Sie befinden sich hier: Themen IT-Grundschutz-Kataloge. Inhalt. Dokumententitel: M 2.231 Planung der Gruppenrichtlinien unter Windows 2000 - IT-Grundschutz-Kataloge - Stand 2006
direkt zu der Navigation Servicebereich. direkt zu der Hauptnavigation. direkt zur Themennavigation. direkt zum Seiteninhalt.

M 2.231 Planung der Gruppenrichtlinien unter Windows 2000

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement

Verantwortlich für Umsetzung: Leiter IT, Administrator

Zur Konfiguration von Windows 2000 Rechnern steht der Mechanismus der so genannten Gruppenrichtlinien zur Verfügung. Schon unter Windows NT gab es mit den Gruppenrichtlinien ein ähnliches, aber deutlich weniger leistungsfähiges Instrument. Gruppenrichtlinien dienen im Active Directory dazu, einen Satz von Konfigurationseinstellungen, zu denen insbesondere auch Sicherheitseinstellungen gehören, auf eine Gruppe von Objekten anzuwenden. Durch ein so genanntes Gruppenrichtlinienobjekt (englisch Group Policy Object, GPO) wird ein vorgegebener Satz von Konfigurationsparametern (standardmäßig über 700) zusammengefasst. Für jeden Parameter kann ein konkreter Wert angegeben werden, der u. U. nur aus einem beschränkten Wertebereich stammt. Generell kann auch immer der Wert nicht definiert gewählt werden, so dass dann automatisch die Windows Standardeinstellungen für diese Parameter gelten. Die Standardeinstellungen sind in der Hilfedatei zu Gruppenrichtlinien, u. a. im Windows 2000 Server Resource Kit, dokumentiert.

Die Parameter innerhalb eines Gruppenrichtlinienobjektes sind baumartig oder dateisystemartig thematisch zusammengefasst. Dabei ergibt sich eine generelle Zweiteilung auf oberster Ebene in Einstellungen für Rechner sowie für Benutzer. Aus Sicherheitssicht sind insbesondere die Einstellungen interessant, die sich unterhalb der folgenden "Pfade" finden:

Windows 2000 berechnet generell für jeden an einer Domäne angemeldeten Rechner und für jeden angemeldeten Benutzer die jeweils gültigen Einstellungen für jeden Gruppenrichtlinienparameter. Diese Berechung ist nötig, da die Vorgaben für die Parametereinstellungen durch unterschiedliche Gruppenrichtlinienobjekte definiert sein können, die sich gegenseitig überlagern können. Folgende Gruppenrichtlinienobjekte können definiert werden:

Für die Berechnung der jeweils für einen konkreten Rechner oder Benutzer geltenden Parametereinstellungen wird folgendes Berechnungs- bzw. Überdeckungsschema (Lokal <- Standort <- Domäne <- Organisationseinheit, LSDO) angewandt: Zunächst werden die lokalen Einstellungen berücksichtigt (L, Lokal). Dann werden diese Einstellungen durch die Einstellungen des Gruppenrichtlinienobjektes, das auf dem zugehörigen Standort definiert ist, überdeckt (S, Standort). Danach erfolgt die Überdeckung durch die auf dem relevanten Domänenobjekt definierten Gruppenrichtlinienobjekte (D, Domäne). Schließlich werden die Gruppenrichtlinienobjekte der OU-Objekte in der Reihenfolge angewandt, wie sie auf dem Weg vom Domänenobjekt zu dem OU-Objekt, das den jeweiligen Rechner oder Benutzer enthält, definiert sind (O, Organisationseinheit).

Die Überdeckung kann durch die Optionen blockieren bzw. erzwingen beeinflusst werden. Stehen die Einstellungen blockieren und erzwingen im Konflikt, so wird die Einstellung erzwingen durchgesetzt. Zusätzlich ist es auf OU-Ebene möglich, mehrere Gruppenrichtlinienobjekte für ein OU-Objekt zu definieren. Dabei erfolgt die Überdeckung gemäß der angegebenen Reihenfolge. Es ist dabei außerdem möglich, jedes einzelne Gruppenrichtlinienobjekt für ein OU-Objekt zu aktivieren oder zu deaktivieren.

Gruppenrichtlinienobjekte können im Active Directory nur auf OU-Objekten definiert werden, nicht jedoch auf einzelnen Rechnern oder Benutzerobjekten. Das lokal definierte Gruppenrichtlinienobjekt wird nicht im Active Directory gespeichert. Soll ein Gruppenrichtlinienobjekt, das auf einem OU-Objekt definiert ist, das Rechnerobjekte zusammenfasst, nicht auf alle enthaltenen Rechnerobjekte wirken, so besteht die Möglichkeit, durch die Vergabe von Zugriffsrechten auf das Gruppenrichtlinienobjekt die Anwendung auf ein konkretes Rechnerobjekt zu unterbinden. Hierzu ist diesem Rechnerobjekt das Zugriffsrecht Anwenden auf das Gruppenrichtlinienobjekt zu entziehen.

Die bisher benutzte Darstellung der Definition von Gruppenrichtlinienobjekten auf OU-Objekten war jedoch vereinfacht: Gruppenrichtlinienobjekte werden separat im Active Directory gespeichert und bilden einen Pool von Objekten. Jedes definierte Gruppenrichtlinienobjekt kann nun einem oder auch mehreren OU-Objekten assoziiert werden. Man spricht dann von einem Link. Durch das Kennzeichnen eines Links als aktiviert oder deaktiviert wird das jeweilige Gruppenrichtlinienobjekt bei der Berechnung für das OU-Objekt herangezogen oder nicht (siehe oben). Für jedes Gruppenrichtlinienobjekt kann über den Eigenschaftsdialog festgestellt werden, mit welchen OU-Objekten ein Link besteht, d. h. auf welche Objekte sie potentiell wirken.

Aus Sicherheitssicht sind bei der Planung und im Umgang mit Gruppenrichtlinienobjekten folgende Aspekte zu berücksichtigen:

Die Einstellungen der verschiedenen Gruppenrichtlinienobjekte müssen sich dabei generell an den Sicherheitsrichtlinien des Unternehmens bzw. der Behörde orientieren und diese umsetzen.

Im Folgenden werden Vorgaben für die Sicherheitseinstellungen aufgezeigt, die als Ausgangsbasis für die Sicherheitseinstellungen innerhalb einer Gruppenrichtlinie dienen können. Die angegebenen Werte müssen auf jeden Fall an die lokalen Bedingungen angepasst werden. Im Rahmen des Gruppenrichtlinienkonzeptes sind die einzelnen Werte zudem auf unterschiedliche Gruppenrichtlinienobjekte zu verteilen und jeweils an den Verwendungszweck anzupassen (z. B. GPO für Server, GPO für Arbeitsplatzrechner). Dadurch können für einzelne Einträge auch jeweils unterschiedliche Werte zustande kommen.

 
Kennwortrichtlinie 
Richtlinie  Computereinstellung 
Kennwortchronik erzwingen  6 Gespeicherte Kennwörter 
Kennwörter müssen den Komplexitätsanforderungen entsprechen.  Aktiviert 
Kennwörtern für alle Domänenbenutzer mit umkehrbarer Verschlüsselung speichern  Deaktiviert 
Maximales Kennwortalter  90 Tage 
Minimale Kennwortlänge  6 Zeichen 
Minimales Kennwortalter  1 Tag 

 
Kontosperrungsrichtlinien 
Richtlinie  Computereinstellung 
Kontensperrungsschwelle  3 Ungültige Anmeldeversuche 
Kontosperrdauer  0 (Hinweis: Konto ist gesperrt, bis Administrator Sperrung aufhebt) 
Kontosperrungszähler zurücksetzen nach  30 Minuten 

 
Kerberos-Richtlinie
Richtlinie  Computereinstellung 
Benutzeranmeldeeinschränkungen erzwingen  Aktiviert 
Max. Gültigkeitsdauer des Benutzertickets  8 Stunden 
Max. Gültigkeitsdauer des Diensttickets  60 Minuten 
Max. Toleranz für die Synchronisation des Computertakts  5 Minuten 
Max. Zeitraum, in dem ein Benutzerticket erneuert werden kann  1 Tag 

 
Überwachungsrichtlinie
Richtlinie  Computereinstellung 
Active Directory-Zugriff überwachen  Erfolgreich, Fehlgeschlagen 
Anmeldeereignisse überwachen  Erfolgreich, Fehlgeschlagen 
Anmeldeversuche überwachen  Erfolgreich, Fehlgeschlagen 
Kontenverwaltung überwachen  Erfolgreich, Fehlgeschlagen 
Objektzugriffsversuche überwachen  Fehlgeschlagen 
Prozessverfolgung überwachen  Keine Überwachung 
Rechteverwendung überwachen  Fehlgeschlagen 
Richtlinienänderungen überwachen  Erfolgreich, Fehlgeschlagen 
Systemereignisse überwachen  Erfolgreich, Fehlgeschlagen 

 
Zuweisen von Benutzerrechten
Richtlinie  Computereinstellung 
Als Dienst anmelden  Definiert, aber leer 
Ändern der Systemzeit  Administratoren 
Anheben der Zeitplanungspriorität  Administratoren 
Anheben von Quoten  Administratoren 
Anmelden als Stapelverarbeitungsauftrag  Definiert, aber leer 
Anmeldung als Batchauftrag verweigern  Nicht definiert 
Anmeldung als Dienst verweigern  Nicht definiert 
Auf diesen Computer vom Netzwerk aus zugreifen  Jeder,Administratoren,Authentisierte Benutzer,Sicherungs-Operatoren 
Auslassen der durchsuchenden Überprüfung  Jeder 
Debuggen von Programmen  Nicht definiert 
Einsetzen als Teil des Betriebssystems  Definiert, aber leer 
Entfernen des Computers von der Dockingstation  Administratoren 
Ermöglichen, dass Computer- und Benutzerkonten für Delegierungszwecke vertraut wird  Administratoren 
Ersetzen eines Tokens auf Prozessebene  Definiert, aber leer 
Erstellen einer Auslagerungsdatei  Administratoren 
Erstellen eines Profils der Systemleistung  Administratoren 
Erstellen eines Profils für einen Einzelprozess  Administratoren 
Erstellen eines Tokenobjekts  Definiert, aber leer 
Erstellen von dauerhaft freigegebenen Objekten  Definiert, aber leer 
Erzwingen des Herunterfahrens von einem Remotesystem aus  Administratoren 
Generieren von Sicherheitsüberwachungen  Definiert, aber leer 
Herunterfahren des Systems  Administratoren 
Hinzufügen von Arbeitsstationen zur Domäne  Definiert, aber leer 
Laden und Entfernen von Gerätetreibern  Administratoren 
Lokal anmelden  Administratoren,Sicherungs-Operatoren 
Lokale Anmeldung verweigern  Nicht definiert 
Sichern von Dateien und Verzeichnissen  Sicherungs-Operatoren 
Sperren von Seiten im Speicher  Definiert aber leer 
Synchronisieren von Verzeichnisdienstdaten  Definiert, aber leerHinweis: Gemäß der Dokumentation zum Ressorce-Kit findet diese Einstellung in der gegenwärtigen Version von Windows 2000 keine Anwendung. 
Übernehmen des Besitzes von Dateien und Objekten  Administratoren 
Verändern der Firmwareumgebungsvariablen  Administratoren 
Verwalten von Überwachungs- und Sicherheitsprotokollen  Administratoren 
Wiederherstellen von Dateien und Verzeichnissen  Administratoren 
Zugriff vom Netzwerk auf diesen Computer verweigern  Nicht definiert 

 
Sicherheitsoptionen
Richtlinie  Computereinstellung 
Administrator umbenennen  Nicht definiert 
Anwender vor Ablauf des Kennworts zum Ändern des Kennworts auffordern  7 Tage 
Anwendern das Installieren von Druckertreibern nicht erlauben  Aktiviert 
Anzahl zwischenzuspeichernder vorheriger Anmeldungen (für den Fall, dass der Domänencontroller nicht verfügbar ist)  0 Anmeldungen 
Auslagerungsdatei des virtuellen Arbeitspeichers beim Herunterfahren des Systems löschen  Aktiviert 
Auswerfen von NTFS-Wechselmedien zulassen  Administratoren 
Benutzer automatisch abmelden, wenn die Anmeldezeit überschritten wird (lokal)  Aktiviert 
Benutzer nach Ablauf der Anmeldezeit automatisch abmelden  Aktiviert 
Clientkommunikation digital signieren (immer)  Deaktiviert 
Clientkommunikation digital signieren (wenn möglich)  Aktiviert 
Die Verwendung des Sicherungs- und Wiederherstellungsrechts überprüfen  Deaktiviert 
Gastkonto umbenennen  Nicht definiert 
Herunterfahren des Systems ohne Anmeldung zulassen  Deaktiviert 
LAN Manager-Authentisierungsebene  Nur NTLMv2-Antworten senden\LM verweigern 
Leerlaufzeitspanne bis zur Trennung der Sitzung  15 Minuten 
Letzten Benutzernamen nicht im Anmeldedialog anzeigen  Aktiviert 
Nachricht für Benutzer, die sich anmelden wollen  Nicht definiert 
Nachrichtentitel für Benutzer, die sich anmelden wollen  Nicht definiert 
Serverkommunikation digital signieren (immer)  Deaktiviert 
Serverkommunikation digital signieren (wenn möglich)  Aktiviert 
Serveroperatoren das Einrichten von geplanten Tasks erlauben (Nur für Domänencontroller)  Nicht definiert 
Sicherer Kanal: Daten des sicheren Kanals digital signieren (wenn möglich)  Aktiviert 
Sicherer Kanal: Daten des sicheren Kanals digital verschlüsseln (wenn möglich)  Aktiviert 
Sicherer Kanal: Daten des sicheren Kanals digital verschlüsseln oder signieren (immer)  Deaktiviert 
Sicherer Kanal: Starker Sitzungsschlüssel erforderlich (Windows 2000 oder höher)  Deaktiviert (Hinweis: In reinen Windows 2000 Umgebungen aktivieren) 
Standardberechtigungen globaler Systemobjekte (z. B. symbolischer Verknüpfungen) verstärken  Aktiviert 
STRG+ALT+ENTF-Anforderung zur Anmeldung deaktivieren  Deaktiviert (Hinweis: D. h. STRG+ALT+ENTF ist erforderlich) 
System sofort herunterfahren, wenn Sicherheitsüberprüfungen nicht protokolliert werden können  Deaktiviert 
Systemwartung des Computerkontokennworts nicht gestatten  Deaktiviert 
Unverschlüsseltes Kennwort senden, um Verbindung mit SMB-Servern von Drittanbietern herzustellen  Deaktiviert 
Verhalten bei der Installation von nichtsignierten Dateien (außer Treibern)  Warnen, aber Installation zulassen 
Verhalten bei der Installation von nichtsignierten Treibern  Warnen, aber Installation zulassen 
Verhalten beim Entfernen von Smartcards  Computer sperren 
Weitere Einschränkungen für anonyme Verbindungen  Kein Zugriff ohne explizite anonyme Berechtigung 
Wiederherstellungskonsole: Automatische administrative Anmeldungen zulassen  Deaktiviert 
Wiederherstellungskonsole: Kopieren von Disketten und Zugriff auf alle Laufwerke und alle Ordner zulassen  Deaktiviert 
Zugriff auf CD-ROM-Laufwerke auf lokal angemeldete Benutzer beschränken  Aktiviert 
Zugriff auf Diskettenlaufwerke auf lokal angemeldete Benutzer beschränken  Aktiviert 
Zugriff auf globale Systemobjekte prüfen  Deaktiviert 

 
Ereignisprotokoll
Richtlinie  Computereinstellung 
Anwendungsprotokoll aufbewahren für  Nicht definiert 
Aufbewahrungsmethode des Anwendungsprotokolls  Ereignisse bei Bedarf überschreiben 
Aufbewahrungsmethode des Sicherheitsprotokolls  Ereignisse bei Bedarf überschreiben Hinweis: Im Hochsicherheitsbereich ist folgende Einstellung zu wählen: Ereignisse nicht überschreiben (Protokoll manuell aufräumen) 
Aufbewahrungsmethode des Systemprotokolls  Ereignisse bei Bedarf überschreiben 
Gastkontozugriff auf Anwendungsprotokoll einschränken  Aktiviert 
Gastkontozugriff auf Sicherheitsprotokoll einschränken  Aktiviert 
Gastkontozugriff auf Systemprotokoll einschränken  Aktiviert 
Maximale Größe des Anwendungsprotokolls  30080 Kilobytes 
Maximale Größe des Sicherheitsprotokolls  100992 Kilobytes 
Maximale Größe des Systemprotokolls  30080 Kilobytes 
Sicherheitsprotokoll aufbewahren für  Nicht definiert 
System bei Erreichen der max. Sicherheitsprotokollgröße herunterfahren  Deaktiviert (Hinweis: Für Hochsicherheitssysteme aktivieren) 
Systemprotokoll aufbewahren für  Nicht definiert 

Ergänzende Kontrollfragen: