Verwalten von Windows XP Service Pack 2-Funktionen mithilfe von Gruppenrichtlinien: Infrastruktur

Infrastruktur

Veröffentlicht: 01. Aug 2004

SP2 umfasst die folgenden neuen Richtlinieneinstellungen für Terminaldiensteclients und Benutzerprofile:

•

Die Richtlinieneinstellung für Terminaldienste, Speichern von Kennwörtern nicht zulassen, wird verwendet, um die Benutzer des Terminaldiensteclients daran zu hindern, Kennwörter auf dem Client zu speichern, wie im Abschnitt "Terminaldiensteclient: Verhindern, dass Benutzer Kennwörter speichern" an späterer Stelle in diesem Dokument erläutert.

•

Die Richtlinieneinstellung für Benutzerprofile, Windows Installer- und Gruppenrichtliniensoftware-Installationsdaten belassen, wird verwendet, um Daten im Zusammenhang mit Windows Installer und der Softwareinstallation beizubehalten, wenn das servergespeicherte Profil eines Benutzers gelöscht wird, wie im Abschnitt "Benutzerprofile: Beibehalten von Windows Installer- und Softwareinstallationsdaten beim Löschen von Profilen" an späterer Stelle in diesem Dokument erläutert.

Auf dieser Seite

	Terminaldiensteclient: Verhindern, dass Benutzer Kennwörter speichern
	Benutzerprofile: Beibehalten von Windows Installer- und Softwareinstallationsdaten beim Löschen von Profilen
	Bandbreitenverwaltung für den intelligenten Hintergrundübertragungsdienst
	Peer-zu-Peer-Netzwerkdienste
	Richtlinieneinstellungen für Remoteprozeduraufrufe

Terminaldiensteclient: Verhindern, dass Benutzer Kennwörter speichern

Mit SP2 wird eine neue Richtlinieneinstellung für die Terminaldienste eingeführt, die es ermöglicht, die Funktion zum Speichern von Kennwörtern im Terminaldiensteclient zu deaktivieren. Auf die Richtlinieneinstellung Speichern von Kennwörtern nicht zulassen wird über die folgenden Knoten im Gruppenrichtlinienobjekt-Editor zugegriffen: Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Terminaldienste\Client und Benutzerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Terminaldienste\Client.

Die Richtlinieneinstellung Speichern von Kennwörtern nicht zulassen eignet sich für Unternehmensumgebungen, in denen verhindert werden soll, dass verwaltete Computer und Benutzer die Terminalserver-Anmeldeinformationen speichern. Ein Beispiel für einen adäquaten Einsatz dieser Richtlinieneinstellung ist eine Umgebung, in der Benutzer für den Zugriff aus Netzwerken mit geringer Sicherheit auf Netzwerke mit hoher Sicherheit die Terminaldienste verwenden, um auf Unternehmensanwendungen zuzugreifen, und Sie verhindern möchten, dass die Kennwörter für Ihr Hochsicherheitsnetzwerk auf Clients in Netzwerken mit geringer Sicherheit gespeichert werden. Mit dieser Richtlinieneinstellung kann die Sicherheit erhöht werden.

Speichern von Kennwörtern nicht zulassen

Wenn Sie die Richtlinieneinstellung Speichern von Kennwörtern nicht zulassen aktivieren, wird das Kontrollkästchen Kennwort speichern im Terminaldiensteclient deaktiviert, und alle Benutzer, die von einem Gruppenrichtlinienobjekt mit dieser Richtlinie betroffen sind, werden daran gehindert, Kennwörter im Terminaldiensteclient zu speichern. Wenn der Benutzer mit dem Terminaldiensteclient eine RDP-Datei (Remote Desktop-Protokoll) öffnet und seine Einstellungen speichert, werden alle Kennwörter, die vorher in der RDP-Datei gespeichert waren, gelöscht. Eine RDP-Datei enthält alle Informationen für die Verbindung zu einem Terminalserver, einschließlich der Optionseinstellungen, die beim Speichern der Datei konfiguriert wurden.

Die Richtlinieneinstellung Speichern von Kennwörtern nicht zulassen gilt für Clients, die Remotedesktopverbindungen zu den Terminaldiensten herstellen. Für diese Richtlinieneinstellung kann eine der folgenden Optionen festgelegt werden:

•	Aktiviert. Diese Option deaktiviert das Kontrollkästchen Kennwort speichern.
•	Deaktiviert. Diese Option ermöglicht das Speichern von Kennwörtern; der Benutzer ist allerdings nicht gezwungen, Kennwörter zu speichern.
•	Nicht konfiguriert (Standard). Wenn die Richtlinieneinstellung auf Nicht konfiguriert festgelegt wird, ist jede andere anwendbare Gruppenrichtlinieneinstellung dennoch wirksam. Diese Option hat keine Auswirkungen auf andere Richtlinieneinstellungen.

Computerkonfigurationseinstellungen setzen Benutzerkonfigurationseinstellungen außer Kraft. Dies ist ein standardmäßiges Verhalten von Gruppenrichtlinieneinstellungen.

Zum Seitenanfang

Benutzerprofile: Beibehalten von Windows Installer- und Softwareinstallationsdaten beim Löschen von Profilen

Mit SP2 von Windows XP wird eine neue Richtlinieneinstellung eingeführt, mit der Sie angeben können, dass Daten im Zusammenhang mit Windows Installer und der Installation von Gruppenrichtliniensoftware beim Löschen eines Benutzerprofils beibehalten werden. Diese neue Richtlinieneinstellung, Windows Installer- und Gruppenrichtliniensoftware-Installationsdaten belassen, finden Sie im Knoten Computerkonfiguration\Administrative Vorlagen\System\Benutzerprofile des Gruppenrichtlinienobjekt-Editors.

Standardmäßig werden beim Löschen des servergespeicherten Profils eines Benutzers alle Informationen in Verbindung mit diesem Benutzer gelöscht, so auch die Benutzereinstellungen, die Daten im Zusammenhang mit Windows Installer usw. Dementsprechend muss der Benutzer bei seiner nächsten Anmeldung an diesem Computer sämtliche Anwendungen neu installieren, die während der Anmeldung über die Gruppenrichtlinie veröffentlicht werden, wodurch die Dauer der Anmeldezeit erhöht wird. Dieses Verhalten kann mit der Richtlinieneinstellung Windows Installer- und Gruppenrichtliniensoftware-Installationsdaten belassen vermieden werden. Diese Richtlinieneinstellung legt fest, dass das System die Windows Installer- und Gruppenrichtliniensoftware-Installationsdaten beibehalten soll, wenn das Profil des Benutzers gelöscht wird.

Hinweis
Wenn ein Administrator diese Richtlinie für einen Computer aktiviert hat und die Daten nun löschen möchte, um das Profil vollständig zu entfernen, muss der lokale Administrator die Windows Installer- und Gruppenrichtliniensoftware-Installationsdaten löschen, die in der Registrierung und im Dateisystem für servergespeicherte Profile abgelegt sind, die auf dem Computer gespeichert sind. Netzwerkbezogene Richtlinieneinstellungen.

Mit SP2 stehen Richtlinieneinstellungen zum Verwalten bestimmter Aspekte der folgenden Netzwerkkomponenten bereit:

•	Intelligenter Hintergrundübertragungsdienst (BITS). Mit diesen Richtlinieneinstellungen kann die von BITS (Background Intelligent Transfers Service, intelligenter Hintergrundübertragungsdienst) verwendete Netzwerkbandbreite eingeschränkt werden. Näheres hierzu finden Sie im Abschnitt "Bandbreitenverwaltung für den intelligenten Hintergrundübertragungsdienst" an späterer Stelle in diesem Dokument.
•	Peer-zu-Peer-Netzwerkdienste. Mit diesen Richtlinieneinstellungen können die Peer-zu-Peer-Netzwerkdienste deaktiviert, kann der zu verwendende Seedserver angegeben und das Multicast-Bootstrapping deaktiviert werden. Weitere Informationen enthält der Abschnitt "Peer-zu-Peer-Netzwerkdienste" an späterer Stelle in diesem Dokument.
•	Remoteprozeduraufruf (RPC). Mit diesen Richtlinieneinstellungen kann der anonyme Remotezugriff auf die RPC-Schnittstellen des Systems blockiert und der anonyme Zugriff auf die RPC-Endpunktzuordnungsschnittstelle verhindert werden. Weitere Informationen enthält der Abschnitt "Richtlinieneinstellungen für Remoteprozeduraufrufe" an späterer Stelle in diesem Dokument.

Zum Seitenanfang

Bandbreitenverwaltung für den intelligenten Hintergrundübertragungsdienst

Der intelligente Hintergrundübertragungsdienst (Background Intelligent Transfer Service, BITS) ist ein Dateiübertragungsdienst, mit dem Dateien zwischen einem Client und einem Server im Vordergrund oder im Hintergrund (Standard) übertragen werden. Beim Datentransfer im Hintergrund wird nur die gegenwärtig ungenutzte Bandbreite verwendet, um die interaktive Erfahrung des Benutzers mit anderen Netzwerkanwendungen wie Internet Explorer nicht zu beeinträchtigen. BITS prüft den Netzwerkverkehr und nutzt nur den jeweils ungenutzten Teil der Netzwerkbandbreite. BITS reguliert seine Nutzung der Bandbreite anhand der zunehmenden oder abnehmenden Bandbreitennutzung durch die Benutzer.

Ein BITS-Auftrag ist ein Container, in dem sich eine oder mehrere zu übertragende Dateien befinden. Der Lebenszyklus eines Auftrags beginnt, wenn der Benutzer den Auftrag erstellt. Darüber hinaus verfügt ein Auftrag über Eigenschaften, die festlegen, wie BITS Dateien überträgt und mit der Anwendung des Benutzers zusammenarbeitet. Dateiübertragungen mit BITS erfolgen asynchron, was bedeutet, dass die Anwendung nicht ausgeführt werden muss, damit BITS die Übertragung durchführen kann. Nachdem der Übertragungsauftrag in der Anwendung erstellt wurde, kann der Benutzer die Anwendung schließen. Die Dateiübertragung wird nun von BITS übernommen. Die Dateiübertragung mit BITS wird so lange fortgesetzt, wie eine Netzwerkverbindung besteht und der Benutzer, der den Auftrag erstellt hat, am Netzwerk angemeldet ist. Dienstkonten wie LocalSystem sind immer angemeldet, also werden von einem Dienst erstellte Übertragungsaufträge immer ausgeführt.

BITS hält die Dateiübertragung an, wenn sich der Benutzer abmeldet oder die Netzwerkverbindung verloren geht. Wenn sich der Benutzer wieder anmeldet und die Netzwerkverbindung wiederhergestellt wurde, nimmt BITS die Datenübertragung an dem Punkt wieder auf, an dem sie vorher unterbrochen wurde. Das Gleiche gilt für Neustarts des Systems.

BITS unterstützt HTTP als Protokoll und bietet Internet- und Authentifizierungssicherheit. Mit BITS stehen zudem auch APIs bereit, die zum Erstellen und Überwachen von Übertragungsaufträgen von der Anwendung aus verwendet werden können.

BITS erkennt nur die Netzwerkbedingungen des Clientcomputers und nicht die Bedingungen in der Netzwerkumgebung des Clients. Wenn auf dem Client im Netzwerk keine Anwendungen ausgeführt werden, nimmt BITS einen Großteil der verfügbaren Bandbreite in Anspruch.

Mit SP2 wird eine neue BITS-Richtlinieneinstellung eingeführt, die verwendet werden kann, um die von BITS verwendete Netzwerkbandbreite einzuschränken: Von BITS verwendete maximale Netzwerkbandbreite. Auf diese Einstellung greifen Sie über den Knoten Computerkonfiguration\Administrative Vorlagen\Netzwerk\Intelligenter Hintergrundübertragungsdienst des Gruppenrichtlinienobjekt-Editors zu.

Zum Lieferumfang von Windows XP, SP2, gehört BITS 2.0. In dieser Version überwacht der Dienst die Gruppenrichtlinieneinstellungen für die Netzwerkbandbreite (Von BITS verwendete maximale Netzwerkbandbreite). Computer mit älteren Service Packs von Windows 2000 oder Windows XP erhalten BITS 2.0 über das Feature Automatische Aktualisierung oder den Windows Update-Dienst.

Mit der Richtlinieneinstellung Von BITS verwendete maximale Netzwerkbandbreite wird die Netzwerkbandbreite eingeschränkt, die BITS für die Datenübertragung im Hintergrund verwendet (diese Richtlinie hat keinerlei Auswirkungen auf die Datenübertragung im Vordergrund).

Im Normalfall wird die Richtlinieneinstellung Von BITS verwendete maximale Netzwerkbandbreite verwendet, um zu verhindern, dass BITS-Übertragungen Netzwerkbandbreite beanspruchen, wenn ein Client, der mit einer schnellen Netzwerkkarte (10 Mbit/s.) ausgestattet ist, über eine langsame Verbindung (56 Kbit/s.) mit dem Netzwerk verbunden ist. Mit dieser Richtlinieneinstellung kann eine Bandbreitenbegrenzung festgelegt werden, die während eines bestimmten Zeitintervalls verwendet werden soll, und eine weitere Begrenzung, die zu allen anderen Zeiten gilt. Diese Richtlinie eignet sich besonders für Szenarien mit Remoteverbindungen zu Zweigstellen, in denen eine geringe Anzahl Computer mit DSL oder gemeinsam genutzten DFÜ-Verbindungen arbeitet, um die Verbindung zum Netzwerk herzustellen und Sie Bandbreite für Vordergrundanwendungen zuweisen möchten, die über den Tag ausgeführt werden. So könnten Sie diese Richtlinie beispielsweise verwenden, um die Nutzung der Netzwerkbandbreite von 8.00 bis 17.00 Uhr auf 10 Kbit/s. zu beschränken. In der verbleibenden Zeit könnte dann die gesamte ungenutzte Bandbreite verwendet werden.

Wenn Sie die Richtlinieneinstellung Von BITS verwendete maximale Netzwerkbandbreite verwenden möchten, geben Sie einen Grenzwert für die freigegebene Netzwerkverbindung und nicht für den Netzwerkadapter des Computers an. BITS verwendet etwa 2 Kilobit, wenn ein geringerer Wert als 2 Kilobit angegeben wird. Wenn BITS-Übertragungen vollständig verhindert werden sollen, geben Sie Null als Grenzwert ein. Wenn ein Grenzwert von Null angegeben wird, zeigt BITS für alle Hintergrundaufträge vorübergehend einen Fehlerstatus an (Fehlercode BG_E_BLOCKED_BY_POLICY, 0x8020003E). Nach Ablauf des festgelegten Zeitintervalls setzt BITS die Aufträge in die Warteschlange.

Hinweis
Wird die Richtlinieneinstellung Von BITS verwendete maximale Netzwerkbandbreite (Wert MaxInternetBandwidth) auf Null gesetzt und das Tool BITSAdmin.exe ausgeführt, wird für den BITS-Auftrag vorübergehend ein Fehlerstatus angezeigt.
BITSAdmin ist ein Befehlszeilentool, das zum Erstellen von Download- oder Uploadaufträgen und zur Fortschrittsüberwachung dieser Aufträge verwendet werden kann. Das Tool befindet sich auf der Installations-CD des Windows Server-Betriebssystems in der Datei \Support\Tools\Support.cab. Zum Entpacken und Installieren von BITSAdmin führen Sie die Datei Setup.exe im Verzeichnis Tools aus. Weitere Informationen über BITSAdmin finden Sie im Abschnitt "BITSAdmin-Tool" unter "Intelligenter Hintergrundübertragungsdienst" im Microsoft Platform SDK.

Die Richtlinieneinstellung Von BITS verwendete maximale Netzwerkbandbreite wird vom BITS-Code unverzüglich gelesen. Sie müssen jedoch ggf. eine Aktualisierung der Gruppenrichtlinie vornehmen (führen Sie den Befehl gpudate aus) oder den Computer neu starten, wenn Sie die BITS-Richtlinieneinstellung Zeitlimit (in Tagen) für inaktive Aufträge verwenden möchten und diese Richtlinie unverzüglich angewendet werden soll. Der Administrator sollte während des Tages und des Nachts Stunden auswählen, die für sein jeweiliges Szenario am besten geeignet sind, und er sollte nicht vergessen, dass es sich bei den Zeiten um die lokale Clientzeit und nicht um GMT (Greenwich Mean Time) oder die Zeitzone auf dem Computer des Administrators handelt. Der Administrator muss zudem auch entscheiden, ob im Tagesverlauf überhaupt BITS-Verkehr im Hintergrund stattfinden soll. In den meisten Fällen ist es ausreichend, die unbegrenzte Bandbreitennutzung während der Nacht zuzulassen (Standard).

Weitere Informationen über die BITS-APIs finden Sie unter "Intelligenter Hintergrundübertragungsdienst" im Microsoft Platform SDK. Lesen Sie darüber hinaus auch das Whitepaper "Background Intelligent Transfer Service in Windows Server 2003" auf der Microsoft-Website (nur auf Englisch verfügbar).

Registrierungsschlüssel der Richtlinieneinstellung "Von BITS verwendete maximale Netzwerkbandbreite"

In Tabelle 6 werden die Werte der BITS-Registrierungsschlüssel unter MaxInternetBandwidth zusammengefasst.

Tabelle 6. Werte der BITS-Registrierungsschlüssel unter "MaxInternetBandwidth"

Name der Einstellung	Pfad	Standardwert	Mögliche Werte
EnableBITSMaxBandwidth	HKLM\Software\Policies\Microsoft\Windows\BITS	Nicht konfiguriert	Das DWORD steuert, ob BITS die Bandbreite von Hintergrundaufträgen begrenzt. Wenn nicht konfiguriert, legt BITS keinen Grenzwert fest. Wenn 0, legt BITS keinen Grenzwert fest. Wenn 1, begrenzt BITS die Bandbreite.
MaxTransferRateOnSchedule	HKLM\Software\Policies\Microsoft\Windows\BITS	Nicht konfiguriert	Das DWORD legt die maximale Übertragungsrage gemessen in Kilobit pro Sekunde fest. 0xffffffff wird als "unbegrenzt" interpretiert. Ist dieser Registrierungsschlüssel nicht vorhanden oder ungültig, wird von 56 Kbit/s. ausgegangen.
MaxTransferRateOffSchedule	HKLM\Software\Policies\Microsoft\Windows\BITS	Nicht konfiguriert	Das DWORD legt die maximale Übertragungsrage gemessen in Kilobit pro Sekunde fest. 0xffffffff wird als "unbegrenzt" interpretiert. Ist dieser Registrierungsschlüssel nicht vorhanden oder ungültig, wird von "unbegrenzt" ausgegangen. Der Wert wird ignoriert, wenn UseSystemMaximum nicht Null ist.
UseSystemMaximum	HKLM\Software\Policies\Microsoft\Windows\BITS	Nicht konfiguriert	Null bedeutet, dass das außerplanmäßige Maximum aus MaxTransferRateOffSchedule gelesen wird. Jeder andere Wert bedeutet, dass das außerplanmäßige Maximum unbegrenzt ist.
MaxBandwidthValidFrom	HKLM\Software\Policies\Microsoft\Windows\BITS	Nicht konfiguriert	Das DWORD legt die Stunde des Tages zwischen 0 und 23 fest. Ist dieser Registrierungsschlüssel nicht vorhanden oder ungültig, wird "8" angenommen.
MaxBandwidthValidTo	HKLM\Software\Policies\Microsoft\Windows\BITS	Nicht konfiguriert	Das DWORD legt die Stunde des Tages zwischen 0 und 23 fest. Ist dieser Registrierungsschlüssel nicht vorhanden oder ungültig, wird "18" angenommen.

Zum Seitenanfang

Peer-zu-Peer-Netzwerkdienste

Mit SP2 wird eine neue Richtlinieneinstellung eingeführt, die zum Durchsetzen einer auf Gruppenrichtlinien basierenden Konfiguration bestimmter Aspekte der Peer-zu-Peer-Netzwerkdienste verwendet werden kann.

Das Protokoll PNRP (Peer Name Resolution-Protokoll) ermöglicht die verteilte Auflösung eines Namens nach einer IPv6-Adresse und -Portnummer. Das Protokoll arbeitet im Kontext von Wolken. Eine Wolke ist ein Satz Peercomputer, die unter Verwendung des gleichen IPv6-Bereichs miteinander kommunizieren können. Es gibt drei Arten von Wolken, nämlich globale, standortlokale und verbindungslokale Wolken:

•	Wenn ein Computer mit dem Internet verbunden ist, ist er Teil einer globalen Wolke. Unternehmensfirewalls können dafür sorgen, dass die globale Wolke in einer Weise geteilt wird, dass die eigentliche Wolke nur im Unternehmen existiert.
•	Wenn ein Computer mit einem oder mehreren LANs verbunden ist, stehen für jede Verbindung verbindungslokale Wolken zur Verfügung.
•	Wenn das Netzwerk der Organisation für die Unterstützung von IPv6-Standorten konfiguriert wurde, stehen für jeden speziellen Standort standortlokale Wolken zur Verfügung.

Bevor PNRP für die Teilnahme an einer Wolke verwendet werden kann, muss ein Neustart erfolgen. Dazu gibt es folgende Möglichkeiten:

•	Wenn der Computer schon vorher Teil einer Peer-zu-Peer-Wolke war, kann das Protokoll im Zwischenspeicher befindliche Informationen verwenden, um eigenständig einen Neustart durchzuführen.
•	Wenn Schritt 1 nicht funktioniert, sendet der Computer (unter der Annahme, dass der SSDP-Dienst bereits ausgeführt wird) eine lokale Multicastmeldung in das Subnetz, um zu ermitteln, ob andere Computer online sind, die bei einem Neustart helfen können.
•	Wenn Schritt 2 nicht funktioniert, sendet der Computer eine Nachricht an einen bekannte Knoten (den so genannten Seedserver), der im Internet gehostet wird. Alternativ kann eine Gruppenrichtlinieneinstellung verwendet werden, um auf einen Knoten im Unternehmensnetzwerk zu verweisen.

Unter der anfänglichen Implementierung des Advanced Networking Packs für Windows XP gab es keine Möglichkeit zum Konfigurieren des Seedservers mithilfe einer Gruppenrichtlinie. Mit SP2 stehen nun drei PNRP-Richtlinieneinstellungen bereit, die eine richtlinienbasierte Konfiguration bestimmter Aspekte von Peernetzwerkprotokollen ermöglichen, nämlich Microsoft Peer-zu-Peer-Netzwerkdienste deaktivieren, Seedserver festlegen und Multicast-Bootstrap deaktivieren. Diese Richtlinieneinstellungen befinden sich im Knoten Computerkonfiguration\Administrative Vorlagen\Netzwerk\Microsoft Peer-zu-Peer-Netzwerkdienste des Gruppenrichtlinienobjekt-Editors.

Bei Verwendung dieser Richtlinieneinstellungen können bestimmte Konfigurationsoptionen von Peer-zu-Peer-Netzwerkdiensten zentral verwaltet werden. Diese Richtlinieneinstellungen werden dann vom System durchgesetzt.

Microsoft Peer-zu-Peer-Netzwerkdienste deaktivieren

Diese Einstellung deaktiviert die Microsoft Peer-zu-Peer-Netzwerkdienste, wodurch alle abhängigen Anwendungen ebenfalls beendet werden. Peer-zu-Peer-Protokolle machen Anwendungen in den Bereichen RTC, Kollaboration, Inhaltsverteilung und verteilte Verarbeitung möglich.

Durch Aktivieren dieser Einstellung werden Peer-zu-Peer-Protokolle deaktiviert. Wenn Sie diese Einstellung deaktivieren oder nicht konfigurieren, werden die Peer-zu-Peer-Protokolle aktiviert (wobei davon ausgegangen wird, dass die optionale Peer-zu-Peer-Komponente vorher installiert war).

Wird diese Richtlinieneinstellung auf Aktiviert und anschließend auf Deaktiviert gesetzt, müssen die entsprechenden Anwendungen neu gestartet werden.

Seedserver festlegen

Diese Einstellung legt den Seedserver auf einen bestimmten Knoten im Unternehmen fest. Diese Richtlinieneinstellung kann pro Wolke angewendet werden: global, standortlokal und verbindungslokal. Die Richtlinieneinstellung Seedserver festlegen steht unter Computerkonfiguration\Administrative Vorlagen\Netzwerk\Microsoft Peer-zu-Peer-Netzwerkdienste\Peer Name Resolution-Protokoll unter jedem der folgenden Knoten bereit: Globale Wolken, Standortlokale Wolken und Verbindungslokale Wolken.

•

Globale Wolken. In der globalen Wolke ermöglicht diese Richtlinieneinstellung, die Seedservereinstellungen in einer Weise zu konfigurieren, dass Benutzer von mobilen Geräten ihre Peer-zu-Peer-Anwendungen sowohl von zu Hause als auch vom Büro aus verwenden können. Zu diesem Zweck kann die Richtlinieneinstellung aktiviert und auf eine IPv6-Adresse oder den DNS-Namen des Seedservers des Unternehmens festgelegt werden. Optional kann ein Kontrollkästchen aktiviert werden, das die Verwendung des globalen Seedservers deaktiviert und nur die Verwendung des internen Seedservers zulässt. Diese Einstellung ist allerdings nicht zu empfehlen, da sie verhindert, dass Benutzer von mobilen Geräten Peer-zu-Peer-Anwendungen außerhalb des Unternehmens nutzen können.

•

Standortlokale Wolken oder verbindungslokale Wolken. In einer standortlokalen oder verbindungslokalen Wolke kann der Administrator den Namen des Seedservers des Unternehmens angeben, wie im Vorfeld unter Globale Wolken erläutert. Da DNS in verbindungslokalen Wolken nicht verfügbar ist, können nur IPv6-Adressen für diesen speziellen Bereich angegeben werden.

In allen Fällen wird jedoch der bekannte Seedserver (pnrp.ipv6.microsoft.com) verwendet, wenn die Richtlinieneinstellung Seedserver festlegen nicht konfiguriert ist. Beachten Sie, dass auf diesen Seedserver nicht zugegriffen werden kann, wenn die Unternehmensfirewall ausgehenden IPv6-Verkehr nicht zulässt.

Multicast-Bootstrap deaktivieren

Diese Einstellung verhindert, dass das PNRP-Protokoll den Computer veröffentlicht oder nach anderen Computern im lokalen Subnetz in der jeweiligen Wolke sucht. Wenn Sie diese Einstellung aktivieren, verwendet PNRP Multicast nicht für den Neustart. Wird diese Richtlinie konfiguriert, schlagen Szenarien fehl, wenn kein Seedserver zum Neustarten verfügbar ist, z. B. bei Ad-hoc-Kooperationsszenarien. Die Richtlinie steht unter Computerkonfiguration\Administrative Vorlagen\Netzwerk\Microsoft Peer-zu-Peer-Netzwerkdienste\Peer Name Resolution-Protokoll unter jedem der folgenden Knoten bereit: Globale Wolken, standortlokale Wolken und verbindungslokale Wolken.

Falls diese Einstellung nicht konfiguriert oder deaktiviert wird, verwendet PNRP Multicast zum Neustarten im selben Subnetz und veröffentlicht den lokalen Computer.

Das zum Neustarten verwendete Multicastprotokoll ist SSDP (Simple Service Discovery-Protokoll). Der SSDP-Dienst muss aktiviert sein (Standardeinstellung), damit diese Richtlinie angewendet werden kann.

Zum Seitenanfang

Richtlinieneinstellungen für Remoteprozeduraufrufe

Mit SP2 werden Änderungen am RPC-Dienst (Remote Procedure Call, Remoteprozeduraufruf) eingeführt, die dazu beitragen sollen, die RPC-Schnittstellen standardmäßig sicher zu machen und die Angriffsfläche von Windows XP zu verringern. Es wurden zwei neue Richtlinieneinstellungen hinzugefügt:

•

Einschränkungen für nicht authentifizierte RPC-Clients. Diese Richtlinieneinstellung ermöglicht das Ändern des Verhaltens aller RPC-Schnittstellen im System und verhindert standardmäßig (mit einigen Ausnahmen) den anonymen Remotezugriff auf die RPC-Schnittstellen im System. Mit dieser Richtlinieneinstellung wird der Wert des neuen Registrierungsschlüssels RestrictRemoteClients festgelegt.

•

RPC-Endpunktzuordnungs-Clientauthentifizierung Mit dieser Richtlinieneinstellung können RPC-Clients, die zwecks Authentifizierung mit dem Endpunktzuordnungsdienst kommunizieren müssen, angewiesen werden, sich zu authentifizieren, vorausgesetzt, der RPC-Aufruf, für den der Endpunkt aufgelöst werden muss, verfügt über Authentifizierungsinformationen. Mit dieser Richtlinieneinstellung wird der Wert des neuen Registrierungsschlüssels EnableAuthEpResolution festgelegt.

Wird für Aufrufe eine Authentifizierung gefordert, kann dies – auch wenn die Authentifizierung auf einer relativ niedrigen Ebene erfolgt – dazu beitragen, die Oberfläche vor Angriffen zu schützen. Diese Vorgehensweise ist insbesondere gegen Würmer hilfreich, die ausnutzbare Pufferüberläufe verwenden, die remote über anonyme Verbindungen aufgerufen werden können.

Auf die RPC-Richtlinieneinstellungen kann im Knoten Computerkonfiguration\Administrative Vorlagen\System\Remoteprozeduraufruf des Gruppenrichtlinienobjekt-Editors zugriffen werden.

Einschränkungen für nicht authentifizierte RPC-Clients

Wenn eine Schnittstelle mit RpcServerRegisterIf registriert wird, versetzt RPC die Serveranwendung in die Lage, den Zugriff auf die Schnittstelle zu beschränken, normalerweise über einen Sicherheitsrückruf. Der Registrierungsschlüssel RestrictRemoteClients zwingt RPC, für alle Schnittstellen zusätzliche Sicherheitsprüfungen durchzuführen, auch wenn für die Schnittstelle kein Sicherheitsrückruf registriert wurde. Der Wert für diesen Registrierungsschlüssel wird mit der Gruppenrichtlinieneinstellung Einschränkungen für nicht authentifizierte RPC-Clients festgelegt.

Wird die Richtlinieneinstellung Einschränkungen für nicht authentifizierte RPC-Clients aktiviert, wird die RPC-Laufzeitumgebung auf dem RPC-Server angewiesen, Einschränkungen für nicht authentifizierte Clients durchzusetzen, die die Verbindung zu RPC-Servern auf einem Computer herstellen. Ein Client wird als ein authentifizierter RPC-Client angesehen, wenn er entweder eine Named Pipe zur Kommunikation mit dem Server verwendet oder der RPC-Sicherheitsrichtlinie entspricht. RPC-Schnittstellen, die explizit für den Zugriff seitens nicht authentifizierter Clients freigegeben wurden, stellen je nach ausgewähltem Wert für diese Richtlinie ggf. eine Ausnahme von dieser Einschränkung dar.

Hinweis
RPC-Clients, die die Named Pipe-Protokollsequenz (ncacn_np) verwenden, sind von allen in diesem Abschnitt beschriebenen Einschränkungen ausgenommen. Die Named Pipe-Protokollsequenz kann aufgrund einiger wichtiger Probleme bei der Abwärtskompatibilität standardmäßig nicht eingeschränkt werden.

Wenn Sie die Richtlinieneinstellung Einschränkungen für nicht authentifizierte RPC-Clients aktivieren, können Sie die Option Anzuwendende RPC-Laufzeit für nicht authentifizierte Clients wie folgt konfigurieren:

•	Authentifiziert (Standard). Wird diese Option aktiviert, können nur authentifizierte RPC-Clients die Verbindung zu RPC-Servern auf dem Computer herstellen, auf den die Richtlinieneinstellung angewendet wird. Für Schnittstellen, die von dieser Einschränkung ausgenommen werden müssen, wird eine Ausnahme gewährt. Diese Option wird vom Wert RPC_RESTRICT_REMOTE_CLIENT_DEFAULT (1) repräsentiert.
•	Authentifiziert ohne Ausnahmen. Wird diese Option aktiviert, können nur authentifizierte RPC-Clients die Verbindung zu RPC-Servern auf dem Computer herstellen, auf den die Richtlinieneinstellung angewendet wird; Ausnahmen sind nicht gestattet. Bei Auswahl dieser Option kann das System keine anonymen Remoteaufrufe unter Verwendung von RPC empfangen; auf diese Weise wird die höchste Sicherheitsstufe durchgesetzt. Diese Option wird vom Wert RPC_RESTRICT_REMOTE_CLIENT_HIGH (2) repräsentiert.
•	Keine. Wird diese Option aktiviert, können alle RPC-Clients die Verbindung zu RPC-Servern auf dem Computer herstellen, auf den die Richtlinieneinstellung angewendet wird. Bei Auswahl dieser Option umgeht das System die neue RPC-Schnittstelleneinschränkung. Diese Option entspricht dem RPC-Verhalten in früheren Versionen von Windows. Die Option wird vom Wert RPC_RESTRICT_REMOTE_CLIENT_NONE (0) repräsentiert.

Überlegungen betreffend RPC-Anwendungen, die Remoteaufrufe von anonymen RPC-Clients empfangen müssen

Wenn die RPC-Anwendung darauf ausgerichtet ist, Remoteaufrufe von anonymen RPC-Clients zu erhalten, kann diese Änderung möglicherweise dafür sorgen, dass die Anwendung nicht mehr ordnungsgemäß ausgeführt werden kann. Zur Lösung dieses Problems kann eine der folgenden Optionen verwendet werden (aufgeführt in der zu bevorzugenden Reihenfolge):

•	Schreiben Sie den RPC-Clients vor, beim Herstellen einer Verbindung mit der Serveranwendung RPC-Sicherheit zu verwenden. Dies ist die beste Methode, um Sicherheitsbedrohungen zu reduzieren.
•	Nehmen Sie die Schnittstelle davon aus, eine Authentifizierung durchführen zu müssen, indem Sie bei der Schnittstellenregistrierung das Flag RPC_IF_ALLOW_CALLBACKS_WITH_NO_AUTH setzen. Hiermit wird RPC so konfiguriert, dass anonyme Verbindungen nur zur Schnittstelle der Anwendung zugelassen werden.
•	Zwingen Sie RPC, das gleiche Verhalten wie unter früheren Windows-Versionen zu zeigen, indem Sie die Richtlinie Einschränkungen für nicht authentifizierte RPC-Clients aktivieren und den Wert von Anzuwendende RPC-Laufzeit für nicht authentifizierte Clients auf Kein festlegen (Registrierungsschlüssel ist RPC_RESTRICT_REMOTE_CLIENT_NONE (0)). RPC akzeptiert nun anonyme Verbindungen auf allen Schnittstellen. Diese Option sollte nach Möglichkeit vermieden werden, da hierdurch die Gesamtsicherheit des Computers verringert wird.

RPC-Endpunktzuordnungs-Clientauthentifizierung

Eine RPC-Schnittstelle, die remote und anonym zugänglich sowie standardmäßig in Windows XP registriert ist, bietet eine nicht unerhebliche Angriffsfläche. RPC selbst muss eine solche Schnittstelle registrieren, um die Endpunkte für Aufrufe mit dynamischen Endpunkten auflösen zu können.

Durch das neue Flag RestrictRemoteClients ist die RPC-Endpunktzuordnungsschnittstelle standardmäßig anonym nicht zugänglich. Hierbei handelt es sich zwar um eine wesentliche Verbesserung der Sicherheit, diese hat jedoch Konsequenzen für die Auflösung von Endpunkten. Gegenwärtig fragt ein RPC-Client, der einen dynamischen Endpunkt aufrufen möchte, zunächst die RPC-Endpunktzuordnung des Servers ab, um den Endpunkt zu ermitteln, mit dem die Verbindung hergestellt werden soll. Diese Abfrage erfolgt anonym, auch wenn der RPC-Clientaufruf mit RPC-Sicherheit durchgeführt wird.

Mit SP2 schlagen anonyme Aufrufe der RPC-Endpunktzuordnungsschnittstelle aufgrund des Standardwertes des neuen Schlüssels RestrictRemoteClients standardmäßig fehl. Dies macht eine Änderung des RPC-Clientlaufzeitsystems erforderlich, um eine authentifizierte Abfrage an die Endpunktzuordnung durchzuführen. Wenn der neue Registrierungsschlüssel EnableAuthEpResolution festgelegt wurde, verwendet die RPC-Clientlaufzeit NTLM für die Authentifizierung bei der Endpunktzuordnung; diese authentifizierte Abfrage erfolgt nur, wenn der eigentliche RPC-Clientaufruf mit RPC-Authentifizierung arbeitet.

Die Gruppenrichtlinieneinstellung RPC-Endpunktzuordnungs-Clientauthentifizierung, mit der der Registrierungsschlüssel EnableAuthEpResolution festgelegt wird, weist die RPC-Clientlaufzeit an, NTLM für die Authentifizierung bei der Endpunktzuordnung zu verwenden.

Wird die Richtlinieneinstellung RPC-Endpunktzuordnungs-Clientauthentifizierung aktiviert, werden RPC-Clients, die mit dem Endpunktzuordnungsdienst kommunizieren müssen, authentifiziert, vorausgesetzt, der RPC-Aufruf, für den der Endpunkt aufgelöst werden muss, verfügt über Authentifizierungsinformationen.

Wird die vorstehende Richtlinieneinstellung deaktiviert, werden RPC-Clients, die mit dem Endpunktzuordnungsdienst kommunizieren müssen, nicht authentifiziert. Wird der Endpunktzuordnungsdienst auf Computern unter Windows NT® 4.0 ausgeführt, können in dieser Weise übermittelte Authentifizierungsinformationen nicht verarbeitet werden. Dies bedeutet, dass die Aktivierung der Einstellung auf einem Clientcomputer verhindert, dass der Client über RPC mit einem Server unter Windows NT 4.0 kommunizieren kann, wenn Endpunktauflösung gefordert wird.

Weitere Informationen und alles Wissenswerte über die neuen Registrierungsflags der RPC-Schnittstelle finden Sie im Abschnitt "RPC Interface Restriction" in "Part 2: Network Protection Technologies" des Dokuments "Changes to Functionality in Microsoft Windows XP with Service Pack 2" auf der Microsoft-Website unter http://go.microsoft.com/fwlink/?LinkId=29126.

Zum Seitenanfang

9 von 10

In diesem Beitrag

•	Dokument im Word-Format downloaden (englischsprachig)
•	Einführung
•	Bereitstellen von Gruppenrichtlinieneinstellungen in SP2
•	Windows-Firewall
•	Richtlinieneinstellungen für Internet Explorer
•	Richtlinieneinstellungen für die Internetkommunikationsverwaltung
•	Sicherheitsbezogene Richtlinieneinstellungen
•	Richtlinieneinstellungen für automatische Updates
•	Infrastruktur
•	Verwandte Hyperlinks