Auf dieser SeiteModulübersichtDieses Modul stellt eine detaillierte Dokumentation zu den Sicherheitseinstellungen bereit, mit denen Sie die Sicherheit des Betriebssystems Microsoft Windows 2000 verbessern können. Das Modul enthält Tabellen, in denen das Sicherheitsziel jeder Einstellung und die erforderlichen Konfigurationsschritte zum Erreichen dieses Zieles beschrieben werden. Die Einstellungen sind entsprechend den in der Benutzeroberfläche des Security Configuration Editors (SCE) dargestellten Kategorien unterteilt. Zielsetzung| • | Identifizieren der Richtlinieneinstellungen zum Sichern von Windows 2000-Systemen | | • | Identifizieren der Registrierungseinstellungen zum Sichern von Windows 2000-Systemen | | • | Sichere Konfiguration von Windows 2000-Systemen für ihre Netzwerkfunktion | | • | Referenzmaterial zur Sicherheit von Windows 2000 |
BetrifftDie Informationen in diesem Modul gelten für folgende Produkte und Technologien: | • | Sicherheit des Betriebssystems Microsoft Windows 2000 | | • | Gruppenrichtlinien | | • | Sicherheitsvorlagen | | • | Betriebssystem Microsoft Windows 2000 Professional | • | Mitgliedsarbeitsstation in Domäne | | • | Mitgliedslaptop in Domäne | | • | Eigen-
ständige Arbeits-
station |
| | • | Betriebssystem Microsoft Windows 2000 Server | • | Domänencontroller | | • | Mitgliedsserver in Domäne | | • | Eigenständige Server |
|
Der Nutzen dieses ModulsIn diesem Modul werden Methoden für die Sicherung von Microsoft Windows 2000 Professional- und Microsoft Windows 2000 Server-Systemen vorgestellt. Das Modul definiert die Gruppenrichtlinien- und Registrierungseinstellungen, die zum Erstellen einer sicheren Umgebung angewendet werden müssen. Zudem werden die Einstellungen und Gründe für die Konfiguration erläutert. Verwenden Sie dieses Modul, um sichere Konfigurationen für Windows 2000-Systeme zu erstellen. Empfehlungen für eine erfolgreiche Arbeit mit diesem Modul: | • | Lesen Sie das Modul Windows 2000-Tools für die Sicherheitskonfiguration In diesem Modul werden die zum Anwenden sicherer Konfigurationen verfügbaren Windows 2000-Tools beschrieben. | | • | Lesen Sie das Modul Windows 2000-Standardeinstellungen für Sicherheitsrichtlinien Dieses Modul enthält detaillierte Informationen zu den standardmäßigen Sicherheitsrichtlinieneinstellungen für die unterschiedlichen Windows 2000-Systemfunktionen. | | • | Lesen Sie das Modul Windows 2000-Konfiguration der Benutzerrechte und -privilegien. Dieses Modul enthält detaillierte Informationen zu den standardmäßigen Benutzerrechtezuweisungen auf Windows 2000-Systemen sowie eine Liste der empfohlenen Änderungen im aktuellen Modul. | | • | Verwenden Sie die Prüfliste Windows 2000- Sicherheitskonfigurationsprüfliste Mit diesen Prüflisten können Sie ein System auswerten, um sicherzustellen, dass alle Konfigurationsänderungen vorgenommen wurden. | | • | Verwenden Sie die begleitenden Verfahrenshinweise: | • | Sichere Installation von Windows 2000 | | • | Konfiguration und Anwendung von Sicherheitsvorlagen mit Windows 2000 |
| | • | Downloaden Sie die Sicherheitskonfigurationsvorlagen. Downloaden Sie die mit diesem Handbuch bereitgestellten Sicherheitsvorlagen von /germany/sicherheit/guidance/modules/w2k.asp. |
Vordefinierte GruppenWindows 2000 wird mit vielen vordefinierten Gruppen geliefert. Einige dieser Gruppen verdienen jedoch eine besondere Erwähnung. Hierzu zählen die Gruppen Hauptbenutzer (auf Arbeitsstationen, eigenständigen Servern und Mitgliedsservern), Server-Operatoren, Druck-Operatoren und Sicherungs-Operatoren (auf Servern). Diese Gruppen sollen die Möglichkeiten und Rechte eines Benutzers erweitern, ohne ihn als Administrator einrichten zu müssen. Aufgrund der Rechte, die diesen Gruppen gewährt werden, kann jedoch jeder diesen Gruppen angehörende Benutzer ein Administrator werden. Die Operatorgruppen sollen in erster Linie verhindern, dass Administratoren das System versehentlich zerstören. Sie verhindern jedoch keine beabsichtigten Beschädigungen des Systems. Die Gruppe Hauptbenutzer dient zur Verwendung in Szenarios mit älteren Anwendungen, die von normalen Benutzern nicht korrekt ausgeführt werden können. Diese Gruppe ist daher in bestimmten Umgebungen erforderlich, in denen für die Zuordnung von Benutzern nur die Hauptbenutzergruppe und die Administratorgruppe zur Auswahl stehen. Vor diese Wahl gestellt, sind Hauptbenutzer eindeutig vorzuziehen. Anders als anderen Referenzquellen versucht dieses Handbuch daher nicht, die Hauptbenutzergruppe unbrauchbar zu machen. In Umgebungen, in denen keine Hauptbenutzer erforderlich sind, sollte die Hauptbenutzergruppe jedoch gesteuert werden, und Administratoren sollten sicherstellen, dass keine Benutzer Mitglieder dieser Gruppe sind. KontorichtlinienKontorichtlinien sind die zum Steuern der drei wichtigsten Kontoauthentifizierungsfeatures verwendeten Regeln: Kennwortrichtlinien, Kontosperrung und Kerberos-Authentifizierung. | • | Kennwortrichtlinien
Diese Richtlinien definieren Einstellungen für Kennwörter, zum Beispiel Erzwingung und Gültigkeitsdauer. | | • | Kontosperrungsrichtlinien
Diese Richtlinien bestimmen, wann und wie lange ein Konto gesperrt wird. | | • | Kerberos-Richtlinie
Die Kerberos-Authentifizierung wird von Computern mit Windows 2000 und neueren Betriebssystemen zur Authentifizierung verwendet, wenn diese Mitglieder einer Microsoft Active Directory-Domäne sind. Diese Richtlinie ermöglicht Administratoren die Konfiguration von Kerberos. |
Kontorichtlinien können auf Benutzerkonten in Domänen oder Organisationseinheiten angewendet werden. Damit Kontorichtlinien in einer Domäne in einer Gesamtstruktur für eine andere Domäne (sogar eine Unterdomäne) gelten, muss eine explizite Verknüpfung mit dem Gruppenrichtlinienobjekt erstellt werden. Darüber hinaus sind im Zusammenhang mit Kontorichtlinien die folgenden wichtigen Punkte zu beachten: | • | Durch eine Domänenrichtlinie angewendete Domänenkontorichtlinien gelten nur für die auf den Domänencontrollern in dieser Domäne und allen Unterdomänen definierten Konten. Hierzu zählen die folgenden drei Einstellungen: | • | Benutzer nach Ablauf der Anmeldezeit automatisch abmelden | | • | Administratorkonto umbenennen | | • | Gastkonto umbenennen |
| | • | Für eine Organisationseinheit definierte Kontorichtlinien gelten für die lokalen Konten, die auf den Mitgliedscomputern dieser Organisationseinheit definiert sind. |
Kennwortrichtlinien| • | So zeigen Sie aktuelle Kennwortrichtlinieneinstellungen an und bearbeiten diese 1. | Öffnen Sie die gewünschte Sicherheitsrichtlinie über ein Gruppenrichtlinienobjekt, den Sicherheitskonfigurations-Editor oder die lokalen Sicherheitsrichtlinien. | 2. | Erweitern Sie den Knoten Sicherheitseinstellungen. | 3. | Erweitern Sie in Sicherheitseinstellungen den Knoten Kontorichtlinien, um die Richtlinien für Kennwort, Kontosperrung und Kerberos anzuzeigen. | 4. | Klicken Sie auf Kennwortrichtlinien. Im Detailbereich auf der rechten Seite werden die konfigurierbaren Kennwortrichtlinieneinstellungen angezeigt. | 5. | Stellen Sie die Kennwortrichtlinie gemäß den Empfehlungen in Tabelle 1 ein. |
|
Tabelle 1: Kennwortrichtlinieneinstellungen Anforderungen bezüglich früherer Kennwörter festlegen
Sicherheitsziel: Legen Sie ein Limit für die Wiederverwendung von Kennwörtern fest. Neue Kennwörter werden mit dem eingestellten Wert verglichen, das heißt mit der Anzahl von vorherigen Verwendungen des Kennworts, und eine Kennwortänderung wird abgelehnt, wenn das neue Kennwort mit einem vorhandenen Kennwort übereinstimmt. (Hierzu werden Kennwörter nicht als Klartext gespeichert).
Vorgehensweise:
a. Doppelklicken Sie im Detailbereich auf der rechten Seite auf Kennwortchronik erzwingen, um das entsprechende Dialogfeld Sicherheitsrichtlinie zu öffnen.
b. Aktivieren Sie für Richtlinien auf Domänenebene das Kontrollkästchen Diese Richtlinieneinstellung definieren.
c. Ändern Sie die Zahl im Feld Gespeicherte Kennwörter (der Höchstwert ist 24), um die vom System gespeicherte Anzahl von Kennwörtern festzulegen.
Empfehlung: Stellen Sie diese Option auf 24 ein.
Grund: Diese Einstellung verbessert die Kennwortsicherheit, da sichergestellt wird, dass Benutzer ihre Kennwörter weder versehentlich noch absichtlich wieder verwenden können. Dadurch wird die Wahrscheinlichkeit erhöht, dass von einem Angreifer gestohlene Kennwörter zum Zeitpunkt der Entschlüsselung bereits ungültig sind. | 
|
|
|
|
|
| "Maximales Kennwortalter" festlegen
Sicherheitsziel: Diese Einstellung legt fest, wie lange Benutzer ein Kennwort verwenden können, bevor es geändert werden muss.
Vorgehensweise:
a. Doppelklicken Sie im Detailbereich auf der rechten Seite auf Maximales Kennwortalter, um das entsprechende Dialogfeld Sicherheitsrichtlinie zu öffnen.
b. Aktivieren Sie für Richtlinien auf Domänenebene das Kontrollkästchen Diese Richtlinieneinstellung definieren.
c. Ändern Sie die Zahl im Feld Tage wie gewünscht.
Empfehlung: 70 Tage.
Grund: Durch diese Einstellung wird die Kennwortsicherheit verbessert, da sichergestellt wird, dass Kennwörter nicht regelmäßig wieder verwendet werden. Die empfohlene Einstellung verhindert, dass Benutzer ihre Kennwörter so häufig ändern, dass sie sich nicht mehr an sie erinnern können. |
|
|
|
|
|
| "Minimales Kennwortalter" festlegen
Sicherheitsziel: Diese Einstellung legt fest, wie lange Benutzer ein Kennwort verwenden müssen, bevor sie es ändern können.
Vorgehensweise:
a. Doppelklicken Sie im Detailbereich auf der rechten Seite auf Minimales Kennwortalter, um das entsprechende Dialogfeld Sicherheitsrichtlinie zu öffnen.
b. Aktivieren Sie für Richtlinien auf Domänenebene das Kontrollkästchen Diese Richtlinieneinstellung definieren.
c. Ändern Sie die Zahl im Feld Tage wie gewünscht.
Empfehlung: 2 Tage.
Grund: Da Benutzer durch diese Einstellung gezwungen werden, Kennwörter vor dem Zurücksetzen über einen bestimmten Zeitraum zu verwenden, können sie sich neue Kennwörter leichter merken. Zudem wird verhindert, dass die Kennwortchronik umgangen wird, indem schnell 25 neue Kennwörter eingegeben werden. |
|
|
|
|
|
| "Minimale Kennwortlänge" festlegen
Sicherheitsziel: Diese Einstellung legt die erforderliche Mindestanzahl von Zeichen für Benutzerkennwörter fest.
Vorgehensweise:
a. Doppelklicken Sie im Detailbereich auf der rechten Seite auf Minimale Kennwortlänge, um das entsprechende Dialogfeld Sicherheitsrichtlinie zu öffnen.
b. Aktivieren Sie für Richtlinien auf Domänenebene das Kontrollkästchen Diese Richtlinieneinstellung definieren.
c. Ändern Sie die Zahl im Feld Zeichen wie gewünscht.
Empfehlung: 8 Zeichen.
Die Komplexität von Kennwörtern wird durch jedes zusätzliche Zeichen exponentiell erhöht. Durch Kennwörter mit einer Länge von mindestens acht Zeichen wird selbst ein schwächerer LM-Hash gestärkt, da Angreifer nicht nur eine Hälfte, sondern die beiden aus 7 Zeichen bestehenden Teile des LM-Hash entschlüsseln müssen. Bei einem Kennwort von 7 oder weniger Zeichen, besitzt die zweite Hälfte des LM-Hash einen spezifischen Wert, anhand dessen der Angreifer feststellen kann, dass das Kennwort kürzer als 8 Zeichen ist.
Aufgrund der zum Speichern des LM-Hash verwendeten Methode wurde in Fachkreisen mitunter behauptet, dass Kennwörter von 8 Zeichen weniger sicher sind als Kennwörter mit 7 Zeichen. Bei einen Kennwort mit 8 Zeichen kann der Angreifer einfach die zweite Hälfte des Kennworts testen, während er die erste Hälfte testet. Das Testen beider Hälften des Kennworts erhöht jedoch die notwendige Anzahl von Prüfungen um 1/7, wodurch die Entschlüsselung des Kennworts erheblich mehr Zeit in Anspruch nimmt. Längere Kennwörter sind immer besser. Bei nicht gespeicherten LM-Hashes sind Kennwörter mit acht Zeichen sicherer als solche mit sieben Zeichen. Alle Empfehlungen, laut denen kurze Kennwörter langen vorzuziehen sind, sind falsch. |
|
|
|
|
|
| Anforderungen bezüglich der Kennwortkomplexität festlegen
Sicherheitsziel: Eine solche Richtlinie erzwingt die Verwendung von komplexen (sicheren) Kennwörtern. Diese Richtlinie definiert eine Anforderung für mindestens drei der folgenden vier Zeichensätze: (1) Großbuchstaben, (2) Kleinbuchstaben, (3) Ziffern und (4) nicht-alphanumerische Zeichen.
Empfehlung: Aktivieren Sie die Kennwortkomplexität.
Grund: Kennwortkomplexität ist unabdingbar, um das Erraten und Entschlüsseln von Kennwörtern zu verhindern. |
|
|
|
|
|
| Reversible Verschlüsselung für Kennwörter aktivieren
Sicherheitsziel: Diese Einstellung soll die Sicherheit für Umgebungen verringern, in denen bestimmten Typen der Abwärtskompatibilität erforderlich sind. Bestimmte Szenarios erfordern das Bekanntsein des Klartextkennworts des Benutzers. Wird diese Einstellung in diesen Szenarios aktiviert, können Klartextkennwörter abgerufen werden.
Empfehlung: Aktivieren Sie diese Einstellung nicht. Stellen Sie sicher, dass die Standardeinstellung Deaktiviert übernommen wurde. |
|
|
|
|
|
|
KontosperrungsrichtlinienDie Kontosperrung wird verwendet, um das Erraten von Kennwörtern für Konten zu verhindern. Die Kontosperrung sperrt das Konto, nachdem eine bestimmte Anzahl von ungültigen Kennwörtern eingegeben wurde. Die Sperrung kann für einen definierten Zeitraum oder für eine unbestimmte Dauer gelten, bis der Administrator das Konto entsperrt. Für das vordefinierte Administratorkonto können lokale Anmeldungen nicht gesperrt werden, sondern nur Netzwerkanmeldungen. Zudem können Netzwerkanmeldungen für dieses Kontos nur mit dem Tool passprop.exe im Windows 2000 Server Resource Kit gesperrt werden. Die Verwendung der Kontosperrungsrichtlinie sollte aus mehreren Gründen vermieden werden. Wenn wie oben beschrieben Kennwortrichtlinien konfiguriert sind, sind Kontosperrungen überflüssig, da kein Angreifer das Kennwort in einem realisierbaren Zeitraum erraten kann. Wenn nur Groß- und Kleinbuchstaben und Ziffern verwendet werden, Benutzer nicht auf Wörter aus Wörterbüchern zurückgreifen und nur eine Ziffer angehängt wird, dauert das Erraten des Kennworts bei einer halben Sekunde pro Versuch 3.461.760 Jahre. Da Kennwörter häufig geändert werden, ist die Wahrscheinlichkeit sehr gering, dass ein Angreifer ein Kennwort aufdeckt. Wenn Kennwörter alle 70 Tage geändert werden, benötigt der Angreifer die Entsprechung von 52.000 eingehenden T3-Zeilen im betroffenen System, um nur ein willkürliches Kennwort zu erraten, bevor dieses abläuft (vorausgesetzt natürlich, dass das Kennwort nicht aus einem Wörterbuch stammt). Wenn Kennwörter so schwach sind, dass ein Angreifer das Kennwort mit einer einstelligen Anzahl von Versuchen erraten kann, ist nicht das Fehlen von Kontosperrungsrichtlinien das Problem, sondern die extrem schlechten Kennwörter. Zudem führt die Aktivierung der Kontosperrungsrichtlinien zu einer erheblich höheren Anzahl von Anfragen beim Helpdesk: Benutzer sperren ihre Konten versehentlich selbst, sie vergessen, die Feststelltaste zu lösen usw. Dies gilt insbesondere dann, wenn die Verwendung von komplizierten Kennwörtern erzwungen wird (eine andernfalls durchaus empfehlenswerte Strategie). Schlimmer noch als die vermehrten Anrufe beim Helpdesk aufgrund von Kontosperrungen sind die Auswirkungen auf das Netzwerk, wenn ein Angreifer Dienstkonten sperrt. In diesem Fall würden sich die Dienste nicht starten lassen. Wenn ein Dienst aufgrund einer Kontosperrung nicht gestartet werden kann, unternimmt er keine erneuten Startversuche, und ein Administrator muss den Dienst nach Ablauf der Sperrungsdauer im System manuell starten. In allen Umgebungen sollte ein Analysetool verwendet werden. Ein Analysetool testet jedoch normalerweise eine kleine Anzahl von häufig verwendeten Kennwörtern, und wenn eine Kontosperrungsrichtlinie definiert ist, sperrt das Tool bei jeder Netzwerkanalyse alle Konten. Dies kann die Systemverfügbarkeit beeinträchtigen. Darüber hinaus gilt die Kontosperrung standardmäßig nicht für das eine Konto, das ein Angreifer am wahrscheinlichsten attackiert: das Administratorkonto. Obwohl es möglich ist, sich eine Liste der anderen administrativen Konten in einem System zu beschaffen, versuchen die meisten Angreifer, die Kennwörter der offensichtlichen Konten aufzudecken, zum Beispiel das standardmäßige Administratorkonto. Zum Sperren des Administratorkontos müssen Sie das Dienstprogramm passprop.exe im Resource Kit verwenden. Da eine Firewall verwendet werden sollte, um Verkehr aus nicht vertrauenswürdigen Netzwerken in das Windows-Netzwerk zu blockieren, ist das Erraten von Kennwörtern letztlich nur aus nicht vertrauenswürdigen Netzwerken möglich. In einem vertrauenswürdigen Netzwerk ist der Schuldige im Fall einer Kennwortattacke durch eine Verfolgung der Anmeldeversuche relativ leicht ausfindig zu machen. Ein potentieller Verwendungszweck der Kontosperrung ist das Benachrichtigen von Administratoren über laufende Kennwortattacken. Zu diesem Zweck sollte jedoch ein Eindringlingserkennungssystem verwendet werden. Die Kontosperrungsrichtlinie sollte nicht als Ersatz für ein echtes Eindringlingserkennungssystem verwendet werden. In Umgebungen, in denen die Kontosperrung zur Benachrichtigung verwendet wird, sollte der Schwellwert auf 50 Minuten eingestellt werden, und für die Zeitgeber sollte ein Wert von 30 Minuten gewählt werden. Zugriff auf die Kerberos-RichtlinieneinstellungenDie Standardeinstellungen für Kerberos-Richtlinien sind ausreichend. Ändern Sie diese Standardeinstellungen nicht. Lokale RichtlinienLokale Richtlinien verwalten für einzelne Computer oder Benutzer geltende Sicherheitseinstellungen. Im Abschnitt Lokale Richtlinien kann Folgendes konfiguriert werden: | • | Überwachungsrichtlinien
Die Überwachungsrichtlinie bestimmt, welche Sicherheitsereignisse im Sicherheitsereignisprotokoll auf dem Computer protokolliert werden (das heißt erfolgreiche Anmeldungen, fehlgeschlagene Anmeldeversuche oder beides). Das Sicherheitsprotokoll wird über das MMC-Snap-In Ereignisanzeige verwaltet. | | • | Zuweisen von Benutzerrechten
Benutzerrechte definieren die Aktionstypen, die einzelne Benutzer oder Gruppen ausführen können. Benutzerrechte wurden in früheren Versionen von Microsoft Windows NT alsBerechtigungen bezeichnet. | | • | Sicherheitsoptionen
Diese Optionen dienen zum Verwalten verschiedener registrierungsgestützter Sicherheitseinstellungen für den Computer, zum Beispiel digitale Signierung von Daten, Namen von Administrator- und Gastkonten, Zugriff auf Disketten- und CD-ROM-Laufwerke, Installation von Treibern und Anmeldeaufforderungen. Mehrere der in diesem Abschnitt beschriebenen Einstellungen werden nicht standardmäßig in den hier genannten Tools angezeigt. Zum Anzeigen und Verwalten dieser Einstellungen in der Benutzeroberfläche muss ein Administrator zunächst eine angepasste Vorlage zum Ändern der angezeigten Einstellungen anwenden. |
Überwachungsrichtlinie| • | So aktivieren Sie die Überwachung von Sicherheitsereignissen 1. | Öffnen Sie die jeweilige Sicherheitsrichtlinie. | 2. | Erweitern Sie den Knoten Sicherheitseinstellungen. | 3. | Erweitern Sie in Sicherheitseinstellungen den Knoten Lokale Richtlinien, um die Überwachungsrichtlinien, die Richtlinien für Zuweisen von Benutzerrechten und für Sicherheitsoptionen anzuzeigen. | 4. | Klicken Sie auf Überwachungsrichtlinien. Im Detailbereich auf der rechten Seite werden die konfigurierbaren Überwachungsrichtlinieneinstellungen angezeigt.  Abbildung 1. Einstellungen für Überwachungsrichtlinien | 5. | Zum Einstellen der Überwachung eines Sicherheitsereignisses doppelklicken Sie im Detailbereich auf der rechten Seite auf die gewünschte Überwachungsrichtlinie. Daraufhin wird das Dialogfeld Sicherheitsrichtlinie geöffnet. |
|
Tabelle 2: Einstellungen für Überwachungsrichtlinien Überwachungsereigniskategorien | Erfolg | Fehler | | | | | | | Anmeldeversuche überwachen
Diese Option überwacht Anmeldeversuche, bei denen dieser Computer zum Authentifizieren des Benutzers verwendet wird. Auf einem Domänencontroller werden folglich alle Domänenanmeldeereignisse überwacht, wohingegen auf einem Domänenmitglied nur Ereignisse mit einem lokalen Konto überwacht werden. |
|
|
|
|
|
|
|
| Kontenverwaltung überwachen
Diese Option überwacht alle die Kontenverwaltung betreffenden Ereignisse, zum Beispiel Erstellung, Sperrung, Löschung von Konten usw. |
|
|
|
|
|
|
|
| Active Directory-Zugriff überwachen
Diese Option ermöglicht die Überwachung des Zugriffs auf Active Directory-Objekte. Diese Einstellung selbst führt nicht zur Generierung von Ereignissen. Nur wenn eine SACL für ein Objekt definiert ist, werden Zugriffsaktionen überwacht. Damit eine SACL zur Anwendung kommt, sollten Sie daher sowohl die Erfolgs- als auch die Fehlerüberwachung aktivieren. |
|
| | |
| | | | Anmeldeereignisse überwachen
Diese Option überwacht Anmeldeereignisse an dem System, für das die Richtlinie gilt, unabhängig vom Speicherort der Konten. Wird auf einem Domänenmitglied für diese Option die Erfolgsüberwachung aktiviert, wird folglich jedes Mal ein Ereignis generiert, wenn sich ein Benutzer am System anmeldet. Wenn das zur Anmeldung verwendete Konto lokal istund die Einstellung Anmeldeversuche überwachen ebenfalls aktiviert ist, werden bei der Anmeldung zwei Ereignisse generiert. |
|
|
|
|
|
| | | Objektzugriffsversuche überwachen
Diese Option ermöglicht die Überwachung des Zugriffs auf alle zur Überwachung verfügbaren Objekte, zum Beispiel Dateisystem- und Registrierungsobjekte (mit Ausnahme von Verzeichnisdienstobjekten). Diese Einstellung selbst führt nicht zur Überwachung von Ereignissen. Sie ermöglicht lediglich die Überwachung von Objekten mit definierter SACL. Für diese Einstellung sollten daher sowohl die Erfolgs- als auch die Fehlerüberwachung aktiviert werden. |
|
|
|
|
|
|
|
| Richtlinienänderungen überwachen
Diese Option legt fest, ob Änderungen an Richtlinien für die Zuweisung von Benutzerrechten, Überwachungsrichtlinien oder Vertrauensrichtlinien überwacht werden. Für diese Einstellung ist nur die Erfolgsüberwachung erforderlich, da eine Fehlerüberwachung in diesem Fall nicht sinnvoll ist. |
| | | |
|
| |
| Rechteverwendung überwachen
Diese Einstellung legt fest, ob bei jeder Ausübung eines Benutzerrechts ein Überwachungsereignis generiert wird. Bestimmte Rechte wie Auslassen der durchsuchenden Überprüfung und Debuggen von Programmen werden unabhängig von dieser Einstellung nicht überwacht (eine solche Überwachung kann durch Einstellen des Registrierungswerts FullPrivilegeAuditing aktiviert werden). Da durch die Überwachung der Rechteverwendung eine große Anzahl von Ereignissen generiert wird, sollte diese Option möglichst nicht aktiviert werden. | | | | | | | | | Prozessverfolgung überwachen
Diese Einstellung ermöglicht die Überwachung von bestimmten Prozessereignissen wie Programmaktivierung und -beendigung, Handleduplizierung, indirekter Objektzugriff usw. Bei Aktivierung dieser Überwachungsoption wird einesehr große Anzahl von Ereignissen generiert, die die Ereignisprotokolle in kurzer Zeit füllen. Aus diesem Grund sollte diese Option nur zu Debuggingzwecken aktiviert werden. Die Prozessverfolgung kann auch bei der Analyse von Attacken hilfreich sein. Pufferüberläufe werden zum Beispiel häufig zum Starten von Befehlsshells verwendet, und bei aktivierter Prozessüberwachung werden diese Starts protokolliert. Wenn Sie die Prozessverfolgung aktivieren, ist jedoch eine streng disziplinierte Protokollverwaltung erforderlich. | | | | | | | | | Systemereignisse überwachen
Diese Option überwacht Ereignisse wie das Herunterfahren oder Starten des Systems oder die System- und/oder Sicherheitsprotokolle betreffende Ereignisse wie die Löschung von Protokollen. |
| |
|
|
|
|
|
|
Anmelderechte und BerechtigungenAnmelderechte und Berechtigungen bestimmen die Rechte, die Benutzer auf einem Zielsystem besitzen. Sie dienen zum Gewähren von Ausführungsrechten für bestimmte Aktionen, zum Beispiel Netzwerkanmeldung oder lokale Anmeldung, sowie von Rechten für Verwaltungstasks wie das Generieren neuer Anmeldetokens. | • | So ändern Sie Benutzerrechte 1. | Öffnen Sie die jeweilige Sicherheitsrichtlinie. | 2. | Erweitern Sie den Knoten Sicherheitseinstellungen. | 3. | Erweitern Sie in Sicherheitseinstellungen den Knoten Lokale Richtlinien, um die Überwachungsrichtlinien, die Richtlinien für Zuweisen von Benutzerrechten und für Sicherheitsoptionen anzuzeigen. | 4. | Klicken Sie auf Zuweisen von Benutzerrechten. Im Detailbereich auf der rechten Seite werden die konfigurierbaren Richtlinieneinstellungen für Benutzerrechte angezeigt.  Abbildung 2. Einstellungen zum Zuweisen von Benutzerrechten |
|
Hinweis: Nicht alle Gruppen sind auf allen Systemtypen verfügbar. Daher müssen Sie diese Richtlinie gegebenenfalls auf einem System ändern, auf dem die Zielgruppe vorhanden ist. Stattdessen können die Richtlinienvorlagen auch manuell bearbeitet werden, um die entsprechenden Gruppen hinzuzufügen. Tabelle 3 zeigt die Zuweisungen von Benutzerrechten und Berechtigungen, deren Standardeinstellungen geändert werden sollten. In den Benutzeroberflächen des Richtlinien-Editors werden viele weitere Rechte angezeigt. Die Standardeinstellungen dieser Rechte sind jedoch ausreichend und müssen nicht geändert werden. Die Häkchen in dieser Tabelle geben an, dass eine Änderung auf den Systemtyp in der jeweiligen Spalte angewendet werden muss. Tabelle 3: Benutzerrechte und Berechtigungen Berechtigung | Standard | Geändert | | | | | | | Auf diesen Computer vom Netzwerk aus zugreifen (Professional/Server) | Administratoren
Sicherungs-Operatoren
Hauptbenutzer
Benutzer
Jeder | Administratoren
Sicherungs-Operatoren
Hauptbenutzer
Benutzer
Authentifizierte Benutzer |
|
| |
|
|
| Auf diesen Computer vom Netzwerk aus zugreifen (Domänencontroller) | Administratoren
Authentifizierte Benutzer
Jeder | Administratoren
Authentifizierte Benutzer | | |
| | | | Lokal anmelden (Professional) | Administratoren
Sicherungs-Operatoren
Hauptbenutzer
Benutzer
Computername\Gast | Administratoren
Sicherungs-Operatoren
Hauptbenutzer
Benutzer |
|
| | |
| | Lokal anmelden (Server) | Administratoren
Sicherungs-Operatoren
Hauptbenutzer
Benutzer
Computername\Gast
Computername\TsInte
rnetUser | Administratoren
Sicherungs-Operatoren
Hauptbenutzer
HINWEIS: Diese Berechtigungen müssen Benutzern auf einem Terminalserver-Anwendungsserver gewährt werden. | | | |
| |
| Lokal anmelden (Domänencontroller) | Administratoren
Konten-Operatoren
Sicherungs-Operatoren
Druck-Operatoren
Server-Operatoren
TsInternetUser | Administratoren
Konten-Operatoren
Sicherungs-Operatoren
Druck-Operatoren
Server-Operatoren | | |
| | | | Hinzufügen von Arbeitsstationen zur Domäne (Domänencontroller) | Authentifizierte Benutzer | Authentifizierte Benutzer | | | |
| | | Anheben einer Quote (Domänencontroller - in der Domänensicherheitsrichtlinie) | (Nicht definiert) | Administratoren | | | |
| | | Anheben der Zeitplanungspriorität (Domänencontroller - in der Domänensicherheitsrichtlinie) | (Nicht definiert) | Administratoren | | | |
| | | Laden und Entfernen von Gerätetreibern (Domänencontroller - in der Domänensicherheitsrichtlinie) | (Nicht definiert) | Administratoren | | | |
| | | Verwalten von Überwachungs- und Sicherheitsprotokoll (Domänencontroller - in der Domänensicherheitsrichtlinie) | (Nicht definiert) | Administratoren | | | |
| | | Firmware-Umgebungsvariablen verändern (Domänencontroller - in der Domänensicherheitsrichtlinie) | (Nicht definiert) | Administratoren | | | |
| | | Erstellen eines Profils der Systemleistung (Domänencontroller - in der Domänensicherheitsrichtlinie) | (Nicht definiert) | Administratoren | | | |
| | | System herunterfahren (Clients) | Administratoren
Sicherungs-Operatoren
Hauptbenutzer
Benutzer | Administratoren
Sicherungs-Operatoren
Hauptbenutzer
Authentifizierte Benutzer |
|
| | |
| | System herunterfahren (Server) | Administratoren
Hauptbenutzer
(andere Gruppen je nach Systemtyp) | Administratoren | | |
|
| |
| Übernehmen des Besitzes an Dateien und Objekten (Domänencontroller - in der Domänensicherheitsrichtlinie) | (Nicht definiert) | Administratoren | | | |
| | |
Sicherheitsoptionen ändern| • | So ändern Sie vordefinierte sicherheitsspezifische Registrierungseinstellungen 1. | Öffnen Sie die jeweilige Sicherheitsrichtlinie. | 2. | Erweitern Sie den Knoten Sicherheitseinstellungen. | 3. | Erweitern Sie in Sicherheitseinstellungen den Knoten Lokale Richtlinien, um die Überwachungsrichtlinien, die Richtlinien für Zuweisen von Benutzerrechten und für Sicherheitsoptionen anzuzeigen. | 4. | Klicken Sie auf Sicherheitsoptionen. Im Detailbereich auf der rechten Seite werden die konfigurierbaren Sicherheitsoptionen angezeigt.  Abbildung 3. Einstellungen der Sicherheitsoptionen | 5. | Zum Einstellen einer Sicherheitsoption doppelklicken Sie im Detailbereich auf der rechten Seite auf die gewünschte Richtlinie. Daraufhin wird das Dialogfeld Sicherheitsrichtlinie geöffnet. | 6. | Aktivieren Sie für Richtlinien auf Domänenebene das Kontrollkästchen Diese Richtlinieneinstellung definieren. | 7. | Die Eingaben in den Dialogfeldern Sicherheitsrichtlinie für ausgewählte Sicherheitsoptionen richten sich nach den Konfigurationsanforderungen der Option. Einige Sicherheitsoptionen erfordern wie unten dargestellt zum Beispiel die Auswahl in einem Dropdownmenü oder die Eingabe von Text.  Abbildung 4. Konfiguration für die Entfernung der Smartcard  Abbildung 5. Konfiguration des Nachrichtentextes | 8. | Ändern Sie die Sicherheitsoptionen wie in Tabelle 4 beschrieben. |
|
Tabelle 4: Einstellungen der Sicherheitsoptionen "Weitere Einschränkungen für anonyme Verbindungen" einstellen
Sicherheitsziel: Deaktivieren Sie die Funktion, die anonymen Benutzern das Aufzählen von SAM-Konten und -Freigaben erlaubt.
Empfehlungen: Setzen Sie diese Option für Domänenserver und eigenständige Server auf Aufzählung von SAM-Konten und Freigaben nicht zulassen. Diese Einstellung entspricht der Einstellung von RestrictAnonymous auf 1, und sie wird häufig auf diese Weise verwendet. Setzen Sie diese Option für Laptops und Arbeitsstationen auf Kein Zugriff ohne explizite anonyme Berechtigung ( RestrictAnonymous = 2).
Hinweis: Die Option Kein Zugriff ohne explizite anonyme Berechtigung kann in vielen Umgebungen Verbindungsprobleme verursachen. Daher sollte diese Einstellung nicht für Systeme verwendet werden, die eingehende Verbindungen generell akzeptieren müssen. Aufgrund des großen Nutzens für die Sicherheit sollten Sie die Einstellung jedoch gründlich testen, um ihre Verwendbarkeit für Ihre spezielle Umgebung zu ermitteln. Derzeit sind mehrere schwerwiegende Inkompatibilitäten mit dieser Einstellung bekannt:
Wird diese Option auf Exchange 2000-Servern auf Kein Zugriff ohne explizite anonyme Berechtigung gesetzt, können Clients nicht im globalen Adressbuch nach Adressen suchen. Dieses Problem wurde in Windows 2000 Service Pack 3 behoben. Bei Einstellung auf Aufzählung von SAM-Konten und Freigaben nicht zulassen auf einem Windows 2000-Domänencontroller können Benutzer auf Windows XP-, NT- und Macintosh-Clients ihr Domänenkennwort bei der Anmeldung nicht ändern. Ein Patch für Windows XP ist von PSS erhältlich. Fragen Sie nach Hotfix 328817. Für Microsoft Windows NT- und Macintosh-Clients ist kein Patch verfügbar.
Ältere Clients (Windows 9x und früher) können sich bei Verwendung dieser Einstellung nicht bei der Domäne authentifizieren.
Benutzer in vertrauenden NT 4-Domänen können Benutzer aus der vertrauten Windows 2000-Domäne nicht auflisten.
Der Suchdienst funktioniert nicht zuverlässig.
Die gesamtstrukturübergreifende Kommunikation funktioniert nicht korrekt.
Weitere Informationen finden Sie im Microsoft Knowledge Base-Artikel 246261 "How to Use the RestrictAnonymous Registry Value in Windows 2000" (in Englisch). Hinweis: Auf einem Bastion-Hostsystem sollte diese Einstellung auf Kein Zugriff ohne explizite anonyme Berechtigung gesetzt werden. |
|
|
|
|
|
| Herunterfahren des Systems ohne Anmeldung zulassen
Sicherheitsziel: Benutzer sollten nicht in der Lage sein, das System ohne vorherige Anmeldung herunterzufahren. Dies ist besonders auf Terminalservern wichtig. Empfehlung: Stellen Sie diese Richtlinie auf Systemen in der Matrix auf Deaktiviert ein. Diese Einstellung bietet auf Systemen ohne aktivierte Terminaldienste nicht viel Sicherheit. Ein Angreifer benötigt physikalischen Zugriff auf ein System ohne Terminaldienste, um dieses herunterzufahren - in diesem Fall könnte er einfach das Netzkabel des Systems abtrennen. | | |
|
| |
| Zugriff auf globale Systemobjekte prüfen
Sicherheitsziel: Diese Option ermöglicht die Überwachung des Zugriffs auf globale Systemobjekte. Wenn diese Richtlinie aktiviert ist, werden Systemobjekte wie Mutexe, Ereignisse, Semaphore und DOS-Dienste mit einer Standard-SACL (Systemzugriffssteuerungsliste) erstellt. Wenn die Überwachungsrichtlinie Objektzugriffsversuche überwachen ebenfalls aktiviert ist, wird der Zugriff auf diese Systemobjekte überwacht.
Empfehlung: Aktivieren Sie diese Richtlinie nur auf besonders empfindlichen Systemen. Setzen Sie die Richtlinien dort auf Aktiviert.
Hinweis: Diese Einstellung dient in erster Linie für Entwickler, die in neuen Programm eine Problembehandlung ausführen. Sie erzeugt eine große Menge von Überwachungsinformationen. Daher sollte diese Einstellung nur aktiviert werden, wenn ein strikter Überwachungsverwaltungsprozess für die regelmäßige Überprüfung, Archivierung und Löschung der Überwachungsprotokolle definiert ist. Die von dieser Einstellung generierten Ereignisse eignen sich für forensische Zwecke. Die maximale Protokollgröße sollte ebenfalls geändert werden, um die höhere Anzahl von protokollierten Ereignissen zu unterstützen. | | | | | | | Die Verwendung des Sicherungs- und Wiederherstellungsrechts überprüfen
Sicherheitsziel: Diese Option ermöglicht die Erstellung von Überwachungseinträgen bei jeder Verwendung der Berechtigungen Sichern von Dateien und Verzeichnissen oder Wiederherstellen von Dateien und Verzeichnissen. Die Verwendung von Sicherungs- und Wiederherstellungsberechtigungen wird standardmäßig nicht überwacht. Wenn die Überwachungsrichtlinie Rechteverwendung überwachen aktiviert und diese Sicherheitsoption eingestellt ist, wird die Verwendung der Sicherungs- und Wiederherstellungsberechtigungen überwacht.
Empfehlung: Diese Einstellung generiert eine extrem große Anzahl von Ereignissen und sollte daher nur bei der Behandlung von Sicherungsproblemen aktiviert werden. | | | | | | | Benutzer nach Ablauf der Anmeldezeit automatisch abmelden
Sicherheitsziel: Diese Option zwingt einen Benutzer, sich nach Ablauf der zulässigen Anmeldezeit vomNetzwerk abzumelden. Empfehlung: Diese Einstellung sollte in Umgebungen aktiviert werden, in denen Anmeldezeiten erzwungen werden. In anderen Umgebungen hat diese Einstellung keine Wirkung.
Hinweis: Die Beschränkung des Benutzerzugriffs auf bestimmte Anmeldezeiten ist keine wirkliche Sicherheitsmaßnahme. Sie schützt Systeme nicht vor Benutzern. | | | | | | | Auslagerungsdatei des virtuellen Arbeitspeichers beim Herunterfahren des Systems löschen
Sicherheitsziel: Diese Option entfernt die Auslagerungsdatei des virtuellen Arbeitsspeichers beim Herunterfahren des Systems. Die Auslagerungsdatei wird bei der nächsten Anmeldung eines Benutzers erneut initialisiert. Hierdurch soll sichergestellt werden, dass in der Auslagerungsdatei verbleibende Informationen nicht für den nächsten Benutzer verfügbar sind, der sich am Computer anmeldet.
Empfehlung: Aktivieren Sie diese Einstellung auf Notebooks und anderen Computern, die beim Herunterfahren nicht physikalisch gesichert werden können.
Hinweis: Durch die Konfiguration dieser Einstellung wird das Herunterfahren eines Systems deutlich verlangsamt. | |
| | | | | Clientkommunikation digital signieren (immer)
Sicherheitsziel: Diese Option legt fest, ob der Computer die Clientkommunikation immer digital signiert. Das SMP-Authentifizierungsprotokoll (Server Message Block) von Microsoft Windows 2000 unterstützt die gegenseitige Authentifizierung. Diese Authentifizierungsform verhindert Man-in-the-Middle-Attacken und unterstützt die Nachrichtenauthentifizierung, wodurch aktive Nachrichtenattacken verhindert werden. Die SMB-Signierung stellt diese Authentifizierung bereit, indem eine anschließend vom Client und Server überprüfte digitale Signatur in jedes SMB-Paket eingefügt wird.
Diese Einstellung ist standardmäßig deaktiviert. Wenn diese Option aktiviert wird, muss das Windows 2000-SMB-Clientsubsystem die SMB-Paketsignierung ausführen. In diesem Fall kann der Computer nicht mit Servern kommunizieren, die die digitale Signierung nicht unterstützen. Sofern diese Wirkung nicht erwünscht ist, sollte diese Einstellung nicht aktiviert werden. Stellen Sie stattdessen die Option (wenn möglich) auf allen Systemen ein, die die Signierung unterstützen (Windows 2000 und höher). Auf diese Weise können Sie sicherstellen, dass die Signierung immer verwendet wird, wenn dies möglich ist.
Empfehlung: Aktivieren Sie diese Einstellung nicht. | | | | | | | Clientkommunikation digital signieren (wenn möglich)
Sicherheitsziel: Wenn diese Richtlinie aktiviert ist, führt das SMB-Clientsubsystem (Server Message Block) von Windows 2000 bei der Kommunikation mit einem SMB-Server, der die SMB-Paketsignierung unterstützt oder erfordert, eine SMB-Paketsignierung aus. Weitere Informationen hierzu finden Sie unter "Clientkommunikation digital signieren (immer)" in dieser Tabelle.
Empfehlung: Übernehmen Sie die Standardeinstellung (aktiviert). | | | | | | | Serverkommunikation digital signieren (immer)
Sicherheitsziel: Wenn diese Richtlinie aktiviert ist, muss das System die SMB-Paketsignierung (Server Message Block) ausführen, wenn es als SMB-Server fungiert. Diese Richtlinie ist standardmäßig deaktiviert, da der Computer andernfalls nicht mit Clientsystemen ohne Signierungsunterstützung kommunizieren kann. Weitere Informationen hierzu finden Sie unter "Clientkommunikation digital signieren (immer)" in dieser Tabelle.
Empfehlung: Diese Einstellung sollte auf Systemen aktiviert werden, die nicht als SMB-Server für ältere Systeme dienen sollen. Clientarbeitsstationen in einer Domäne sollten nur selten für diesen Zweck eingesetzt werden. Auf Clientarbeitsstationen sollte diese Einstellung daher aktiviert werden. Auf Domänencontrollern verhindert das Aktivieren dieser Einstellung bestimmte Attackentypen, zum Beispiel die im Microsoft-Sicherheitsbulletin MS02-070 beschriebenen Attacken. Dieser Sicherheitsvorteil ist jedoch gegen die Tatsache abzuwägen, dass ältere Clients nicht mit dem Domänencontroller kommunizieren können. Aus diesem Grund sollte diese Einstellung in den Konfigurationsvorlagen für Domänencontroller deaktiviert werden. In einer Umgebung, die nur Windows 2000-Clients oder neuere Clients enthält, sollt diese Einstellung auf den Domänencontrollern aktiviert werden. |
|
| | |
| | Serverkommunikation digital signieren (wenn möglich)
Sicherheitsziel: Wenn diese Richtlinie aktiviert ist, kann das System die SMB-Paketsignierung (Server Message Block) ausführen, wenn es als SMB-Server fungiert. Diese Richtlinie ist auf Arbeitsstations- und Serverplattformen standardmäßig in der Richtlinie für den lokalen Computer deaktiviert. Diese Richtlinie ist auf Domänencontrollern standardmäßig aktiviert. Weitere Informationen hierzu finden Sie unter "Clientkommunikation digital signieren (immer)" in dieser Tabelle.
Empfehlung: Diese Einstellung sollte auf allen Systemen aktiviert werden.
Hinweis: Diese Einstellung verursacht einen Kommunikationsoverhead, der in einigen Fällen erheblich sein kann. Daher sollten Sie diese Einstellung in Ihrer Umgebung testen, um sicherzustellen, dass die Netzwerkreaktionszeiten nicht übermäßig verlangsamt werden. |
|
|
|
|
|
| STRG+ALT+ENTF-Anforderung zur Anmeldung deaktivieren
Sicherheitsziel: Durch das Aktivieren dieser Option wird der Mechanismus für vertraute Pfade deaktiviert. Der Mechanismus für vertraute Pfade verhindert Spoofing-Attacken auf Benutzeranmeldesitzungen. Dieser Mechanismus bewirkt, dass das Betriebssystem STRG+ALT+ENTF-Tastenfolgen immer abfängt, und er verhindert, dass andere Subsysteme und Prozesse diese Tastenfolge aufzeichnen. Wenn dieser Mechanismus deaktiviert ist, kann ein Angreifer die Anmeldebenutzeroberfläche auf einfache Weise mit einer Tastenkombinationsprotokollierung manipulieren. Daher sollte diese Einstellungnie aktiviert werden. Auf einem Windows 2000-Computer ist diese Option standardmäßig deaktiviert, obwohl sie in einem Richtlinientool u. U. als Nicht definiert angezeigt wird.
Empfehlung: Deaktivieren Sie diese Richtlinie.
Hinweis: Normalerweise wird die Standardeinstellung übernommen. Durch Deaktivieren der Option wird jedoch sichergestellt, dass sie auf Computern mit geänderter Einstellung überschrieben wird. | | | | | | | Letzten Benutzernamen nicht im Anmeldedialog anzeigen
Sicherheitsziel: Standardmäßig wird in der Anmeldebenutzeroberfläche von Windows 2000 der Benutzername des zuletzt am Computer angemeldeten Benutzers angezeigt. Wird diese Option aktiviert, wird der Name des letzten Benutzers aus der Anmeldesitzung entfernt. Auf diese Weise muss ein Angreifer, der sich lokal Zugang zum Computer verschaffen will, nicht nur das Kennwort erraten, sondern auch den richtigen Benutzernamen. Das Abrufen einer Liste von Benutzernamen ist jedoch nicht besonders schwierig, und Kennwörter sind nach wie vor der korrekte Verteidigungsmechanismus. Zudem führt das Aktivieren dieser Einstellung zu höheren Kosten für den technischen Support, da Benutzer möglicherweise ihre Benutzernamen vergessen.
Empfehlung: Diese Einstellung sollte auf freigegebenen Computern aktiviert werden, zum Beispiel gemeinschaftlichen Arbeitsstationen oder Terminalservern. Auf anderen Computern ist der Nutzen dieser Einstellung zu gering, um die höheren Supportkosten aufzuwiegen. | | | | | | | LAN Manager-Authentifizierungsebene
Sicherheitsziel: Diese Sicherheitsoption wird zum Erzwingen eines bestimmten Authentifizierungsprotokolls für Windows-Netzwerke verwendet, und sie ermöglicht die Verwendung eines neuen Authentifizierungsprotokolltyps (NTLMv2). NTLMv2 ist ein neues Authentifizierungsprotokoll, das die Sicherheit der Windows-Authentifizierung deutlich verbessert. Es verhindert Spoofing-Attacken und ermöglicht dem Server, sich selbst für den Client zu authentifizieren.
Das NTLM-Protokoll ermöglicht Angreifern aufgrund seiner Beschaffenheit das Aufdecken von Kennwörtern mittels einer aufgezeichneten NTLM-Authentifizierungssitzung. Um dem entgegenzuwirken, wurde NTLM Version 2 entwickelt. NTLMv2 enthält zusätzliche Sicherheitsfeatures, zum Beispiel:
Eindeutige Sitzungsschlüssel pro Verbindung. Jedes Mal, wenn eine neue Verbindung hergestellt wird, wird ein eindeutiger Sitzungsschlüssel für diese Sitzung generiert. Dies bedeutet, dass ein aufgezeichneter Sitzungsschlüssel nach Beendigung der Verbindung nicht mehr von Nutzen ist.
Situngsschlüssel werden anhand eines Schlüsselaustausches geschützt. Der Sitzungsschlüssel kann nur dann abgefangen und verwendet werden, wenn das zum Schützen des Sitzungsschlüssels verwendete Schlüsselpaar bekannt ist.
Eindeutige für die Verschlüsselung und Integrität von Sitzungsdaten generierte Schlüssel. Der Schlüssel für die Verschlüsselung der vom Client an den Server gesendeten Daten unterscheidet sich von dem Schlüssel, der für Daten vom Server zum Client verwendet wird.
Starke Verschlüsselung. NTLMv2 verwendet ein stärkeres Verschlüsselungsprotokoll für die Sitzungsschlüssel sowie einen stärkeren Hashingalgorithmus für die Nachrichtenintegrität und Authentifizierungssequenzen.
Weitere Informationen zu NTLMv2 finden Sie im Microsoft Knowledge Base-Artikel 147706 "How to Disable LM Authentication on Windows NT" (in Englisch). NTLMv2 ist seit Windows NT 4.0 Service Pack 4 erhältlich und für Windows 9x im Verzeichnisdienstclient im Verzeichnis Clients\Win9x auf der Windows 2000-CD-ROM verfügbar. Diese Einstellung wird in der Literatur häufig als LMCompatibilityLevel bezeichnet. Dies ist der Name der zum Aktivieren der Option verwendeten Registrierungsoption.
Die Einstellung betrifft sowohl das Authentifizierungsprotokoll als auch das nach der Authentifizierung verwendete Sitzungssicherheitsprotokoll. Alle Windows NT-basierten Systeme seit Windows NT 4.0 SP4 (einschließlich Windows 2000, Windows XP und Microsoft Windows Server 2003) unterstützen SMB-Clientverbindungen mit der NTLMv2- Authentifizierung ohne weitere Änderung. Die Einstellung LMCompatibilityLevel dient zum Ändern mehrerer Aspekte der Authentifizierung:
Ändern der Authentifizierungsprotokolle, die als Clients agierende Systeme senden. Ändern der Authentifizierungsprotokolle, die als Server agierende Server akzeptieren. Der Wert der Einstellung auf dem Computer mit der Kontodatenbank bestimmt dieses Verhalten. Wenn Domänenkonten verwendet werden, tritt folglich der Einstellungswert auf dem Domänencontroller in Kraft. Bei der Verwendung von lokalen Konten ist der Einstellungswert auf dem Server wirksam.
Aktivieren Sie die NTLMv2-Sitzungssicherheit.
Dieses Verhalten wird durch sechs möglichen Einstellungen definiert. Die in Klammern angegebenen Zahlen sind die tatsächlichen Einstellungen für den Registrierungswert LMCompatibilityLevel. In der Spalte "Clientverhalten" wird beschrieben, wie sich ein Computer mit dieser Einstellung als SMB-Client verhält. Die Spalte "Serververhalten" zeigt, wie sich der für die Authentifizierung zuständige Server verhält, wenn diese Einstellung auf dem Server vorgenommen wird. Wenn Domänenkonten verwendet werden und der Domänencontroller erreichbar ist, ist der Authentifizierungsserver immer der Domänencontroller. Wenn der Domänencontroller nicht erreichbar ist oder lokale Konten verwendet werden, ist der Server, mit dem der Client eine Verbindung herstellt, der Authentifizierungsserver. LM- und NTLM-Antworten senden (0 oder fehlt) | Verwendet LM- und NTLM-Authentifizierung, NTLMv2- Authentifizierung oder Sitzungssicherheit werden nie verwendet. | Akzeptiert LM-, NTLM- und NTLMv2- Authentifizierung. | LM- und NTLM-Antworten senden (NTLMv2-Sitzungssicherheit verwenden, wenn ausgehandelt) (1) | Verwendet LM- und NTLM-Authentifizierung, verwendet NTLMv2-Sitzungsicherheit, sofern diese vom Server unterstützt wird. Diese Einstellung aktiviert lediglich die NTLMv2-Sitzungssicherheit auf dem Client. Sie ändert nicht das von Clients verwendete Authentifizierungs-
protokoll. | Akzeptiert LM-, NTLM- und NTLMv2- Authentifizierung. | Nur NTLM-Antworten senden (2) | Clients verwenden nur NTLM-Authentifizierung, NTLMv2-Sitzungsicherheit wird verwendet, sofern diese vom Server unterstützt wird. Diese Einstellung verhindert, dass Clients die LM-Authentifizierung verwenden, sie ermöglicht Clients jedoch nicht die Verwendung der NTLMv2- Authentifizierung. | Akzeptiert LM-, NTLM- und NTLMv2- Authentifizierung. | Nur NTLMv2-Antworten senden\LM verweigern (4) | Verwendet nur NTLMv2- Authentifizierung, verwendet NTLMv2-Sitzungssicherheit, sofern diese vom Server unterstützt wird. | Lehnt LM ab (akzeptiert nur NTLM- und NTLMv2- Authentifizierung). Dies ist die höchste Einstellung, bei der ein RRAS-Server noch funktioniert. Wird LMCompatibilityLevel auf einem dieser Systeme auf 5 eingestellt, werden keine eingehenden Verbindungen mehr akzeptiert. | Nur NTLMv2-Antworten senden\LM und NTLM verweigern (5) | Verwendet nur NTLMv2- Authentifizierung, verwendet NTLMv2-Sitzungssicherheit, sofern diese vom Server unterstützt wird. | Akzeptiert nur NTLMv2- Authentifizierung. Diese Einstellung zerstört die Domänenvertrauensstellung, wenn Windows NT 4.0-Domänencontroller mit einem niedrigeren Einstellungswert als 4 vorhanden sind. Wenn Sie LMCompatibilityLevel auf diesen Systemen auf Nur NTLMv2-Antworten senden\LM verweigern (4) einstellen, funktioniert die Vertrauensstellung von Systemen weiterhin. Sie können jedoch keine älteren Clients bedienen, die die NTLM-Authentifizierung nicht unterstützen. | | | | | | |
Empfehlung: Stellen Sie diese Option entsprechend den folgenden Richtlinien so hoch ein wie dies in Ihrer Umgebung möglich ist:
In einer reinen Windows NT 4.0 SP4 und höher Umgebung (einschließlich Windows 2000 und XP) stellen Sie diese Option auf allen Clients auf 5 ein, und setzen Sie die Option nach der Konfiguration aller Clients auf allen Servern ebenfalls auf 5. Eine Ausnahme sind Windows 2000-RRAS-Server, die bei einer höheren Einstellung als 4 nicht korrekt funktionieren.
Wenn Sie mit Windows 9x-Clients arbeiten und den DSClient auf all diesen Clients installieren können, stellen Sie diese Option auf Windows NT-basierten Computern (NT, 2000 und XP) auf 5 und auf Windows 9x-Computern auf 3 ein. Andernfalls darf auf Nicht-Windows 9x-Computern höchstens die Einstellung 3 verwendet werden.
Wenn Sie feststellen, dass Anwendungen bei dieser Einstellung nicht funktionieren, setzen Sie sie nach und nach auf eine niedrigere Einstellung, und überprüfen Sie die Fehlerursache. Diese Einstellung sollte auf allen Computern mindestens auf 1 gesetzt werden, und normalerweise ist auf allen Computern eine Einstellung von 3 möglich. Wenn Sie einen Prioritätsunterstützungsvertrag besitzen, wenden Sie sich an PSS, und teilen Sie dem Support mit, welche Anwendungen bei welcher Einstellungsebene nicht funktionieren.
Hinweis: Wird LMCompatibility in einer gemischten Domänenumgebung mit Windows NT 4.0 und Windows 2000 auf einen höheren Wert als 2 eingestellt, kann dies zu Interoperabilitätsproblemen führen. Weitere Informationen finden Sie im Microsoft Knowledge Base-Artikel 305379 "Authentication Problems in Windows 2000 with NTLM 2 Levels Above 2 in a Windows NT 4.0 Domain" (in Englisch).
Die Vorlage W2KHG-baseline.inf template stellt LMCompatibilityLevel auf Nur NTLMv2-Antworten senden (3) ein.
|
|
|
|
|
|
| Warnung zur autorisierten Verwendung implementieren
Sicherheitsziel: Konfigurieren Sie den interaktiven Anmeldebildschirm, um eine Anmeldenachricht mit Titel und Warnung anzuzeigen. Diese Nachricht dient in erster Linie zur Einhaltung der Richtlinien für die autorisierte Verwendung und zum Informieren der Benutzer über diese Richtlinien. Wenden Sie sich an Ihre Rechtsabteilung, um festzustellen, ob rechtliche Gründe für die Verwendung einer solchen Nachricht sprechen oder diese erfordern. Empfehlung: Definieren Sie diese Nachricht entsprechend Ihrer Informationssicherheitsrichtlinie. |
|
|
|
| | | Zwischenspeicherung von Anmeldeinformationen deaktivieren
Sicherheitsziel: Windows 2000 kann Anmeldeinformationen zwischenspeichern. Wenn der Domänencontroller während der Anmeldung nicht gefunden werden kann und sich der Benutzer in der Vergangenheit am System angemeldet hat, kann er sich mit diesem Anmeldeinformationen anmelden. Diese Option ist zum Beispiel auf tragbaren Computern hilfreich, die verwendet werden müssen, wenn der Benutzer nicht im Netzwerk ist. Der Registrierungswert CachedLogonsCount legt fest, wie viele Benutzerkonteneinträge Windows 2000 im Anmeldecache auf dem lokalen Computer speichert. Der Anmeldecache ist ein gesicherter Bereich des Computers, und die Anmeldeinformationen werden durch die sicherste im System verfügbare Verschlüsselungsform geschützt. Wenn dieser Eintrag auf 0 gesetzt ist, speichert Windows 2000 keine Benutzerkontendaten im Anmeldecache. Wenn der Domänencontroller des Benutzers nicht verfügbar ist und ein Benutzer versucht, sich an einem Computer ohne Konteninformationen anzumelden, zeigt Windows 2000 in diesem Fall die folgende Meldung an: Das System kann Sie jetzt nicht anmelden, da die Domäne <Domänenname> nicht verfügbar ist.
Wenn der Administrator das Domänenkonto eines Benutzers deaktiviert, kann sich der Benutzer weiterhin mithilfe des Caches anmelden, indem er das Netzkabel abtrennt. Um dies zu verhindern, können Administratoren die Zwischenspeicherung von Anmeldeinformationen deaktivieren. Die Standardeinstellung lässt die Zwischenspeicherung von 10 Anmeldeinformationssätzen zu.
Empfehlung: Stellen Sie diese Option mindestens auf 2 ein, um sicherzustellen, dass das System verwendbar ist, wenn die Domänencontroller heruntergefahren oder nicht verfügbar sind. |
|
|
|
|
|
| Systemwartung des Computerkontokennworts nicht gestatten
Sicherheitsziel: Computer in einer Windows 2000-Domäne müssen sich selbst für den Domänencontroller authentifizieren, bevor Sie Domänenressourcen verwenden können. Diese Einstellung legt fest, ob das wöchentliche Zurücksetzen des Kennworts für das Computerkonto verhindert wird. Im Rahmen der Windows 2000-Sicherheit werden Kennwörter für einComputerkonto automatisch alle sieben Tage geändert. Wenn diese Richtlinie aktiviert ist, kann der Computer die wöchentliche Kennwortänderung nicht anfordern. Wenn diese Richtlinie deaktiviert ist, wird jede Woche ein neues Kennwort für das Computerkonto generiert. Diese Richtlinie ist standardmäßig deaktiviert.
Empfehlung: Deaktivieren Sie diese Richtlinie, um die korrekte Konfiguration auf Computern zu gewährleisten, auf denen die Einstellung irgendwann überschrieben wurde. Für die Aktivierung dieser Richtlinie gibt es praktisch keinen Grund. |
|
|
|
| | | Anwendern das Installieren von Druckertreibern nicht erlauben
Sicherheitsziel: Legt fest, ob Mitgliedern der Gruppe Benutzer das Installieren von Druckertreibern untersagt wird. Wenn diese Richtlinie aktiviert ist, können Benutzer keine Druckertreiber auf dem lokalen Computer installieren. Dadurch wird verhindert, dass Benutzer Drucker hinzufügen, wenn der Gerätetreiber nicht auf dem lokalen Computer vorhanden ist. Wenn diese Richtlinie deaktiviert ist, kann ein Mitglied der Gruppe Benutzer Druckertreiber auf dem Computer installieren. Diese Einstellung ist standardmäßig auf Servern aktiviert und auf Arbeitsstationen deaktiviert, um den Supportoverhead durch die auf Administratoren beschränkte Installation von Druckertreibern zu reduzieren. Das Aktivieren dieser Einstellung würde zwar die Sicherheit von Arbeitsstationen geringfügig verbessern, der Verwaltungsoverhead nimmt dadurch aber erheblich zu. Sie müssen diesen Aspekt gegen das dritte konstante Gesetz der Sicherheit abwägen, das Folgendes besagt: Wenn ein böswilliger Benutzer uneingeschränkten physikalischen Zugriff auf Ihren Computer hat, ist er nicht mehr Ihr Computer.
Empfehlung: Ändern Sie diese Einstellung nicht. | | | | | | | Anwender vor Ablauf des Kennworts zum Ändern des Kennworts auffordern
Sicherheitsziel: Diese Option legt fest, wie früh im Voraus Windows 2000-Benutzer über den Ablauf ihrer Kennwörter informiert werden. Durch eine solche Warnung erhält der Benutzer ausreichend Zeit, um sich ein sicheres Kennwort auszudenken. Dieser Wert ist standardmäßig auf 14 Tage eingestellt.
Empfehlung: Keine. Die Standardeinstellung ist ausreichend. | | | | | | |
Wiederherstellungskonsole: Automatische administrative Anmeldungen zulassen
Sicherheitsziel: Die Wiederherstellungskonsole erfordert standardmäßig, dass vor dem Zugriff auf das System ein Kennwort für das Administratorkonto eingegeben wird. Wenn diese Option aktiviert ist, erfordert die Wiederherstellungskonsole kein Kennwort, und die Anmeldung am System erfolgt automatisch. Diese Einstellung ist standardmäßig deaktiviert, obwohl in einem Richtlinientool u. U. Nicht definiert angezeigt wird.
Empfehlung: Deaktivieren Sie diese Option.
|
|
|
|
|
|
| Wiederherstellungskonsole: Kopieren von Disketten und Zugriff auf alle Laufwerke und alle Ordner zulassen
Sicherheitsziel: Durch das Aktivieren dieser Option wird der Wiederherstellungskonsolenbefehl SET aktiviert, der die Einstellung der folgenden Umgebungsvariablen für die Wiederherstellungskonsole ermöglicht:
AllowWildCards- Aktiviert die Platzhalterunterstützung für einige Befehle (zum Beispiel den
DEL-Befehl).
AllowAllPaths- Ermöglicht den Zugriff auf alle Dateien und Ordner auf dem Computer.
AllowRemovableMedia- Ermöglicht das Kopieren von Dateien auf Wechselmedien wie Disketten.
NoCopyPrompt- Unterdrückt die Anzeige einer Eingabeaufforderung beim Überschreiben einer vorhandenen Datei. Standardmäßig ist der SET-Befehl deaktiviert, und diese Variablen sind nicht aktiviert. In einem Richtlinientool wird jedoch u. U. Nicht definiert angezeigt wird.
Empfehlung: Aktivieren Sie diese Option, um die Möglichkeit der Systemwiederherstellung über die Wiederherstellungskonsole zu verbessern. |
|
|
|
|
|
| Administratorkonto umbenennen
Sicherheitsziel: Diese Option dient zum Ändern des zugeordneten Namens der Sicherheitskennung (SID) für das Amdinistratorkonto. Diese Option hat praktisch keinen Wert für die Sicherheit, da der Name des Administratorkontos leicht festzustellen ist, wenn der anonyme Zugriff nicht deaktiviert ist. Wenn Weitere Einschränkungen für anonyme Verbindungen auf Aufzählung von SAM-Konten und Freigaben nicht zulassen eingestellt ist, bietet diese Einstellung jedoch ein geringes Maß an Sicherheit. Ein Benutzername ist jedoch kein Kennwort, und zum Schutz des Administratorkontos sollte nicht ein geänderter Name, sondern ein sicheres Kennwort verwendet werden. Zudem funktionieren einige Programme nicht, wenn das Administratorkonto umbenannt wird.
Empfehlung: Das Umbenennen des Administratorkontos ist nur dann für die Sicherheit von Nutzen, wenn Sie auch die anonyme Aufzählung von SAM-Konten beschränken können. | | | | | | | Gastkonto umbenennen
Sicherheitsziel: Diese Option dient zum Ändern des zugeordneten Namens der Sicherheitskennung (SID) für das Gastkonto. Diese Einstellung verbessert die Sicherheit nicht.
Empfehlung: Das Umbenennen des Gastkontos lohnt sich aus Sicherheitsgründen nicht. Stellen Sie lediglich sicher, dass es deaktiviert ist. | | | | | | |
Zugriff auf CD-ROM-Laufwerke auf lokal angemeldete Benutzer beschränken
Sicherheitsziel: Diese Option legt fest, ob eine CD-ROM gleichzeitig für lokale Benutzer und Remotebenutzer zugänglich ist. Wird diese Option aktiviert, können nur interaktiv angemeldete Benutzer auf CD-ROMs zugreifen. Wird diese Option deaktiviert, kann die CD-ROM über das Netzwerk freigegeben werden, wenn kein Benutzer interaktiv angemeldet ist.
Empfehlung: Diese Einstellung biet sehr wenig Sicherheit. Dies gilt insbesondere, da sie nur wirksam ist, wenn ein Benutzer angemeldet ist. Aktivieren Sie diese Einstellung nicht.
| | | | | | | Zugriff auf Diskettenlaufwerke auf lokal angemeldete Benutzer beschränken
Sicherheitsziel: Diese Option legt fest, ob ein Diskettenlaufwerk gleichzeitig für lokale Benutzer und Remotebenutzer zugänglich ist. Wird diese Option aktiviert, können nur interaktiv angemeldete Benutzer auf Disketten zugreifen. Wird diese Option deaktiviert, kann die Diskette über das Netzwerk freigegeben werden, wenn kein Benutzer interaktiv angemeldet ist.
Empfehlung: Diese Einstellung biet sehr wenig Sicherheit. Dies gilt insbesondere, da sie nur wirksam ist, wenn ein Benutzer angemeldet ist. Aktivieren Sie diese Einstellung nicht. | | | | | | | Sicherer Kanal: Daten des sicheren Kanals digital verschlüsseln oder signieren (immer)
Sicherheitsziel: Diese Option legt fest, ob der Computer die Daten des sicheren Kanals immer digital verschlüsselt oder signiert. Der sichere Kanal wird für die Kommunikation zwischen Domänencontrollern und Domänenmitgliedern verwendet. Wenn ein Windows 2000-System einer Domäne hinzugefügt wird, wird ein Computerkonto erstellt. Wird das System anschließend gestartet, verwendet es das Kennwort für dieses Konto, um einen sicheren Kanal mit dem Domänencontroller für seine Domäne zu erstellen. Zu dem durch den sicheren Kanal geleiteten Verkehr zählt zum Beispiel Anmeldeverkehr. Über den sicheren Kanal gesendete Anforderungen werden authentifiziert, und wichtige Informationen (zum Beispiel Kennwörter) werden verschlüsselt. Für den Kanal wird jedoch keine Integritätsprüfung ausgeführt, und nicht alle Informationen werden verschlüsselt. Wenn diese Richtlinie aktiviert ist, muss der gesamte ausgehende Verkehr des sicheren Kanals signiert oder verschlüsselt werden. Wenn diese Richtlinie deaktiviert ist, werden Signierung und Verschlüsselung mit dem Domänencontroller ausgehandelt. Diese Richtlinie ist standardmäßig deaktiviert.
Empfehlung: Diese Richtlinie sollte nur aktiviert werden, wenn Sie die Kommunikation des Systems mit älteren Domänen verhindern möchten. | | | | | | | Sicherer Kanal: Daten des sicheren Kanals digital verschlüsseln (wenn möglich)
Sicherheitsziel: Diese Option legt fest, ob der Computer die Verschlüsselung des sicheren Kanals mit einem Domänencontroller aushandelt. Standardmäßig sind alle wichtigen Informationen bereits verschlüsselt. Wenn diese Richtlinie aktiviert ist, verschlüsselt das System bei der Kommunikation mit Domänencontrollern, die die Verschlüsselung unterstützen, den gesamten Verkehr durch den sicheren Kanal. Diese Option ist standardmäßig aktiviert.
Empfehlung: Ändern Sie die Standardeinstellung nicht. | | | | | | | Sicherer Kanal: Daten des sicheren Kanals digital signieren (wenn möglich)
Sicherheitsziel: Diese Option legt fest, ob der Computer die Integritätssignierung der Daten des sicheren Kanals aushandelt. Über den sicheren Kanal gesendete Anforderungen werden authentifiziert, und wichtige Informationen (zum Beispiel Kennwörter) werden verschlüsselt. Für den Kanal wird jedoch keine Integritätsprüfung ausgeführt, und nicht alle Informationen werden verschlüsselt. Wenn diese Richtlinie aktiviert ist, wird der Verkehr durch den sicheren Kanal bei der Kommunikation mit Domänencontrollern, die die Signierung unterstützen, digital signiert. Diese Option ist standardmäßig aktiviert.
Empfehlung: Ändern Sie die Standardeinstellung nicht. | | | | | | | Sicherer Kanal: Starker Sitzungsschlüssel erforderlich (Windows 2000 oder höher)
Sicherheitsziel: Wenn diese Richtlinie aktiviert ist, erfordert der ausgehende Verkehr durch den sicheren Kanal einen starken (Windows 2000 oder höher) Verschlüsselungsschlüssel. Wird diese Richtlinie deaktiviert, wird die Schlüsselstärke mit dem Domänencontroller ausgehandelt. Diese Option sollte nur aktiviert werden, wenn alle Domänencontrollern in allen vertrauten Domänen starke Schlüssel unterstützen. Diese Richtlinie ist standardmäßig deaktiviert.
Empfehlung: Aktivieren Sie diese Richtlinie, wenn alle legitimierten Domänencontroller Windows 2000 oder höher ausführen. Andernfalls sollte diese Option deaktiviert werden. |
|
|
|
| | | Unverschlüsseltes Kennwort senden, um Verbindung mit SMB-Servern von Drittanbietern herzustellen
Sicherheitsziel: Wenn diese Richtlinie aktiviert ist, kann der SMB-Redirectordienst (Server Message Block) Klartextkennwörter an Nicht-Microsoft-SMB-Server senden, die die Kennwortverschlüsselung während der Authentifizierung nicht unterstützen. Diese Option ist standardmäßig deaktiviert.
Empfehlung: Deaktivieren Sie diese Option, um sicherzustellen, dass auf einzelnen Computern vorgenommene Änderungen überschrieben werden. |
|
|
|
|
|
| System sofort herunterfahren, wenn Sicherheitsüberprüfungen nicht protokolliert werden können
Sicherheitsziel: Diese Option legt fest, ob das System heruntergefahren wird, wenn es Sicherheitsereignisse nicht protokollieren kann. Wenn diese Richtlinie aktiviert ist, wird das System heruntergefahren, wenn eine Sicherheitsüberwachung nicht protokolliert werden kann. Normalerweise schlägt die Protokollierung eines Ereignisses fehl, weil das Sicherheitsüberwachungsprotokoll voll ist und die Aufbewahrungsmethode auf Ereignisse nicht überschreiben oder Ereignisse auf Tagen basierend überschreiben eingestellt ist. Wenn das Sicherheitsprotokoll voll ist und kein vorhandener Eintrag überschrieben werden kann, wird bei Verwendung dieser Option der folgende Bluescreen-Fehler angezeigt:
STOPP: C0000244 {Überwachung fehlgeschlagen}
Ein Versuch zur Erzeugung einer Sicherheitsüberwachung ist fehlgeschlagen. Zum Beheben dieses Fehlers muss sich ein Administrator anmelden, er muss das Protokoll archivieren (optional), das Protokoll löschen und diese Option wie gewünscht zurücksetzen. Diese Richtlinie ist standardmäßig deaktiviert. Wird diese Option aktiviert, kann ein Angreifer leicht eine DoS-Bedingung (Dienstverweigerung) verursachen, indem er einfach eine große Anzahl von Ereignisprotokolleinträgen erzeugt. Empfehlung: Aktivieren Sie diese Richtlinie nicht. Durch geeignete Protokollverwaltungsstrategien können Ereignisverluste vermieden werden, ohne Angreifern die Möglichkeit zu geben, Dos-Bedingungen hervorzurufen. | | | | | | | Verhalten beim Entfernen von Smartcards
Sicherheitsziel: Diese Option legt fest, was passiert, wenn die Smartcard für einen angemeldeten Benutzer aus dem Smartcard-Leser entfernt wird. Folgende Optionen stehen zur Auswahl:
Keine Aktion
Arbeitsstation sperren
Abmeldung erzwingen
Die Standardeinstellung ist Keine Aktion. Bei Verwendung von Arbeitsstation sperren wird die Arbeitsstation beim Entfernen der Smartcard gesperrt. Auf diese Weise können Benutzer beim Verlassen des Arbeitsplatzes ihre Smartcards mitnehmen und trotzdem eine geschützte Sitzung aufrechterhalten. Wenn Abmelden erzwingen ausgewählt wird, wird der Benutzer beim Entfernen der Smartcard automatisch abgemeldet.
Empfehlung: Konfigurieren Sie das Verhalten beim Entfernen der Smartcard zum Sperren der Arbeitsstation. Hinweis: Die Smartcard-Anmeldung wird nur in einer Domänenumgebung unterstützt. Daher hat diese Einstellung keine Auswirkung auf eigenständige Systeme. |
|
|
|
| | | Standardberechtigungen globaler Systemobjekte (zum Beispiel symbolischer Verknüpfungen) verstärken
Sicherheitsziel: Diese Option legt die Stärke der wahlfreien Zugriffssteuerungsliste (DACL) für Systemobjekt fest. Windows 2000 unterhält eine globale Liste von freigegebenen Systemressourcen, zum Beispiel DOS-Dienstnamen, Mutexe und Semaphore. Objekte können gesucht und zwischen Prozessen freigegeben werden. Jeder Objekttyp wird mit einer Standard-DACL erstellt, die festlegt, wer mit welchen Berechtigungen auf die Objekte zugreifen kann. Wenn diese Richtlinie aktiviert ist, wird die Standard-DACL verstärkt, so dass Nicht-Administratoren freigegebene Objekte lesen, aber nur die von ihnen selbst erstellten Objekte ändern können. Diese Option ist standardmäßig lokal auf Windows 2000 Professional und Server aktiviert, sie ist jedoch nicht in der Domänensicherheitsrichtlinie definiert.
Empfehlung: Stellen Sie sicher, dass die Einstellung aktiviert ist. |
|
|
|
|
|
| Verhalten bei der Installation von nichtsignierten Treibern
Sicherheitsziel: Diese Option legt fest, was bei der Installation eines nicht vom Herausgeber signierten Gerätetreibers (mit der Windows 2000-Geräteinstallation) passiert. Folgende Optionen stehen zur Auswahl:
Ohne Warnung akzeptieren
Warnen, aber Installation erlauben
Installation nicht erlauben
Die Standardeinstellung ist Warnen, aber Installation erlauben.
Empfehlung: Die Standardeinstellung ist ausreichend. | | | | | | | Verhalten bei der Installation von nichtsignierten Dateien (außer Treibern)
Sicherheitsziel: Diese Option legt fest, was bei der Installation von nicht signierter Software (kein Treiber) passiert.
Folgende Optionen stehen zur Auswahl:
Ohne Warnung akzeptieren
Warnen, aber Installation erlauben
Installation nicht erlauben
Die Standardeinstellung ist Ohne Warnung akzeptieren.
Empfehlung: Heutzutage ist Software nur selten digital signiert. Daher hat diese Einstellung keine wirkliche Auswirkung. Übernehmen Sie die Standardeinstellung. | | | | | | |
Zusätzliche SicherheitseinstellungenDie in diesem Abschnitt beschriebenen zusätzlichen Sicherheitseinstellungen sind nicht in den standardmäßigen grafischen Benutzeroberflächen für Sicherheitsrichtlinien verfügbar. Diese Einstellungen können mit dem Registrierungs-Editor oder durch Installation der mit diesem Handbuch gelieferten angepassten Vorlage sceregvl.inf konfiguriert werden. Die angepasste Vorlage sceregvl.inf fügt diese Einstellungen der standardmäßigen grafischen Benutzeroberfläche für Sicherheitsrichtlinien hinzu. Informationen zum Bearbeiten der Registrierung erhalten Sie über die Hilfe im Registrierungs-Editor. Sie können zum Beispiel wie im Folgenden beschrieben Anweisungen zum Hinzufügen eines Schlüssels zur Registrierung anzeigen. | • | So zeigen Sie Anweisungen zum Hinzufügen eines Schlüssels zur Registrierung an 1. | Wählen Sie im Menü Start den Befehl Ausführen. | 2. | Geben Sie im Textfeld für das Dialogfeld Ausführen den Befehl regedt32 ein, und klicken Sie auf OK, um den Registrierungs-Editor(Regedt32.exe) zu öffnen. | 3. | Wählen Sie im Menü Hilfe den Befehl Hilfethemen. | 4. | Klicken Sie im rechten Bereich der Hilfe für den Registrierungs-Editor auf den Hyperlink Informationen zur Registrierung hinzufügen und daraus löschen. | 5. | Im Bereich wird nun eine Liste der Hilfethemen zum Hinzufügen und Löschen von Information in der Registrierung angezeigt. Klicken Sie auf den Hyperlink Schlüssel zur Registrierung hinzufügen, um ausführliche Anweisungen anzuzeigen. |
|
Hinweis: Zum Ändern von Registrierungseinstellungen sollte regedt32.exe (Windows NT Registrierungs-Editor) verwendet werden. Von der Verwendung von regedit.exe (Windows 95 Registrierungs-Editor) wird abgeraten. Beide Editoren werden mit Windows 2000 geliefert, und regedit.exe gilt im Allgemeinen als leichter zu verwenden. regedit.exe unterstützt jedoch nicht alle Registrierungsdatentypen und konvertiert bestimmte nicht erkannte Daten. Bestimmte Werte werden nicht korrekt gelesen, wenn sie konvertiert werden. Dies kann schwerwiegende Systemprobleme verursachen, u. U. lässt sich das System sogar nicht mehr starten.Die manuelle Bearbeitung der Registrierung erfolgt auf eigene Gefahr. Erstellen Sie vor dem Ändern der Registrierung eine Sicherungskopie, und machen Sie sich mit der Wiederherstellung der Registrierung im Fall eines Problems vertraut. Weitere Informationen zum Sichern, Wiederherstellen und Bearbeiten der Registrierung finden Sie im Microsoft Knowledge Base-Artikel 256986 "Description of the Microsoft Windows Registry" (in Englisch). Weitere RegistrierungseinstellungenDie in diesem Abschnitt beschriebenen Registrierungseinstellungen können zur weiteren Verbesserung der Sicherheit des Betriebssystems verwendet werden. Mit Ausnahme der Einstellungen im Abschnitt "Registrierungseinträge für Service Pack 3" sind diese Einstellungen in allen Versionen von Windows 2000 verfügbar. OS/2- und POSIX-Subsysteme entfernenDie OS/2- und POSIX-Subsysteme sind aus Gründen der Kompatibilität mit POSIX- und OS/2-Anwendungen enthalten. Diese Anwendungstypen müssen nur selten unter Windows 2000 ausgeführt werden, und in den meisten Fällen können diese Subsysteme sicher entfernt werden. Sie sollten jedoch eine Sicherungskopie des Registrierungsschlüssels erstellen, bevor Sie diesen manuell entfernen. (Stattdessen können Sie auch die Vorlage verwenden. Diese ermöglicht das Zurücksetzen der Einstellung). Zum Entfernen der OS/2- und POSIX-Unterstützung aus Windows 2000 bearbeiten Sie die Registrierung, und löschen Sie den Wert wie in der folgenden Tabelle dargestellt. Tabelle 5: Registrierungsschlüssel zum Entfernen der POSIX- und OS/2-Unterstützung Schlüssel: SubSystems
Name des Wertes: Optional | REG_MULTI_SZ | Alle Einträge löschen |
Hinweis: Zur manuellen Durchführung dieser Änderung mussunbedingt das Tool regedt32.exe verwendet werden. Regedit.exe verarbeitet REG_MULTI_SZ-Werte nicht. Wenn Sie mithilfe von regedit.exe alle Einträge aus dem Wert Optional löschen, wird das System neu gestartet. Weitere Informationen finden Sie im Hinweis auf der vorhergehenden Seite. Wenn Sie diese Änderung mithilfe von Gruppenrichtlinien vornehmen, wird die Änderung korrekt vorgenommen. Hinweis: Dell-Computer wurden früher mit bestimmten Updatedateien mit einem für OS/2 geschriebenen Extrahierungsprogramm geliefert. Diese Updatedateien funktionieren nach dem Entfernen des OS/2-Subsystems nicht mehr. Hinweis: Die Microsoft-Dienste für Unix erfordern das Posix-Subsystem. Entfernen Sie dieses Subsystem nicht von einem Computer, auf dem Dienste für Unix ausgeführt werden müssen. Null-Sitzungszugriff beschränkenNull-Sitzungen werden für verschiedene nicht authentifizierte Kommunikationszwecke mit älteren Systemen verwendet. Sie können über die unterschiedlichen Freigaben auf dem Computer genutzt werden. Wenn Sie den Zugriff von Null-Sitzungen auf den Computer verhindern möchten, fügen Sie der Registrierung einen Wert mit dem Namen RestrictNullSessAccess hinzu. Wird dieser Wert auf 1 eingestellt, wird der Null-Sitzungszugriff auf alle Serverpipes und -freigaben beschränkt, mit Ausnahmen der in den Einträgen NullSessionPipes und NullSessionShares aufgelisteten Pipes und Freigaben. Tabelle 6: Registrierungsschlüssel zum Verhindern von Null-Sitzungen Schlüssel: Parameters
Name des Wertes: RestrictNullSessAccess | REG_DWORD | 1 |
Null-Sitzungszugriff über Named Pipes und Freigaben beschränkenDie Beschränkung dieses Zugriffstyps trägt dazu bei, nicht autorisierten Zugriff über das Netzwerk zu verhindern. Zum Beschränken des Null-Sitzungszugriffs über Named Pipes und freigegebene Verzeichnisse bearbeiten Sie die Registrierung und löschen die Werte wie in der folgenden Tabelle dargestellt. Tabelle 7: Registrierungsschlüssel zum Verhindern von Null-Sitzungen über Named Pipes und Freigaben Schlüssel: Parameters
Namen der Werte: NullSessionPipes, NullSessionShares | REG_MULTI_SZ | Alle Werte löschen |
Hinweis: Bestimmte Dienste müssen den Null-Sitzungszugriff verwenden. Microsoft Commercial Internet System 1.0 erfordert zum Beispiel die SQL\Abfrage-Pipe auf dem verwendeten Microsoft SQL Server-Computer, damit der POP3-Dienst funktioniert. Computer aus der Netzwerksuchliste ausblendenIn Windows-Domänen und -Arbeitsgruppen verwaltet ein Computer eine Liste von Ressourcen im Netzwerk. Diese als Suchliste bezeichnete Liste enthält die im Netzwerk verfügbaren Freigaben, Drucker usw. Alle Computer mit installiertem SMB-Protokoll kündigen sich dieser vom Hauptsuchdienst verwalteten Ressourcenliste standardmäßig selbst an, unabhängig davon, ob sie bereitzustellende Ressourcen enthalten. Dies verursacht in vielen Fällen einen unnötigen Netzwerkoverhead, und zudem wird einem potentiellen Angreifer innerhalb der Firewall das Generieren einer Liste von verfügbaren Netzwerkressourcen erleichtert. Daher sollte die Suchdienstankündigung von Computern ohne solche Ressourcen deaktiviert werden. Eine Methode hierzu ist das Deaktivieren des Computersuchdienstes. Dadurch werden Clientcomputer jedoch auch am Abrufen einer Kopie der Suchliste gehindert, wodurch Endbenutzern die Suche nach legitimierten Netzwerkressourcen erheblich erschwert wird. Eine bessere Lösung ist das Ausblenden des Computers aus der Suchliste. Diese Methode sollte in erster Linie nur auf Arbeitsstationen und Laptops verwendet werden. Die mit diesem Handbuch gelieferten zwei Arbeitsstationsvorlagen und die Laptopvorlage deaktivieren diese Einstellung daher. Tabelle 8: Registrierungsschlüssel zum Ausblenden des Computers aus der Netzwerksuchliste Schlüssel: Parameters
Namen der Werte: hidden | REG_DWORD | 1 |
Hinweis: Hierdurch wird nicht verhindert, dass ein Angreifer eine Liste der Ressourcen im Netzwerk erstellt. Eine solche Liste kann auf unterschiedliche Weise generiert werden. Wenn die anonyme Aufzählung von SAM-Konten und Freigaben nicht deaktiviert ist, ist dies besonders einfach. Das Erstellen einer solchen Liste nimmt bei Verwendung dieser Einstellung jedoch etwas mehr Zeit in Anspruch. Registrierungseinträge für Service Pack 3Service Pack 3 enthält eine Reihe neuer Registrierungseinträge, die zum Verbessern der Sicherheit des Betriebssystems konfiguriert werden können. Standardmäßige IPSec-Ausnahmen entfernenEinige Verkehrstypen sind aufgrund ihres Entwurfs von der Sicherung durch IPSec ausgenommen. Dies gilt auch, wenn die IPSec-Richtlinie die Sicherung des gesamten IP-Verkehrs definiert. Die IPSec-Ausnahmen gelten für Broadcast-, Multicast-, RSVP-, IKE- und Kerberos-Verkehr. Ausführliche Informationen zu diesen Ausnahmen finden Sie im Microsoft Knowledge Base-Artikel: 254949 "Client-to-Domain Controller and Domain Controller-to-Domain Controller IPSec Support" (in Englisch). Diese Ausnahme kann von Angreifern genutzt werden, um IPSec-Beschränkungen zu umgehen. Sofern möglich, sollte die Ausnahme daher entfernt werden. Auf Systemen, die IPSec nicht verwenden, hat diese Einstellung keine Auswirkungen. Tabelle 9: Registrierungsschlüssel zum Verhindern von IPSec-Ausnahmen Schlüssel: IPSEC
Name des Wertes: NoDefaultExempt | REG_DWORD | 1 |
Weitere Informationen zu dieser Option finden Sie im Microsoft Knowledge Base-Artikel 811832 "IPSec Default Exemptions Can Be Used to Bypass IPsec Protection in Some Scenarios" (in Englisch). DLL-Suchreihenfolge ändernDie meisten Programme auf der Windows-Plaftform nutzen verschiedene DLLs (Dynamic Link Libraries), um die erneute Implementierung von Funktionen zu vermeiden. Das Betriebssystem lädt abhängig vom Programmtyp für jedes Programm mehrere DLLs. Wenn das Programm keinen absoluten Pfad für eine DLL angibt, kommt die Standardsuchreihenfolge zur Anwendung. Die vom Betriebssystem verwendete Suchreihenfolge lautet standardmäßig folgendermaßen: 1. | Arbeitsspeicher | 2. | Bekannte DLLs | 3. | Manifest- und .local-Dateien | 4. | Anwendungsverzeichnis | 5. | Aktuelles Arbeitsverzeichnis | 6. | Systemverzeichnisse (%systemroot%, %systemroot%\system und %systemroot%\system32) | 7. | Pfadvariable |
Die Tatsache, dass das aktuelle Arbeitsverzeichnis vor den Systemverzeichnissen durchsucht wird, kann von Benutzern mit Zugriff auf das Dateisystem genutzt werden, um ein von einem Benutzer gestartetes Programm zum Laden einer manipulierten DLL zu veranlassen. Wenn ein Benutzer ein Programm durch Doppelklicken auf ein Dokument startet, ist das aktuelle Arbeitsverzeichnis der Speicherort des Dokuments. Besitzt eine DLL in diesem Verzeichnis denselben Namen wie eine System-DLL, wird die DLL an diesem Speicherort anstelle der System-DLL geladen. Diese Angriffsmöglichkeit wurde vom Nimda-Virus genutzt. Als Gegenmaßnahme wurde in Service Pack 3 eine neue Einstellung erstellt, die das aktuelle Arbeitsverzeichnis in der Suchreihenfolge hinter die Systemverzeichnisse verschiebt. Zur Vermeidung von Anwendungskompatibilitätsproblemen wurde diese Option jedoch nicht standardmäßig aktiviert. Zum Aktivieren dieser Option stellen Sie den folgenden Registrierungswert ein: Tabelle 10: Registrierungsschlüssel zum Ändern der DLL-Suchreihenfolge Schlüssel: Session Manager
Name des Wertes: SafeDllSearchMode | REG_DWORD | 1 |
Konflikte zwischen Sitzungssperren und Anwendungseingaben verhindernService Pack 3 enthält einen Registrierungswert, mit dem verhindert werden kann, dass von Anwendungen generierte Tastatur-/Maus-Eingabenachrichten Konflikte mit der Sitzungssperre verursachen. Standardmäßig können Anwendungen simulierte Eingaben generieren, um die Zeitüberschreitung für den Bildschirmschoner zu verzögern und somit die Aktivierung des Bildschirmschoners zu verhindern. Der Name des Wertes lautet BlockSendInputResets, und wie die meisten Richtlinieneinstellungen befindet sich dieser Wert unter der Struktur software\policy: HKCU\Software\Policies\Microsoft\Windows\Control Panel\Desktop Richtlinien haben Vorrang vor den vom Benutzer angewendeten Einstellungen. Zum Gewährleisten der Konsistenz mit anderen verwandten Schlüsseln lautet der Wertetyp REG_SZ, und er wird als boolescher Wert interpretiert. Dabei bedeutet jeder Wert ungleich Null, dass der Wert eingestellt und das Feature aktiv ist. Bei einem Wert von Null oder fehlendem Wert wird die aktuelle Funktionalität beibehalten. Wenn dieser Wert eingestellt wird, wird der Zeitgeber für den Bildschirmschoner nur durch "echte" Eingaben (Maus oder Tastatur) zurückgesetzt. Zurzeit sind drei Fälle bekannt, in denen die Zeit durch "injizierte" Eingaben zurückgesetzt wird. Eingabe über SendInput- Hierbei versucht eine Anwendung absichtlich, Eingaben zu simulieren, und sie wird blockiert. Fensteraktivierung - Wenn ein neues Fenster aktiviert wird, wird der Zähler zurückgesetzt. Dies wird blockiert, sofern der Bildschirmschoner nicht bereits aktiv ist. Aufrufe von SystemParametersInfo zur Einstellung von SPI_SETSCREENSAVETIMEOUT, SPI_SETSCREENSAVEACTIVE, SPI_SETLOWPOWERTIMEOUT, SPI_SETLOWPOWERACTIVE, SPI_SETPOWEROFFTIMEOUT, SPI_SETPOWEROFFACTIVE. Diese Aufrufe führen nicht mehr zu einer Zurücksetzung des Zeitgebers, wenn BlockSendInputResets eingestellt ist. Dies wirkt sich normalerweise nicht auf den Benutzer aus, da eine Einstellung dieser Werte durch einen Benutzer zu "echten" Eingaben durch Mausbewegungen oder Tastenanschläge führt. Zum Aktivieren dieser Funktion bearbeiten Sie den folgenden Registrierungswert wie in der Tabelle dargestellt. Der Pfad muss gegebenenfalls erstellt werden. Tabelle 11: Registrierungsschlüssel zum Verhindern von Konflikten zwischen Sitzungssperren und Anwendungseingaben Schlüssel: Desktop
Name des Wertes: BlockSendInputResets | REG_SZ | 1 |
Hinweis:Die Verwendung dieses Features ist nur sinnvoll, wenn die entsprechenden Bildschirmschonereinstellungen in Verbindung mit diesem Wert eingestellt werden. Die folgenden Bildschirmschonereinstellungen müssen vorgenommen werden: | • | Ausgewählter Bildschirmschoner | | • | Kennwortschutz | | • | Zeitüberschreitungswert für Bildschirmschoner |
Wenn der Bildschirmschoner nicht korrekt konfiguriert ist, hat dieses Feature im Grunde genommen keine Auswirkung auf die Gesamtsicherheit von Computern. Informationen zum Einstellen eines kennwortgeschützten Bildschirmschoners finden Sie im Abschnitt "Automatischen Bildschirmsperrschutz aktivieren" dieses Moduls. Überwachungsereignis bei einem bestimmten Belegungsprozentsatz des Überwachungsprotokolls generierenService Pack 3 enthält ein Feature zum Erzeugen eines Überwachungseintrags im Sicherheitsereignisprotokoll, wenn das Protokoll einen konfigurierbaren Schwellwert erreicht. Zum Aktivieren dieser Funktion müssen Sie den in der folgenden Tabelle dargestellten Wert erstellen. Die Daten im Wert geben den Prozentsatz an, bei dem das Ereignis im Sicherheitsprotokoll aufgezeichnet wird. Der Wert in der Tabelle ist eine Empfehlung und kann entsprechend den lokalen Betriebsanforderungen konfiguriert werden. Bei der unten gezeigten Einstellung wird ein Ereigniseintrag mit der Ereignis-ID 523 mit dem folgenden Text erstellt, wenn das Protokoll zu 90% voll ist: Das Sicherheitsprotokoll ist jetzt 90% voll.Eine IDS kann konfiguriert werden, um dieses Ereignis anzupassen und eine Protokollabbildung und Zurücksetzung auszuführen. Tabelle 12: Registrierungsschlüssel zum Generieren eines Überwachungsereignisses bei einem bestimmten Belegungsprozentsatz des Überwachungsprotokolls Schlüssel: Security
Name des Wertes: WarningLevel | REG_DWORD | 90 |
Hinweis: Dieses Feature funktioniert nicht, wenn das Protokoll auf Ereignisse bei Bedarf überschreiben eingestellt ist. TCP/IP-Stapel gegen DoS-Attacken sichernDurch DoS-Attacken (Dienstverweigerung) soll die Verfügbarkeit eines Computers oder eines bestimmten Dienstes auf einem Computer für Netzwerkbenutzer gestört werden. Die folgenden TCP/IP-spezifischen Registrierungswerte erhöhen die Widerstandsfähigkeit des TCP/IP-Stapels in Windows 2000 gegenüber DoS-Netzwerkattacken. Die Werte in der unten stehenden Tabelle 13 können auf allen Systemen eingestellt werden, einigen Werten muss jedoch der angegebene Registrierungsschlüssel hinzugefügt werden. Weitere Informationen finden Sie im Microsoft Knowledge Base-Artikel 315669 "HOW TO: Harden the TCP/IP Stack Against Denial of Service Attacks in Windows 2000" (in Englisch). Tabelle 13: Registrierungsschlüssel zum Sichern des TCP/IP-Stapels gegen DoS-Attacken Schlüssel: Parameters
Name des Wertes: DisableIPSourceRouting | REG_DWORD | 2 | Schlüssel: Parameters
Name des Wertes: EnableDeadGWDetect | REG_DWORD | 0 | Schlüssel: Parameters
Name des Wertes: EnableICMPRedirect | REG_DWORD | 0 | Schlüssel: Parameters
Name des Wertes: EnableSecurityFilters | REG_DWORD | 1 | Schlüssel: Parameters
Name des Wertes: KeepAliveTime | REG_DWORD | 300,000 | Schlüssel: Parameters
Name des Wertes: PerformRouterDiscovery | REG_DWORD | 0 | Schlüssel: Parameters
Name des Wertes: SynAttackProtect | REG_DWORD | 2 | Schlüssel: Parameters
Name des Wertes: TcpMaxConnectResponseRetransmissions | REG_DWORD | 2 | Schlüssel: Parameters
Name des Wertes: TcpMaxConnectRetransmissions | REG_DWORD | 3 | Schlüssel: Parameters
Name des Wertes: TcpMaxDataRetransmissions | REG_DWORD | 3 | Schlüssel: Parameters
Name des Wertes: TCPMaxPortsExhausted | REG_DWORD | 5 |
Tabelle 14 und 15: Registrierungsschlüssel zum zusätzlichen Sichern eines wichtigen für SMB-Verkehr verwendeten Servers (zum Beispiel Dateiserver oder Domänencontroller) Schlüssel : Parameters
Name des Wertes: EnablePMTUDiscovery | REG_DWORD | 0 |
Schlüssel: Parameters
Name des Wertes: NoNameReleaseOnDemand | REG_DWORD | 1 |
Diese Werte sollten nicht auf Clients eingestellt werden. EnablePMTUDiscovery deaktiviert die MTU-Suche (Maximum Transfer Unit), um zu verhindern, dass der Stapel durch einen Angreifer überlastet wird, der eine sehr kleine MTU einstellt. Auf Clientsystemen erzielen Sie eine bessere Leistung, wenn Sie die Standardeinstellung dieses Wertes (1) übernehmen. Die Einstellung NoNameReleaseOnDemand konfiguriert das System zum Ablehnen von Anforderungen zur Freigabe des SMB-Namens des Systems. Diese Einstellung verhindert, dass ein Angreifer eine Anforderung zur Namensfreigabe an einen Server sendet und den Server für legitimierte Clients unzugänglich macht. Wird diese Einstellung auf einem Client konfiguriert und ist dieser Client fälschlicherweise mit demselben Namen wie der betreffende Server konfiguriert, kann der Server den Namen nicht widerherstellen, und legitimierte Anforderungen werden stattdessen u. U. an den unzulässigen Server geleitet. Im harmlosesten Fall führt dies zu einer DoS-Bedingung. Zeitdienstauthentifizierung überprüfenÜberprüfen Sie den in der folgenden Tabelle gezeigten Schlüssel, um sicherzustellen, dass der Wert type auf NT5DS eingestellt ist. Dadurch wird gewährleistet, dass das System mit einem authentifizierten Zeitdienst arbeitet. Tabelle 16: Registrierungsschlüssel zum Gewährleisten der Verwendung eines authentifizierten Zeitdienstes für das System Schlüssel: Parameters
Name des Wertes: type | REG_SZ | Nt5DS |
Hinweis: Aufgrund einer Beschränkung in der Benutzeroberfläche des Sicherheitskonfigurations-Editors kann diese Einstellung nicht angezeigt werden. Sie wird jedoch konfiguriert, da sie in der Baseline-Vorlage eingestellt ist. LMHash-Erstellung deaktivierenWindows 2000-basierte Server können Computer mit allen Vorgängerversionen von Windows authentifizieren. Ältere Versionen von Windows verwenden jedoch nicht Kerberos zur Authentifizierung. Daher unterstützt Windows 2000 LAN Manager (LM), Windows NT (NTLM) und NTLM Version 2 (NTLMv2). Während NTLM, NTLMv2 und Kerberos den Unicode-Hash (NT-Hash) verwenden, arbeitet das LM-Authentifizierungsprotokoll mit dem LM-Hash. Der LM-Hash ist verglichen mit dem NT-Hash relativ schwach und daher anfällig für schnelle Brute-Force-Attacken. Der LM-Hash entfernt durch die Verwendung komplexer Kennwörter zudem eine beträchtliche Menge von der dem Hash hinzugefügten Entropie. Daher sollte die Speicherung des LM-Hash vermieden werden, sofern dies nicht aus Gründen der Abwärtskompatibilität erforderlich ist. In einer Umgebung, die nur Windows 95 und neuere Clients enthält, ist der LM-Hash nicht erforderlich. Ein Benutzer ohne LM-Hash kann jedoch keine Verbindung mit einem als Server agierenden Win9x-Computer herstellen. Windows 2000 Service Packs 2 und höher enthalten eine Registrierungseinstellung zum Deaktivieren der Speicherung der LM-Hashes. Weitere Informationen finden Sie im Microsoft Knowledge Base-Artikel 299656 "New Registry Key to Remove LM Hashes from Active Directory and Security Account Manager" (in Englisch). Tabelle 17: Registrierungsschlüssel zum Deaktivieren der LMHash-Erstellung Schlüssel: NoLMHash | Nicht zutreffend | Nicht zutreffend |
Unter Windows 2000 ist diese Einstellung ein Schlüssel mit dem Namen NoLMHash. Unter Windows XP oder Windows Server 2003 hat die Erstellung dieses Schlüssels jedoch keine Wirkung. Auf diesen Betriebssystemen ist die Einstellung ein DWORD-Wert mit dem Namen NoLMHash. Wenn Sie eine auf allen Betriebssystemen verwendbare angepasste Richtlinienvorlage erstellen, können Sie sowohl den Schlüssel als auch den Wert erstellen (der Wert befindet sich an derselben Position, und ein Wert von 1 deaktiviert die Erstellung des LM-Hash). Dieser Schlüssel wird bei der Aktualisierung eines Windows 2000-Systems auf Windows Server 2003 aktualisiert, und das Vorhandensein beider Einstellungen in der Registrierung hat keine nachteilige Auswirkung. Hinweis: Die Baseline-Vorlage konfiguriert diese Richtlinie. Wenn Clients vorhanden sind, die Windows 3.1 oder die ursprüngliche Version von Windows 95 ausführen und eine Verbindung mit einem Windows 2000-System herstellen müssen,darf diese Einstellung nicht für das Windows 2000-System konfiguriert werden. Autorun deaktivierenAutorun liest von einem Laufwerk, sobald ein Medium eingelegt wird. Daher werden die Setupdatei von Programmen und die Wiedergabe von Audiomedien sofort gestartet. Wenn Sie verhindern möchten, das ein böswilliges Programm beim Einlegen des Mediums gestartet wird, erstellen Sie den folgenden Registrierungsschlüssel zum Deaktivieren von Autorun auf allen Laufwerken. Tabelle 18: Registrierungsschlüssel zum Deaktivieren von AutoRun Schlüssel: Explorer
Name des Wertes: NoDriveTypeAutoRun | REG_DWORD | 255 |
Autorun ist eine Funktion, an die sich Benutzer mittlerweile gewöhnt haben. Daher sollten Sie diese Einstellung nur auf Servern und Arbeitsstationen vornehmen, an denen sich Administratoren anmelden. Einstellungen für LDAP BIND-BefehlsanforderungenDieser Wert wird wie im Folgenden beschrieben verwendet, um die Handhabung von LDAP Bind-Befehlsanforderungen durch den LDAP-Server (ldapagnt.lib) festzulegen. | • | 1 (Standardeinstellung) oder nicht definiert: Bei der Handhabung einer LDAP BIND-Befehlsanforderung, die einen SASL-Authentifizierungsmechanismus definiert, unterstützt der LDAP-Agent für AD immer LDAP-Clientanforderungen zur Signierung von LDAP-Verkehr. | | • | 2: Der LDAP-Agent für AD unterstützt SASL in einer LDAP BIND-Befehlsanforderung nur, wenn die eingehende Anforderung noch nicht bereits durch TLS/SSL geschützt ist. Die LDAP BIND-Befehlsanforderung wird zurückgewiesen, wenn andere Authentifizierungstypen verwendet werden. Wenn die LDAP BIND-Befehlsanforderung nicht über TLS/SSL eingeht, ist die LDAP-Verkehrssignierungsoption im Sicherheitskontext des Clients erforderlich. |
Zum Einstellen dieses Wertes bearbeiten Sie den Registrierungswert wie in der folgenden Tabelle dargestellt, und erstellen Sie den Wert LdapServerIntegrity mit einem Wert von 2. Tabelle 19: Registrierungsschlüssel für Einstellungen für LDAP BIND-Befehlsanforderungen Schlüssel: Parameters
Name des Wertes: LdapServerIntegrity | REG_DWORD | 2 |
Diese Einstellung hat auf Clientsystemen keine Auswirkung. Administrative Warnung generieren, wenn das Überwachungsprotokoll voll istZum Hinzufügen von Warndienstempfängern für Windows 2000-basierte Computer bearbeiten Sie die Registrierung (mit Regedt32.exe) wie in der folgenden Tabelle dargestellt. Der Eintrag Wert enthält den Namen jedes Empfängers (Benutzer- oder Computername), der administrative Warnungen erhalten soll. Jeder Empfänger sollte im Dialogfeld Daten auf einer separaten Zeile eingegeben werden. Hinweis: Administrative Warnungen stützen sich sowohl auf den Warndienst als auch den Nachrichtendienst. Stellen Sie sicher, dass der Warndienst auf dem Quellcomputer ausgeführt wird und der Nachrichtendienst auf dem Empfängercomputer ausgeführt wird. Tabelle 20: Registrierungsschlüssel zum Konfigurieren der Empfänger von administrativen Warnungen Schlüssel: Parameters
Name des Wertes: AlertNames | REG_MULTI_SZ | Wie oben beschrieben |
Webansicht in Ordnern deaktivierenDie Ordnerwebansicht (in Windows XP bezeichnet als "allgemeine Aufgaben") ermöglicht das Anpassen von Ordnern mit Hintergrundbildern oder aktivem Inhalt. Zudem kann im Ordner ausgewählter Inhalt analysiert werden. Wenn der Inhalt böswilligen Code enthält, zum Beispiel eine mit einem Virus infizierte Webseite oder ein Word-Dokument, wird der böswillige Code bei Auswahl des Dokuments sofort ausgelöst. Daher sollte die Webansicht zumindest auf administrativen Arbeitsstationen deaktiviert werden. Hierzu können Sie in der grafischen Benutzeroberfläche im Dialogfeld Ordneroptionen die Option Herkömmliche Windows-Ordner verwenden aktivieren. Diese Einstellung kann auch in der Registrierung durch Konfigurieren des folgenden Wertes vorgenommen werden: Tabelle 21: Registrierungsschlüssel zum Deaktivieren der Webansicht in Ordnern Schlüssel: Erweitert
Name des Wertes: WebView | REG_DWORD | 1 |
NTLM-SSP sichernProgramme, die den NTLM-Sicherheitsdienst (SSP) verwenden - einschließlich der über RPC kommunizierenden Programme -, sind nicht direkt von der zuvor in diesem Modul beschriebenen Einstellung LMCompatibilityLevel betroffen. Der NTLM-SSP verwendet eigene Sicherheitseinstellungen zum Steuern seines Verhaltens. Durch Erstellen der Werte NtlmMinClientSecund NtlmMinServerSec kann das Verhalten eines als Client bzw. Server agierenden Systems gesteuert werden. Die Einstellung ist eine Bitmaske, in der die eigentlichen Daten das logische ODER der folgenden Werte sind: | • | 0x00000010 Nachrichtenintegrität | | • | 0x00000020 Nachrichtenvertraulichkeit | | • | 0x00080000 NTLMv2-Sitzungssicherheit | | • | 0x20000000 128 Bit-Verschlüsselung | | • | 0x80000000 56 Bit-Verschlüsselung |
Zum Erzwingen von Nachrichtenintegrität, Nachrichtenvertraulichkeit, Verwendung von NTLMv2 und 128 Bit-Verschlüsselung stellen Sie folglich den Wert 0x20080030 ein. Diese Einstellung sollte so hoch wie möglich eingestellt werden, ohne die Funktion der Anwendungen im Netzwerk zu beeinträchtigen. Tabelle 22: Registrierungsschlüssel zum Sichern des NTLM-SSP Schlüssel: MSV1_0
Name des Wertes: NtlmMinClientSecund NtlmMinServerSec | REG_DWORD | 0x20080030 |
Hinweis: Diese Einstellungverhindert die korrekte Funktion von Anwendungen. Die folgenden Inkompatibilitäten sind bekannt: | • | FrontPage 2000 ist inkompatibel mit 0x20080000. Bei Verwendung dieser Einstellung kann der FrontPage-Client nicht mit dem Erweiterungsserver des FrontPage-Servers kommunizieren. | | • | Ein Knoten kann einem Cluster nicht hinzugefügt werden, wenn NtlmMinServerSec konfiguriert ist. |
Darüber hinaus müssen Sie sicherstellen, dass die Client- und Servereinstellungen übereinstimmen. Viele lokale Verwaltungsprogramme verwenden RPC für die Kommunikation, und wenn die Client- und Servereinstellungen nicht übereinstimmen, können diese Programme wahrscheinlich keine lokalen Verbindungen herstellen. Remoteverbindungen können fehlschlagen, wenn die Einstellung NtlmMinClientSec auf dem Client nicht mit der Einstellung NtlmMinServerSec auf dem Server übereinstimmt. Daher muss in einem Netzwerk für beide Einstellungen konsistent dieselbe Einstellung verwendet werden. Verwaltung des ÜberwachungsprotokollsVerwaltungsoptionen für Ereignisprotokolle, einschließlich des Sicherheitsprotokolls, können mithilfe des Ordners Ereignisprotokoll in den Domänensicherheitsrichtlinien oder mit einem spezifischen mit Domänen, Organisationseinheiten und Standorten (Domänen) verknüpften Gruppenrichtlinienobjekt für alle Computer in einer Domäne konfiguriert werden. Der Ordner Ereignisprotokoll wird nicht im lokalen Sicherheitsrichtlinienobjekt angezeigt. Auf diesen Systemen werden diese Einstellungen direkt im Ereignisprotokoll-Snap-In verwaltet. Für Domänenmitglieder können die Verwaltungsoptionen für die lokale Überwachung mit dem Ereignisanzeige-Snap-In verwaltet werden. In der Ereignisanzeige wird das entsprechende Fenster Eigenschaften ausgewählt, um die Verwaltungsoptionen für ein bestimmtes Protokoll einzustellen, zum Beispiel das Sicherheitsprotokoll. In diesen Fenstern können die Ereignisprotokolle angezeigt, sortiert, gefiltert und durchsucht werden, und zudem können Sie die maximale Protokollgröße einstellen und das Protokoll löschen. Der Benutzer muss Zugriff auf die Ereignisprotokolldatei haben, um diese anzeigen zu können. Zum Anzeigen des Inhalts des Sicherheitsprotokolls muss der Benutzer als Mitglied der Administratorgruppe angemeldet sein. Die Verwendung der Ereignisanzeige selbst erfordert keine spezielle Berechtigung. Die Sicherheit wird durch die ACL des Protokolls und bestimmte Registrierungseinstellungen erzwungen. Zugreifen auf die Einstellungen für Ereignisprotokolle| • | So zeigen Sie die aktuellen Einstellungen für Ereignisprotokolle an und ermöglichen die Bearbeitung der Richtlinien für Domänen und Domänencontroller 1. | Öffnen Sie die Sicherheitsrichtlinie für Domänen bzw. die Sicherheitsrichtlinie für Domänencontroller. | 2. | Erweitern Sie den Knoten Sicherheitseinstellungen. | 3. | Erweitern Sie in Sicherheitseinstellungen den Knoten Ereignisprotokoll, um Einstellungen für Ereignisprotokolle anzuzeigen. | 4. | Klicken Sie auf Einstellungen für Ereignisprotokolle. Im Detailbereich auf der rechten Seite werden die konfigurierbaren Einstellungen für die Verwaltung des Überwachungsprotokolls angezeigt. | 5. | Stellen Sie die Überwachungsrichtlinien wie in Tabelle 23 empfohlen ein.  Abbildung 6. Richtlinieneinstellungen für Ereignisprotokolle |
|
| • | So zeigen Sie die aktuellen Einstellungen für Ereignisprotokolle an und ermöglichen die Bearbeitung von eigenständigen Arbeitsstationen und Servern 1. | Zum Öffnen der Ereignisanzeigeklicken Sie auf Start, Programme und Verwaltung, und klicken Sie dann auf Ereignisanzeige. | 2. | Klicken Sie mit der rechten Maustaste auf Sicherheitsprotokoll, und wählen Sie Eigenschaften. Das Fenster Eigenschaften von Sicherheitsprotokoll wird mit den konfigurierbaren Einstellungen für die Verwaltung des Überwachungsprotokolls angezeigt.  Abbildung 7. Eigenschaften von Sicherheitsprotokoll | 3. | Stellen Sie die Überwachungsrichtlinien gemäß den Empfehlungen in Tabelle 23 ein. |
|
Tabelle 23: Einstellungen für die Überwachungsverwaltung "Maximale Größe des Anwendungsprotokolls" festlegen
Sicherheitsziel: Diese Einstellung legt die maximale Größe für das Anwendungsereignisprotokoll fest. Die Standardeinstellung ist 512 KB, und die maximale Größe ist 4 GB (4.194.240 KB). Die Anforderungen für die Anwendungsprotokollgröße richten sich nach der Funktion der Plattform und der Notwendigkeit von Verlaufsdatensätzen für anwendungsspezifische Ereignisse.
Empfehlung: Die Standardeinstellung ist auf den meisten Systemen ausreichend. | | | | | | | "Maximale Größe des Sicherheitsprotokolls" festlegen
Sicherheitsziel: Diese Einstellung legt die maximale Größe für das Sicherheitsereignisprotokoll fest. Die Standardeinstellung ist 512 KB, und die maximale Größe ist 4 GB (4.194.240 KB).
Empfehlung: Konfigurieren Sie auf Domänencontrollern und Servern eine Größe von mindestens 20 MB. Für andere Systeme stellen Sie die Größe des Protokolls basierend auf Faktoren wie der Häufigkeit der Protokollüberprüfung, dem verfügbaren Festplattenspeicher usw. ein. Die Vorlagen konfigurieren die Protokollgröße für alle Systeme auf 5 MB. |
|
|
|
|
|
| "Maximale Größe des Systemprotokolls" festlegen
Sicherheitsziel: Diese Einstellung legt die maximale Größe für das Systemereignisprotokoll fest. Die Standardeinstellung ist 512 KB, und die maximale Größe ist 4 GB (4.194.240 KB).
Empfehlung: In den meisten Umgebungen ist die Standardeinstellung ausreichend. | | | | | | | Gastkontozugriff auf Anwendungsprotokoll einschränken
Sicherheitsziel: Diese Option verhindert anonymen Zugriff auf das Anwendungsereignisprotokoll. Wenn Sie diese Richtlinie aktivieren, können Gäste nicht auf das Anwendungsereignisprotokoll zugreifen. Diese Richtlinie ist standardmäßig lokal auf allen Windows 2000-Betriebssystemen deaktiviert.
Empfehlung: Stellen Sie diese Option auf allen Systemen auf Aktiviert ein. Hinweis: Der Gastzugriff ist standardmäßig auf allen Systemen verboten. Diese Einstellung hat daher keinen Einfluss auf Standardsysteme. Diese Option kann jedoch als Tiefenverteidigungseinstellung ohne unerwünschte Auswirkungen betrachtet werden. |
|
|
|
|
|
| Gastkontozugriff auf Sicherheitsprotokoll einschränken
Sicherheitsziel: Diese Option verhindert anonymen Zugriff auf das Sicherheitsereignisprotokoll. Wenn Sie diese Richtlinie aktivieren, können Gäste nicht auf das Sicherheitsereignisprotokoll zugreifen. Diese Richtlinie ist standardmäßig lokal auf allen Windows 2000-Betriebssystemen deaktiviert. Für den Zugriff auf das Sicherheitsprotokoll benötigt ein Benutzer das Recht Verwalten von Überwachungs- und Sicherheitsprotokoll. Da Gäste dieses Recht nicht besitzen, dient diese Einstellung nur der Tiefenverteidigung.
Empfehlung: Stellen Sie diese Option auf allen Systemen auf Aktiviert ein. |
|
|
|
|
|
| Gastkontozugriff auf Systemprotokoll einschränken
Sicherheitsziel: Diese Option verhindert anonymen Zugriff auf das Systemereignisprotokoll. Wenn Sie diese Richtlinie aktivieren, können Gäste nicht auf das Systemereignisprotokoll zugreifen. Diese Richtlinie ist standardmäßig lokal auf allen Windows 2000-Betriebssystemen deaktiviert.
Empfehlung: Stellen Sie diese Option auf allen Systemen auf Aktiviert ein. |
|
|
|
|
|
| Anwendungsprotokoll aufbewahren
Sicherheitsziel: Diese Option legt fest, wie lange das Anwendungsprotokoll aufbewahrt wird (in Tagen), wenn die Aufbewahrungsmethode in einer Domänenrichtlinie auf Ereignisse auf Tagen basierend überschreiben eingestellt ist oder die Option Ereignisse überschreiben, die älter sind als im Fenster Eigenschaften von Anwendungsprotokoll einer eigenständigen Arbeitsstation oder eines Servers ausgewählt wurde. Stellen Sie diesen Wertnur ein, wenn das Protokoll regelmäßig archiviert wird, und stellen Sie sicher, dass die maximale Anwendungsprotokollgröße für das Archivierungsintervall ausreicht.
Empfehlung: Die Standardeinstellung Nicht definiert sollte nicht geändert werden. | | | | | | | Sicherheitsprotokoll aufbewahren
Sicherheitsziel: Diese Option legt fest, wie lange das Sicherheitsprotokoll aufbewahrt wird (in Tagen), wenn die Aufbewahrungsmethode in einer Domänenrichtlinie auf Ereignisse auf Tagen basierend überschreiben eingestellt ist oder die Option Ereignisse überschreiben, die älter sind als im Fenster Eigenschaften von Sicherheitsprotokoll einer eigenständigen Arbeitsstation oder eines Servers ausgewählt wurde. Stellen Sie diesen Wertnur ein, wenn das Protokoll regelmäßig archiviert wird, und stellen Sie sicher, dass die maximale Sicherheitsprotokollgröße für das Archivierungsintervall ausreicht.
Empfehlung: Die Standardeinstellung Nicht definiert sollte nicht geändert werden. | | | | | | | Systemprotokoll aufbewahren
Sicherheitsziel: Diese Option legt fest, wie lange das Systemprotokoll aufbewahrt wird (in Tagen), wenn die Aufbewahrungsmethode in einer Domänenrichtlinie auf Ereignisse auf Tagen basierend überschreiben eingestellt ist oder die Option Ereignisse überschreiben, die älter sind als im Fenster Eigenschaften von Systemprotokoll einer eigenständigen Arbeitsstation oder eines Servers ausgewählt wurde. Stellen Sie diesen Wertnur ein, wenn das Protokoll regelmäßig archiviert wird, und stellen Sie sicher, dass die maximale Systemprotokollgröße für das Archivierungsintervall ausreicht.
Empfehlung: Die Standardeinstellung Nicht definiert sollte nicht geändert werden. | | | | | | | Aufbewahrungsmethode des Anwendungsprotokolls
Sicherheitsziel: Diese Einstellung legt fest, wie Anwendungsprotokolle, die ihre maximale Größe erreicht haben, vom Betriebssystem behandelt werden.
Empfehlung: Stellen Sie diese Option auf Ereignisse bei Bedarf überschreiben ein, um sicherzustellen, dass die neuesten Ereignisse protokolliert werden. Hinweis: Die Protokolle müssen regelmäßig archiviert werden, wenn historische Ereignisse für forensische Zwecke oder zur Problembehandlung aufbewahrt werden sollen. Das bedarfsabhängige Überschreiben von Ereignissen stellt sicher, dass im Protokoll immer die neuesten Ereignisse gespeichert werden. Dies kann jedoch auch zu einem Verlust von Verlaufsdaten führen. |
|
|
|
|
|
| Aufbewahrungsmethode des Sicherheitsprotokolls
Sicherheitsziel: Diese Einstellung legt fest, wie Sicherheitsprotokolle, die ihre maximale Größe erreicht haben, vom Betriebssystem behandelt werden.
Empfehlung: Stellen Sie diese Option auf Ereignisse bei Bedarf überschreiben ein, um sicherzustellen, dass die neuesten Ereignisse protokolliert werden. Hinweis: Die Protokolle müssen regelmäßig archiviert werden, wenn historische Ereignisse für forensische Zwecke oder zur Problembehandlung aufbewahrt werden sollen. Das bedarfsabhängige Überschreiben von Ereignissen stellt sicher, dass im Protokoll immer die neuesten Ereignisse gespeichert werden. Dies kann jedoch auch zu einem Verlust von Verlaufsdaten führen. |
|
|
|
|
|
| Aufbewahrungsmethode des Systemprotokolls
Sicherheitsziel: Diese Einstellung legt fest, wie Systemprotokolle, die ihre maximale Größe erreicht haben, vom Betriebssystem behandelt werden.
Empfehlung: Stellen Sie diese Option auf Ereignisse bei Bedarf überschreiben ein, um sicherzustellen, dass die neuesten Ereignisse protokolliert werden. Hinweis: Die Protokolle müssen regelmäßig archiviert werden, wenn historische Ereignisse für forensische Zwecke oder zur Problembehandlung aufbewahrt werden sollen. Das bedarfsabhängige Überschreiben von Ereignissen stellt sicher, dass im Protokoll immer die neuesten Ereignisse gespeichert werden. Dies kann jedoch auch zu einem Verlust von Verlaufsdaten führen. |
|
|
|
|
|
| System bei Erreichen der max. Sicherheitsprotokollgröße herunterfahren
Sicherheitsziel: Diese Option legt fest, ob das System heruntergefahren wird, wenn es Sicherheitsereignisse nicht protokollieren kann. Wenn diese Richtlinie aktiviert ist, wird das System heruntergefahren, wenn eine Sicherheitsüberwachung nicht protokolliert werden kann. Normalerweise schlägt die Protokollierung eines Ereignisses fehl, weil das Sicherheitsüberwachungsprotokoll voll ist und die Aufbewahrungsmethode auf Ereignisse nicht überschreiben oder Ereignisse auf Tagen basierend überschreiben eingestellt ist. Empfehlung: Aktivieren Sie diese Einstellung nicht. Andernfalls werden DoS-Attacken begünstigt, und die Betriebszeit wird deutlich reduziert. | | | | | | |
StandardgruppenkontenIn diesem Abschnitt werden die erforderlichen und empfohlenen Änderungen der Standardgruppenmitgliedschaften für die vordefinierten Gruppen in Standardinstallationen des Betriebssystems Windows 2000 beschrieben. Für diese vordefinierten Gruppen sind bestimmte Benutzerrechte und Berechtigungen sowie Gruppenmitglieder vordefiniert. Die fünf vordefinierten Gruppentypen sind folgendermaßen definiert: | • | Globale Gruppen
Beim Einrichten einer Windows 2000-Domäne werden vordefinierte globale Gruppen im Active Directory-Speicher erstellt. Globale Gruppen dienen zum Gruppieren allgemeiner Benutzer- und Gruppenkontotypen für die gesamte Domäne. Globale Gruppen können andere Gruppen in einer Domäne im einheitlichen Modus enthalten. | | • | Lokale Gruppen in Domänen
Lokale Gruppen in einer Domänen gewähren Benutzern Berechtigungen zur Durchführung spezifischer Aufgaben auf dem Domänencontroller und im Active Directory-Speicher. Lokale Gruppen in Domänen werden nur innerhalb einer Domäne verwendet und können nicht in andere Domänen in einer Active Directory-Struktur exportiert werden. | | • | Universelle Gruppen
Universelle Gruppen sind nur in einer einheitlichen Windows 2000-Domäne verfügbar. Sie können in der ganzen Gesamtstruktur verwendet werden. | | • | Lokale Gruppen
Eigenständige Windows 2000-Server, Mitgliedsserver und Arbeitsstationen verfügen über vordefinierte lokale Gruppen. Diese vordefinierten lokalen Gruppen ermöglichen Mitgliedern die Durchführung von Aufgaben auf dem spezifischen Computer, dem die Gruppe angehört. | | • | Systemgruppen
Für Systemgruppen sind keine spezifischen Mitgliedschaften vordefiniert, und sie können geändert werden. Jede dieser Gruppen stellt eine bestimmte Klasse von Benutzern oder das Betriebssystem selbst dar. Diese Gruppen werden im Betriebssystem Windows 2000 automatisch erstellt, sie werden jedoch nicht in den grafischen Benutzeroberflächen für die Gruppenverwaltung angezeigt. Diese Gruppen dienen nur zum Steuern des Zugriffs auf Ressourcen. |
Gruppenkontomitgliedschaften für eine Domäne überprüfen/ändern| • | So greifen Sie auf Gruppenkonten in einer Domäne zu 1. | Melden Sie sich mit einem Administratorkonto am Domänencontroller an. | 2. | Klicken Sie im Menü Start auf Programme und Verwaltung, und klicken Sie dann auf Active Directory-Benutzer und -Computer. | 3. | Doppelklicken Sie in der Konsolenstruktur auf den Domänenknoten. Gruppenkonten sind in den Containern Vordefiniert und Benutzer enthalten.  Abbildung 8. Vordefinierte Konten |
|
Gruppenkontomitgliedschaften für einen eigenständigen Computer oder Mitgliedscomputer überprüfen/ändern| • | So greifen Sie auf Gruppenkonten in einem eigenständigen Computer oder einzelnen Domänenmitgliedscomputer zu 1. | Melden Sie sich mit einem Administratorkonto an. | 2. | Klicken Sie im Menü Start auf Programme und Verwaltung, und klicken Sie dann auf Computerverwaltung. | 3. | Doppelklicken Sie in der Konsolenstruktur auf Lokale Benutzer und Gruppen. Gruppenkonten sind im Container Gruppen enthalten.  Abbildung 9. Gruppenkonten |
|
Hinweis: Stellen Sie die Gruppenmitgliedschaften gemäß den Empfehlungen in Tabelle 24 ein. Diese Tabelle enthält die Standardgruppen. Ein Häkchen für eine Systemfunktion gibt an, dass die Gruppe diesem Systemtyp angehört und auf diesem verwaltet werden muss. Primäre Gruppenmitgliedschaft eines Kontos ändernFür einige der in der folgenden Tabelle angegebenen erforderlichen Gruppenmitgliedschaftsänderungen müssen Sie ein Konto aus einer bestimmten Gruppe entfernen. Zum Gewährleisten der Kompatibilität mit anderen Netzwerkprotokollen, zum Beispiel AppleTalk, muss den Konten eine primäre Gruppe in einer Domäne zugewiesen werden. Daher müssen Sie die beim Hinzufügen eines Computers zu einer Domäne standardmäßig eingestellte primäre Gruppenmitgliedschaft des Kontos ändern. Wenn Sie in der grafischen Benutzeroberfläche Active Directory-Benutzer und -Computer versuchen, ein Konto aus seiner primären Gruppe zu entfernen, wird die Aktion verweigert, und die folgende Meldung wird angezeigt:  Abbildung 10. Meldung zum Entfernen der primären Gruppe | • | So ändern Sie die primäre Gruppe eines Kontos 1. | Melden Sie sich mit einem Administratorkonto am Domänencontroller an. | 2. | Klicken Sie im Menü Start auf Programme und Verwaltung, und klicken Sie dann auf Active Directory-Benutzer und-Computer. | 3. | Doppelklicken Sie in der Konsolenstruktur auf den Domänenknoten. | 4. | Benutzerkonten sind im Container Benutzer enthalten. | 5. | Klicken Sie mit der rechten Maustaste auf den Kontonamen, und wählen Sie im Kontextmenü den Befehl Eigenschaften. Die grafische Benutzeroberfläche mit den Eigenschaften des Kontos wird angezeigt. | 6. | Klicken Sie auf die Registerkarte Mitglied von, um die Liste der Gruppen anzuzeigen, denen das Konto angehört. Wenn Sie auf eine der Gruppen im Fenster Mitglied von klicken, wird die Schaltfläche Primäre Gruppe festlegen aktiviert oder deaktiviert. Die Schaltfläche Primäre Gruppe festlegen ist aktiv für Gruppen, die als primäre Gruppen festgelegt werden können, und inaktiv für Gruppen, die nicht als primäre Gruppe festgelegt werden können oder bereits die primäre Gruppe sind.  Abbildung 11. Eigenschaften des Gastkontos | 7. | Zum Ändern der primären Gruppe des Kontos markieren Sie die als neue primäre Gruppe vorgesehene Gruppe, und klicken Sie auf Primäre Gruppe festlegen (die Schaltfläche Primäre Gruppe festlegen muss aktiviert sein). Die über der Schaltfläche Primäre Gruppe festlegen als Primäre Gruppe: angezeigte Gruppe wird entsprechend der Auswahl geändert. | 8. | Klicken Sie auf Übernehmen, und klicken Sie dann auf OK. |
|
Hinweis 1: Wenn ein Konto stattdessen über die grafische Benutzeroberfläche für Gruppenrichtlinien aus einer Gruppe entfernt wird, ist dem Konto anschließend u. U. keine primäre Gruppe mehr zugewiesen. Dies hat nur dann nachteilige Auswirkungen, wenn das Konto über eine Posix-Anwendung oder einen Macintosh-Client verwendet werden muss. Hinweis 2: In der folgenden Tabelle wird auf eine SID verwiesen. Eine SID ist eine Sicherheitskennung (Wert), die einen bestimmten Benutzer oder eine Gruppe darstellt. Die Gruppe Anonymous-Anmeldung wird zum Beispiel durch die SID S-1-5-7 dargestellt. im Windows 2000 Resource Kit. Tabelle 24: Gruppenmitgliedschaften Globale und universelle Gruppen | Standardmitglieder | Änderung/Überprüfung | | | | | | | DnsUpdateProxy | Keine | Fügen Sie dieser Gruppe keine Konten hinzu. | | |
| | | | Domänen-Admins | Administrator | Fügen Sie dieser Gruppe keine Nicht-Administratorkonten hinzu. | | |
| | | | Domänen-Gäste | Gast | Fügen Sie dieser Gruppe keine Konten hinzu. | | |
| | | | Domänen-Benutzer | Administrator
Gast
Krbtgt
TsInternetUser
(Alle neuen Benutzer werden dieser Gruppe standardmäßig hinzugefügt.) | Entfernen Sie das Gastkonto, und stellen Sie sicher, dass das Konto TsInternetUser deaktiviert ist.
