Bundesamt für Sicherheit in der Informationstechnik

M 2.368 Umgang mit administrativen Vorlagen unter Windows ab Server 2003

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Die Windows-Gruppenrichtlinien sind ein effektives und vielseitiges Mittel zur Konfiguration von diversen Windows-Systemen, unter anderem Windows Server 2003 oder Windows Server 2008. Notwendige Vorüberlegungen für den Einsatz von Gruppenrichtlinien sind den Maßnahmen M 2.326 Planung der Gruppenrichtlinien für Clients ab Windows XP und M 2.231 Planung der Gruppenrichtlinien unter Windows zu entnehmen.

Zusammenhang von Gruppenrichtlinien und der Registry

Die meisten Einstellungen in den Gruppenrichtlinien führen zu Änderungen in der Registry eines Windows-Systems. Die Registry gehört zu den kritischen Kernkomponenten eines Windows-Servers und benötigt besonderen Schutz und besondere Sorgfalt. Die Aspekte "Test", "Sicherheitsüberwachung", "Rückführung" und "Dokumentation" sollten immer berücksichtigt werden. Hierzu müssen geeignete Werkzeuge verwendet werden der Registrierungseditor von Windows allein deckt die genannten Aspekte nicht ab.

Gruppenrichtlinien können durch Vorlagen von Microsoft und durch benutzerdefinierte Vorlagen, zum Beispiel von anderen Softwareherstellern, erweitert werden. Diese so genannten administrativen Vorlagen stellen einen Satz von Einstellungsoptionen bereit, die gezielt und automatisiert Registrierungsschlüssel in die Registry schreiben. Im Zusammenspiel mit der ab Windows Server 2003 mitgelieferten Gruppenrichtlinienverwaltung (Group Policy Management Console, GPMC) und den umfangreichen netzbasierten Bereitstellungsmechanismen (Active Directory) von Gruppenrichtlinien sind administrative Vorlagen ein geeignetes Mittel zum sicheren Umgang mit der Registry von Windows-Server-Systemen.

Es wird empfohlen, Änderungen an Schlüsseln in der Registrierungsdatenbank ausschließlich über administrative Vorlagen vorzunehmen und auf manuelle Änderungen vollständig zu verzichten. Im Rahmen des Änderungsmanagements sollten zumindest manuell durchgeführte Änderungen an Registrierungsschlüsseln zeitnah in einer benutzerdefinierten administrativen Vorlage implementiert werden.

Kompatibilität von administrativen Vorlagen

Jede Version von Windows-Betriebssystemen ab Windows 2000 und fast jedes Service-Pack enthält administrative Vorlagen des Herstellers, die um neue Einstellungsoptionen erweitert worden sind und alle Optionen der Vorgänger-Versionen beinhalten. Dies gilt auch für Windows Server 2003 und höher. Die Abwärtskompatibilität der neuen Einstellungsoptionen ist in den Vorlagen dokumentiert und wird in der GPMC-Konsole angezeigt. Die mit neu eingeführten Betriebssystemversionen hinzugefügten Einstellungsoptionen haben auf einer inkompatiblen Windows-Version keine Wirkung. Beispielsweise bleiben beim Öffnen einer in Windows Server 2003 enthaltenen Vorlage auf einem Windows 2000 Server-System die inkompatiblen Einstellungsoptionen unsichtbar und unwirksam.

Eine Gruppenrichtlinie sollte immer basierend auf der administrativen Vorlage der neuesten Windows-Version erstellt werden, auf welcher die Richtlinie voraussichtlich verwendet wird. Die jeweiligen Vorlagen sind auf den Internetseiten von Microsoft als sogenannte administrative Templates in Form von adm- oder admx-Dateien verfügbar. Wenn eine benutzerdefinierte administrative Vorlage für Windows Server 2003 erstellt wird, so sind Kompatibilität und Wirkung auf frühere Windows-Versionen ausreichend zu testen und in der Vorlage zu dokumentieren.

Neuerungen ab Windows Server 2008

Die mit Windows 2000 eingeführten administrativen Vorlagen vom Typ adm bieten die Möglichkeit, neben Basiseinstellungen des Systems, wie zum Beispiel Parametern des Netzes, auch Konfigurationen an Office-Produkten vorzunehmen. Allerdings zeigten die adm-Dateien in der Praxis auch Nachteile:

  • Es sind keine mehrsprachigen Anpassungen verfügbar.
  • Jede adm-Datei ist bedingt durch das Format einige Kilobyte groß, bei Einsatz vieler adm-Dateien innerhalb einer Domäne werden diese Dateien immer repliziert. Dies kann erheblichen Datenverkehr verursachen.
  • Administrative Vorlagen können nicht zentral gespeichert werden.

Aufgrund dieser Restriktionen wurde ab Windows Server 2008 und Windows Vista das Format der Vorlagendateien geändert. Das neue, XML -basierte Format admx mindert die oben genannten Nachteile. Die Größe der einzelnen Vorlagen wurde durch das XML-Format erheblich verringert. Durch die Einführung eines zentralen Speicherortes können die Vorlagendateien zentral gespeichert und verwaltet werden. Der lokale Pfad zu den Vorlagendateien findet sich unter %systemroot%\PolicyDefinitions\.

Gleichzeitig wurden angepasste Sprachpakete in Form von adml-Dateien eingeführt. Diese Dateien werden grundsätzlich unterhalb des Ordners PolicyDefinitions gespeichert. Auf einem Windows Server 2008 mit deutscher Sprachumgebung sind neben den sprachneutralen admx-Dateien mindestens die beiden sprachspezifischen Ordner de-DE und en-US vorhanden. Innerhalb dieser Ordner werden die erwähnten adml-Dateien gespeichert.

Neuerungen ab Windows Server 2008 R2

Innerhalb des Gruppenrichtlinienverwaltungs-Editors werden die administrativen Vorlagen unterhalb des Pfades Administrative Vorlagen des Knotens Computer und des Knotens Benutzerkonfiguration angezeigt.

Mit Windows Server 2008 R2 wurden die folgenden Neuerungen eingeführt:

  • Die neue Bedienoberfläche bietet erweiterte Konfigurationseinstellungen der Eigenschaften. Alle verfügbaren Informationen oder Kommentar-Felder sind nun innerhalb einer Registerkarte verfügbar.
    Mehrteilige Zeichenfolgen und QWORD-Werttypen werden nun unterstützt. Durch die Möglichkeit REG_MULTI_SZ-Registrierungswerttypen anzulegen, kann unter anderem die Eingabe eines mehrzeiligem Text erfolgen.
    Die beschriebenen Neuerungen gelten auch für Windows 7-Systeme mit installierten Remoteserver-Verwaltungstools (RSAT).

Arbeiten mit administrativen Vorlagen ab Windows Server 2008

Innerhalb einer Domänen-Umgebung werden die Vorlagen in der Regel nicht lokal bearbeitet oder angewendet. Üblicherweise werden ein zentraler Ablageort und ein zentrales Verwaltungswerkzeug genutzt.

Dieser sogenannte Central Store ist ein neu zu erstellender Ordner unterhalb der Struktur \SYSVOL\domain\Policies. Nachdem der Ordner erstellt wurde, werden der Inhalt der lokalen PolicyDefinitions oder neue Vorlagen aus msi-Paketen in dieses Verzeichnis kopiert.

Die Vorlagen können über den Aufruf des Editors zur Gruppenrichtlinienverwaltung-bearbeitet werden. Dieser zeigt alle in den zentralen Speicherort kopierten Vorlagen an. Da der Editor nur diesen Pfad auswertet, ist es wichtig, die von Microsoft vorgegebenen Pfade beizubehalten.

Migration bestehender adm-Vorlagen

Grundsätzlich werden alte adm-Vorlagen auch von Windows Server 2008 unterstützt. Oft ist jedoch die vollständige Migration aller alten adm-Vorlagen schon aus Gründen der Konsistenz die sinnvollere Alternative. Neben verschiedenen Drittprodukten bietet Microsoft mit dem ADMX Migrator ein kostenloses MMC-integriertes Werkzeug zur Migration der adm-Vorlagen an.

Aktualisieren oder Hinzufügen neuer Vorlagen

Für die effektive Nutzung der Vorlagen in bestehenden Umgebungen werden durch Microsoft für aktuelle Systeme angepasste oder für neue Systeme oder Service-Packs neu erstellte Vorlagen (Templates) zur Verfügung gestellt. Aktualisierte Vorlagen werden in Form von installierbaren msi-Paketen angeboten. Abhängig von der Nutzung der Vorlagen, lokal oder als Domänen-Vorlage, unterscheiden sich die Speicherorte für den Import.

Soll die Konfiguration der administrativen Vorlagen (admx) der Windows-Server von einem Client-System aus erfolgen, so muss es sich mindestens um ein Windows Vista-System mit installierten Verwaltungswerkzeugen handeln (Remote Server Administration Tools, bzw. aktuelle GPMC).

Weiterführende Informationen bezüglich des Zusammenspiels von Vorlagen und Gruppenrichtlinien finden sich in M 2.326 Planung der Gruppenrichtlinien für Clients ab Windows XP .

Aktualisierung des Betriebssystems

Nach einer Aktualisierung des Betriebssystems bleiben alle Einstellungen erhalten und können mit den gegebenenfalls erneuerten administrativen Vorlagen des Betriebssystems verwaltet werden. Benutzerdefinierte Vorlagen samt aktivierten Einstellungen bleiben unverändert erhalten und können in den zugehörigen Gruppenrichtlinienobjekten ("Group Policy Objects", GPO) verwaltet werden.

Anwenden benutzerdefinierter administrativer Vorlagen

Das Anwenden einer benutzerdefinierten administrativen Vorlage schreibt für jede aktivierte Einstellungsoption den entsprechenden Registrierungsschlüssel dauerhaft -wie bei den Windows NT 4-Systemrichtlinien -in die Registry. Zum Entfernen ist dann manuelles Editieren der Registry erforderlich. Der Effekt heißt in Windows 2000 Server, Windows Server 2003 und höher "nicht verwaltbare Richtlinieneinstellung" und wird auch "Registry Tattooing" genannt. Danach kann in der GPMC-Konsole nur noch der Wert des Schlüssels geändert werden, beispielsweise von 1 auf 0 für "ja" oder "nein" , jedoch nicht mehr der Schlüssel selbst.

Der "Tattooing-Effekt" tritt nicht bei mitgelieferten administrativen Vorlagen einiger Microsoft-Produkte auf, zum Beispiel Windows 2000/XP/Server 2003 und Office XP/2003. Sie heißen in Windows XP/Server 2003 "voll verwaltbare Vorlagen", die resultierenden Einstellungen heißen kurz "Richtlinien" (engl. "True Policies"). Diese Richtlinieneinstellungen werden zusätzlich in den Registrierungsschlüsseln

HKEY_LOCAL_MACHINE\Software\Policies

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\Policies

HKEY_CURRENT_USER\Software\Policies

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies

verwaltet und als .pol-Dateien im Dateisystem abgelegt. Die Policies-Schlüssel sollten nicht durch benutzerdefinierte administrative Vorlagen manipuliert werden.

Vor der Anwendung sollte der Systemstatus (englisch "System State") gesichert werden (siehe M 6.99 Regelmäßige Sicherung wichtiger Systemkomponenten für Windows-Server ). Die Registrierung zu sichern genügt allein nicht, um bei Komplikationen mit einer Vorlage den Ursprungszustand wiederherstellen zu können. Außerdem müssen Funktionalität und Wirkung der Einstellungen unbedingt auf einem isolierten Testsystem erprobt werden. Hierbei sind alle Windows-Versionen zu berücksichtigen, mit denen die Vorlage verwendet werden soll.

Werden die Einstellungen auf mehrere Server angewendet, so ist der Ausroll-Prozess in einem unkritischen Bereich der Produktivumgebung zu beginnen. Der Bereich ist unter ständiger Beobachtung und Erfolgskontrolle sukzessive auf kritischere Schichten der Produktivumgebung auszuweiten. Zur Erfolgskontrolle dient in einer Active Directory-Umgebung die GPMC-Konsole oder auf einem allein stehenden Server die Richtlinienergebnissatz-Konsole (RSOP-Konsole).

Für jeden so erstellten Schlüssel sind im Sicherheitsprotokoll mindestens Schreibzugriffe zu erfassen. Die Einstellung der Objektüberwachung mittels Sicherheitsprotokoll wird in M 2.365 Planung der Systemüberwachung unter Windows Server 2003 beschrieben. Die Schreibberechtigung für normale Benutzerkonten ist zu deaktivieren. Beides kann manuell mit dem Registrierungseditor, skriptgesteuert (siehe M 2.367 Einsatz von Kommandos und Skripten ab Windows Server 2003 ) oder mittels einer Windows-Sicherheitsvorlage (siehe M 2.366 Nutzung von Sicherheitsvorlagen unter Windows Server 2003 ) geschehen.

Entfernen benutzerdefinierter administrativer Vorlagen

Das Entfernen administrativer Vorlagen erfordert einen ähnlich hohen administrativen Aufwand wie das Einspielen. Wenn einige oder alle Einstellungsoptionen einer administrativen Vorlage nicht mehr verwendet werden sollen, dann wird sie üblicherweise aus der GPMC-Konsole entfernt und gegebenenfalls durch eine modifizierte Version ersetzt. Jedoch werden dadurch Registrierungsschlüssel weder entfernt noch wenigstens zurückgesetzt. Daher müssen vor dem Entfernen der Vorlage aus der GPMC-Konsole alle aktiven Einstellungen, die in der GPMC-Konsole sichtbar sind, dokumentiert und anschließend auf einen unkritischen Wert gesetzt werden. Unkritisch sind solche Werte, die zur Unwirksamkeit eines Registrierungsschlüssels führen. Die Vorlage sollte erst nach entsprechender Erfolgskontrolle mittels GPMC- oder RSOP-Konsole entfernt werden. Das erneute Hinzufügen einer versehentlich entfernten Vorlage zeigt in der GPMC-Konsole nicht die vorhandenen Registry-Einstellungen an, auch wenn der oder die Registrierungsschlüssel noch gesetzt und wirksam sind.

Um die Gefahr des Missbrauchs solcher verwaisten Registrierungsschlüssel auszuschließen, müssen anschließend alle nicht mehr verwendeten Registrierungsschlüssel vor ungewollter Verwendung geschützt werden. Dies ist im Normalfall nur durch Löschung möglich. Die Löschung kann manuell mit dem Registrierungseditor oder skriptgesteuert erfolgen. Alternativ können durch eine Windows-Sicherheitsvorlage der Zugriff auf die Schlüssel verweigert und die Überwachungseinstellungen verschärft werden, wodurch sich allerdings die Eintragungshäufigkeit im Sicherheitsprotokoll erhöht und der Aufwand für die Auswertung steigt.

Dokumentation

Für eine minimale Dokumentation von administrativen Vorlagen genügt es, für jeden Server die verwendeten Vorlagendateien (Dateien mit der Erweiterung ".adm"), deren Version und bei benutzerdefinierten Vorlagen auch deren Inhalt in die Systemdokumentation aufzunehmen. Durch entsprechendes Versionsmanagement und Zugriffskontrolle auf die Vorlagen sollte nachvollziehbar sein, wer wann welche Vorlagen editiert hat. Weiterhin müssen jede aktivierte Einstellungsoption, ihr aktueller Wert und die zugrunde liegende Vorlage erfasst werden. Wird die Vorlage über Active Directory bereitgestellt, sind alle weiteren Faktoren zu dokumentieren, welche die Wirksamkeit der Einstellungen für den oder die Server bestimmen, z. B. Organizational Unit (OU), Sicherheits- und WMI-Filter. Es muss immer nachvollziehbar sein, woher der einzelne Registrierungsschlüssel stammt.

Auf dieser Basis sollten Dokumentationen und gegebenenfalls Konzepte für Tests, eigene Skripte und Bereitstellungs- und Rückführungsszenarien im Zusammenhang mit administrativen Vorlagen erstellt werden. Die Dokumentation sollte ebenfalls zur Planung der regelmäßigen Auswertung von System- und Sicherheitsprotokollen herangezogen werden.

Zur Dokumentation von aktiven Einstellungen ist die GPMC-Konsole gut geeignet, sofern Active Directory zum Einsatz kommt. Für die Gruppenrichtlinienobjekte, Richtlinienergebnissätze und Gruppenrichtlinienmodellierungen können Berichte in druckbarem Format in eine HTML -Datei exportiert werden (gewünschtes Objekt markieren | Menü Aktion | Bericht speichern...).

Prüffragen:

  • Erfolgen Änderungen an Schlüsseln in der Registrierungsdatenbank ausschließlich über administrative Vorlagen und wird auf manuelle Änderungen vollkommen verzichtet?

  • Wird die Funktionalität und Wirkung der in der Registrierungsdatenbank vorgenommenen Einstellungen auf einem isolierten Testsystem im Vorfeld erprobt?

  • Werden alle administrativen Vorlagen ausschließlich in den vordefinierten Ordnern gespeichert und konfiguriert?

  • Ist sichergestellt, dass es keine manuell hinzugefügten Schlüssel in der Registry gibt, die nicht durch eine administrative Vorlage oder ein geeignetes Werkzeug verwaltet werden?

  • Sind alle aktivierten Einstellungen der administrativen Vorlagen in die Systemdokumentation des Servers aufgenommen worden?

Stand: 13. EL Stand 2013