M 2.231 Planung der Gruppenrichtlinien unter Windows 2000
Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Leiter IT, Administrator
Zur Konfiguration von Windows 2000 Rechnern steht der Mechanismus der so genannten Gruppenrichtlinien zur Verfügung. Schon unter Windows NT gab es mit den Gruppenrichtlinien ein ähnliches, aber deutlich weniger leistungsfähiges Instrument. Gruppenrichtlinien dienen im Active Directory dazu, einen Satz von Konfigurationseinstellungen, zu denen insbesondere auch Sicherheitseinstellungen gehören, auf eine Gruppe von Objekten anzuwenden. Durch ein so genanntes Gruppenrichtlinienobjekt (englisch Group Policy Object, GPO) wird ein vorgegebener Satz von Konfigurationsparametern (standardmäßig über 700) zusammengefasst. Für jeden Parameter kann ein konkreter Wert angegeben werden, der u. U. nur aus einem beschränkten Wertebereich stammt. Generell kann auch immer der Wert nicht definiert gewählt werden, so dass dann automatisch die Windows Standardeinstellungen für diese Parameter gelten. Die Standardeinstellungen sind in der Hilfedatei zu Gruppenrichtlinien, u. a. im Windows 2000 Server Resource Kit, dokumentiert.
Die Parameter innerhalb eines Gruppenrichtlinienobjektes sind baumartig oder dateisystemartig thematisch zusammengefasst. Dabei ergibt sich eine generelle Zweiteilung auf oberster Ebene in Einstellungen für Rechner sowie für Benutzer. Aus Sicherheitssicht sind insbesondere die Einstellungen interessant, die sich unterhalb der folgenden "Pfade" finden:
- Rechnereinstellungen\WindowsEinstellungen\Sicherheitseinstellungen
- Rechnereinstellungen\Administrative Einstellungen\
- Windows Komponenten\Windows Installer
- Rechnereinstellungen\Administrative Vorlagen\System\Gruppenrichtlinien
- Benutzereinstellungen\Administrative Vorlagen\
- Windows Komponenten\Microsoft Management Konsole
- Benutzereinstellungen\Administrative Einstellungen\
- Windows Komponenten\Windows Installer
Windows 2000 berechnet generell für jeden an einer Domäne angemeldeten Rechner und für jeden angemeldeten Benutzer die jeweils gültigen Einstellungen für jeden Gruppenrichtlinienparameter. Diese Berechung ist nötig, da die Vorgaben für die Parametereinstellungen durch unterschiedliche Gruppenrichtlinienobjekte definiert sein können, die sich gegenseitig überlagern können. Folgende Gruppenrichtlinienobjekte können definiert werden:
- Jeder Rechner besitzt ein lokal definiertes Gruppenrichtlinienobjekt. Dies erlaubt die Definition von Parametereinstellungen lokal auf dem Rechner, z. B. wenn keine Netzverbindung besteht.
- Gruppenrichtlinienobjekte können über Windows 2000 Standorte (Sites) definiert werden. Damit können Einstellungen standortspezifisch adaptiert werden.
- Innerhalb der Active Directory Struktur können Gruppenrichtlinienobjekte für das Domänenobjekt definiert werden, so dass damit Parametereinstellungen für Rechner und Benutzer innerhalb der gesamten Domäne gesteuert werden können.
- Auf jedem OU-Objekt können Gruppenrichtlinien definiert werden, deren Einstellungen dann auf alle Rechner und Benutzer unterhalb dieses OU-Objektes wirken.
Für die Berechnung der jeweils für einen konkreten Rechner oder Benutzer geltenden Parametereinstellungen wird folgendes Berechnungs- bzw. Überdeckungsschema (Lokal <- Standort <- Domäne <- Organisationseinheit, LSDO) angewandt: Zunächst werden die lokalen Einstellungen berücksichtigt (L, Lokal). Dann werden diese Einstellungen durch die Einstellungen des Gruppenrichtlinienobjektes, das auf dem zugehörigen Standort definiert ist, überdeckt (S, Standort). Danach erfolgt die Überdeckung durch die auf dem relevanten Domänenobjekt definierten Gruppenrichtlinienobjekte (D, Domäne). Schließlich werden die Gruppenrichtlinienobjekte der OU-Objekte in der Reihenfolge angewandt, wie sie auf dem Weg vom Domänenobjekt zu dem OU-Objekt, das den jeweiligen Rechner oder Benutzer enthält, definiert sind (O, Organisationseinheit).
Die Überdeckung kann durch die Optionen blockieren bzw. erzwingen beeinflusst werden. Stehen die Einstellungen blockieren und erzwingen im Konflikt, so wird die Einstellung erzwingen durchgesetzt. Zusätzlich ist es auf OU-Ebene möglich, mehrere Gruppenrichtlinienobjekte für ein OU-Objekt zu definieren. Dabei erfolgt die Überdeckung gemäß der angegebenen Reihenfolge. Es ist dabei außerdem möglich, jedes einzelne Gruppenrichtlinienobjekt für ein OU-Objekt zu aktivieren oder zu deaktivieren.
Gruppenrichtlinienobjekte können im Active Directory nur auf OU-Objekten definiert werden, nicht jedoch auf einzelnen Rechnern oder Benutzerobjekten. Das lokal definierte Gruppenrichtlinienobjekt wird nicht im Active Directory gespeichert. Soll ein Gruppenrichtlinienobjekt, das auf einem OU-Objekt definiert ist, das Rechnerobjekte zusammenfasst, nicht auf alle enthaltenen Rechnerobjekte wirken, so besteht die Möglichkeit, durch die Vergabe von Zugriffsrechten auf das Gruppenrichtlinienobjekt die Anwendung auf ein konkretes Rechnerobjekt zu unterbinden. Hierzu ist diesem Rechnerobjekt das Zugriffsrecht Anwenden auf das Gruppenrichtlinienobjekt zu entziehen.
Die bisher benutzte Darstellung der Definition von Gruppenrichtlinienobjekten auf OU-Objekten war jedoch vereinfacht: Gruppenrichtlinienobjekte werden separat im Active Directory gespeichert und bilden einen Pool von Objekten. Jedes definierte Gruppenrichtlinienobjekt kann nun einem oder auch mehreren OU-Objekten assoziiert werden. Man spricht dann von einem Link. Durch das Kennzeichnen eines Links als aktiviert oder deaktiviert wird das jeweilige Gruppenrichtlinienobjekt bei der Berechnung für das OU-Objekt herangezogen oder nicht (siehe oben). Für jedes Gruppenrichtlinienobjekt kann über den Eigenschaftsdialog festgestellt werden, mit welchen OU-Objekten ein Link besteht, d. h. auf welche Objekte sie potentiell wirken.
Aus Sicherheitssicht sind bei der Planung und im Umgang mit Gruppenrichtlinienobjekten folgende Aspekte zu berücksichtigen:
- Das Gruppenrichtlinienkonzept muss so einfach wie möglich gehalten werden. Komplexe Strukturen aus Mehrfachüberdeckungen sind zu vermeiden. Insbesondere sollte auf die Möglichkeit der Vergabe von Zugriffsrechten auf Gruppenrichtlinienobjekte nur in Ausnahmefällen zurückgegriffen werden. Generell muss das Gruppenrichtlinienkonzept so dokumentiert sein, dass Ausnahmeregelungen einfach zu erkennen sind.
- Das Gruppenrichtlinienkonzept und die OU-Objektstruktur beeinflussen sich gegenseitig wesentlich, da Gruppenrichtlinienobjekte im Active Directory nur auf OU-Objekte angewandt werden können und nicht auf Rechner- oder Benutzerobjekte. Beim Aufbau der OU-Gruppierungen ist daher darauf zu achten, dass nur Objekte, die mit gleichen GPO-Einstellungen versehen werden sollen, in einem OU-Objekt oder untergeordneten OU-Objekten zusammengefasst werden.
- Durch die Rechteberechnung ist es möglich, die Verwaltung der Parametereinstellungen auf unterschiedliche "Orte" (Lokal, Standort, Domänen-Objekt, OU-Objekte) zu verteilen. Es muss daher für jeden Parameter entschieden werden, wo er definiert wird. Es ist dabei zu beachten, dass einige Parameter nur dann wirksam werden, wenn sie an bestimmten "Orten" definiert werden. So können z. B. die Passworteinstellungen nur auf Domänen-Objekten definiert werden.
- Gruppenrichtlinienobjekte müssen vor unberechtigter Veränderung geschützt werden. Dazu müssen einerseits entsprechende Berechtigungen im Active Directory vergeben werden (siehe auch M 2.230 Planung der Active Directory-Administration, M 3.27 Schulung zur Active Directory-Verwaltung) und andererseits kann der Gebrauch von entsprechenden Verwaltungswerkzeugen, wie z. B. MMC-Gruppenrichtlinien-Snap-In oder Registrierungseditoren, für Benutzer unterbunden werden.
- Insbesondere für die sicherheitsrelevanten Parameter innerhalb eines Gruppenrichtlinienobjektes sind die Einstellungen festzulegen. Neben den oben angegebenen Einstellungen können je nach Anwendungsszenario auch weitere Parameter sicherheitsrelevant sein. Dazu zählen z. B. Internet-Explorer-Einstellungen.
Die Einstellungen der verschiedenen Gruppenrichtlinienobjekte müssen sich dabei generell an den Sicherheitsrichtlinien des Unternehmens bzw. der Behörde orientieren und diese umsetzen.
Im Folgenden werden Vorgaben für die Sicherheitseinstellungen aufgezeigt, die als Ausgangsbasis für die Sicherheitseinstellungen innerhalb einer Gruppenrichtlinie dienen können. Die angegebenen Werte müssen auf jeden Fall an die lokalen Bedingungen angepasst werden. Im Rahmen des Gruppenrichtlinienkonzeptes sind die einzelnen Werte zudem auf unterschiedliche Gruppenrichtlinienobjekte zu verteilen und jeweils an den Verwendungszweck anzupassen (z. B. GPO für Server, GPO für Arbeitsplatzrechner). Dadurch können für einzelne Einträge auch jeweils unterschiedliche Werte zustande kommen.
Kennwortrichtlinie
|
|
---|---|
Richtlinie | Computereinstellung |
Kennwortchronik erzwingen | 6 Gespeicherte Kennwörter |
Kennwörter müssen den Komplexitätsanforderungen entsprechen. | Aktiviert |
Kennwörtern für alle Domänenbenutzer mit umkehrbarer Verschlüsselung speichern | Deaktiviert |
Maximales Kennwortalter | 90 Tage |
Minimale Kennwortlänge | 6 Zeichen |
Minimales Kennwortalter | 1 Tag |
Kontosperrungsrichtlinien
|
|
---|---|
Richtlinie | Computereinstellung |
Kontensperrungsschwelle | 3 Ungültige Anmeldeversuche |
Kontosperrdauer | 0 (Hinweis: Konto ist gesperrt, bis Administrator Sperrung aufhebt) |
Kontosperrungszähler zurücksetzen nach | 30 Minuten |
Kerberos-Richtlinie |
|
---|---|
Richtlinie | Computereinstellung |
Benutzeranmeldeeinschränkungen erzwingen | Aktiviert |
Max. Gültigkeitsdauer des Benutzertickets | 8 Stunden |
Max. Gültigkeitsdauer des Diensttickets | 60 Minuten |
Max. Toleranz für die Synchronisation des Computertakts | 5 Minuten |
Max. Zeitraum, in dem ein Benutzerticket erneuert werden kann | 1 Tag |
Überwachungsrichtlinie |
|
---|---|
Richtlinie | Computereinstellung |
Active Directory-Zugriff überwachen | Erfolgreich, Fehlgeschlagen |
Anmeldeereignisse überwachen | Erfolgreich, Fehlgeschlagen |
Anmeldeversuche überwachen | Erfolgreich, Fehlgeschlagen |
Kontenverwaltung überwachen | Erfolgreich, Fehlgeschlagen |
Objektzugriffsversuche überwachen | Fehlgeschlagen |
Prozessverfolgung überwachen | Keine Überwachung |
Rechteverwendung überwachen | Fehlgeschlagen |
Richtlinienänderungen überwachen | Erfolgreich, Fehlgeschlagen |
Systemereignisse überwachen | Erfolgreich, Fehlgeschlagen |
Zuweisen von Benutzerrechten |
|
---|---|
Richtlinie | Computereinstellung |
Als Dienst anmelden | Definiert, aber leer |
Ändern der Systemzeit | Administratoren |
Anheben der Zeitplanungspriorität | Administratoren |
Anheben von Quoten | Administratoren |
Anmelden als Stapelverarbeitungsauftrag | Definiert, aber leer |
Anmeldung als Batchauftrag verweigern | Nicht definiert |
Anmeldung als Dienst verweigern | Nicht definiert |
Auf diesen Computer vom Netzwerk aus zugreifen | Jeder,Administratoren,Authentisierte Benutzer,Sicherungs-Operatoren |
Auslassen der durchsuchenden Überprüfung | Jeder |
Debuggen von Programmen | Nicht definiert |
Einsetzen als Teil des Betriebssystems | Definiert, aber leer |
Entfernen des Computers von der Dockingstation | Administratoren |
Ermöglichen, dass Computer- und Benutzerkonten für Delegierungszwecke vertraut wird | Administratoren |
Ersetzen eines Tokens auf Prozessebene | Definiert, aber leer |
Erstellen einer Auslagerungsdatei | Administratoren |
Erstellen eines Profils der Systemleistung | Administratoren |
Erstellen eines Profils für einen Einzelprozess | Administratoren |
Erstellen eines Tokenobjekts | Definiert, aber leer |
Erstellen von dauerhaft freigegebenen Objekten | Definiert, aber leer |
Erzwingen des Herunterfahrens von einem Remotesystem aus | Administratoren |
Generieren von Sicherheitsüberwachungen | Definiert, aber leer |
Herunterfahren des Systems | Administratoren |
Hinzufügen von Arbeitsstationen zur Domäne | Definiert, aber leer |
Laden und Entfernen von Gerätetreibern | Administratoren |
Lokal anmelden | Administratoren,Sicherungs-Operatoren |
Lokale Anmeldung verweigern | Nicht definiert |
Sichern von Dateien und Verzeichnissen | Sicherungs-Operatoren |
Sperren von Seiten im Speicher | Definiert aber leer |
Synchronisieren von Verzeichnisdienstdaten | Definiert, aber leerHinweis: Gemäß der Dokumentation zum Ressorce-Kit findet diese Einstellung in der gegenwärtigen Version von Windows 2000 keine Anwendung. |
Übernehmen des Besitzes von Dateien und Objekten | Administratoren |
Verändern der Firmwareumgebungsvariablen | Administratoren |
Verwalten von Überwachungs- und Sicherheitsprotokollen | Administratoren |
Wiederherstellen von Dateien und Verzeichnissen | Administratoren |
Zugriff vom Netzwerk auf diesen Computer verweigern | Nicht definiert |
Sicherheitsoptionen |
|
---|---|
Richtlinie | Computereinstellung |
Administrator umbenennen | Nicht definiert |
Anwender vor Ablauf des Kennworts zum Ändern des Kennworts auffordern | 7 Tage |
Anwendern das Installieren von Druckertreibern nicht erlauben | Aktiviert |
Anzahl zwischenzuspeichernder vorheriger Anmeldungen (für den Fall, dass der Domänencontroller nicht verfügbar ist) | 0 Anmeldungen |
Auslagerungsdatei des virtuellen Arbeitspeichers beim Herunterfahren des Systems löschen | Aktiviert |
Auswerfen von NTFS-Wechselmedien zulassen | Administratoren |
Benutzer automatisch abmelden, wenn die Anmeldezeit überschritten wird (lokal) | Aktiviert |
Benutzer nach Ablauf der Anmeldezeit automatisch abmelden | Aktiviert |
Clientkommunikation digital signieren (immer) | Deaktiviert |
Clientkommunikation digital signieren (wenn möglich) | Aktiviert |
Die Verwendung des Sicherungs- und Wiederherstellungsrechts überprüfen | Deaktiviert |
Gastkonto umbenennen | Nicht definiert |
Herunterfahren des Systems ohne Anmeldung zulassen | Deaktiviert |
LAN Manager-Authentisierungsebene | Nur NTLMv2-Antworten senden\LM verweigern |
Leerlaufzeitspanne bis zur Trennung der Sitzung | 15 Minuten |
Letzten Benutzernamen nicht im Anmeldedialog anzeigen | Aktiviert |
Nachricht für Benutzer, die sich anmelden wollen | Nicht definiert |
Nachrichtentitel für Benutzer, die sich anmelden wollen | Nicht definiert |
Serverkommunikation digital signieren (immer) | Deaktiviert |
Serverkommunikation digital signieren (wenn möglich) | Aktiviert |
Serveroperatoren das Einrichten von geplanten Tasks erlauben (Nur für Domänencontroller) | Nicht definiert |
Sicherer Kanal: Daten des sicheren Kanals digital signieren (wenn möglich) | Aktiviert |
Sicherer Kanal: Daten des sicheren Kanals digital verschlüsseln (wenn möglich) | Aktiviert |
Sicherer Kanal: Daten des sicheren Kanals digital verschlüsseln oder signieren (immer) | Deaktiviert |
Sicherer Kanal: Starker Sitzungsschlüssel erforderlich (Windows 2000 oder höher) | Deaktiviert (Hinweis: In reinen Windows 2000 Umgebungen aktivieren) |
Standardberechtigungen globaler Systemobjekte (z. B. symbolischer Verknüpfungen) verstärken | Aktiviert |
STRG+ALT+ENTF-Anforderung zur Anmeldung deaktivieren | Deaktiviert (Hinweis: D. h. STRG+ALT+ENTF ist erforderlich) |
System sofort herunterfahren, wenn Sicherheitsüberprüfungen nicht protokolliert werden können | Deaktiviert |
Systemwartung des Computerkontokennworts nicht gestatten | Deaktiviert |
Unverschlüsseltes Kennwort senden, um Verbindung mit SMB-Servern von Drittanbietern herzustellen | Deaktiviert |
Verhalten bei der Installation von nichtsignierten Dateien (außer Treibern) | Warnen, aber Installation zulassen |
Verhalten bei der Installation von nichtsignierten Treibern | Warnen, aber Installation zulassen |
Verhalten beim Entfernen von Smartcards | Computer sperren |
Weitere Einschränkungen für anonyme Verbindungen | Kein Zugriff ohne explizite anonyme Berechtigung |
Wiederherstellungskonsole: Automatische administrative Anmeldungen zulassen | Deaktiviert |
Wiederherstellungskonsole: Kopieren von Disketten und Zugriff auf alle Laufwerke und alle Ordner zulassen | Deaktiviert |
Zugriff auf CD-ROM-Laufwerke auf lokal angemeldete Benutzer beschränken | Aktiviert |
Zugriff auf Diskettenlaufwerke auf lokal angemeldete Benutzer beschränken | Aktiviert |
Zugriff auf globale Systemobjekte prüfen | Deaktiviert |
Ereignisprotokoll |
|
---|---|
Richtlinie | Computereinstellung |
Anwendungsprotokoll aufbewahren für | Nicht definiert |
Aufbewahrungsmethode des Anwendungsprotokolls | Ereignisse bei Bedarf überschreiben |
Aufbewahrungsmethode des Sicherheitsprotokolls | Ereignisse bei Bedarf überschreiben Hinweis: Im Hochsicherheitsbereich ist folgende Einstellung zu wählen: Ereignisse nicht überschreiben (Protokoll manuell aufräumen) |
Aufbewahrungsmethode des Systemprotokolls | Ereignisse bei Bedarf überschreiben |
Gastkontozugriff auf Anwendungsprotokoll einschränken | Aktiviert |
Gastkontozugriff auf Sicherheitsprotokoll einschränken | Aktiviert |
Gastkontozugriff auf Systemprotokoll einschränken | Aktiviert |
Maximale Größe des Anwendungsprotokolls | 30080 Kilobytes |
Maximale Größe des Sicherheitsprotokolls | 100992 Kilobytes |
Maximale Größe des Systemprotokolls | 30080 Kilobytes |
Sicherheitsprotokoll aufbewahren für | Nicht definiert |
System bei Erreichen der max. Sicherheitsprotokollgröße herunterfahren | Deaktiviert (Hinweis: Für Hochsicherheitssysteme aktivieren) |
Systemprotokoll aufbewahren für | Nicht definiert |
Ergänzende Kontrollfragen:
- Wurde das GPO-Konzept bedarfsgerecht entworfen?
- Sind alle GPOs durch restriktive Zugriffsrechte geschützt?
- Sind für alle GPO-Parameter in allen GPOs Vorgaben festgelegt?