Konfigurieren der Netzwerkschutztechnologien von Windows XP SP2 in einer Active Directory-Umgebung
Auf dieser Seite
Einleitung
Gruppenrichtlinieneinstellungen werden entsprechend der Microsoft Active Directory-Implementierung Ihres Unternehmens zugewiesen. Durch standardisierte Konfigurationseinstellungen für Kategorien von Benutzern und Computern tragen sie zum Schutz Ihrer Computerumgebung bei. Die neuen Gruppenrichtlinien-Einstellungen für den Netzwerkschutz unter Microsoft Windows XP Service Pack 2 (SP2) umfassen folgende Einstellungskategorien:
| • | Windows-Firewall. Konfigurieren Sie diese Richtlinieneinstellungen, um die Firewall zu aktivieren und zu deaktivieren, um Programm- und Portausnahmen zu verwalten sowie um Ausnahmen für bestimmte Szenarien zu definieren, beispielsweise um die Remoteadministration auf Zielcomputern zuzulassen. |
| • | Internet Explorer. Anhand dieser neuen Richtlinieneinstellungen können Sie Sicherheitseinstellungen für Microsoft Internet Explorer konfigurieren. Darüber hinaus können Sie über diese Einstellungen Sicherheitsfunktionen von Internet Explorer für verschiedene Prozesse aktivieren und deaktivieren. |
| • | Internetkommunikationsverwaltung. Durch Konfigurieren dieser Einstellungen können Sie steuern, wie die unterschiedlichen Komponenten in Windows XP SP2 für Aufgaben über das Internet kommunizieren, die den Austausch von Informationen zwischen Computern in einem Unternehmen oder mit dem Internet erfordern. |
| • | DCOM-Sicherheit. Mit diesen Einstellungen steuern Sie die Sicherheit für DCOM (Distributed Component Object Model). Die DCOM-Infrastruktur umfasst neue Einschränkungen für die Zugriffssteuerung, die zur Minimierung von Sicherheitsrisiken durch Netzwerkangriffe beitragen. |
| • | Sicherheitscenter. Sie konfigurieren diese Einstellungen, um das Windows-Sicherheitscenter zentral zu verwalten. Das Sicherheitscenter ist eine neue Funktion in Windows XP SP2, die die Überwachung von Computern in Ihrem Unternehmen ermöglicht. Sie können hiermit sicherstellen, dass die neuesten Sicherheitsupdates implementiert wurden und dass Benutzer Warnmeldungen erhalten, wenn ein Computer ein Sicherheitsrisiko darstellt. |
| • | Remoteprozeduraufruf (RPC). Sie können die RPC-Richtlinieneinstellungen konfigurieren, um anonymen Remotezugriff auf die RPC-Schnittstellen des Systems zu blockieren und anonymen Zugriff auf die RPC-Endpunktzuordnung-Schnittstelle zu verhindern. |
In diesem Dokument wird beschrieben, wie Sie die Gruppenrichtlinieneinstellungen für den Netzwerkschutz einsetzen können, um die Sicherheit von Windows XP SP2-Clientcomputern zu erhöhen.
Eine vollständige Liste der empfohlenen Einstellungen finden Sie in folgendem Dokument:
| • | Sicherheitshandbuch für Windows XP, Anhang A - Zusatzinformationen zu Windows XP Service Pack 2 auf der Microsoft TechNet-Website unter http://www.microsoft.com/germany/technet/datenbank/articles/900065_app1.mspx |
Aufgaben für Gruppenrichtlinienobjekte (GPOs) werden in einer Active Directory-Domäne ausgeführt. Manche dieser Aufgaben können über einen Domänencontroller ausgeführt werden, aber in der Regel werden sie auf einem Windows XP SP2-Clientcomputer vorgenommen, der über Active Directory-Verwaltungswerkzeuge verfügt.
Hinweis: Weitere Informationen zur Bereitstellung von Gruppenrichtlinienobjekten finden Sie in folgendem Artikel:
| • | Designing a Managed Environment: Staging Group Policy Deployments auf der Microsoft Windows Server System-Website unter http://go.microsoft.com/fwlink/?linkid=35498 (in englischer Sprache) |
Um Netzwerkschutz in einer Active Directory-Umgebung zu konfigurieren, müssen Sie folgende Aufgaben durchführen:
| • | Hinzufügen von Hotfixes zu Verwaltungsarbeitsstationen |
| • | Aktualisieren vorhandener Gruppenrichtlinienobjekte |
| • | Konfigurieren von Sicherheitscenter-Einstellungen |
| • | Konfigurieren von Windows-Firewall-Einstellungen |
| • | Konfigurieren von Internet Explorer-Einstellungen |
| • | Konfigurieren von Einstellungen für die Internetkommunikationsverwaltung |
| • | Konfigurieren von DCOM-Sicherheitseinstellungen |
| • | Konfigurieren von RPC-Einstellungen |
WICHTIG: Die Anleitungen in diesem Dokument wurden auf Grundlage des Startmenüs entwickelt, das standardmäßig nach der Installation des Betriebssystems angezeigt wird. Wenn Sie das Startmenü geändert haben, können sich die Arbeitsschritte leicht unterscheiden.
Definitionen von Begriffen rund um die Sicherheit finden Sie hier:
| • | Microsoft Sicherheitsglossar auf der Microsoft-Website unter http://go.microsoft.com/fwlink/?LinkId=35468 (in englischer Sprache) |
Bevor Sie beginnen
Windows XP SP2 kann bei Verwendung von Domänencontrollern, die eine der nachstehenden Betriebssystemversionen verwenden, als Windows-Domänenclient in einer Active Directory-Domäne eingesetzt werden:
| • | Microsoft Windows Server 2003 |
| • | Microsoft Windows Small Business Server 2003 |
| • | Microsoft Windows 2000 Server SP3 oder höher |
Bevor Sie Hotfixes installieren, sollten Sie unbedingt eine Datensicherung Ihres Computers durchführen und dabei eine Sicherungskopie der Registrierung anfertigen.
Weitere Informationen zur Erstellung einer Sicherungskopie der Registrierung finden Sie in folgendem Artikel:
| • | Microsoft Knowledge Base-Artikel 322756 auf der Microsoft-Website „Hilfe und Support“ unter http://go.microsoft.com/fwlink/?linkid=36365 |
Hinzufügen von Hotfixes zu Verwaltungsarbeitsstationen und Windows Small Business Server 2003
Wenn Sie Einstellungen für Gruppenrichtlinienobjekte auf Computern verwalten, die frühere Versionen von Betriebssystemen oder Service Packs ausführen (z. B. Windows XP mit SP1 oder Windows Server 2003), müssen Sie einen Hotfix (KB842933) installieren, damit Richtlinieneinstellungen im Gruppenrichtlinienobjekt-Editor korrekt angezeigt werden.
Bei Verwendung von Small Business Server 2003 (SBS 2003) muss ein weiterer Hotfix (KB872769) installiert werden, da SBS 2003 die Windows-Firewall standardmäßig deaktiviert. Dieses Problem wird durch das Hotfix behoben.
Hinweis: Die aufgelisteten Hotfixes sind kein Bestandteil von Windows Update und müssen separat installiert werden. Die Hotfixes müssen auf allen betroffenen Systemen einzeln installiert werden.
KB842933 gilt für folgende Versionen:
| • | Microsoft Windows Server 2003, Web Edition |
| • | Microsoft Windows Server 2003, Standard Edition |
| • | Microsoft Windows Server 2003, Enterprise Edition |
| • | Microsoft Windows Server 2003, 64-Bit Enterprise Edition |
| • | Microsoft Windows XP Professional SP1 |
| • | Microsoft Windows Small Business Server 2003, Premium Edition |
| • | Microsoft Windows Small Business Server 2003, Standard Edition |
| • | Microsoft Windows 2000 Advanced Server |
| • | Microsoft Windows 2000 Server |
| • | Microsoft Windows 2000 Professional |
KB872769 gilt für folgende Versionen:
| • | Microsoft Windows Small Business Server 2003, Standard Edition | ||||
| • | Microsoft Windows Small Business Server 2003, Premium Edition Hinweis: Wie Sie diese Hotfixes beziehen können und weitere Informationen finden Sie in folgendem Artikel:
|
Anforderungen zum Ausführen dieser Aufgabe
| • | Anmeldeinformationen: Sie müssen auf dem Clientcomputer als Mitglied der Sicherheitsgruppe der Domänenadministratoren oder der lokalen Administratoren angemeldet sein. |
| • | Tools: Das entsprechende heruntergeladene Hotfix für Ihr Betriebssystem, gemäß der Beschreibung in den Knowledge Base-Artikeln 842933 und 872769. |
Hinzufügen von Hotfix 842933 zu Windows Small Business Server 2003, Windows 2000 Server SP3 oder höher, Windows XP SP1 oder Windows Server 2003
So fügen Sie das Hotfix hinzu
1. | Klicken Sie auf dem Windows-Desktop auf Start und anschließend auf Ausführen. Geben Sie den Pfad und den Dateinamen des heruntergeladenen Hotfix ein, und klicken Sie dann auf OK. |
2. | Klicken Sie auf der Seite Willkommen auf Weiter. |
3. | Klicken Sie auf der Seite Lizenz auf Ich stimme zu und dann auf Weiter. |
4. | Klicken Sie auf der Seite Fertigstellen des Assistenten auf Fertig stellen, um die Installation des Hotfix abzuschließen und den Computer neu zu starten. |
5. | Wiederholen Sie diese Schritte für alle Systeme (Server und Verwaltungsarbeitsstationen), auf denen das Hotfix installiert werden muss. |
Hinzufügen von Hotfix 872769 zu Windows Small Business Server 2003
So fügen Sie das Hotfix hinzu
1. | Klicken Sie auf dem Windows-Desktop auf Start und anschließend auf Ausführen. Geben Sie den Pfad und den Dateinamen des heruntergeladenen Hotfix 872769 ein, und klicken Sie dann auf OK. |
2. | Klicken Sie auf der Seite Willkommen auf Weiter. |
3. | Klicken Sie auf der Seite Lizenz auf Ich stimme zu und dann auf Weiter. |
4. | Klicken Sie auf der Seite Fertigstellen des Assistenten auf Fertig stellen, um die Installation des Hotfix abzuschließen und den Computer neu zu starten. |
Aktualisieren vorhandener Gruppenrichtlinienobjekte
Windows XP SP2 fügt den administrativen Vorlagen zusätzliche Einstellungen hinzu. Um diese neuen Einstellungen zu konfigurieren, muss jedes Gruppenrichtlinienobjekt mit den neuen administrativen Vorlagen aus Windows XP SP2 aktualisiert werden. Auf die Windows-Firewall bezogene Einstellungen sind nur dann verfügbar, wenn die Gruppenrichtlinienobjekte aktualisiert wurden.
Sie können Gruppenrichtlinienobjekte über die Microsoft Management Console (MMC) auf einem Computer unter Windows XP SP2 aktualisieren, auf dem das Snap-In für den Gruppenrichtlinienobjekt-Editor installiert ist.
Im Anschluss an die Aktualisierung eines Gruppenrichtlinienobjekts können Sie die Einstellungen für den Netzwerkschutz festlegen, die für Ihre Windows XP SP2-Computer geeignet sind.
Anforderungen zum Ausführen dieser Aufgabe
| • | Anmeldeinformationen: Sie müssen sich bei einem Windows XP SP2-Computer, der Client einer Active Directory-Domäne ist, als Mitglied der Sicherheitsgruppen „Domänen-Admins“ oder „Richtlinien-Ersteller-Besitzer“ anmelden. |
| • | Tools: Microsoft Management Console (MMC) mit installiertem Snap-In für den Gruppenrichtlinienobjekt-Editor. |
Aktualisieren von Gruppenrichtlinienobjekten
So aktualisieren Sie Gruppenrichtlinienobjekte
1. | Klicken Sie auf dem Windows XP SP2-Desktop auf Start und anschließend auf Ausführen. Geben Sie mmc ein, und klicken Sie dann auf OK. | ||
2. | Klicken Sie im Menü Datei auf Snap-In hinzufügen/entfernen. | ||
3. | Klicken Sie auf der Registerkarte Eigenständig auf Hinzufügen. | ||
4. | Klicken Sie in der Liste Verfügbare eigenständige Snap-Ins auf Gruppenrichtlinienobjekt-Editor und dann auf Hinzufügen. | ||
5. | Klicken Sie im Dialogfeld Gruppenrichtlinienobjekt auswählen auf Durchsuchen.  Abbildung 1 Gruppenrichtlinienobjekt suchen | ||
6. | Wählen Sie im Dialogfeld Gruppenrichtlinienobjekt suchen das Gruppenrichtlinienobjekt aus, das mit den neuen Windows-Firewall-Einstellungen aktualisiert werden soll. | ||
7. | Klicken Sie auf OK und dann auf Fertig stellen, um den Assistenten für Gruppenrichtlinien zu schließen. Dadurch wird die neue administrative Vorlage dem ausgewählten Gruppenrichtlinienobjekt zugewiesen. | ||
8. | Klicken Sie im Dialogfeld Eigenständiges Snap-In hinzufügen auf Schließen. | ||
9. | Klicken Sie im Dialogfeld Snap-In hinzufügen/entfernen auf OK. | ||
10. | Schließen Sie die MMC. Klicken Sie auf Datei, und beenden Sie, ohne die Änderungen an den Konsoleneinstellungen zu speichern. Hinweis: Obwohl Sie die Konsolenänderungen nicht speichern, werden die neuen administrativen Vorlagen von Windows XP SP2 durch dieses Verfahren in das Gruppenrichtlinienobjekt importiert. Die Vorlagen müssen in jedes definierte Gruppenrichtlinienobjekt importiert werden. | ||
11. | Wiederholen Sie diese Schritte für alle Gruppenrichtlinienobjekte, die verwendet werden, um Computern, auf denen Windows XP SP2 installiert ist, Gruppenrichtlinien zuzuweisen. Hinweis: Zur Aktualisierung von Gruppenrichtlinienobjekten, die Active Directory und Windows XP SP1 verwenden, wird die Verwendung der Gruppenrichtlinien-Verwaltungskonsole (GPMC, Group Policy Management Console) empfohlen, die Sie kostenlos herunterladen können. Weitere Informationen finden Sie hier:
|
Konfigurieren von Sicherheitscenter-Einstellungen
Das Sicherheitscenter ist ein neuer Dienst in Windows XP SP2. Hierbei handelt es sich um einen zentralen Ort, von dem aus Sie Sicherheitseinstellungen ändern, weitere Informationen zur Sicherheit erhalten sowie sicherstellen können, dass die Computer der Benutzer mit wichtigen, von Microsoft empfohlenen Sicherheitseinstellungen aktualisiert wurden.
In einer Windows-Domänenumgebung können Sie das Sicherheitscenter mit Hilfe von Gruppenrichtlinien zur Überwachung der Benutzercomputer aktivieren, um die Installation der neuesten Sicherheitsupdates zu gewährleisten und Benutzer zu benachrichtigen, wenn ihre Computer eventuell gefährdet sind.
Der Sicherheitscenter-Dienst wird als Hintergrundprozess ausgeführt. Er überprüft den Status der folgenden Komponenten auf dem Computer eines Benutzers:
| • | Firewall. Das Sicherheitscenter prüft, ob die Windows-Firewall ein- oder ausgeschaltet ist und ob ggf. andere Firewalls vorhanden sind. Zur Überprüfung auf andere Firewalls führt das Sicherheitscenter eine Abfrage nach bestimmten WMI-Anbietern (Windows-Verwaltungsinstrumentation) durch, die von teilnehmenden Herstellern bereitgestellt wurden. |
| • | Virenschutz. Das Sicherheitscenter prüft, ob Antivirussoftware vorhanden ist. Zu diesem Zweck führt das Sicherheitscenter eine Abfrage nach bestimmten WMI-Anbietern durch, die von teilnehmenden Herstellern bereitgestellt werden. Wenn die Informationen verfügbar sind, ermittelt der Sicherheitscenter-Dienst zudem, ob die Software auf aktuellem Stand ist und ob eine Echtzeitprüfung aktiviert ist. |
| • | Automatische Updates. Das Sicherheitscenter überprüft, ob die Funktion „Automatische Updates“ auf die empfohlene Einstellung gesetzt ist, bei der kritische Updates automatisch heruntergeladen und auf dem Computer des Benutzers installiert werden. Wenn „Automatische Updates“ deaktiviert ist bzw. nicht die empfohlenen Einstellungen aufweist, zeigt das Sicherheitscenter entsprechende Empfehlungen an. |
Falls festgestellt wird, dass eine Komponente fehlt bzw. Ihre Sicherheitsrichtlinien nicht erfüllt, warnt das Sicherheitscenter Sie durch ein rotes Symbol im Infobereich der Taskleiste und blendet bei der Anmeldung eine Warnmeldung ein. Diese Meldung enthält Verknüpfungen zum Öffnen der Sicherheitscenter-Benutzeroberfläche. Dort erhalten Sie Informationen zu dem Problem sowie Empfehlungen zu seiner Behebung.
Sollten Sie Firewall- oder Antivirussoftware ausführen, die vom Sicherheitscenter nicht erkannt wird, können Sie das Sicherheitscenter zur Umgehung von Warnungen für die entsprechende Komponente einstellen.
Sie können eine Gruppenrichtlinieneinstellung verwenden, um die Sicherheitscenter-Funktion für Computer in einer Windows-Umgebung zentral zu verwalten.
Wenn Sie die Richtlinieneinstellung „Sicherheitscenter aktivieren (nur Domänencomputer)“ aktivieren, überwacht das Sicherheitscenter die wesentlichen Sicherheitseinstellungen (Firewall, Virenschutz und automatische Updates) und benachrichtigt Benutzer, wenn ihre Computer gefährdet sind. Die Einstellung „ Sicherheitscenter aktivieren (nur Domänencomputer)“ ist standardmäßig nicht aktiviert, d. h, das Sicherheitscenter ist ausgeschaltet. Bei ausgeschaltetem Sicherheitscenter werden weder die Benachrichtigungen noch der Sicherheitscenter-Statusbereich angezeigt.
Anforderungen zum Ausführen dieser Aufgabe
| • | Anmeldeinformationen: Sie müssen sich bei einem Windows XP SP2-Computer, der Client einer Active Directory-Domäne ist, als Mitglied der Sicherheitsgruppe „Domänen-Admins“ anmelden und ein Gruppenrichtlinienobjekt öffnen. |
| • | Tools: Microsoft Management Console (MMC) mit installiertem Snap-In für den Gruppenrichtlinienobjekt-Editor. |
Konfigurieren der Sicherheitscenter-Einstellungen
Über diese Einstellung können Sie zulassen, dass Benutzer von Computern unter Windows XP SP2 das Sicherheitscenter für Warnungen zu Firewalls, Antivirussoftware und automatischen Updates verwenden.
So konfigurieren Sie Sicherheitscenter-Einstellungen
1. | Klicken Sie auf dem Windows XP SP2-Desktop auf Start und anschließend auf Ausführen. Geben Sie mmc ein, und klicken Sie dann auf OK. |
2. | Klicken Sie im Menü Datei auf Snap-In hinzufügen/entfernen. |
3. | Klicken Sie auf der Registerkarte Eigenständig auf Hinzufügen. |
4. | Suchen Sie in der Liste Verfügbare eigenständige Snap-Ins nach Gruppenrichtlinienobjekt-Editor, und klicken Sie anschließend auf Hinzufügen. |
5. | Klicken Sie im Dialogfeld Gruppenrichtlinienobjekt auswählen auf Durchsuchen. |
6. | Wählen Sie das zu konfigurierende Gruppenrichtlinienobjekt aus der Liste aus. Klicken Sie auf OK und dann auf Fertig stellen, um den Assistenten für Gruppenrichtlinien zu schließen. |
7. | Klicken Sie auf Schließen, um das Dialogfeld Eigenständiges Snap-In hinzufügen zu schließen. Klicken Sie dann auf OK, um das Dialogfeld Snap-In hinzufügen/entfernen zu schließen und zur Verwaltungskonsole zurückzukehren. |
8. | Öffnen Sie in der Konsolenstruktur Computerkonfiguration, Administrative Vorlagen, Windows-Komponenten und dann Sicherheitscenter. |
9. | Doppelklicken Sie auf Sicherheitscenter aktivieren (nur Domänencomputer), klicken Sie auf Aktiviert und anschließend auf OK. |
Zuweisen der Konfiguration mit GPUpdate
Das Dienstprogramm zum Aktualisieren von Sicherheitsrichtlinien „GPUpdate“ aktualisiert Active Directory-basierte Gruppenrichtlinieneinstellungen, einschließlich von Sicherheitseinstellungen. Nachdem Sie Gruppenrichtlinien konfiguriert haben, können Sie abwarten, bis die Einstellungen durch die normalen Aktualisierungszyklen den Clientcomputern zugewiesen werden. Standardmäßig finden diese Aktualisierungszyklen alle 90 Minuten statt, mit einem Schwankungsbereich von +/–30 Minuten.
Wenn Sie die Gruppenrichtlinien außerhalb dieser normalen Zyklen aktualisieren möchten, verwenden Sie das GPUpdate-Dienstprogramm.
Ausführen von GPUpdate
So führen Sie GPUpdate aus
1. | Klicken Sie auf dem Windows XP-Desktop auf Start und anschließend auf Ausführen. | ||
2. | Geben Sie im Feld Öffnen den Befehl cmd ein, und klicken Sie dann auf OK. Hinweis: Eine vollständige Beschreibung aller verfügbaren Optionen für GPUpdate finden Sie in folgendem Artikel:
| ||
3. | Geben Sie an der Eingabeaufforderung GPUpdate ein, und drücken Sie dann die EINGABETASTE. | ||
4. | Um die Befehlszeile zu schließen, geben Sie Exit ein, und drücken Sie die EINGABETASTE. |
Überprüfen, ob die Sicherheitscenter-Einstellungen übernommen wurden
So überprüfen Sie, ob die Sicherheitscenter-Einstellungen übernommen wurden
1. | Klicken Sie auf dem Windows XP-Desktop auf Start und dann auf Systemsteuerung. | ||
2. | Klicken Sie unter Wählen Sie eine Kategorie auf Sicherheitscenter. | ||
3. | Vergewissern Sie sich, dass das Sicherheitscenter gestartet wird. Hinweis: Wenn Ihre Konfigurationseinstellungen nicht übernommen wurden, müssen Sie die Gruppenrichtlinien-Anwendung auf Fehler überprüfen und diese beheben. Informationen zur Fehlerbeseitigung in der Gruppenrichtlinien-Anwendung finden Sie in folgendem Dokument:
|
Konfigurieren von Windows-Firewall-Einstellungen
Es gibt drei zu konfigurierende Gruppen von Windows-Firewall-Einstellungen:
| • | Authentifizierte IPSec durchlassen. Diese Einstellung wird verwendet, wenn ein Unternehmen IPSec (Internet Protocol Security) zum Schutz von Datenverkehr einsetzt und die Windows-Firewall aktiviert. |
| • | Domänenprofil. Diese Einstellungen werden von Computern verwendet, wenn sie an ein Netzwerk angeschlossen sind, das Domänencontroller für die Domäne umfasst, bei der die Computer Mitglied sind. |
| • | Standardprofil. Diese Einstellungen werden von Computern verwendet, wenn sie nicht an Ihr Netzwerk angeschlossen sind, beispielweise wenn Sie mit einem Laptop unterwegs sind. |
Wenn Sie keine Standardprofil-Einstellungen konfigurieren, bleiben die Standardwerte unverändert. Es wird empfohlen, sowohl Einstellungen für das Domänenprofil als auch für das Standardprofil zu konfigurieren und die Windows-Firewall für beide Profile zu aktivieren. Die einzige Ausnahme besteht in der Verwendung eines Hostfirewall-Produkts eines anderen Herstellers.
Wenn Sie bereits ein Hostfirewall-Produkt eines anderen Herstellers verwenden, wird empfohlen, die Windows-Firewall zu deaktivieren.
Wenn Ihr Unternehmensnetzwerk eine Kombination aus Computern unter Windows XP SP2, Windows XP SP1, und Windows XP ohne installierte Service Packs enthält und Sie beschließen, die Windows-Firewall für das gesamte Unternehmensnetzwerk zu deaktivieren, sollten Sie die folgenden Einstellungen für Gruppenrichtlinien konfigurieren:
| • | Verwendung des Internetverbindungsfirewalls im eigenen DNS-Domänennetzwerk nicht zulassen eingestellt auf Aktiviert |
| • | Domänenprofil – Windows-Firewall: Alle Netzwerkverbindungen schützen eingestellt auf Deaktiviert |
| • | Standardprofil – Windows-Firewall: Alle Netzwerkverbindungen schützen eingestellt auf Deaktiviert Hinweis: Diese Standardprofil-Einstellung gewährleistet, dass die Windows-Firewall nicht eingesetzt wird, unabhängig davon, ob die Computer an das Unternehmensnetzwerk angeschlossen sind oder nicht. Um sicherzustellen, dass die Windows-Firewall in Ihrem Unternehmensnetzwerk nicht eingesetzt wird, jedoch verwendet wird, wenn die Computer nicht mit dem Netzwerk verbunden sind, setzen Sie diese Einstellung auf Aktiviert. |
In der Regel sind die Einstellungen für das Standardprofil restriktiver als diejenigen für das Domänenprofil, da sie keine Anwendungen und Dienste umfassen, die ausschließlich in einer verwalteten Domänenumgebung eingesetzt werden.
In einem Gruppenrichtlinienobjekt enthalten das Domänenprofil und das Standardprofil dieselbe Gruppe von Windows-Firewall-Einstellungen. Windows XP SP2 verlässt sich darauf, dass durch Netzwerkbestimmung das richtige Profil zugewiesen wird.
Hinweis: Weitere Informationen zur Netzwerkbestimmung finden Sie in folgendem Artikel:
| • | Network Determination Behavior for Network-Related Group Policy Settings auf der Microsoft TechNet-Website unter http://go.microsoft.com/fwlink/?linkid=35480 (in englischer Sprache) |
Dieser Abschnitt beschreibt die in einem Gruppenrichtlinienobjekt möglichen Windows-Firewall-Einstellungen sowie die empfohlenen Einstellungen für eine Unternehmensumgebung. Weiterhin wird gezeigt, wie vier Typen von Einstellungen aktiviert werden.
Anforderungen zum Ausführen dieser Aufgabe
| • | Anmeldeinformationen: Sie müssen sich bei einem Windows XP SP2-Computer, der Client einer Active Directory-Domäne ist, als Mitglied der Sicherheitsgruppe „Domänen-Admins“ anmelden und ein Gruppenrichtlinienobjekt öffnen, das Sie in der vorherigen Aufgabe geändert haben. |
| • | Tools: Microsoft Management Console (MMC) mit installiertem Snap-In für den Gruppenrichtlinienobjekt-Editor. Hinweis: Öffnen Sie das Gruppenrichtlinienobjekt entweder mit einer MMC mit installiertem Snap-In für den Gruppenrichtlinienobjekt-Editor oder mit der Konsole „Active Directory-Benutzer und -Computer“. Um die Konsole „Active Directory-Benutzer und -Computer“ auf einem Windows XP-Clientcomputer einzusetzen, müssen Sie „adminpak.msi“ von der Windows Server 2003-CD ausführen. |
Konfigurieren von Windows-Firewall-Einstellungen mit Hilfe von Gruppenrichtlinien
Sie verwenden das Gruppenrichtlinienobjekt-Editor-Snap-In oder „Active Directory-Benutzer und -Computer“, um die Einstellungen der Windows-Firewall in den entsprechenden Gruppenrichtlinienobjekten zu ändern.
Nachdem Sie die Einstellungen für die Windows-Firewall konfiguriert haben, werden die neuen Windows-Firewall-Einstellungen bei der nächsten Aktualisierung der Gruppenrichtlinie „Computerkonfiguration“ heruntergeladen und auf Computern installiert, die Windows XP SP2 ausführen.
So konfigurieren Sie Windows-Firewall-Einstellungen
1. | Klicken Sie auf dem Windows XP SP2-Desktop auf Start und anschließend auf Ausführen. Geben Sie mmc ein, und klicken Sie dann auf OK. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
2. | Klicken Sie im Menü Datei auf Snap-In hinzufügen/entfernen. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
3. | Klicken Sie auf der Registerkarte Eigenständig auf Hinzufügen. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
4. | Suchen Sie in der Liste Verfügbare eigenständige Snap-Ins nach Gruppenrichtlinienobjekt-Editor, und klicken Sie anschließend auf Hinzufügen. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
5. | Klicken Sie im Dialogfeld Gruppenrichtlinienobjekt auswählen auf Durchsuchen. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
6. | Markieren Sie das zu konfigurierende Gruppenrichtlinienobjekt. Klicken Sie auf OK und dann auf Fertig stellen, umden Assistenten für Gruppenrichtlinien zu beenden. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
7. | Klicken Sie auf Schließen, um das Dialogfeld „Eigenständiges Snap-In hinzufügen“ zu schließen. Klicken Sie dann auf OK, um das Dialogfeld „Snap-In hinzufügen/entfernen“ zu schließen und zur Verwaltungskonsole zurückzukehren. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
8. | Öffnen Sie in der Konsolenstruktur Computerkonfiguration, Administrative Vorlagen, Netzwerk, Netzwerkverbindungen und anschließend Windows-Firewall. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
9. | Doppelklicken Sie auf Windows-Firewall: Authentifizierte IPSec durchlassen.  Abbildung 5 Authentifizierte IPSec durchlassen Tabelle 1 bietet eine Übersicht über die Optionen für „Authentifizierte IPSec durchlassen“. Tabelle 1 Einstellungen für „Authentifizierte IPSec durchlassen“ für ein Unternehmen
| ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
10. | Wählen Sie anhand der Informationen in Tabelle 1 entweder Aktiviert oder Deaktiviert. Hinweis: Wenn Sie auf „Aktiviert“ klicken, können Sie eine Liste mit Benutzern oder Gruppen erstellen, denen es erlaubt ist, durch IPSec gesicherten Datenverkehr an Ihren Computer zu senden. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
11. | Klicken Sie auf OK. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
12. | Wählen Sie entweder Domänenprofil oder Standardprofil. Tabelle 2 enthält eine Übersicht über die für Standard- und Domänenprofile empfohlenen Einstellungen für die Windows-Firewall-Gruppenrichtlinie. Tabelle 2 Empfohlene Windows-Firewall-Einstellungen für ein Unternehmen
|
Aktivieren von Ausnahmen für Ports
So aktivieren Sie Ausnahmen für Ports
1. | Doppelklicken Sie im Einstellungsbereich von Domänenprofil bzw. Standardprofil auf Windows-Firewall: Portausnahmen festlegen.  Abbildung 7 Eigenschaften von Windows-Firewall: Portausnahmen festlegen | ||
2. | Klicken Sie auf Aktiviert und dann auf Anzeigen. | ||
3. | Klicken Sie auf Hinzufügen.  Abbildung 9 Element hinzufügen | ||
4. | Geben Sie die Informationen für den zu blockierenden oder zu aktivierenden Port mit der folgenden Syntax ein: Port:Transport:Bereich:Status:Name Dabei gilt: Port ist die Portnummer, Transport ist TCP oder UDP, Bereich ist entweder * (für alle Systeme) oder eine Liste von Computern, denen der Zugriff auf diesen Port erlaubt ist, Status ist entweder „enabled“ oder „disabled“, und der Name ist eine Textzeichenfolge, die als Bezeichnung für diesen Eintrag dient. Bei der Angabe eines Bereichs werden keine Hostnamen, DNS-Namen (Domain Name System) oder DNS-Suffixe unterstützt. Für IPv4-Adressbereiche können Sie den Bereich mit einer punktierten Dezimal-Subnetzmaske oder mit einer Präfixlänge angeben. Bei Verwendung einer punktierten Dezimal-Subnetzmaske können Sie den Bereich als IPv4-Netzwerk-ID (wie beispielsweise 10.47.81.0/255.255.255.0) oder über eine IPv4-Adresse innerhalb des Bereichs (zum Beispiel10.47.81.231/255.255.255.0) angeben. Bei Verwendung einer Netzwerk-Präfixlänge können Sie den Bereich als eine IPv4-Netzwerk-ID (zum Beispiel 10.47.81.0/24) oder über eine IPv4-Adresse innerhalb des Bereichs (zum Beispiel 10.47.81.231/24) angeben. Weitere Informationen zu TCP/IP-Adressierung und der Erstellung von Subnetzen finden Sie in folgendem Artikel:
Hinweis: Falls Sie zwischen den Einträgen in der Liste der Quellen Leerzeichen oder andere ungültige Zeichen eingefügt haben, wird der Bereich ignoriert, und die Einstellung verhält sich, als wäre sie deaktiviert. Überprüfen Sie daher die Bereichssyntax genau, bevor Sie Änderungen speichern. Im folgenden Beispiel wird eine Portausnahme namens „WebTest“ verwendet und TCP-Port 80 für alle Verbindungen aktiviert. | ||
5. | Klicken Sie auf OK, um Element hinzufügen zu schließen. | ||
6. | Klicken Sie auf OK, um Inhalt anzeigen zu schließen. | ||
7. | Klicken Sie auf Schließen, um Eigenschaften von Windows-Firewall: Portausnahmen definieren zu schließen. Hinweis: Wenn Keine Ausnahmen zulassen aktiviert ist, werden alle Portausnahmen ignoriert. |
Aktivieren von Ausnahmen für Programme
So aktivieren Sie Ausnahmen für Programme
1. | Doppelklicken Sie im Einstellungsbereich von Domänenprofil bzw. Standarddprofil auf Windows-Firewall: Programmausnahmen festlegen.  Abbildung 11 Eigenschaften von Windows-Firewall: Programmausnahmen festlegen | ||
2. | Klicken Sie auf Aktiviert und dann auf Anzeigen. | ||
3. | Klicken Sie auf Hinzufügen.  Abbildung 13 Element hinzufügen | ||
4. | Geben Sie die Informationen für das zu blockierende oder zu aktivierende Programm mit der folgenden Syntax ein: Pfad:Bereich:Status:Name Dabei gilt: Pfad ist der Programmpfad, Bereich ist entweder * (für alle Systeme) oder eine Liste von Computern, denen der Zugriff auf dieses Programm erlaubt ist, Status ist entweder „enabled“ oder „disabled“, und der Name ist eine Textzeichenfolge, die als Bezeichnung für diesen Eintrag dient. In diesem Beispiel wird Windows Messenger für alle Verbindungen aktiviert. Weitere Informationen zu TCP/IP-Adressierung und der Erstellung von Subnetzen finden Sie in folgendem Artikel:
| ||
5. | Klicken Sie auf OK, um Element hinzufügen zu schließen. | ||
6. | Klicken Sie auf OK, um Inhalt anzeigen zu schließen. | ||
7. | Klicken Sie auf Schließen, um Eigenschaften von Windows-Firewall: Programmausnahmen festlegen zu schließen. |
Konfigurieren grundlegender ICMP-Optionen
Weitere Informationen zu ICMP finden Sie hier:
| • | Internet Control Message Protocol (ICMP)“auf der Microsoft Windows XP-Website unter http://go.microsoft.com/fwlink/?linkid=35499 (in englischer Sprache) |
So konfigurieren Sie grundlegende ICMP-Optionen
1. | Doppelklicken Sie im Einstellungsbereich von Domänenprofil bzw. Standardprofil auf Windows-Firewall: ICMP-Ausnahmen zulassen. |
2. | Klicken Sie auf Aktiviert.  Abbildung 15 Eigenschaften von Windows-Firewall: ICMP-Ausnahmen zulassen |
3. | Wählen Sie die zu aktivierende(n) ICMP-Ausnahme(n) aus. In diesem Beispiel wird „Eingehende Echoanforderung zulassen“ aktiviert. |
4. | Klicken Sie auf OK, um Eigenschaften von Windows-Firewall: ICMP-Ausnahmen zulassen zu schließen. |
Protokollieren verworfener Pakete und erfolgreicher Verbindungen
So protokollieren Sie verworfene Pakete und erfolgreiche Verbindungen
1. | Doppelklicken Sie im Einstellungsbereich von Domänenprofil bzw. Standardprofil auf Windows-Firewall: Protokollierung zulassen.  Abbildung 16 Eigenschaften von Windows-Firewall: Protokollierung zulassen |
2. | Klicken Sie auf Aktiviert, und aktivieren Sie Verworfene Pakete protokollieren und Erfolgreiche Verbindungen protokollieren. Geben Sie einen Pfad und einen Namen für die Protokolldatei ein, und klicken Sie auf OK. Hinweis: Wählen Sie einen sicheren Speicherort für die Protokolldatei aus, um ein versehentliches Löschen oder die Manipulation der Datei zu verhindern. |
3. | Schließen Sie den Gruppenrichtlinien-Editor. |
4. | Wenn Sie zum Speichern der Konsoleneinstellungen aufgefordert werden, klicken Sie auf Nein. |
Zuweisen der Konfiguration mit GPUpdate
Das Dienstprogramm zum Aktualisieren von Sicherheitsrichtlinien „ GPUpdate“ aktualisiert Active Directory-basierte Gruppenrichtlinieneinstellungen, einschließlich von Sicherheitseinstellungen. Nachdem Sie Gruppenrichtlinien konfiguriert haben, können Sie abwarten, bis die Einstellungen durch die normalen Aktualisierungszyklen den Clientcomputern zugewiesen werden. Standardmäßig finden diese Aktualisierungszyklen alle 90 Minuten statt, mit einem Schwankungsbereich von +/–30 Minuten.
Wenn Sie die Gruppenrichtlinien außerhalb dieser normalen Zyklen aktualisieren möchten, verwenden Sie das GPUpdate-Dienstprogramm.
Ausführen von GPUpdate
So führen Sie GPUpdate aus
1. | Klicken Sie auf dem Windows XP-Desktop auf Start und anschließend auf Ausführen. | ||
2. | Geben Sie im Feld Öffnen den Befehl cmd ein, und klicken Sie dann auf OK. Hinweis: Eine vollständige Beschreibung aller verfügbaren Optionen für GPUpdate finden Sie in folgendem Artikel:
| ||
3. | Geben Sie an der Eingabeaufforderung GPUpdate ein, und drücken Sie dann die EINGABETASTE. | ||
4. | Um die Befehlszeile zu schließen, geben Sie Exit ein, und drücken Sie die EINGABETASTE. |
Überprüfen, ob die Windows-Firewall-Einstellungen übernommen wurden
Hinweis: Wenn Sie Gruppenrichtlinien verwenden, um die Windows-Firewall zu konfigurieren, lassen die Einstellungen möglicherweise nicht zu, dass lokale Administratoren bestimmte Konfigurationselemente ändern können. Einige Registerkarten und Optionen im Dialogfeld „Windows-Firewall“ sind auf den lokalen Computern der Benutzer nicht verfügbar.
So überprüfen Sie, ob die Windows Firewall-Einstellungen übernommen wurden
1. | Klicken Sie im Sicherheitscenter unter Sicherheitseinstellungen verwalten für auf Windows-Firewall. | ||
2. | Klicken Sie auf die Registerkarten Allgemein, Ausnahmen und Erweitert, und vergewissern Sie sich, dass die gewünschte Konfiguration für die Windows-Firewall auf dem Computer zugewiesen wurde. Klicken Sie dann auf OK, um das Dialogfeld „Windows-Firewall“ zu schließen. Hinweis: Wenn Ihre Konfigurationseinstellungen nicht übernommen wurden, müssen Sie die Gruppenrichtlinien-Anwendung auf Fehler überprüfen und diese beheben. Informationen zur Fehlerbeseitigung in der Gruppenrichtlinien-Anwendung finden Sie in folgendem Dokument:
|
Konfigurieren der Sicherheitseinstellungen für Internet Explorer
Für Windows XP SP2 können alle Internet Explorer-Sicherheitseinstellungen für sowohl Computer- als auch Benutzerkonfigurationen über die neuen Gruppenrichtlinieneinstellungen verwaltet werden.
Windows XP SP2 verwendet zwei Hauptkategorien von Richtlinieneinstellungen:
| • | Sicherheitsfunktionen |
| • | URL-Aktionen |
Über die Richtlinieneinstellungen für Sicherheitsfunktionen können Sie bestimmte Szenarien verwalten, die die Sicherheit von Internet Explorer beeinträchtigen könnten. In den meisten Fällen sollen spezifische Verhaltensweisen verhindert werden; daher müssen Sie sicherstellen, dass die Sicherheitsfunktion aktiviert ist. So ist es beispielsweise möglich, dass bösartiger Code, der in der lokalen Zone anstatt in der Internetzone ausgeführt wird, versuchen kann, seine eigenen Berechtigungen zu erhöhen. Um sich vor derartigen Angriffen zu schützen, können Sie die Richtlinieneinstellung „Schutz vor Zonenanhebung“ verwenden.
Für alle Richtlinieneinstellungen von „Sicherheitsfunktionen“ können Sie Richtlinieneinstellungen, die das Verhalten der Sicherheitsfunktionen steuern, jeweils für folgende Prozesse festlegen:
| • | Internet Explorer-Prozesse |
| • | Eine Liste definierter Prozesse |
| • | Alle Prozesse, unabhängig davon, wo sie gestartet wurden |
Eine URL-Aktion (Uniform Resource Locator) bezieht sich auf eine Aktion, die ein Browser durchführen kann und die eventuell ein Sicherheitsrisiko für den lokalen Computer darstellt, beispielsweise der Versuch, ein Java-Applet oder ein ActiveX-Steuerelement auszuführen. URL-Aktionen entsprechen Sicherheitseinstellungen in der Registrierung, die identifizieren, welche Aktion für diese Funktion in der Sicherheitszone, in der sich die URL befindet, durchgeführt werden soll. Zu den Einstellungen für URL-Aktionen gehören „Aktivieren“, „Deaktivieren“, „Fragen“ und ggf. andere Einstellungen.
Für die Sicherheitsverwaltung von URL-Aktionen in Internet Explorer verwenden Sie die neuen Einstellungen der Gruppenrichtlinie „Sicherheitsseite“ unter Internetsystemsteuerung. Durch die Verwendung von Gruppenrichtlinien zur Steuerung der Sicherheit von URL-Aktionen können Sie Internet Explorer-Konfigurationen für alle Benutzer und Computer in Ihrem Unternehmen erstellen.
Mit den Richtlinieneinstellungen der Sicherheitszonenvorlage können Sie Richtlinien für alle URL-Zonen aktivieren, um diese zu sichern. Für jede Richtlinieneinstellung der URL-Aktionsvorlage können Sie eine der folgenden Sicherheitsstufen festlegen:
| • | Sehr niedrig. Diese Einstellung wird in der Regel für URL-Sicherheitszonen verwendet, die Websites umfassen, denen der Benutzer völlig vertraut. Dies ist die Standardsicherheitsstufe für die Zone „ Vertrauenswürdige Sites“. |
| • | Niedrig. Diese Einstellung könnte für URL-Sicherheitszonen verwendet werden, die Websites umfassen, bei denen eine Beschädigung von Computer oder Daten sehr unwahrscheinlich ist. Dies ist die Standardsicherheitsstufe für die Intranetzone. |
| • | Mittel. Diese Einstellung könnte für URL-Zonen festgelegt werden, die Websites umfassen, denen weder vertraut noch misstraut wird. Dies ist die Standardsicherheitsstufe für die Internetzone. |
| • | Hoch. Diese Einstellung wird für URL-Sicherheitszonen verwendet, die Websites umfassen, die den Computern oder Daten des Benutzers potenziell Schaden zufügen könnten. Dies ist die Standardsicherheitsstufe für die Zone „ Eingeschränkte Sites“. |
Weitere Informationen zu den Steuerelementen von „Sicherheitsfunktionen“ finden Sie in folgendem Dokument:
| • | Änderungen an der Funktionalität durch Microsoft Windows XP Service Pack 2, Teil 2: Technologien für den Netzwerkschutz auf der Microsoft TechNet-Website unter http://www.microsoft.com/germany/technet/datenbank/articles/600337_1.mspx |
Anforderungen zum Ausführen dieser Aufgabe
| • | Anmeldeinformationen: Sie müssen sich bei einem Windows XP SP2-Computer, der Client einer Active Directory-Domäne ist, als Mitglied der Sicherheitsgruppe „Domänen-Admins“ anmelden und ein Gruppenrichtlinienobjekt öffnen. |
| • | Tools: Microsoft Management Console (MMC) mit installiertem Gruppenrichtlinienobjekt-Editor-Snap-In. |
Konfigurieren der Sicherheitseinstellungen für Internet Explorer
So konfigurieren Sie Internet Explorer-Einstellungen
1. | Klicken Sie auf dem Windows XP SP2-Desktop auf Start und anschließend auf Ausführen. Geben Sie mmc ein, und klicken Sie dann auf OK. | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
2. | Klicken Sie im Menü Datei auf Snap-In hinzufügen/entfernen. | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
3. | Klicken Sie auf der Registerkarte Eigenständig auf Hinzufügen. | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
4. | Suchen Sie in der Liste Verfügbare eigenständige Snap-Ins nach Gruppenrichtlinienobjekt-Editor, und klicken Sie anschließend auf Hinzufügen. | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
5. | Klicken Sie im Dialogfeld Gruppenrichtlinienobjekt auswählen auf Durchsuchen. | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
6. | Markieren Sie das zu konfigurierende Gruppenrichtlinienobjekt. Klicken Sie auf OK und dann auf Fertig stellen, umden Assistenten für Gruppenrichtlinien zu beenden. | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
7. | Klicken Sie auf Schließen, um das Dialogfeld „Eigenständiges Snap-In hinzufügen“ zu schließen. Klicken Sie dann auf OK, um das Dialogfeld „Snap-In hinzufügen/entfernen“ zu schließen und zur Verwaltungskonsole zurückzukehren. | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
8. | Öffnen Sie in der Konsolenstruktur Computerkonfiguration, Administrative Vorlagen, Windows-Komponenten, Internet Explorer und dann Sicherheitsfunktionen.  Abbildung 18 Sicherheitseinstellungen für die Internet Explorer-Gruppenrichtlinie | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
9. | Konfigurieren Sie die Sicherheitseinstellungen für Internet Explorer anhand der Informationen in Tabelle 3. Tabelle 3 Einstellungen für „Internet Explorer – Sicherheitsfunktionen“
| |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
10. | Erweitern Sie Internetsystemsteuerung. | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
11. | Aktivieren Sie alle Einstellungen, um zu verhindern, dass Benutzer auf die aufgelisteten Internet Explorer-Konfigurationsseiten zugreifen können. Doppelklicken Sie dazu jeweils auf die Einstellung, und klicken Sie auf Aktiviert und anschließend auf OK. | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
12. | Erweitern Sie Sicherheitsseite.  Abbildung 20 Einstellungen für „Internetsystemsteuerung – Sicherheitsseite“ | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
13. | Es gibt zwei Methoden zur Konfiguration von Sicherheitszonen: Sie können Vorlagen verwenden oder die jeweiligen Einstellungen pro Zone wählen.
|
Zuweisen der Konfiguration mit GPUpdate
Das Dienstprogramm zum Aktualisieren von Sicherheitsrichtlinien „ GPUpdate“ aktualisiert Active Directory-basierte Gruppenrichtlinieneinstellungen, einschließlich von Sicherheitseinstellungen. Nachdem Sie Gruppenrichtlinien konfiguriert haben, können Sie abwarten, bis die Einstellungen durch die normalen Aktualisierungszyklen den Clientcomputern zugewiesen werden. Standardmäßig finden diese Aktualisierungszyklen alle 90 Minuten statt, mit einem Schwankungsbereich von +/–30 Minuten.
Wenn Sie die Gruppenrichtlinien außerhalb dieser normalen Zyklen aktualisieren möchten, verwenden Sie das GPUpdate-Dienstprogramm.
Ausführen von GPUpdate
So führen Sie GPUpdate aus
1. | Klicken Sie auf dem Windows XP-Desktop auf Start und anschließend auf Ausführen. | ||
2. | Geben Sie im Feld Öffnen den Befehl cmd ein, und klicken Sie dann auf OK. Hinweis: Eine vollständige Beschreibung aller verfügbaren Optionen für GPUpdate finden Sie in folgendem Artikel:
| ||
3. | Geben Sie an der Eingabeaufforderung GPUpdate ein, und drücken Sie dann die EINGABETASTE. | ||
4. | Um die Befehlszeile zu schließen, geben Sie Exit ein, und drücken Sie die EINGABETASTE. |
Überprüfen, ob die Internet Explorer-Sicherheitseinstellungen übernommen wurden
Hinweis: Wenn Sie Gruppenrichtlinien verwenden, um Internet Explorer zu konfigurieren, lassen die Einstellungen möglicherweise nicht zu, dass lokale Administratoren bestimmte Konfigurationselemente ändern können. Einige Registerkarten und Optionen in den Dialogfeldern sind auf den lokalen Computern der Benutzer nicht verfügbar.
Überprüfen, ob die Internet Explorer-Sicherheitseinstellungen übernommen wurden
So überprüfen Sie, ob die Internet Explorer-Sicherheitseinstellungen übernommen wurden
1. | Klicken Sie im Sicherheitscenter unter Sicherheitseinstellungen verwalten für auf Internetoptionen. | ||
2. | Klicken Sie auf die Registerkarten Sicherheit, Datenschutz und Erweitert, und vergewissern Sie sich, dass die gewünschte Konfiguration für Internet Explorer auf dem Computer zugewiesen wurde. Klicken Sie dann auf OK, um das Dialogfeld „Interneteigenschaften“ zu schließen. Hinweis: Wenn Ihre Konfigurationseinstellungen nicht übernommen wurden, müssen Sie die Gruppenrichtlinien-Anwendung auf Fehler überprüfen und diese beheben. Informationen zur Fehlerbeseitigung in der Gruppenrichtlinien-Anwendung finden Sie in folgendem Dokument:
|
Konfigurieren von Einstellungen für die Internetkommunikationsverwaltung
Windows XP SP2 verfügt über neue Gruppenrichtlinieneinstellungen, die in erster Linie steuern sollen, wie Komponenten in Windows XP SP2 mit dem Internet kommunizieren. Anhand der Gruppenrichtlinieneinstellungen können Sie folgende Funktionen verwalten:
| • | Bestellen von Fotoabzügen online |
| • | Nutzung von Online-Speicherplatz |
| • | Veröffentlichen im Web |
In Windows XP SP2 haben Benutzer die Möglichkeit, in Windows Explorer auf Aufgaben zu klicken, um online Abzüge zu bestellen (Assistent für die Onlinebestellung von Abzügen), sich bei einem Dienst einzuschreiben, der Online-Speicherplatz bereitstellt (Assistent zum Hinzufügen von Netzwerkressourcen, oder Dateien zu veröffentlichen, die in einem Browser angezeigt werden können (Webpublishing-Assistent). Darüber hinaus sind weitere Aufgaben verfügbar. Die Aufgabe bzw. der Assistent ruft die Namen und URLs dieser Dienstanbieter aus zwei Quellen ab: einer lokal (in der Registrierung) gespeicherten Liste und einer Liste auf der Microsoft-Website. Standardmäßig zeigt Windows neben den in der Registrierung aufgeführten Anbietern weitere Anbieter aus einer Liste auf der Microsoft-Website an.
Mit den folgenden Gruppenrichtlinieneinstellungen können Sie steuern, wie diese Assistenten und Aufgaben arbeiten und wie diese Komponenten mit dem Internet kommunizieren:
| • | Aufgabe „Im Web veröffentlichen“ für Dateien und Ordner deaktivieren. Diese Richtlinieneinstellung legt fest, ob die zur Veröffentlichung von Objekten im Internet erforderlichen Aufgaben in Windows-Ordnern über „Datei- und Ordneraufgaben“ verfügbar sind. Dazu gehören die Aufgaben „Datei im Web veröffentlichen“, „Ordner im Web veröffentlichen“ und „Ausgewählte Elemente im Web veröffentlichen“. |
| • | Internet-Download für die Assistenten „Webpublishing“ und „Onlinebestellung von Abzügen“ deaktivieren. Diese Richtlinieneinstellung gibt an, ob Windows für den Webpublishing-Assistenten, den Assistenten zum Hinzufügen von Netzwerkressourcen und den Assistenten für die Onlinebestellung von Abzügen eine Liste mit Anbietern herunterladen soll. Standardmäßig zeigt Windows neben den in der Registrierung aufgeführten Anbietern aus einer Windows-Website heruntergeladene Anbieter an. |
| • | Aufgabe „Abzüge online bestellen“ für Bilder deaktivieren. Diese Richtlinieneinstellung legt fest, ob die Aufgabe „Abzüge online bestellen“ in den Bildaufgaben in Windows-Ordnern verfügbar ist. Mit dieser Einstellung wird der Assistent für die Onlinebestellung von Abzügen deaktiviert. |
Diese Richtlinieneinstellungen sind sowohl für die Benutzer- als auch die Computerkonfiguration verfügbar.
Weitere Informationen zur Steuerung der Verwendung des Assistenten zum Hinzufügen von Netzwerkressourcen und des Webpublishing-Assistenten finden Sie in folgendem Dokument:
| • | Using Windows XP Professional with Service Pack 2 in a Managed Environment: Controlling Communication with the Internet auf der Microsoft TechNet-Website unter http://go.microsoft.com/fwlink/?LinkId=35489 (in englischer Sprache) |
Anforderungen zum Ausführen dieser Aufgabe
| • | Anmeldeinformationen: Sie müssen sich bei einem Windows XP SP2-Computer, der Client einer Active Directory-Domäne ist, als Mitglied der Sicherheitsgruppe „Domänen-Admins“ anmelden und ein Gruppenrichtlinienobjekt öffnen. |
| • | Tools: Microsoft Management Console (MMC) mit installiertem Snap-In für den Gruppenrichtlinienobjekt-Editor. |
Konfigurieren von Einstellungen für die Internetkommunikationsverwaltung
So konfigurieren Sie Einstellungen für die Internetkommunikationsverwaltung
1. | Klicken Sie auf dem Windows XP SP2-Desktop auf Start und anschließend auf Ausführen. Geben Sie mmc ein, und klicken Sie dann auf OK. | ||||||||||||||||||||||||
2. | Klicken Sie im Menü Datei auf Snap-In hinzufügen/entfernen. | ||||||||||||||||||||||||
3. | Klicken Sie auf der Registerkarte Eigenständig auf Hinzufügen. | ||||||||||||||||||||||||
4. | Suchen Sie in der Liste Verfügbare eigenständige Snap-Ins nach Gruppenrichtlinienobjekt-Editor, und klicken Sie anschließend auf Hinzufügen. | ||||||||||||||||||||||||
5. | Klicken Sie im Dialogfeld Gruppenrichtlinienobjekt auswählen auf Durchsuchen. | ||||||||||||||||||||||||
6. | Markieren Sie das zu konfigurierende Gruppenrichtlinienobjekt. Klicken Sie auf OK und dann auf Fertig stellen, umden Assistenten für Gruppenrichtlinien zu beenden. | ||||||||||||||||||||||||
7. | Klicken Sie auf Schließen, um das Dialogfeld „Eigenständiges Snap-In hinzufügen“ zu schließen. Klicken Sie dann auf OK, um das Dialogfeld „Snap-In hinzufügen/entfernen“ zu schließen und zur Verwaltungskonsole zurückzukehren. | ||||||||||||||||||||||||
8. | Öffnen Sie in der Konsolenstruktur Computerkonfiguration, Administrative Vorlagen, System und anschließend Internetkommunikationsverwaltung. | ||||||||||||||||||||||||
9. | Setzen Sie die Einstellung Internetkommunikation einschränken auf Deaktiviert, um alle Einstellungen unter „Internetkommunikationseinstellungen“ zu deaktivieren, oder auf Aktiviert, um alle Einstellungen unter „Internetkommunikationseinstellungen“ zu aktivieren. | ||||||||||||||||||||||||
10. | Wenn Sie die Einstellungen einzeln konfigurieren möchten, erweitern Sie Internetkommunikationseinstellungen, und konfigurieren Sie die Einstellungen anhand von Tabelle 6. Tabelle 6 Empfohlene Internetkommunikationseinstellungen
Hinweis: Tabelle 6 enthält alle empfohlenen Einstellungen für Internetkommunikation. |
Zuweisen der Konfiguration mit GPUpdate
Das Dienstprogramm zum Aktualisieren von Sicherheitsrichtlinien „GPUpdate“ aktualisiert Active Directory-basierte Gruppenrichtlinieneinstellungen, einschließlich von Sicherheitseinstellungen. Nachdem Sie Gruppenrichtlinien konfiguriert haben, können Sie abwarten, bis die Einstellungen durch die normalen Aktualisierungszyklen den Clientcomputern zugewiesen werden. Standardmäßig finden diese Aktualisierungszyklen alle 90 Minuten statt, mit einem Schwankungsbereich von +/–30 Minuten.
Wenn Sie die Gruppenrichtlinien außerhalb dieser normalen Zyklen aktualisieren möchten, verwenden Sie das GPUpdate-Dienstprogramm.
Ausführen von GPUpdate
So führen Sie GPUpdate aus
1. | Klicken Sie auf dem Windows XP-Desktop auf Start und anschließend auf Ausführen. | ||
2. | Geben Sie im Feld Öffnen den Befehl cmd ein, und klicken Sie dann auf OK. Hinweis: Eine vollständige Beschreibung aller verfügbaren Optionen für GPUpdate finden Sie in folgendem Artikel:
| ||
3. | Geben Sie an der Eingabeaufforderung GPUpdate ein, und drücken Sie dann die EINGABETASTE. | ||
4. | Um die Befehlszeile zu schließen, geben Sie Exit ein, und drücken Sie die EINGABETASTE. |
Überprüfen, ob die Einstellungen für die Internetkommunikationsverwaltung übernommen wurden
So überprüfen Sie, ob die Einstellungen für die Internetkommunikationsverwaltung übernommen wurden
1. | Klicken Sie auf Start, und anschließend auf Eigene Bilder. | ||
2. | Vergewissern Sie sich unter Bildaufgaben, dass Abzüge online bestellen nicht angezeigt wird. | ||
3. | Vergewissern Sie sich unter Datei- und Ordneraufgaben, dass Ordner im Web veröffentlichen nicht angezeigt wird. | ||
4. | Schließen Sie Eigene Bilder. Hinweis: Wenn Ihre Konfigurationseinstellungen nicht übernommen wurden, müssen Sie die Gruppenrichtlinien-Anwendung auf Fehler überprüfen und diese beheben. Informationen zur Fehlerbeseitigung in der Gruppenrichtlinien-Anwendung finden Sie in folgendem Dokument:
|
Konfigurieren der Einstellungen für DCOM-Zugriff
Das Microsoft Component Object Model (COM) ist ein System zur Erstellung von Softwareanwendungen, die miteinander kommunizieren können. Mit Hilfe von DCOM können diese Anwendungen über verschiedene Standorte verteilt werden. Das drahtgebundene DCOM-Protokoll bietet transparente Unterstützung für die Kommunikation zwischen COM-Komponenten.
Hinweis: Weitere Informationen zu DCOM-Sicherheit finden Sie in folgendem Dokument:
| • | Best Practices for Mitigating RPC and DCOM Vulnerabilities auf der Microsoft TechNet-Webseite unter http://go.microsoft.com/fwlink/?linkid=36371 (in englischer Sprache) |
Viele COM-Anwendungen beinhalten sicherheitsspezifischen Code, verwenden jedoch schwache Einstellungen und lassen so oftmals einen nicht autorisierten Zugriff auf Komponenten zu. In Windows XP SP2 wurde in COM eine Änderung vorgenommen, um computerweite Zugriffssteuerungen bereitzustellen, die den Zugriff auf alle Aufruf-, Aktivierungs- und Startanforderungen auf dem Computer regeln. Windows XP SP2 verfügt über einen Mindestautorisierungsstandard, der erfüllt werden muss, um auf einen COM-Server auf dem Computer zuzugreifen.
Hinweis: Weitere Informationen zu COM-Fixes in Windows XP SP2 finden Sie in folgendem Artikel:
| • | „Com+ fixes in Windows XP Service Pack 2 unter http://support.microsoft.com/default.aspx?scid=kb;en-us;838211 (in englischer Sprache) |
Für jede DCOM-Anforderung werden computerweite Zugriffssteuerungslisten (ACL, Access Control Lists) überprüft. Wenn die Prüfung fehlschlägt, wird die Anforderung abgewiesen. Es gibt eine computerweite ACL für:
| • | Start- und Aktivierungsberechtigungen. Diese Berechtigungen steuern die Autorisierung zum Starten eines COM-Servers bei COM-Aktivierung, wenn der Server nicht bereits ausgeführt wird, und verfügen über vier Zugriffsrechte:
| ||||||||
| • | Zugriffsberechtigungen. Diese Berechtigungen steuern die Autorisierung zum Aufruf eines COM-Servers und verfügen über zwei Zugriffsrechte:
|
Die Berechtigungen können über die MMC (Microsoft Management Console) für Komponentendienste konfiguriert werden und stellen einen Mindestsicherheitsstandard bereit, der eingehalten werden muss, unabhängig von den Einstellungen der jeweiligen COM-Serveranwendung.
Hinweis: Standardmäßig wird dieses MMC-Snap-In auf einem Computer unter Windows XP SP2 von der Windows-Firewall blockiert. Wenn Sie diesbezüglich eine Sicherheitswarnung erhalten, müssen Sie auf Zulassen klicken.
