Sie befinden sich hier: Themen IT-Grundschutz-Kataloge. Inhalt. Dokumententitel: M 4.243 Windows XP Verwaltungswerkzeuge - IT-Grundschutz-Kataloge - Stand 2006
direkt zu der Navigation Servicebereich. direkt zu der Hauptnavigation. direkt zur Themennavigation. direkt zum Seiteninhalt.

M 4.243 Windows XP Verwaltungswerkzeuge

Verantwortlich für Initiierung: Administrator

Verantwortlich für Umsetzung: Administrator

Das kommandozeilenbasierte Tool secedit ist bereits aus Windows 2000 bekannt. Es ermöglicht das Automatisieren von Aufgaben bei der Konfiguration der Sicherheitseinstellungen. Mit diesem Tool können unter anderem Vorlagen automatisch erstellt, angewandt und analysiert werden. Eines seines wichtigsten Merkmale ist die Fähigkeit, einen Abgleich der geltenden Gruppenrichtlinieneinstellungen mit einem Mustersatz zu erstellen. Es sollte beachtet werden, dass ein Teil der secedit-Funktionalität unter Windows XP ausgelagert wurde (gpupdate).

Die Analyse der aktuell geltenden Einstellungen kann auch mit dem MMC Snap-In Sicherheitskonfiguration und -analyse durchgeführt werden. Die Ergebnisse werden im Gegensatz zu secedit graphisch aufbereitet und präsentiert. Es ist zu beachten, dass sowohl das secedit Tool als auch das MMC Snap-In Sicherheitskonfiguration- und -analyse nicht zur Konfiguration und Analyse der in administrativen Vorlagen definierten Parameter verwendet werden können.

Die Bearbeitung von Sicherheitsvorlagen erfolgt unter Windows XP mit dem MMC Snap-In Sicherheitsvorlagen. Da die Sicherheitsvorlagen jedoch einfache Textdateien sind, können sie auch mit einem gewöhnlichen Texteditor bearbeitet werden. Dies kann unter anderem für die Spezifizierung zusätzlicher Registry-Schlüssel notwendig sein.

Ändern sich die Einstellungen einer Gruppenrichtlinie, so werden die Konfigurationsänderungen nur mit einer Verzögerung wirksam, die durch die Verarbeitungseinstellungen der Gruppenrichtlinien vorgegeben wird. Um die Änderungen für einen Benutzer oder Computer unverzüglich zu verbreiten, kann das Kommandozeilenwerkzeug gpupdate benutzt werden. Dieses Tool ersetzt das von Windows 2000 bekannte Kommando secedit /refreshpolicy.

Das Kommandozeilentool gpresult kann auf einem Windows XP Client benutzt werden, um das Resultat aller eingerichteten Gruppenrichtlinien aufzulisten. Es dient unter anderem auch dazu herauszufinden, was bei der Anmeldung eines bestimmten Benutzers auf einem bestimmten Computer passiert (gpresult /s:computername /u:benutzername). Dieses Werkzeug kann vor allem zur Fehlersuche oder zur Dokumentation der geltenden Einstellungen verwendet werden.

Eine ähnliche Funktionalität wie gpresult bietet auch das MMC Snap-in Richtlinienergebnissatz (rsop.msc). Dieses Tool kann nicht nur zur Dokumentation der aktuell geltenden Einstellungen verwendet werden (Protokollierungsmodus), sondern auch, um mögliche andere Szenarien durchzuspielen (Planungsmodus). Damit lässt sich eine Richtlinienimplementierung simulieren, die vor allem in der Design-Phase immens wichtig ist und vor vielen Implementierungsfehlern, insbesondere bei komplexen Gruppenrichtlinien-Strukturen und -Hierarchien, bewahren kann.

Das von Microsoft frei verfügbare Tool Group Policy Management Console (GPMC) bietet deutlich bessere Verwaltungsmöglichkeiten für Gruppenrichtlinien im Active Directory als die Standard-Snap-Ins von Windows 2000. Dieses Tool stellt weitergehende Funktionalitäten zur Verfügung, welche für die Verwaltung der Gruppenrichtlinien im Active Directory sehr wichtig sind: das Erstellen, Verlinken und Löschen von GPOs, Importieren der Einstellungen aus gesicherten Gruppenrichtlinienobjekten, Erstellung von GPO-Reports (die unter anderem für Dokumentationszwecke verwendet werden können), Sichern und Wiederherstellen von GPOs. Nicht zuletzt bietet GPMC eine Scripting-Schnittstelle, die bei einer Vielzahl administrativer Aufgaben sinnvoll eingesetzt werden kann. Der Einsatz von GPMC wird daher in Active Directory Umgebungen dringend empfohlen.

Ein weiteres sinnvolles Tool ist der Migrationstabellen-Editor mtedit, das im Lieferumfang des GPMC enthalten ist. Dieses Tool ermöglicht eine bequeme Erstellung von Migrationstabellen, die beim domänenübergreifenden Kopieren oder Importieren einer Sicherheitsrichtlinie verwendet werden können. Durch die Verwendung von Migrationstabellen lassen sich domänenspezifische Informationen modifizieren (z. B. Gruppennamen oder SIDs).

Microsoft stellt mit dem Baseline Security Analyzer (MBSA) ein Tool zur Verfügung, das für die automatische Auswertung der Patch-Stände eingesetzt werden kann. Der Einsatz dieses Tools verschafft den Administratoren einen aktuellen Überblick über den Patch-Stand der Systeme und trägt somit wesentlich zur Gesamtsicherheit bei (siehe auch M 4.249 Windows XP Systeme aktuell halten).

Alle diese Werkzeuge sollten unbedingt von Administratoren bei der Fehlersuche oder während der Design- und Test-Phasen eingesetzt werden. Die Verwendung dieser Tools hilft, Konfigurationsschwächen zu entdecken und zu vermeiden.

Ergänzende Kontrollfragen: