Bundesamt für Sicherheit in der Informationstechnik

M 2.326 Planung der Gruppenrichtlinien für Clients ab Windows XP

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator, IT-Sicherheitsbeauftragter

Gruppenrichtlinien repräsentieren eine Vielzahl von Benutzer- und Konfigurationseinstellungen, die mit Computern, Standorten, Domänen oder Organisationseinheiten ( OU s) verknüpft werden. Bei der Anwendung einer oder mehrerer Gruppenrichtlinien werden im Grunde Änderungen in der Registry der betroffenen Systeme vorgenommen.

Gruppenrichtlinien bieten eine einfache Möglichkeit, um das Verhalten von Clients zu steuern und zudem Sicherheitseinstellungen sowie An- und Abmeldeskripte zu definieren. Durch Gruppenrichtlinien lässt sich das Verhalten von Betriebssystemen bestimmen und der Zugriff von Benutzern mittels Gruppenrichtlinienobjekten, auf bestimmte Funktionalitäten des Systems einschränken. Ein Gruppenrichtlinienobjekt (Group Policy Object, GPO ) fasst dabei einen vorgegebenen Satz von Konfigurationsparametern zusammen. Für jeden Parameter kann ein konkreter Wert angegeben werden, der unter Umständen nur aus einem beschränkten Wertebereich stammt. Generell kann auch der Wert nicht definiert gewählt werden. Dann gelten automatisch die Standardeinstellungen für diesen Parameter.

Seit der Einführung unter Windows 2000 wurden die Richtlinien ständig um neue Inhalte erweitert. Unter Windows 8 ist die Anzahl der möglichen Einstellungen auf über 3.600 angestiegen.

Die Planung und Einführung von Client-Gruppenrichtlinien sollte anhand eines standardisierten Prozesses wie dem Folgenden durchgeführt werden:

  • Anforderungen der Clientanwendungen und Sicherheitseinstellungen ermitteln und die Client-Konfiguration definieren
  • Entscheidung, welche Einstellungen zentral verwaltet werden sollen
  • Testinstallation
  • Dokumentation der per Gruppenrichtlinie verwalteten Einstellungen (einschließlich Checkliste), Client-Bereitstellungskonzept anpassen
  • Export der Einstellungen

    a. auf Clients mittels gpedit.msc, rsop.msc oder gpresult

    b. oder mittels Domaincontroller Eventlog-Filter für GPO -Events setzen und regelmäßig kontrollieren, ob GPO -Objekt(e) keine Fehler verursachen und wirksam sind. Dazu können:
  • Events ggf. auf einen Verwaltungs-Server umgeleitet und überwacht (z. B. System Center-Server) oder
  • auf Clients mittels GPLogView. exe (separat von Microsoft erhältlich) ausgewertet werden.

Die Gruppenrichtlinien sind der primäre Mechanismus zur Umsetzung, der in der Maßnahme M 4.244 Sichere Systemkonfiguration von Windows Client-Betriebssystemen , empfohlenen Sicherheitseinstellungen. Sie können als lokale GPO zur Einstellung von Parametern für ein konkretes IT -System oder einen konkreten Benutzer verwendet werden. Beim Betrieb in einer Active Directory-basierten Umgebung lassen sich GPO s zusätzlich auf der Standort- und Domänenebene und auf der Ebene einzelner Organisationseinheiten einsetzen.

Die Parameter innerhalb eines Gruppenrichtlinienobjektes sind baumartig oder dateisystemartig thematisch zusammengefasst. Auf der obersten Ebene ergibt sich eine generelle Zweiteilung in Einstellungen für IT -Systeme und für Benutzer. Dies ermöglicht sowohl die Definition von IT -System- als auch von benutzerbasierten Einschränkungen. Durch die im Benutzerteil definierten Einstellungen werden auch anwendungsspezifische Einschränkungen festgelegt. Werden zusätzliche administrative Vorlagen importiert, lassen sich weitere Anwendungen wie Microsoft Office über die Gruppenrichtlinien zentral konfigurieren. Es sollten benutzerspezifische und anwendungsspezifische Gruppenrichtlinien eingesetzt werden.

Die Benutzer- und die IT -Systemteile einer Gruppenrichtlinie lassen sich einzeln deaktivieren, so dass der jeweils deaktivierte Teil bei der Anwendung der Gruppenrichtlinie nicht ausgewertet wird. Dies schafft in einigen Einsatzszenarien Geschwindigkeitsvorteile. Über die Deaktivierung eines nicht genutzten Teils einer Gruppenrichtlinie sollte in Abhängigkeit von den individuellen Anforderungen entschieden werden.

Beim Einsatz einer Windows-Version ab Windows Vistavereinfacht die Benutzerkontensteuerung (User Account Control, UAC) den Einsatz lokaler Administratorrechte für normale Benutzer. Die Administratorrechte sind zwar immer zweckgebunden und zeitlich eingeschränkt, jedoch könnten Benutzer auch sicherheitsrelevante Systemeinstellungen ändern. Daher sollten sicherheitsrelevante Einstellungen nur via Gruppenrichtlinien des Active Directory konfiguriert werden. Dadurch können sie nicht mehr lokal geändert werden.

Planung lokaler Gruppenrichtlinien

Werden Gruppenrichtlinien festgelegt, muss auf die Unterschiede zwischen lokalen Gruppenrichtlinien und Richtlinien im Active Directory geachtet werden. Nicht alle Einstellungen, die in einer Active Directory-basierten GPO vorgenommen werden, können auch in einer lokalen Gruppenrichtlinie definiert werden. So fehlen in der lokalen Gruppenrichtlinie zum Beispiel die Kerberos- und die Systemdienst-Richtlinien. Einzelne Richtlinien wie Kennwörter für alle Domänenbenutzer mit umkehrbarer Verschlüsselung speichern sind nur beim Einsatz in einer Domäne wirksam. Bei der Festlegung einzelner Parameter muss folglich der Geltungsbereich einzelner Richtlinien berücksichtigt werden.

Windows XP unterstützt pro Computer nur eine lokale Gruppenrichtlinie. Die Gruppenrichtlinien werden in folgender Reihenfolge verarbeitet:

  • Lokale Gruppenrichtlinien
  • Standort-GPOs
  • Domänen-GPOs
  • GPO s der Organisationseinheiten

Ab Windows Vista wird dieselbe Bearbeitungsreihenfolge verwendet, bietet allerdings drei Ebenen an, um lokale Gruppenrichtlinien (sog. Mehrfachgruppenrichtlinienobjekte, kurz MLGPOs) in folgender Reihenfolge zu verarbeiten:

  • Richtlinien für lokale Computer
  • Richtlinien für Administratoren und Nicht-Administratoren (nur Benutzerrichtlinien)
  • Benutzerspezifische lokale Gruppenrichtlinien (nur Benutzerrichtlinien)

Es ist zu beachten, dass die Richtlinien für Administratoren und Nicht-Administratoren sowie die benutzerspezifischen lokalen Gruppenrichtlinien nur die Benutzerrichtlinien enthalten. Eine lokale Konfiguration der Computerrichtlinien ist nur über die lokale Computerrichtlinie gegeben.

Gruppenrichtlinien-Bereiche

Folgende Bereiche existieren im Computer-Teil einer Gruppenrichtlinie: Softwareeinstellungen, Windows-Einstellungen, Administrative Vorlagen.

Die Softwareeinstellungen sind vor allem beim Einsatz in einer Domäne relevant. Mit ihrer Hilfe kann über die Gruppenrichtlinien Software installiert, aktualisiert oder deinstalliert werden. Es sollte darüber nachgedacht werden, Software Deployment Tools für diese Funktion einzuführen. Über Skript-Richtlinien können Skripte spezifiziert werden, die beim Starten oder Herunterfahren des Systems ausgeführt werden. Diese Methode sollte genutzt werden, da die Benutzerkontensteuerung alte Netlogon-Skripte blockt.

Für die toolgesteuerte Verteilung von Software bietet Microsoft beispielsweise das Tool Microsoft System Center Configuration Manager an. Die Softwareverteilung mit einem Tool sollte aufgrund einer höheren Effizienz und Effektivität im Vergleich zur manuellen Verteilung bevorzugt werden.

Sicherheitsrelevante Einstellungen werden als Unterbereich der Windows Einstellungen über die Sicherheitseinstellungen verwaltet. Die Sicherheitseinstellungen unterteilen sich in weitere Bereiche wie Kontorichtlinien (Kennwortrichtlinien, Kontosperrungsrichtlinien, Kerberos-Richtlinie), Lokale Richtlinien (Überwachungsrichtlinien, Zuweisen von Benutzerrechten, Sicherheitsoptionen), Richtlinien öffentlicher Schlüssel, Richtlinien für Softwareeinschränkung, IP -Sicherheitsrichtlinien. Bei der Festlegung von Richtlinien für Sicherheitseinstellungen ist zu beachten:

  • Kontorichtlinien werden in einer Active Directory-Umgebung nur auf Domänenebene durchgesetzt.
  • Die Verwendung von Richtlinien für eingeschränkte Gruppen verhindert nicht, dass Modifikationen an Gruppenmitgliedschaften durchgeführt werden können. Die unerlaubten Modifikationen werden aber bei der nächsten Anwendung der Richtlinien rückgängig gemacht.

Hervorzuhebende Neuerungen bei den Sicherheitseinstellungen ab Windows Vista sind die Konfigurationsmöglichkeiten für die lokale Firewall sowie für die Benutzerkontensteuerung (User Account Control, UAC ).

Der Bereich Administrative Vorlagen wird für die Konfiguration der Windows Komponenten, des Systems, des Netzes sowie weiterer Anwendungen verwendet.

Anwendungsspezifische Richtlinien

Anwendungsspezifische Richtlinien werden im Bereich Computerkonfiguration | Administrative Vorlagen und Benutzerkonfiguration | Administrative Vorlagen definiert. Dabei können nicht nur Windows Komponenten wie NetMeeting, Internet Explorer, Windows Explorer und Windows Messenger konfiguriert werden, sondern auch Anwendungen, die ihre eigenen administrativen Vorlagen mitbringen, wie es bei Microsoft Office der Fall ist. Solche zusätzlichen administrativen Vorlagen müssen durch Administratoren explizit in eine Gruppenrichtlinie importiert werden.

Für die meisten Behörden und Unternehmen ist es empfehlenswert, alle vorhandenen Möglichkeiten zur zentralisierten anwendungsspezifischen Konfiguration auszunutzen. Durch die zentralisierte Vorgabe von sicherheitsrelevanten Einstellungen lassen sich viele Sicherheitsrisiken beseitigen. Welche Komponenten und/oder Anwendungen zentral durch GPO s konfiguriert werden, ist in Abhängigkeit von den individuellen Anforderungen festzulegen. Auch an dieser Stelle sollte die Grundsatzregel umgesetzt werden, dass alle nicht benötigten Anwendungen und Komponenten zu deaktivieren sind (z. B. Windows Messenger). Die erforderlichen Anwendungen und Komponenten sind so restriktiv wie möglich zu konfigurieren. Wird zum Beispiel Microsoft NetMeeting benötigt, jedoch kein Desktop Sharing verwendet, so ist dieses Merkmal durch die Definition entsprechender Richtlinien zu deaktivieren.

Ab Windows Vista werden im Bereich Administrative Vorlagen wesentlich mehr Konfigurationsmöglichkeiten geboten, die bei der Planung zu betrachten sind, als bei früheren Versionen. Insbesondere sind seit Windows Vista folgende sicherheitsrelevante Neuerungen der anwendungsspezifischen Richtlinien hervorzuheben:

  • Erweiterte GPO -Konfigurationsmöglichkeiten für den Internet Explorer.

    Die Erweiterungen betreffen insbesondere den Phishing Filter, die zentrale Aktivierung des geschützten Modus (Protected Mode) und die Behandlung von ActiveX-Steuerelementen. Diese anwendungsspezifischen Richtlinien werden im Bereich Computerkonfiguration | Administrative Vorlagen | Windows-Komponenten | Internet Explorer und Benutzerkonfiguration | Administrative Vorlagen | Windows-Komponenten | Internet Explorer konfiguriert. Unter Windows 8 ist der Enhanced Protected Mode standardmäßig aktiviert. Weitere Neuerungen im Internet Explorer sind Do Not Track ( DN T) und der standardmäßig integrierte Flash-Player.
  • GPO -Konfigurationsmöglichkeiten für die BitLocker-Laufwerkverschlüsselung.

    Diese anwendungsspezifischen Richtlinien werden im Bereich Computerkonfiguration | Administrative Vorlagen | Windows-Komponenten | BitLocker-Laufwerkverschlüsselung konfiguriert.

    TPM -spezifische Richtlinien sind im Bereich Computerkonfiguration | Administrative Vorlagen | System | Trusted Plattform Module-Dienste konfigurierbar.
  • GPO -Konfigurationsmöglichkeiten für Windows Defender.

    Da Windows Defender vorwiegend für den Privatbereich entworfen wurde und nur ein geringes Sicherheitsniveau aufweist, ist vom alleinigen Einsatz des Windows Defender zur Identifizierung und Behandlung von Schadsoftware im professionellen Umfeld abzusehen. Der parallele Einsatz von Windows Defender mit einer Sicherheitslösung oder Lösung zum Schutz vor Schadsoftware eines Drittherstellers muss zuvor in einer Produktivumgebung getestet werden. Potenzielle Probleme können bei Bedarf durch Deaktivierung des Windows Defender über die anwendungsspezifische Richtlinie Windows Defender deaktivieren im Bereich Computerkonfiguration | Administrative Vorlagen | Windows-Komponenten | Windows Defender vermieden werden.

Benutzerspezifische Richtlinien

Windows-Versionen ab Windows XP ermöglichen die Definition benutzerspezifischer Gruppenrichtlinien, die auf Benutzerbasis angewandt werden. Speziell beim Einsatz in einer Active Directory-Umgebung kann dies Sicherheitsvorteile bringen, indem Einschränkungen in Abhängigkeit vom Benutzertyp definiert werden und beispielsweise zwischen normalen und administrativen Benutzern unterschieden wird. Jede Differenzierung lässt sich durch eine geeignete OU -Struktur und die Definition entsprechender Gruppenrichtlinien umsetzen. Durch die ab Windows Vista erweiterte lokale Gruppenrichtlinie um Mehrfachgruppenrichtlinienobjekte (siehe Abschnitt: Planung lokaler Gruppenrichtlinien), lässt sich eine entsprechende Differenzierung auch ohne Active Directory implementieren.

Die Arbeitsumgebung eines Benutzers kann ab Windows XP durch die Verwendung von Gruppenrichtlinien in ihrer Funktionalität eingeschränkt werden. Insbesondere sollte durch die Definition der geeigneten Parameterwerte die Konfiguration der Microsoft Management Console (MMC), des Startmenüs, der Taskleiste, des Desktops, der angezeigten Systemsteuerungskomponenten sowie der zugelassenen Windows-Anwendungen und unter Windows 8 die Verwendung von App s aus dem Windows Store vorgenommen werden.

Für die Arbeitsumgebung eines normalen Benutzers sollten nach Möglichkeit folgende Einschränkungen vorgenommen werden:

  • Ausschließlich Anzeige zugelassener Systemsteuerungskomponenten,
  • Sperren der meisten MMC Snap-ins (das Zertifikate Snap-in sollte zugelassen bleiben, wenn Zertifikate zum Einsatz kommen),
  • Einschränkungen des Taskplaners,
  • Deaktivierung oder Einschränkung des Active Desktops,
  • Einschränkungen im Bereich der Start- und Taskleiste,
  • Einschränkungen bei der Installation und Nutzung von Wechselspeichergeräten (z. B. USB -Flash-Speicher, USB -Festplatten, CD s und DVD s) ab Windows Vista.
  • Ab Windows 8 besteht die Möglichkeit, sich mit einem Microsoft-Konto am System anmelden zu können, um App s aus dem Windows Store herunterzuladen oder Microsoft Cloud-Dienste (z. B. Skydrive) zu nutzen. In einem Unternehmensumfeld sollten aus Sicherheitsgründen stattdessen zentral verwaltete Domänenkonten genutzt werden.

Bei der Definition der Richtlinien Nur zugelassene Windows-Anwendungen ausführen und Angegebene Windows-Anwendungen nicht ausführen ist zu beachten, dass diese Einschränkungen nur für den Start der Anwendungen mit dem Windows Explorer gelten. Der Start einer "verbotenen" Anwendung durch den Taskmanager, von der Kommandozeile oder aus einem anderen Programm heraus, wird damit nicht verhindert. Hierfür stehen je nach Notwendigkeit andere Mittel wie Richtlinien für Softwareeinschränkung (englisch Software Restriction Policy) oder beispielsweise unter Windows 7 Ultimate/Enterprise AppLocker zur Verfügung.

Außerdem sollten die anwendungsspezifischen Richtlinien zur Einschränkung der Anwendungen/Systemkomponenten auf Benutzer- bzw. Gruppenbasis verwendet werden.

Einsatz außerhalb von Active Directory-basierten Umgebungen

Beim Einsatz von Windows-Clients als Stand-alone-System oder in einer Windows-NT-Domäne sind die zentralen Konfigurationsmöglichkeiten mittels globaler Gruppenrichtlinien nicht verfügbar. In diesem Fall müssen die lokalen Gruppenrichtlinien jedes IT -Systems zur Umsetzung der definierten sicherheitsrelevanten Parametereinstellungen benutzt werden. Grundlage ist der, in der Planungsphase festgelegte, Mechanismus zur Pflege von lokalen Gruppenrichtlinien auf mehreren IT -Systemen. Um dennoch eine einheitliche Konfiguration von Stand-alone-Systemen erzielen zu können, kann der Microsoft Security Compliance Manager genutzt werden, um ein Konfigurationstemplate zu erstellen, welches dann mittels dem mitgelieferten Werkzeug LocalGPO auf die einzelnen Systeme appliziert werden kann.

Einsatz in Active Directory-basierten Umgebungen

Beim Einsatz von Windows-Clients in Active-Directory-basierten Umgebungen ist der Einsatz lokaler Gruppenrichtlinien auf einzelnen Systemen ebenfalls möglich. In diesem Fall werden jedoch die Vorteile der zentralen Administration nicht genutzt. Folglich sollten, die Active Directory-basierten Gruppenrichtlinien auf der Standort und Domänenebene bzw. auf Ebene einzelner Organisationseinheiten für die Umsetzung der Sicherheitseinstellungen benutzt werden.

Lokale Gruppenrichtlinien auf einzelnen Systemen sollten aufgrund ihrer schlechten zentralen Verwaltbarkeit nach Möglichkeit nicht eingesetzt werden, sofern eine zentrale Verwaltung nicht durch entsprechende Werkzeuge unterstützt wird. Ist jedoch der gemeinsame Einsatz lokaler und Active Directory-basierter Gruppenrichtlinien aus bestimmten Gründen erforderlich, so müssen die Parametereinstellungen aller Gruppenrichtlinien aufeinander abgestimmt werden, um Konflikte in der Vererbungshierarchie zu vermeiden.

Die Verwendung von Active-Directory-basierten Gruppenrichtlinien macht die Planung ihres Einsatzes in der Domäne erforderlich. Weitere Informationen zu Active-Directory-basierten Gruppenrichtlinien sind in der Maßnahme M 2.231 Planung der Gruppenrichtlinien unter Windows zusammengefasst. Im Allgemeinen müssen folgende Aspekte der Verwendung von Active-Directory-basierten Gruppenrichtlinien bedacht werden:

  • OU - und Gruppenstruktur im Active Directory,
  • Hierarchie der GPO s im Active Directory und generell das GPO -Konzept,
  • Vererbung der Gruppenrichtlinien,
  • Blockieren und Erzwingen der GPO -Überdeckung,
  • Priorisierung bzw. die Festlegung der Reihenfolge bei Abarbeitung mehrerer GPO s,
  • Berechnung der jeweils gültigen Einstellungen für einen Gruppenrichtlinienparameter und die GPO -Abarbeitungsreihenfolge,
  • Steuerung der Abarbeitung von Gruppenrichtlinien,
  • Verlinken der Gruppenrichtlinien,
  • GPO -Schutz.

Ab Windows Vista wurden die Gruppenrichtlinien-Standard-Snap-ins Gruppenrichtlinienverwaltung und Gruppenrichtlinienobjekt-Editor zur Erstellung und Verwaltung von Gruppenrichtlinienobjekten überarbeitet. Versions-spezifische Richtlinien können nur von den in den jeweiligen Windows-Versionen enthaltenen, neuen Versionen dieser Verwaltungswerkzeuge dargestellt werden. Die Verwaltung der Versions-spezifischen Richtlinien im Active Directory sollte ausschließlich von einem Domänenmitglied mit der passenden Betriebssystemversion aus erfolgen.

Die computerspezifischen Gruppenrichtlinien werden während des Boot-Vorgangs angewandt, die benutzerspezifischen Gruppenrichtlinien erst bei der Benutzeranmeldung. Dabei besitzt die benutzerspezifische Gruppenrichtlinie den Vorrang und überschreibt gegebenenfalls Einstellungen, die in der Computer-Richtlinie definiert sind. Für Active-Directory-basierte Gruppenrichtlinien bietet sich der sogenannte Loopback-Verarbeitungsmodus an. Dieser stellt sicher, dass eine Computer-Richtlinie nicht von benutzerspezifischen Gruppenrichtlinien ausgehebelt werden kann. Dieser Verarbeitungsmodus sollte aktiviert werden, wenn sich die Einstellungen ausdrücklich auf den Computer beziehen und von Benutzern unabhängig sein sollen wie beispielsweise bei einem System im Kiosk-Betrieb. Es gibt zwei Varianten der Loopback-Verarbeitung: Ersetzen und Zusammenführen. Im Ersetzen-Modus werden keine benutzerspezifischen Einstellungen beachtet und die computerspezifische Gruppenrichtlinie wird angewandt. Der Zusammenführen-Modus führt die Einstellungen der Benutzer- GPO mit den Einstellungen der Computer- GPO zusammen. Ob eine Gruppenrichtlinie im Loopback-Verarbeitungsmodus und in welcher Variante eingesetzt werden soll, hängt immer vom jeweiligen Einsatzszenario und den Anforderungen der bestehenden Umgebung ab. Je nach Szenario kann dieser Modus sicherheitsrelevante Vorteile bringen, eine allgemeine Empfehlung ist an dieser Stelle nicht möglich.

Wird eine GPO gleichzeitig auf Windows-Clients verschiedener Versionen in einer Domäne angewandt, muss auf die Anwendbarkeit der Parametereinstellungen auf diese unterschiedlichen Systeme geachtet werden. Teilweise können sich Unterschiede auch bereits zwischen verschiedenen Service Packs derselben Windows-Version ergeben. Grundsätzlich gilt, dass spezifische Parametereinstellungen für neuere Windows-Versionen von älteren Systemen ignoriert werden. Das unterschiedliche Verhalten verschiedener Betriebssysteme bei gleichen Einstellungen, wie EFS -Richtlinien (siehe M 4.147 Sichere Nutzung von EFS unter Windows ), ist ebenfalls zu berücksichtigen. Es ist wesentlich zu wissen, ab welcher Betriebssystemversion die zu definierenden Einstellungen angewandt werden, um potenzielle Probleme zu vermeiden. Diese Information ist meist bei der Beschreibung der jeweiligen Richtlinie dokumentiert.

Die beiden Mechanismen Sicherheitsfilter (englisch Security Filtering) und WMI Filter ermöglichen es, Gruppenrichtlinien differenziert anzuwenden. Der Security Filtering Mechanismus gibt Sicherheitsgruppen an, für die die jeweilige Gruppenrichtlinie gilt. Standardmäßig wird eine Gruppenrichtlinie auf Authentifizierte Benutzer angewandt. WMI Filter steuern die Anwendung einer Gruppenrichtlinie in Abhängigkeit von der Beschaffenheit des IT -Systems (z. B. Betriebssystem, Service Pack Version, Festplattenplatz). Beide Mechanismen ermöglichen im Allgemeinen eine flexible Steuerung der Anwendung einer Gruppenrichtlinie auf ein Benutzer- oder Computer-Objekt im Active Directory. Ihr Einsatz erfordert jedoch genaue Planung und ausreichendes Testen im Vorfeld.

Sicherheitsvorlagen

Die Parametereinstellungen in Gruppenrichtlinien können nicht nur direkt mit dem entsprechenden MMC Snap-in, sondern auch durch den Import einer Sicherheitsvorlage vorgenommen werden. Sicherheitsvorlagen werden zur Konfiguration der Sicherheitseinstellungen verwendet. Sie werden in textbasierter Form in Richtliniendateien gespeichert (INF-Dateien) und können mit dem MMC Snap-in Sicherheitsvorlagen oder mit einem gewöhnlichen Texteditor bearbeitet werden. Eine Vielzahl definierter Sicherheitsvorlagen sind sowohl von Microsoft als auch von Drittanbietern frei verfügbar. Microsoft bietet hierbei unter Anderem die Sicherheitsrichtlinien Enterprise Client (EC) und Specialized Security Limited Functionality (SSLF).

Als grundsätzliche Vorgehensweise wird folgendes vorgeschlagen:

  • Eine bestehende Sicherheitsvorlage wird ausgewählt (z. B. von Microsoft). Die Wahl einer Vorlage mit einem höheren Sicherheitsniveau wie Highly Secure (hisec*. inf ) wird dabei empfohlen, da es aus Sicherheitssicht vorteilhafter ist, "sicherere" Einstellungen bei Notwendigkeit abzuschwächen als umgekehrt.
  • Die Vorlage muss an lokale Anforderungen angepasst werden, die vorgenommenen Änderungen sind dabei zu begründen und zu dokumentieren.
  • Die erstellte Vorlage wird in die entsprechende Gruppenrichtlinie importiert. Um beim Import einer Sicherheitsvorlage in eine Gruppenrichtlinie sicherzustellen, dass alle Einstellungen überschrieben werden, sollte die Verwendung der Option Datenbank vor dem Importieren aufräumen genutzt werden.

Eine weitere Verwendungsmöglichkeit finden die Sicherheitsvorlagen bei der Sicherheitsanalyse vorgenommener Einstellungen. Die aktuell auf einem Computer gültigen Einstellungen können mit denjenigen innerhalb einer INF-Datei verglichen werden. Dies kann entweder mittels des Sicherheitskonfiguration und -analyse Snap-ins der MMC oder mittels des Kommandozeilenwerkzeugs secedit erfolgen.

Durch das Anwenden der Sicherheitsvorlage secsetup.inf, die sich im Verzeichnis %SystemRoot%\repair befindet, können die Standardeinstellungen von Windows XP wiederhergestellt werden.

Eine weitere Möglichkeit, Sicherheitsvorlagen für unterschiedliche Windows-Versionen zu erstellen, bietet der Security Compliance Manager von Microsoft. Mit dem Security Compliance Manager (SCM) erstellte Sicherheitsvorlagen können in die Gruppenrichtlinie importiert werden. Zusätzlich wird mit dem Security Compliance Manager noch das Werkzeug LocalGPO ausgeliefert, welches die Absicherung von Stand-alone-Systemen, unter Nutzung der mit dem Compliance Manager erstellten Sicherheitsvorlage erlaubt. Von Microsoft bereitgestellte Baselines sind für unterschiedliche Systemrollen verfügbar und können mit dem SCM gemäß den Unternehmensvorgaben angepasst werden. Bei den Hilfsmitteln für den IT -Grundschutz finden sich Vorlagen für Windows 7 und Windows Server 2008, die die Anforderungen der IT -Grundschutz-Kataloge berücksichtigen und anhand der beigefügten Dokumentation auf das jeweilige Einsatzumfeld angepasst werden können.

