Bundesamt für Sicherheit in der Informationstechnik

M 4.243 Verwaltungswerkzeuge unter Windows Client-Betriebssystemen

Verantwortlich für Initiierung: Administrator

Verantwortlich für Umsetzung: Administrator

Das Kommandozeilen-basierte Tool secedit ist bereits aus Windows 2000 bekannt. Es ermöglicht das Automatisieren von Aufgaben bei der Konfiguration der Sicherheitseinstellungen. Mit diesem Tool können unter anderem Vorlagen automatisch erstellt, angewandt und analysiert werden. Eines seiner wichtigsten Merkmale ist die Fähigkeit, einen Abgleich der geltenden Gruppenrichtlinieneinstellungen mit einem Mustersatz zu erstellen. Es sollte beachtet werden, dass ein Teil der secedit-Funktionalität unter Windows XP in das Tool gpupdate ausgelagert wurde. Wird unter Windows Vista und Windows 7 secedit von der Kommandozeile aus aufgerufen, muss der Kommandozeilen-Prozess mit expliziten Administrator-Rechten ("Als Administrator ausführen") gestartet worden sein.

Die Analyse der aktuell geltenden Einstellungen kann auch mit dem MMC Snap-in Sicherheitskonfiguration und -analyse durchgeführt werden. Die Ergebnisse werden im Gegensatz zu secedit graphisch aufbereitet und präsentiert. Es ist zu beachten, dass weder das secedit-Tool noch das MMC Snap-in Sicherheitskonfiguration- und -analyse zur Konfiguration und Analyse der definierten Parameter in administrativen Vorlagen verwendet werden können.

Die Bearbeitung von Sicherheitsvorlagen erfolgt unter Windows XP, Windows Vista und Windows 7 mit dem MMC Snap-in Sicherheitsvorlagen. Da die Sicherheitsvorlagen einfache Textdateien sind, können sie auch mit einem gewöhnlichen Texteditor bearbeitet werden. Dies kann unter anderem für die Spezifizierung zusätzlicher Registry-Schlüssel notwendig sein.

Ändern sich die Einstellungen einer Gruppenrichtlinie, so werden die Konfigurationsänderungen nur mit einer Verzögerung wirksam, die durch die Verarbeitungseinstellungen der Gruppenrichtlinien vorgegeben wird. Um die Änderungen für einen Benutzer oder Computer unverzüglich zu verbreiten, kann ab Microsoft Windows XP das Kommandozeilenwerkzeug gpupdate benutzt werden. Dieses Tool ersetzt das von Windows 2000 bekannte Kommando secedit /refreshpolicy.

Das Kommandozeilentool gpresult kann auf einem Windows Client ab Windows XP benutzt werden, um das Resultat aller eingerichteten Gruppenrichtlinien aufzulisten. Es dient unter anderem dazu herauszufinden, was bei der Anmeldung eines bestimmten Benutzers auf einem bestimmten Computer passiert (gpresult /r /s:computername /u:benutzername). Dieses Werkzeug kann vor allem zur Fehlersuche oder zur Dokumentation der geltenden Einstellungen verwendet werden.

Eine ähnliche Funktionalität wie gpresult bietet auch das MMC Snap-in Richtlinienergebnissatz (rsop.msc). Dieses Tool kann nicht nur zur Dokumentation der aktuell geltenden Einstellungen verwendet werden (Protokollierungsmodus), sondern auch, um mögliche andere Szenarien durchzuspielen (Planungsmodus).

Damit lässt sich eine Richtlinienimplementierung simulieren, die vor allem in der Design-Phase immens wichtig ist und vor vielen Implementierungsfehlern, insbesondere bei komplexen Gruppenrichtlinien-Strukturen und -Hierarchien, bewahren kann.

Das von Microsoft frei verfügbare Tool Group Policy Management Console (GPMC) bietet deutlich bessere Verwaltungsmöglichkeiten für Gruppenrichtlinien im Active Directory als die Standard Snap-ins von Windows 2000 und XP. Das Tool ist bei einer Standardinstallation von Windows Vista bereits enthalten. Dieses Tool stellt weitergehende Funktionalitäten zur Verfügung, welche für die Verwaltung der Gruppenrichtlinien im Active Directory sehr wichtig sind:

  • Erstellen, Verlinken und Löschen von GPOs
  • Importieren der Einstellungen aus gesicherten Gruppenrichtlinienobjekten,
  • Erstellung von GPO-Reports, die unter anderem für Dokumentationszwecke verwendet werden können und
  • Sichern und Wiederherstellen von GPOs.
    Nicht zuletzt bietet GPMC eine Scripting-Schnittstelle, die bei einer Vielzahl administrativer Aufgaben sinnvoll eingesetzt werden kann. Der Einsatz von GPMC wird daher in Active Directory-Umgebungen dringend empfohlen. Ab Windows 7 wurde das GPMC durch das RSAT (Remote Server Administration Tool) ersetzt.

Das GPOAccelerator-Tool unterstützt die Konfigurationen von Gruppenrichtlinien für den Betrieb von Windows Vista Clients in einer Domäne, wenn die Domänen-Controller noch nicht unter Windows Server 2008 betrieben werden. Die Konfiguration der Gruppenrichtlinien muss dann von einem Windows Vista Client aus erfolgen. Auf dem Client kann ein Domänenadministrator mit dem GPOAccelerator-Tool die notwendigen Konfigurationen der Gruppenrichtlinien erstellen. Im Anschluss müssen diese in den sysvol-Ordner des Domänen-Controllers übertragen werden. Das GPO Accelerator-Tool wird seit Windows 7 durch die Microsoft Security Compliance Manager Suite ersetzt.

Ein weiteres sinnvolles Tool ist der Migrationstabellen-Editor mtedit, der im Lieferumfang des GPMC enthalten ist. Dieses Tool ermöglicht eine bequeme Erstellung von Migrationstabellen, die beim domänenübergreifenden Kopieren oder Importieren einer Sicherheitsrichtlinie verwendet werden können. Durch die Verwendung von Migrationstabellen lassen sich domänenspezifische Informationen wie Gruppennamen oder SIDs modifizieren.

Zur Konfiguration von Überwachungsrichtlinien steht unter Windows Vista und Windows 7 das Werkzeug auditpol zur Verfügung.

Microsoft stellt mit dem Baseline Security Analyzer (MBSA) ein Tool zur Verfügung, das für die automatische Auswertung der Patch-Stände eingesetzt werden kann. Der Einsatz dieses Tools verschafft den Administratoren einen aktuellen Überblick über den Patch-Stand der Systeme und trägt somit wesentlich zur Gesamtsicherheit bei (siehe M 4.249 Windows Client-Systeme aktuell halten).

Der "Problem Steps Recorder" (Problemaufzeichnung, PSR) von Microsoft erleichtert es den Benutzern, entstehende Probleme für Administratoren sinnvoll und nachvollziehbar zu dokumentieren. Das Tool steht ab Windows 7 zur Verfügung und dokumentiert, sobald es aktiviert wurde, sämtliche Eingaben des Benutzers. Das Tool generiert Screenshots des betroffenen IT-Systems und markiert sowie beschreibt die Eingaben des Benutzers. Zusätzlich kann der Benutzer einem Screenshot eigene Kommentare hinzufügen, um das Problem detaillierter zu beschreiben. Der PSR generiert eine ZIP-Datei die eine MHT-Datei enthält, in der das Problem beschrieben wird. Es sollte grundlegend in einer Anweisung festgelegt werden, dass:

  • Fenster mit vertraulichen Bildschirminhalten während der Problemaufzeichnung geschlossen oder minimiert werden sollten,
  • keine Passworte oder sonstigen Authentisierungsdaten und
  • keine vertraulichen Informationen eingegeben werden.

Weiterhin ist für die Übertragung der generierten ZIP/MHT-Datei ein hinsichtlich des Inhaltes dieser Datei angemessen sicherer Kommunikationsweg zu wählen.

Alle diese Werkzeuge sollten unbedingt von Administratoren bei der Fehlersuche oder während der Design- und Test-Phasen eingesetzt werden. Die Verwendung dieser Tools hilft, Konfigurationsschwächen zu entdecken und zu vermeiden.

Prüffragen:

  • Werden die Verwaltungswerkzeuge der Windows Client-Betriebssysteme entsprechend den Anforderungen eingesetzt?

Stand: 13. EL Stand 2013