Die standardmäßigen Einschränkungseinstellungen für Windows XP SP2-Computer werden in Tabelle 7 aufgeführt.
Tabelle 7 Standard-DCOM-Zugriffssteuerungsbeschränkungen
| Berechtigung | Administrator | Jeder | Anonym |
Start und Aktivierung | Lokaler Start Lokale Aktivierung Remotestart Remoteaktivierung | Lokaler Start Lokale Aktivierung | Keine Berechtigungen festgelegt |
Zugriff | Keine Berechtigungen festgelegt | Lokaler Aufruf Remoteaufruf | Lokaler Aufruf |
Die Standardeinstellungen aktivieren alle Szenarien so, dass sie ohne Änderungen an der Software oder dem Betriebssystem funktionieren. Darüber hinaus aktivieren die Standardeinstellungen die meisten COM-Clientszenarien und deaktivieren Remoteaktivierungen von installierten COM-Servern durch Benutzer ohne Administratorrechte.
Wenn Sie einen COM-Server implementieren und eine Unterstützung von Remoteaktivierung durch einen nicht-administrativen COM-Client oder nicht authentifizierte Remoteaufrufe wünschen, müssen Sie die Standardkonfiguration für diese Funktion ändern.
Hinweis: Auch wenn in diesem Dokument beschrieben wird, wie Sie die Standardeinstellungen ändern können, sollten Sie beachten, dass Sie dadurch Ihren Computer anfälliger für Angriffe machen.
Anforderungen zum Ausführen dieser Aufgabe
| • | Anmeldeinformationen: Sie müssen sich bei einem Windows XP SP2-Computer, der Client einer Active Directory-Domäne ist, als Mitglied der Sicherheitsgruppe „Domänen-Admins“ anmelden und ein Gruppenrichtlinienobjekt öffnen. |
| • | Tools: Microsoft Management Console (MMC) mit installiertem Snap-In für den Gruppenrichtlinienobjekt-Editor. |
Konfigurieren von DCOM-Einstellungen
So konfigurieren Sie DCOM-Einstellungen
1. | Klicken Sie auf dem Windows XP SP2-Desktop auf Start und anschließend auf Ausführen. Geben Sie mmc ein, und klicken Sie dann auf OK. | ||
2. | Klicken Sie im Menü Datei auf Snap-In hinzufügen/entfernen. | ||
3. | Klicken Sie auf der Registerkarte Eigenständig auf Hinzufügen. | ||
4. | Suchen Sie in der Liste Verfügbare eigenständige Snap-Ins nach Gruppenrichtlinienobjekt-Editor, und klicken Sie anschließend auf Hinzufügen. | ||
5. | Klicken Sie im Dialogfeld Gruppenrichtlinienobjekt auswählen auf Durchsuchen. | ||
6. | Markieren Sie das zu konfigurierende Gruppenrichtlinienobjekt. Klicken Sie auf OK und dann auf Fertig stellen, umden Assistenten für Gruppenrichtlinien zu beenden. | ||
7. | Klicken Sie auf Schließen, um das Dialogfeld „Eigenständiges Snap-In hinzufügen“ zu schließen. Klicken Sie dann auf OK, um das Dialogfeld „Snap-In hinzufügen/entfernen“ zu schließen und zur Verwaltungskonsole zurückzukehren. | ||
8. | Öffnen Sie in der Konsolenstruktur Computerkonfiguration, Windows-Einstellungen, Sicherheitseinstellungen, Lokale Richtlinien und anschließend Sicherheitsoptionen. | ||
9. | Doppelklicken Sie auf DCOM: Computerzugriffseinschränkungen in Security Descriptor Definition Language (SDDL)-Syntax. Hinweis: Weitere Informationen zu SDDL finden Sie in folgendem Dokument:
 Abbildung 25 DCOM: Computerzugriffseinschränkungen | ||
10. | Klicken Sie auf Sicherheit bearbeiten.  Abbildung 26 Zugriffsberechtigungen | ||
11. | Um bestimmten Benutzern von DCOM-Anwendungen im Unternehmen Zugriff auf alle Computer zu gewähren, klicken Sie auf Hinzufügen.  Abbildung 27 Benutzer, Computer oder Gruppen auswählen | ||
12. | Geben Sie den Namen des Benutzers ein, und klicken Sie auf OK. | ||
13. | Klicken Sie auf OK, um das Dialogfeld Zugriffsberechtigungen zu schließen. Klicken Sie dann auf OK, um das Feld DCOM: Computerzugriffseinschränkungen in Security Descriptor Definition Language (SDDL)-Syntax zu schließen. | ||
14. | Doppelklicken Sie auf DCOM: Computerstarteinschränkungen in Security Descriptor Definition Language (SDDL)-Syntax, und klicken Sie dann auf Sicherheit bearbeiten. Um bestimmten Benutzern von DCOM-Anwendungen im Unternehmen Start- oder Aktivierungsberechtigungen für alle Computer zu gewähren, klicken Sie auf Hinzufügen. | ||
15. | Geben Sie den Namen des Benutzers ein, und klicken Sie auf OK. | ||
16. | Klicken Sie auf OK, um das Dialogfeld Zugriffsberechtigungen zu schließen. Klicken Sie dann auf OK, um das Feld DCOM: Computerstarteinschränkungen in Security Descriptor Definition Language (SDDL)-Syntax zu schließen. | ||
17. | Schließen Sie die Konsole. |
Zuweisen der Konfiguration mit GPUpdate
Das Dienstprogramm zum Aktualisieren von Sicherheitsrichtlinien „GPUpdate“ aktualisiert Active Directory-basierte Gruppenrichtlinieneinstellungen, einschließlich von Sicherheitseinstellungen. Nachdem Sie Gruppenrichtlinien konfiguriert haben, können Sie abwarten, bis die Einstellungen durch die normalen Aktualisierungszyklen den Clientcomputern zugewiesen werden. Standardmäßig finden diese Aktualisierungszyklen alle 90 Minuten statt, mit einem Schwankungsbereich von +/–30 Minuten.
Wenn Sie die Gruppenrichtlinien außerhalb dieser normalen Zyklen aktualisieren möchten, verwenden Sie das GPUpdate-Dienstprogramm.
Ausführen von GPUpdate
So führen Sie GPUpdate aus
1. | Klicken Sie auf dem Windows XP-Desktop auf Start und anschließend auf Ausführen. | ||
2. | Geben Sie im Feld Öffnen den Befehl cmd ein, und klicken Sie dann auf OK. Hinweis: Eine vollständige Beschreibung aller verfügbaren Optionen für GPUpdate finden Sie in folgendem Artikel:
| ||
3. | Geben Sie an der Eingabeaufforderung GPUpdate ein, und drücken Sie dann die EINGABETASTE. | ||
4. | Um die Befehlszeile zu schließen, geben Sie Exit ein, und drücken Sie die EINGABETASTE. |
Überprüfen, ob die DCOM-Sicherheitseinstellungen übernommen wurden
So überprüfen Sie, ob die DCOM-Sicherheitseinstellungen übernommen wurden
1. | Klicken Sie auf Start und anschließend auf Systemsteuerung. | ||
2. | Klicken Sie auf Leistung und Wartung. | ||
3. | Klicken Sie unter oder ein Systemsteuerungssymbol auf Verwaltung. | ||
4. | Klicken Sie in Verwaltung auf Komponentendienste. | ||
5. | Doppelklicken Sie in der Konsole Verwaltungsdienste auf Verwaltungsdienste, und doppelklicken Sie auf Computer. Klicken Sie mit der rechten Maustaste auf Arbeitsplatz, und klicken Sie anschließend auf Eigenschaften. | ||
6. | Klicken Sie auf COM-Sicherheit, klicken Sie auf beideSchaltflächen zur Bearbeitung von Standardwerten, und vergewissern Sie sich, dass die gewünschte Konfiguration für DCOM zugewiesen wurde. Klicken Sie anschließend auf OK, um das Dialogfeld „COM-Sicherheit“ zu schließen. | ||
7. | Schließen Sie „Komponentendienste“ und „Verwaltung“. | ||
8. | Schließen Sie die Systemsteuerung. Hinweis: Wenn Ihre Konfigurationseinstellungen nicht übernommen wurden, müssen Sie die Gruppenrichtlinien-Anwendung auf Fehler überprüfen und diese beheben. Informationen zur Fehlerbeseitigung in der Gruppenrichtlinien-Anwendung finden Sie in folgendem Dokument:
|
Konfigurieren von RPC-Einstellungen
Windows XP SP2 weist Änderungen am RPC-Dienst auf, die RPC-Schnittstellen schon in der Standardeinstellung sicher gestalten und die Angriffsfläche von Windows XP reduzieren sollen. Es wurden zwei neue Richtlinieneinstellungen hinzugefügt:
| • | Einschränkungen für nicht authentifizierte RPC-Clients. Mit dieser Richtlinieneinstellung können Sie das Verhalten aller RPC-Schnittstellen im System ändern. Sie eliminiert standardmäßig den anonymen Remotezugriff auf RPC-Schnittstellen im System (mit einigen Ausnahmen). |
| • | RPC-Endpunktzuordnungs-Clientauthentifizierung. Mit dieser Einstellung können Sie RPC-Clients zur Authentifizierung leiten, die mit dem Endpunktzuordnungsdienst kommunizieren müssen, vorausgesetzt, dass der RPC-Aufruf, für den der Endpunkt aufgelöst werden muss, über Authentifizierungsinformationen verfügt. |
Wenn Sie festlegen, dass RPC-Aufrufe eine Authentifizierung durchführen müssen, kann selbst eine Authentifizierung auf relativ niedriger Stufe zum Schutz einer Schnittstelle vor einem Angriff beitragen. Dies ist besonders im Einsatz gegen Würmer nützlich, die Pufferüberläufe ausnutzen müssen, die über anonyme Remoteverbindungen aufgerufen werden können.
Hinweis: Weitere Informationen zu RPC-Sicherheit finden Sie in folgendem Dokument:
| • | „Best Practices for Mitigating RPC and DCOM Vulnerabilities auf der Microsoft TechNet-Webseite unter http://go.microsoft.com/fwlink/?linkid=36371 (in englischer Sprache) |
Anforderungen zum Ausführen dieser Aufgabe
| • | Anmeldeinformationen: Sie müssen sich bei einem Windows XP SP2-Computer, der Client einer Active Directory-Domäne ist, als Mitglied der Sicherheitsgruppe „Domänen-Admins“ anmelden und ein Gruppenrichtlinienobjekt öffnen. |
| • | Tools: Microsoft Management Console (MMC) mit installiertem Snap-In für den Gruppenrichtlinienobjekt-Editor. |
Konfigurieren von RPC-Einstellungen
Wenn Sie die Richtlinieneinstellung „Einschränkungen für nicht authentifizierte RPC-Clients“ aktivieren, können Sie „Zu übernehmende Einschränkung für nicht authentifizierte Clients für RPC-Laufzeit“ mit einer der folgenden Optionen konfigurieren:
| • | Authentifiziert (Standard). Diese Option lässt die Verbindung zu RPC-Servern, die auf dem Computer ausgeführt werden, auf dem die Richtlinieneinstellung zugewiesen wurde, ausschließlich für authentifizierte RPC-Clients zu. Schnittstellen, die den Ausschluss aus dieser Einschränkung angefordert haben, werden als Ausnahme gebilligt. Diese Option entspricht dem Wert RPC_RESTRICT_REMOTE_CLIENT_DEFAULT (1). |
| • | Authentifiziert ohne Ausnahmen. Diese Option lässt die Verbindung zu RPC-Servern, die auf dem Computer ausgeführt werden, auf dem die Richtlinieneinstellung zugewiesen wurde, ausschließlich für authentifizierte RPC-Clients zu; Ausnahmen sind nicht zulässig. Wenn Sie diese Option auswählen, kann ein System keine anonymen Remoteaufrufe über RPC empfangen; sie bietet die höchste Sicherheit. Diese Option entspricht dem Wert RPC_RESTRICT_REMOTE_CLIENT_HIGH (2). |
| • | Keine. Diese Option lässt die Verbindung zu RPC-Servern, die auf dem Computer ausgeführt werden, auf dem die Richtlinieneinstellung zugewiesen wurde, für alle RPC-Clients zu. Wenn Sie diese Option wählen, wird die neue Einschränkung für die RPC-Schnittstelle umgangen. Diese Option entspricht dem RPC-Verhalten in früheren Versionen von Windows. Diese Option entspricht dem Wert RPC_RESTRICT_REMOTE_CLIENT_NONE (0). |
Wenn Sie die Richtlinieneinstellung „RPC-Endpunktzuordnungs-Clientauthentifizierung“ aktivieren, werden RPC-Clients, die zur Authentifizierung mit dem Endpunktzuordnungsdienst kommunizieren müssen, authentifiziert, vorausgesetzt, dass der RPC-Aufruf, für den der Endpunkt aufgelöst werden muss, über Authentifizierungsinformationen verfügt.
Wenn Sie die Richtlinieneinstellung „RPC-Endpunktzuordnungs-Clientauthentifizierung“ deaktivieren, werden RPC-Clients, die zur Authentifizierung mit dem Endpunktzuordnungsdienst kommunizieren müssen, nicht authentifiziert. Der Endpunktzuordnungsdienst auf Computern unter Microsoft Windows NT® 4.0-Betriebssystemen kann auf diese Weise bereitgestellte Authentifizierungsinformationen nicht verarbeiten. Wenn Sie also diese Einstellung auf einem Clientcomputer aktivieren und eine Endpunktauflösung erforderlich ist, kann dieser Client nicht mit einem Windows NT 4.0-Server kommunizieren, der RPC verwendet.
So konfigurieren Sie RPC-Einstellungen
1. | Klicken Sie auf dem Windows XP SP2-Desktop auf Start und anschließend auf Ausführen. Geben Sie mmc ein, und klicken Sie dann auf OK. |
2. | Klicken Sie im Menü Datei auf Snap-In hinzufügen/entfernen. |
3. | Klicken Sie auf der Registerkarte Eigenständig auf Hinzufügen. |
4. | Suchen Sie in der Liste Verfügbare eigenständige Snap-Ins nach Gruppenrichtlinienobjekt-Editor, und klicken Sie anschließend auf Hinzufügen. |
5. | Klicken Sie im Dialogfeld Gruppenrichtlinienobjekt auswählen auf Durchsuchen. |
6. | Wählen Sie das zu konfigurierende Gruppenrichtlinienobjekt aus der Liste aus. Klicken Sie auf OK und dann auf Fertig stellen, um den Assistenten für Gruppenrichtlinien zu schließen. |
7. | Klicken Sie auf Schließen, um das Dialogfeld Eigenständiges Snap-In hinzufügen zu schließen. Klicken Sie dann auf OK, um das Dialogfeld Snap-In hinzufügen/entfernen zu schließen und zur Verwaltungskonsole zurückzukehren. |
8. | Öffnen Sie in der Konsolenstruktur Computerkonfiguration, Administrative Vorlagen, System und anschließend Remoteprozeduraufruf (RPC). |
9. | Verwenden Sie die oben aufgeführten Konfigurationsinformationen, und doppelklicken Sie auf Einschränkungen für nicht authentifizierte RPC-Clients. Klicken Sie auf Aktiviert, wählen Sie dann Authentifiziert ohne Ausnahmen, und klicken Sie auf OK. |
10. | Verwenden Sie die oben aufgeführten Konfigurationsinformationen, und doppelklicken Sie auf RPC-Endpunktzuordnungs-Clientauthentifizierung. Klicken Sie auf Aktiviert und dann auf OK. |
11. | Schließen Sie das Gruppenrichtlinienobjekt. |
Zuweisen der Konfiguration mit GPUpdate
Das Dienstprogramm zum Aktualisieren von Sicherheitsrichtlinien „GPUpdate“ aktualisiert Active Directory-basierte Gruppenrichtlinieneinstellungen, einschließlich von Sicherheitseinstellungen. Nachdem Sie Gruppenrichtlinien konfiguriert haben, können Sie abwarten, bis die Einstellungen durch die normalen Aktualisierungszyklen den Clientcomputern zugewiesen werden. Standardmäßig finden diese Aktualisierungszyklen alle 90 Minuten statt, mit einem Schwankungsbereich von +/–30 Minuten.
Wenn Sie die Gruppenrichtlinien außerhalb dieser normalen Zyklen aktualisieren möchten, verwenden Sie das GPUpdate-Dienstprogramm.
Ausführen von GPUpdate
So führen Sie GPUpdate aus
1. | Klicken Sie auf dem Windows XP-Desktop auf Start und anschließend auf Ausführen. | ||
2. | Geben Sie im Feld Öffnen den Befehl cmd ein, und klicken Sie dann auf OK. Hinweis: Eine vollständige Beschreibung aller verfügbaren Optionen für GPUpdate finden Sie in folgendem Artikel:
| ||
3. | Geben Sie an der Eingabeaufforderung GPUpdate ein, und drücken Sie dann die EINGABETASTE. | ||
4. | Um die Befehlszeile zu schließen, geben Sie Exit ein, und drücken Sie die EINGABETASTE. |
Überprüfen, ob die RPC-Einstellungen übernommen wurden
Dieses Verfahren enthält Anweisungen zur Bearbeitung der Registrierung. Bevor Sie die Registrierung bearbeiten, sollten Sie unbedingt eine Sicherungskopie davon anfertigen und sicherstellen, dass Sie wissen, wie die Registrierung im Falle eines Problems wiederhergestellt werden kann. Weitere Informationen zur Sicherung, Wiederherstellung und Bearbeitung der Registrierung finden Sie in folgendem Artikel:
| • | Microsoft Knowledge Base-Artikel 256986 auf der Microsoft-Website „Hilfe und Support“ http://go.microsoft.com/fwlink/?linkid=35500 |
Überprüfen, ob die RPC-Einstellungen übernommen wurden
So überprüfen Sie, ob die RPC-Einstellungen übernommen wurden
1. | Klicken Sie auf Start und anschließend auf Ausführen. | ||
2. | Geben Sie Regedit ein, und klicken Sie auf OK. | ||
3. | Klicken Sie im Registrierungs-Editor auf HKEY_LOCAL_MACHINE. Doppelklicken Sie anschließend auf SOFTWARE\Policies\Microsoft\Windows NT\Rpc. | ||
4. | Vergewissern Sie sich, dass die folgenden Einträge in der Registrierung vorhanden sind: EnableAuthEPResolution REG_DWORD 0x000000001 RestrictRemoteClientsIn REG_DWORD 0x000000002 | ||
5. | Schließen Sie den Registrierungs-Editor. Hinweis: Wenn Ihre Konfigurationseinstellungen nicht übernommen wurden, müssen Sie die Gruppenrichtlinien-Anwendung auf Fehler überprüfen und diese beheben. Informationen zur Fehlerbeseitigung in der Gruppenrichtlinien-Anwendung finden Sie in folgendem Dokument:
|
Weitere Informationen
Weitere Informationen zum Windows XP SP2-Netzwerkschutz finden Sie hier:
| • | Änderungen an der Funktionalität durch Microsoft Windows XP Service Pack 2, Teil 2: Technologien für den Netzwerkschutz auf der Microsoft TechNet-Website unter http://www.microsoft.com/germany/technet/datenbank/articles/600337_1.mspx |
| • | Verwalten von Windows XP Service Pack 2-Features mithilfe von Gruppenrichtlinien auf der Microsoft TechNet-Website unter http://www.microsoft.com/germany/technet/datenbank/articles/600520.mspx |
| • | Empfehlungen für die Verwaltung administrativer Vorlagendateien (.adm) von Gruppenrichtlinien auf der Microsoft-Website „Hilfe und Support“ unter http://go.microsoft.com/fwlink/?linkid=35502 |
Weitere Informationen zu Windows XP SP2-Sicherheit finden Sie hier:
| • | Sicherheitshandbuch für Windows XP (inklusive Anhang zu Windows XP Serive Pack 2) unter http://www.microsoft.com/germany/technet/datenbank/articles/900060.mspx |
| • | Anhang A - Zusatzinformationen zu Windows XP Service Pack 2 unter http://www.microsoft.com/germany/technet/datenbank/articles/900065_app1.mspx |
| • | Using Group Policy to Deploy Windows XP Service Pack 2 (SP2) auf der Microsoft TechNet-Website unter http://go.microsoft.com/fwlink/?linkid=35501 (in englischer Sprache) |
Definitionen von Begriffen rund um die Sicherheit finden Sie hier:
| • | Microsoft Sicherheitsglossar auf der Microsoft-Website unter http://go.microsoft.com/fwlink/?LinkId=35468 (in englischer Sprache) |