Definition eigener administrativer Vorlagen

Die sicherheitsrelevanten Einstellungen in Gruppenrichtlinien sind nicht nur im Bereich Windows-Einstellungen, sondern auch im Bereich der administrativen Vorlagen zu finden. Administrative Vorlagen bestehen aus einzelnen Parametern, die die Einstellungen zugehöriger Registry-Schlüssel konfigurieren. Die entsprechenden AD M-Dateien bestimmen die einzelnen Parameter, die sich innerhalb der administrativen Vorlagen konfigurieren lassen. Windows XP enthält standardmäßig mehrere AD M-Dateien, die beispielsweise Konfigurationsmöglichkeiten für den Internet Explorer beinhalten. Es ist zu beachten, dass die administrativen Vorlagen lediglich Einstellungsparameter und keine Einstellungen definieren und somit nicht zum Speichern und Verteilen der Einstellungen verwendet werden. Ab Windows Vista wurden die AD M-Dateien durch ADMX-Vorlagedateien ersetzt, die eine neue Syntax auf XML -Basis für die Registry-basierten Richtlinien verwenden. ADMX-Dateien bieten den Vorteil, dass sie, im Gegensatz zu AD M-Dateien, sprachneutral sind und in Verbindung mit sprachspezifischen ADML-Dateien auf beliebige Sprachversionen angewendet werden können.

In Unterschied zu AD M-Dateien werden ADMX-Dateien nicht mehr einzeln in jedes Gruppenrichtlinienobjekt geladen, sondern in einem zentralen Speicher verwaltet. Da sich die Gruppenrichtlinien Snap-ins Gruppenrichtlinienverwaltung und Gruppenrichtlinienobjekt-Editor standardmäßig mit dem PDC -Emulator verbinden, sollte in einer Active Directory-basierten Umgebung die zentrale Speicherung der ADMX/ADML-Dateien im SYSVOL -Verzeichnis auf diesem Betriebsmaster erfolgen.

Es ist auch möglich, eigene administrative Vorlagen zu definieren. Diese Vorgehensweise empfiehlt sich vor allem, wenn in einem Unternehmen bzw. einer Institution reger Gebrauch von direkten Registry-Einstellungen gemacht wird. Durch die einmalige Definition einer administrativen Vorlage können die entsprechenden Registry-Einstellungen komfortabel über den Gruppenrichtlinien-Mechanismus verteilt werden. Dies stellt unter anderem sicher, dass die Registry-Einstellungen tatsächlich auf allen Zielsystemen umgesetzt werden.

Testen der festgelegten Gruppenrichtlinien

Die festgelegten Gruppenrichtlinien müssen getestet werden, bevor sie in einer Produktivumgebung eingesetzt werden. Die Tests müssen gewährleisten, dass einerseits die benötigte Funktionalität für die Mitarbeiter nicht eingeschränkt wurde und dass andererseits alle sicherheitsrelevanten Einschränkungen korrekt umgesetzt werden.

Verwaltung von Gruppenrichtlinien mittels Microsoft PowerShell

Seit Windows 7 gibt es die Möglichkeit, Gruppenrichtlinien mittels PowerShell-Befehlszeile zu verwalten. Es ist möglich, während der Anmeldung und des Starts PowerShell-Skripts auszuführen. Zur Absicherung der PowerShell-Laufzeitumgebung ist M 4.421 Absicherung der Windows PowerShell zu berücksichtigen.

Prüffragen:

  • Erfolgt eine geeignete Verteilung der Sicherheitseinstellungen auf mehrere Gruppenrichtlinienobjekt (GPO)?

  • Ist sichergestellt, dass auf allen Rechnern die richtigen Gruppenrichtlinienobjekte für die jeweils eingesetzte Windows-Version angewandt werden?

  • Sind die Gruppenrichtlinien (Gruppen, anwendungsspezifische, benutzerspezifische) bedarfsgerecht konfiguriert?

  • Wurden alle sicherheitsrelevanten Einstellungen in den Gruppenrichtlinien konfiguriert?

  • Sind alle nicht benötigten Anwendungen und Komponenten mittels Gruppenrichtlinien oder durch die Nutzung einer Software zur Anwendungskontrolle deaktiviert worden?

  • Ist eine für die Windows-Clients bedarfsgerechte Arbeitsumgebung für die Benutzer eingerichtet worden?

  • Werden die Gruppenrichtlinien getestet, bevor sie in einer Produktivumgebung eingesetzt werden?

  • Wurden die Konfigurationsempfehlungen des Herstellers zur Absicherung der Systeme herangezogen?

  • Werden Werkzeuge eingesetzt, welche eine zentrale und einheitliche Konfiguration der Sicherheitseinstellungen ermöglichen?

Stand: 15. EL Stand 2016

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK