der Gruppenrichtlinien muss unter Umständen wiederholt werden, wenn ein neues Service Pack (SP) auf Windows 2000 Domänen-Controllern angewandt wird. So ist beispielsweise die erneute Aktualisierung der Gruppenrichtlinien nach Installation des Windows 2000 SP4 notwendig.
Die Verwaltung der Windows XP-spezifischen Richtlinien im Active Directory sollte ausschließlich mit einem Windows XP Domänenmitglied erfolgen. Bei der Verwendung des Windows 2000 Gruppenrichtlinien Standard-Snap-ins sind Kompatibilitätsprobleme zu erwarten, die zwar nicht die Funktion der Gruppenrichtlinien, jedoch das Einsehen und das Modifizieren von GPOs beeinträchtigen können.
Analog dazu gestaltet sich die Verwaltung Vista und Windows 7-spezifischer Richtlinien: Mit Windows Vista und Windows 7 wurden die Gruppenrichtlinien Standard-Snap-ins Gruppenrichtlinienverwaltung und Gruppenrichtlinienobjekt-Editor zur Erstellung und Verwaltung von Gruppenrichtlinienobjekten überarbeitet. Windows Vista und Windows 7-spezifische Richtlinien können nur von den, in Windows Vista und Windows 7 enthaltenen, neuen Versionen dieser Verwaltungswerkzeuge dargestellt werden. Die Verwaltung der Windows Vista und Windows 7-spezifischen Richtlinien im Active Directory sollte ausschließlich von einem Windows Vista und Windows 7 Domänenmitglied aus erfolgen.
Die computerspezifischen Gruppenrichtlinien werden während des Boot-Vorgangs angewandt, die benutzerspezifischen Gruppenrichtlinien erst bei der Benutzeranmeldung. Dabei besitzt die benutzerspezifische Gruppenrichtlinie den Vorrang und überschreibt gegebenenfalls Einstellungen, die in der Computer-Richtlinie definiert sind. Für Active Directory-basierte Gruppenrichtlinien bietet sich der sogenannte Loopback-Verarbeitungsmodus an. Dieser stellt sicher, dass eine Computer-Richtlinie nicht von benutzerspezifischen Gruppenrichtlinien ausgehebelt werden kann. Dieser Verarbeitungsmodus sollte aktiviert werden, wenn sich die Einstellungen ausdrücklich auf den Computer beziehen und von Benutzern unabhängig sein sollen wie beispielsweise bei einem Windows XP-System im Kiosk-Betrieb. Es gibt zwei Varianten der Loopback-Verarbeitung: Ersetzen und Zusammenführen. Im Ersetzen-Modus werden keine benutzerspezifischen Einstellungen beachtet und die computerspezifische Gruppenrichtlinie wird angewandt. Der Zusammenführen-Modus führt die Einstellungen der Benutzer-GPO mit den Einstellungen der Computer-GPO zusammen. Ob eine Gruppenrichtlinie im Loopback-Verarbeitungsmodus und in welcher Variante eingesetzt werden soll, hängt immer vom jeweiligen Einsatzszenario und den Anforderungen der bestehenden Umgebung ab. Je nach Szenario kann dieser Modus sicherheitsrelevante Vorteile bringen, eine allgemeine Empfehlung ist an dieser Stelle nicht möglich.
Wird eine GPO gleichzeitig auf Windows 7, Windows Vista, Windows XP und Windows 2000-Systemen in einer Domäne angewandt, muss auf die Anwendbarkeit der Parametereinstellungen auf diese unterschiedlichen Systeme geachtet werden. Grundsätzlich gilt, dass spezifische Parametereinstellungen von Windows XP, Windows Vista und Windows 7 durch Windows 2000 Systeme ignoriert werden. Das unterschiedliche Verhalten verschiedener Betriebssysteme bei gleichen Einstellungen, wie EFS Richtlinien (siehe M 4.147 Sichere Nutzung von EFS unter Windows ), ist ebenfalls zu berücksichtigen. Es ist wesentlich zu wissen, ab welcher Betriebssystemversion die zu definierenden Einstellungen angewandt werden, um potenzielle Probleme zu vermeiden.
Auch bei Verwendung von Windows XP mit verschiedenen Service Packs ergeben sich Unterschiede bei der Anwendung von Parametereinstellungen einer GPO. Für Systeme mit Windows XP Service Pack 2 sind zusätzliche Sicherheitseinstellungen möglich, die von Systemen ohne Service Pack 2 ignoriert werden. Auch hier gilt: Die Information, ab welcher Version die zu definierenden Einstellungen angewandt werden, ist bei der Festlegung der Gruppenrichtlinien unbedingt zu beachten.
Die beiden Mechanismen Sicherheitsfilter (englisch Security Filtering) und WMI Filter ermöglichen es, Gruppenrichtlinien differenziert anzuwenden. Der Security Filtering Mechanismus gibt Sicherheitsgruppen an, für die die jeweilige Gruppenrichtlinie gilt. Standardmäßig wird eine Gruppenrichtlinie auf Authentifizierte Benutzer angewandt. WMI Filter steuern die Anwendung einer Gruppenrichtlinie in Abhängigkeit von der Beschaffenheit des IT-Systems (z. B. Betriebssystem, Service Pack Version, Festplattenplatz). Es sollte beachtet werden, dass Windows 2000-basierte IT-Systeme die definierten WMI Filter nicht auswerten und die Gruppenrichtlinie somit immer zum Einsatz kommt. Beide Mechanismen ermöglichen im Allgemeinen eine flexible Steuerung der Anwendung einer Gruppenrichtlinie auf ein Benutzer- oder Computer-Objekt im Active Directory. Ihr Einsatz erfordert jedoch genaue Planung und ausreichendes Testen im Vorfeld.
Sicherheitsvorlagen
Die Parametereinstellungen in Gruppenrichtlinien können nicht nur direkt mit dem entsprechenden MMC Snap-in, sondern auch durch den Import einer Sicherheitsvorlage vorgenommen werden. Sicherheitsvorlagen werden zur Konfiguration der Sicherheitseinstellungen verwendet. Sie werden in textbasierter Form in Richtliniendateien gespeichert (INF-Dateien) und können mit dem MMC Snap-in Sicherheitsvorlagen oder mit einem gewöhnlichen Texteditor bearbeitet werden. Eine Vielzahl definierter Sicherheitsvorlagen sind sowohl von Microsoft als auch von Drittanbietern frei verfügbar. Microsoft bietet hierbei unter Anderem die Sicherheitsrichtlinien Enterprise Client (EC) und Specialized Security Limited Functionality (SSLF)
Als grundsätzliche Vorgehensweise wird folgendes vorgeschlagen:
- Eine bestehende Sicherheitsvorlage wird ausgewählt ( z. B. von Microsoft). Die Wahl einer Vorlage mit einem höheren Sicherheitsniveau wie hisecws wird dabei empfohlen, da es aus Sicherheitssicht vorteilhafter ist, "sicherere" Einstellungen bei Notwendigkeit abzuschwächen als umgekehrt.
- Die Vorlage muss an lokale Anforderungen angepasst werden, die vorgenommenen Änderungen sind dabei zu begründen und zu dokumentieren.
- Die erstellte Vorlage wird in die entsprechende Gruppenrichtlinie importiert. Um beim Import einer Sicherheitsvorlage in eine Gruppenrichtlinie sicherzustellen, dass alle Einstellungen überschrieben werden, sollte die Verwendung der Option Datenbank vor dem Importieren aufräumen genutzt werden.
Eine weitere Verwendungsmöglichkeit finden die Sicherheitsvorlagen bei der Sicherheitsanalyse vorgenommener Einstellungen. Die aktuell auf einem Computer gültigen Einstellungen können mit denjenigen innerhalb einer INF-Datei verglichen werden. Dies kann entweder mittels des Sicherheitskonfiguration und -analyse Snap-ins der MMC oder mittels des Kommandozeilenwerkzeugs secedit erfolgen.
Durch das Anwenden der Sicherheitsvorlage secsetup.inf, die sich im Verzeichnis %SystemRoot%\repair befindet, können die Standardeinstellungen von Windows XP wiederhergestellt werden.
Definition eigener administrativer Vorlagen
Die sicherheitsrelevanten Einstellungen in Gruppenrichtlinien sind nicht nur im Bereich Windows-Einstellungen, sondern auch im Bereich der administrativen Vorlagen zu finden. Administrative Vorlagen bestehen aus einzelnen Parametern, die die Einstellungen zugehöriger Registry-Schlüssel konfigurieren. Die entsprechenden ADM-Dateien bestimmen die einzelnen Parameter, die sich innerhalb der administrativen Vorlagen konfigurieren lassen. Windows XP enthält standardmäßig mehrere ADM-Dateien, die beispielsweise Konfigurationsmöglichkeiten für den Internet Explorer beinhalten. Es ist zu beachten, dass die administrativen Vorlagen lediglich Einstellungsparameter und keine Einstellungen definieren und somit nicht zum Speichern und Verteilen der Einstellungen verwendet werden.
Mit Windows Vista und Windows 7 wurden die ADM-Dateien durch ADMX-Vorlagedateien ersetzt, die eine neue Syntax auf XML-Basis für die Registry-basierten Richtlinien verwenden. ADMX-Dateien bieten den Vorteil, dass sie, im Gegensatz zu ADM-Dateien, sprachneutral sind und in Verbindung mit sprachspezifischen ADML-Dateien auf beliebige Sprachversionen angewendet werden können.
In Unterschied zu ADM-Dateien werden ADMX-Dateien nicht mehr einzeln in jedes Gruppenrichtlinienobjekt geladen, sondern in einem zentralen Speicher verwaltet. Da sich die Gruppenrichtlinien Snap-ins Gruppenrichtlinienverwaltung und Gruppenrichtlinienobjekt-Editor standardmäßig mit dem PDC-Emulator verbinden, sollte in einer Active Directory-basierten Umgebung die zentrale Speicherung der ADMX/ADML-Dateien im SYSVOL-Verzeichnis auf diesem Betriebsmaster erfolgen.
Es ist auch möglich, eigene administrative Vorlagen zu definieren. Diese Vorgehensweise empfiehlt sich vor allem, wenn in einem Unternehmen bzw. einer Institution reger Gebrauch von direkten Registry-Einstellungen gemacht wird. Durch die einmalige Definition einer administrativen Vorlage können die entsprechenden Registry-Einstellungen komfortabel über den Gruppenrichtlinien-Mechanismus verteilt werden. Dies stellt unter anderem sicher, dass die Registry-Einstellungen tatsächlich auf allen Zielsystemen umgesetzt werden.
Testen der festgelegten Gruppenrichtlinien
Die festgelegten Gruppenrichtlinien müssen getestet werden, bevor sie in einer Produktivumgebung eingesetzt werden. Die Tests müssen gewährleisten, dass einerseits die benötigte Funktionalität für die Mitarbeiter nicht eingeschränkt wurde und dass andererseits alle sicherheitsrelevanten Einschränkungen korrekt umgesetzt werden.
Verwaltung von Gruppenrichtlinien mittels Microsoft PowerShell
Seit Windows 7 gibt es die Möglichkeit, Gruppenrichtlinien mittels PowerShell-Befehlszeile zu verwalten. Es ist möglich, während der Anmeldung und des Starts PowerShell-Skripts auszuführen. Zur Absicherung der PowerShell-Laufzeitumgebung ist m04xx2 Absicherung von Windows PowerShell zu berücksichtigen.
Prüffragen:
- Erfolgt eine geeignete Verteilung der Sicherheitseinstellungen auf mehrere Gruppenrichtlinienobjekt (GPO)?
- Ist sichergestellt, dass auf allen Rechnern die richtigen Gruppenrichtlinienobjekte für Windows XP, Vista und Windows 7 angewandt werden?
- Sind die Gruppenrichtlinien (Gruppen, anwendungsspezifische, benutzerspezifische) von Windows XP, Vista und Windows 7 bedarfsgerecht konfiguriert?
- Wurden alle sicherheitsrelevanten Einstellungen in den Gruppenrichtlinien von Windows XP, Vista und Windows 7 konfiguriert?
- Sind alle nicht benötigten Anwendungen und Komponenten mittels Gruppenrichtlinien deaktiviert worden?
- Ist eine bedarfsgerechte Arbeitsumgebung unter Windows XP, Vista und Windows 7 für die Benutzer eingerichtet worden?
- Werden die Gruppenrichtlinien getestet, bevor sie in einer Produktivumgebung eingesetzt werden?