Hinweis: Ändern Sie vor dem Entfernen des Gastkontos die primäre Gruppe für dieses Konto zu Domänen-Gäste. | | |
| | | | Organisations-Admins | Administrator (Domänencontroller-Administrator) | Fügen Sie dieser Gruppe keine Nicht-Administratorkonten hinzu.
Warnung: Diese Gruppe erhält vollständige Administratorrechte für jeden Computer in der Gesamtstruktur. Konten in dieser Gruppe dürfen niemals für andere Zwecke als die Systemverwaltung eingesetzt werden. | | |
| | | | Richtlinien-Ersteller-Besitzer | Administrator | Fügen Sie dieser Gruppe keine Nicht-Administratorkonten hinzu. | | |
| | | | Schema-Admins | Administrator | Fügen Sie dieser Gruppe keine Nicht-Administratorkonten hinzu. | | |
| | | | Lokale Gruppen (in Domäne) | Standardmitglieder | Änderung/Überprüfung | | | | | | | Konten-Operatoren | Keine | Verwenden Sie diese Gruppe nur für Administratoren, deren Rechte ausschließlich auf die Verwaltung von Konten beschränkt werden sollen. Diese Benutzer müssen genauso sorgfältig ausgewählt werden wie normale Administratoren. | | |
| | | | Administratoren | Administrator
Domänenadministratoren
Organisationsadministratoren | Fügen Sie dieser Gruppe keine Nicht-Administratorkonten hinzu. | | |
| | | | Sicherungs-Operatoren | Keine | Fügen Sie dieser Gruppe keine Nicht-Administratorkonten hinzu.
Hinweis: Sicherungs-Operatoren können alle Dateien in einem System lesen, unabhängig von ihren Berechtigungen für diese Dateien. Da sie auch Dateien wiederherstellen können, können sie sowohl die Sicherheit als auch die Stabilität des Systems gefährden. | | |
| | | | DnsAdmins | Keine | Fügen Sie dieser Gruppe keine Nicht-Administratorkonten hinzu. | | |
| | | | Gäste | Gast (kokal)
Domänen-Gäste
TsInternetUser | Verwenden Sie diese Gruppe nicht. | | |
| |
| | Prä-Windows 2000-kompatibler Zugriff | Keine | Gewährleistet die Abwärtskompatibilität mit Betriebssystemen vor Windows 2000. Durch die Verwendung dieser Gruppe werden die Berechtigungen für Active Directory deutlich gelockert. Diese Gruppe hat standardmäßig keine Mitglieder. Wenn die Domäne jedoch im "Prä-Windows 2000-Kompatibilitätsmodus" erstellt wurde, ist die Gruppe Jeder ein Mitglied dieser Gruppe, wodurch jeder Benutzer Lesezugriff auf alle Active Directory-Objekte erhält. Zum Deaktivieren dieser Funktion entfernen Sie die Gruppe Jeder aus der Gruppe Prä-Windows 2000-kompatibler Zugriff, und starten Sie alle Domänencontroller neu. Dies wirkt sich jedoch nachteilig auf die Abwärtskomatibilität aus. | | |
| | | | Druck-Operatoren | Keine | Fügen Sie dieser Gruppe keine Nicht-Administratorkonten hinzu. Diese Benutzer können Kernelmodustreiber installieren und dadurch sowohl die Stabilität als auch die Sicherheit des Systems gefährden. | | |
| | | | Replikations-Operator | Keine | Fügen Sie dieser Gruppe keine Nicht-Administratorkonten hinzu. | | |
| | | | Server-Operatoren | Keine | Fügen Sie dieser Gruppe keine Nicht-Administratorkonten hinzu. Diese Gruppe wird verwendet, um bestimmten Benutzern erweiterte Rechte, jedoch keine vollständigen Administratorrechte zu gewähren. Dadurch wird der mögliche Schaden beschränkt, den solche wohlmeinenden Benutzer als Administratoren anrichten können. Diese Gruppe dientnicht dazu, Gefährdungen des Systems durch böswillige Benutzer zu verhindern. | | |
| | | | Benutzer | Authentifizierte Benutzer
Domänen-Benutzer
INTERAKTIV
(Alle neuen lokalen Benutzer werden dieser Gruppe standardmäßig hinzugefügt.) | Fügen Sie dieser Gruppe keine Konten mit dem Potential für nicht authentifizierten Zugriff hinzu (zum Beispiel das Gastkonto). | | |
| | | | Lokale Gruppen | Standardmitglieder | Änderung/Überprüfung | | | | | | | Administratoren | Eigenständig: Administrator
Domänenmitglied: Administrator
Domänenadministrator | Fügen Sie dieser Gruppe keine Nicht-Administratorkonten hinzu. |
|
| |
|
|
| Sicherungs-Operatoren | Keine | Fügen Sie dieser Gruppe keine Nicht-Administratorkonten hinzu. |
|
| |
|
|
| Gäste | Eigenständiger
Benutzer:
Gast
Eigenständiger Server:
Gast
TsInternetUser
Domänenmitglied:
Fügen Sie Domänen-Gaste der obigen Gruppe hinzu. | Verwenden Sie diese Gruppe nicht. Entfernen Sie alle Konten, einschließlich des Gastkontos, aus dieser Gruppe. |
|
| |
|
|
| Hauptbenutzer | Keine | Diese Gruppe entspricht hinsichtlich ihrer Möglichkeiten und Rechte der Gruppe Server-Operatoren. Sie dient zum Gewährleisten der Abwärtskompatibilität mit Anwendungen, die nicht als normaler Benutzer ausgeführt werden können. Durch die Verwendung der Gruppe Hauptbenutzer müssen Benutzer nicht als Administratoren definiert werden, um ihnen die Ausführung dieser Anwendungen zu ermöglichen. In einigen Umgebungen sind Hauptbenutzer wichtig, da die einzige andere Möglichkeit darin besteht, Benutzern Administratorrechte zu gewähren. In Umgebungen, in denen die Gruppe Hauptbenutzer nicht benötigt wird, sollte die Mitgliedschaft jedoch durch Gruppenrichtlinien gesteuert und beschränkt werden. Durch das Hinzufügen eines Benutzers zur Gruppe Hauptbenutzer wirdnicht verhindert, dass dieser Benutzer ohne Weiteres zu einem Administrator werden kann. Diese Gruppe ist für wohlmeinende Benutzer vorgesehen. Sie darf keine böswilligen Benutzer enthalten. Gehen Sie bei der Verwendung dieser Gruppe daher besonders vorsichtig vor. |
|
| |
|
|
| Replikations-Operator | Keine | Fügen Sie dieser Gruppe keine Nicht-Administratorkonten hinzu. |
|
| |
|
|
| Benutzer | Eigenständig:
Authentifizierte Benutzer
INTERAKTIV
(Alle neuen lokalen Benutzer werden dieser Gruppe standardmäßig hinzugefügt.)
Domänenmitglied:
Authentifizierte Benutzer
Domänen-Benutzer
INTERAKTIV
(Alle neuen lokalen Benutzer werden dieser Gruppe standardmäßig hinzugefügt.) | Fügen Sie dieser Gruppe keine Konten mit dem Potential für nicht authentifizierten Zugriff hinzu (zum Beispiel das Gastkonto). |
|
| |
|
|
| Systemgruppen | Standardmitglieder | Änderung/Überprüfung | | | | | | | Anonymous-Anmeldung | Alle nicht authentifizierten Benutzer | Diese Gruppe gewährt Benutzern, die sich nicht authentifizieren oder nicht authentifiziert werden können, Zugriff auf Ressourcen. Im Allgemeinen ist dies nicht erwünscht. Daher sollte diese Gruppe nur verwendet werden, wenn bestimmte Anwendungs- oder Verwendungsszenarios dies erfordern. Gewähren Sie dieser Gruppe keine Ressourcenberechtigungen oder Benutzerrechte. |
|
|
|
|
|
| Authentifizierte Benutzer | Alle authentifizierten Benutzer | Verwenden Sie die Gruppe Authentifizierte Benutzer anstelle der Gruppe Jeder, um den anonymen Zugriff auf Ressourcen zu verhindern. |
|
|
|
|
|
| DFÜ | Alle DFÜ-Benutzer | Diese Gruppe ist für die seltenen Fälle hilfreich, in denen ein DFÜ-Benutzer bestimmte Berechtigungen benötigt, die ihm normalerweise nicht gewährt werden. Aus Gründen der Einfachheit sollte diese Gruppe nicht verwendet werden. |
|
|
|
|
|
| DIENST | Alle als Dienst ausgeführten Prozesse erhalten diese SID. | Im Allgemeinen ist diese Gruppe für die Zuweisung von Rechten nicht erforderlich. |
|
|
|
|
|
| SELBST | Der vom Objekt dargestellte Sicherheitsprinzipal | Verwenden Sie diese SID, um Benutzern das Recht zum Ändern ihrer eigenen Objekte in Active Directory zu erteilen. |
|
|
|
|
|
| NETZWERK | Benutzer, die über das Netzwerk auf den Computer zugreifen | Diese SID wird in erster Linie für Internetinformationsdienste (IIS) verwendet. Jeder Benutzer, der über den authentifizierten Webzugriff (nicht die Standardauthentifizierung) auf den Server zugreift, erhält diese SID. Sie kann daher verwendet werden, um diesen Benutzern Zugriff auf Ressourcen zu gewähren. |
|
|
|
|
|
| INTERAKTIV | Alle Benutzer, die lokal auf den Computer zugreifen, das heißt an der Konsole. Zudem erhalten alle Benutzer, die über den Webserver mit der Standardauthentifizierung oder mit einer authentifizierten FTP- und Telnet-Verbindung auf den Computer zugreifen, diese SID. | Gehen Sie beim Zuweisen des Zugriffs für diese SID vorsichtig vor. Sie ermöglicht jedem Benutzer mit lokalem Zugang zum System den Zugriff auf diese Ressourcen. Bedenken Sie auch, dass der anonyme Zugriff auf IIS als lokale Anmeldung gilt. Daher können anonyme Webbenutzer auf die für INTERAKTIV zugelassenen Ressourcen zugreifen, wenn diese Ressourcen über einen IIS-VRoot offen gelegt werden. |
|
|
|
|
|
| Jeder | Alle Benutzer, die lokal, über das Netzwerk oder RAS auf den Computer zugreifen. Hierzu zählen alle authentifizierten und nicht authentifizierten Benutzer. | Weisen Sie diesem Konto keine Ressourcenberechtigungen oder Benutzerrechte zu. Verwenden Sie bei Bedarf die Gruppe Authentifizierte Benutzer oder spezifische Benutzerkonten und Gruppen.
Hinweis: Diese Gruppe ist in einigen Fällen zur Unterstützung älterer Clients notwendig, die sich nicht mit dem System authentifizieren. |
|
|
|
|
|
| TERMINALSERVERBENUTZER | Keine | Mit dieser Gruppe werden Terminaldienstebenutzern Berechtigungen gewährt, die sie bei der interaktiven Verbindung mit dem System normalerweise nicht besitzen. In den meisten Fällen ist die Verwendung der Gruppe Benutzer einfacher. | | |
|
| |
|
StandardbenutzerkontenIn diesem Abschnitt werden die erforderlichen und empfohlenen Änderungen für vordefinierte Benutzerkonten in Standardinstallationen des Betriebssystems Windows 2000 beschrieben. Die vordefinierten Benutzerkonten sind Administrator, Gast und TsInternetUser. Standardbenutzerkonten für eine Domäne überprüfen/ändern| • | So überprüfen oder ändern Sie Benutzerkonten zum Auswerten der Sicherheit 1. | Für den Zugriff auf Benutzerkonten in einer Domäne melden Sie sich mit einem Administratorkonto am Domänencontroller an. | 2. | Klicken Sie im Menü Start auf Programme und Verwaltung, und klicken Sie dann auf Active Directory-Benutzer und-Computer. | 3. | Erweitern Sie in der Konsolenstruktur den Domänenknoten. | 4. | Benutzerkonten sind im Container Benutzer enthalten.  Abbildung 12. Benutzerkonten |
|
Standardbenutzerkonten lokal überprüfen/ändern| • | So überprüfen oder ändern Sie Konten in einem eigenständigen Computer oder einzelnen Domänenmitgliedscomputer zum Auswerten der Sicherheit 1. | Klicken Sie im Menü Startauf Programme und Verwaltung, und klicken Sie dann auf Computerverwaltung. | 2. | Erweitern Sie in der Konsolenstruktur den Knoten Lokale Benutzer und Gruppen. | 3. | Benutzerkonten sind im Container Benutzer enthalten.  Abbildung 13. Lokale Benutzerkonten | 4. | Ändern Sie Benutzerkonten gemäß den Empfehlungen in Tabelle 25. |
|
Tabelle 25: Standardbenutzerkonten Administrator | Vordefiniertes Konto zur Verwaltung des Computers/der Domäne | Verwenden Sie dieses Konto nicht für die tägliche Verwaltungsarbeit. Weisen Sie jedem Administrator zwei Konten zu: eines für die tägliche Verwendung, zum Beispiel zum Lesen von E-Mails, und eines für Verwaltungsaufgaben. Administratorkonten sollten aus Sicherheitsgründen nie für E-Mail-Zwecke verwendet werden. |
|
|
|
| | | Gast | Vordefiniertes Konto für den Gastzugriff auf den Computer/die Domäne | Dieses Konto sollte deaktiviert werden. |
|
|
|
| | | TsInternetUser | Von Terminaldiensten verwendetes Benutzerkonto. Dieses Konto wird von der Lizenz für Windows Terminaldienste - Internet Connector verwendet und ist auf Windows 2000-Servern verfügbar. Wenn die Internet Connector-Lizenzierung aktiviert ist, akzeptiert ein Windows 2000-basierter Server 200 nur anonyme Verbindungen. Für Terminaldiensteclients wird kein Anmeldedialogfeld angezeigt. Sie werden automatisch mit dem Konto TsInternetUser angemeldet. | Behandeln Sie dieses Konto wie jedes andere anonyme Konto. Lassen Sie die Verwendung von anonymen Konten auf Domänencontrollern nicht zu. | | |
|
| | |
SystemdiensteTabelle 25 zeigt die Systemdienste, die auf sicheren Windows 2000-Computern aktiviert werden sollten. Definieren Sie eine Domänensicherheitsrichtlinie, wenn Sie Dienste auf allen oder mehreren Windows 2000-Plattformen in einer Domäne aktivieren oder deaktivieren möchten. Verwenden Sie für Einstellungen auf Domänencontrollern die Schnittstelle Sicherheitsrichtlinie für Domänencontroller. Lokale Einstellungen auf einzelnen Windows 2000-Plattformen können über Computerverwaltung oder Lokale Sicherheitsrichtlinie oder durch Anwenden einer Sicherheitsvorlage mit secedit.exe eingestellt werden. Nicht benötigte Systemdienste auf Domänencomputern deaktivieren| • | So deaktivieren Sie nicht benötigte Dienste für eine Domäne oder einen Domänencontroller 1. | Öffnen Sie die Sicherheitsrichtlinie für Domänen bzw. die Sicherheitsrichtlinie für Domänencontroller. | 2. | Erweitern Sie Sicherheitseinstellungen, und klicken Sie auf Systemdienste. | 3. | Wählen Sie im rechten Fensterbereich einen zu deaktivierenden Dienst aus. Klicken Sie mit der rechten Maustaste auf den ausgewählten Dienst, und wählen Sie den Befehl Sicherheit. | 4. | Aktivieren Sie im Dialogfeld Sicherheitsrichtlinie das Kontrollkästchen Diese Richtlinieneinstellung definieren, und aktivieren Sie dann das Optionsfeld Deaktiviert.  Abbildung 14. Deaktivieren eines Dienstes in einer Richtlinie | 5. | Klicken Sie auf OK. |
|
Nicht benötigte Systemdienste lokal deaktivieren| • | So deaktivieren Sie nicht benötigte Dienste lokal auf eigenständigen Computern oder Arbeitsgruppencomputern mit dem Betriebssystem Windows 2000 Server oder Professional 1. | Öffnen Sie die Computerverwaltung. | 2. | Erweitern Sie in der Konsolenstruktur den Knoten Dienste und Anwendungen, und wählen Sie Dienste. | 3. | Wählen Sie im rechten Fensterbereich einen zu deaktivierenden Dienst aus. Klicken Sie mit der rechten Maustaste auf den ausgewählten Dienst, und wählen Sie den Befehl Eigenschaften. | 4. | Das Dialogfeld Eigenschaften für die ausgewählten Dienste wird angezeigt. Wählen Sie im Dropdownmenü Starttyp die Option Deaktiviert.  Abbildung 15. Lokales Deaktivieren eines Dienstes | 5. | Wählen Sie unter Dienststatus die Option Anhalten. | 6. | Klicken Sie auf OK. |
|
Erforderliche SystemdiensteTabelle 26 zeigt die Systemdienste, die auf sicheren Windows 2000-Computern aktiviert werden sollten. Tabelle 26: Akzeptable Dienste für gesicherte Windows 2000-Computer
| • | Warndienst | | • | Automatische Updates | | • | COM+ Ereignissystem | | • | Computerbrowser | | • | DHCP-Client | | • | DHCP-Server | | • | Verteiltes Dateisystem (DFS) | | • | Überwachung verteilter Verknüpfungen (Client) | | • | Überwachung verteilter Verknüpfungen (Server) | | • | DNS-Client | | • | DNS-Server | | • | Ereignisprotokoll | | • | Dateireplikationsdienst | | • | IIS Verwaltungsdienst (nur auf Webservern) | | • | Indexdienst (nur auf Systemen,
die die Dateiindexierung erfordern) | | • | Standortübergreifender Messagingdienst | | • | IPSec-Richtlinienagent | | • | Kerberos-Schlüsselverteilungscenter | | • | Lizenzprotokollierdienst | | • | Verwaltung logischer Datenträger | | • | Verwaltungsdienst für die Verwaltung logischer Datenträger | | • | Messenger | | • | Anmeldedienst |
|
| • | Netzwerkverbindungen | | • | NT-LM-Sicherheitsdienst | | • | Plug & Play | | • | Druckwarteschlange | | • | Geschützter Speicher | | • | Remoteprozeduraufruf (RPC) | | • | Remoteregistrierungsdienst | | • | Wechselmedien | | • | Dienst "Ausführen als" | | • | Sicherheitskontenverwaltung | | • | Serverdienst | | • | Systemereignisbenachrichtigung | | • | Taskplaner | | • | TCP/IP NetBIOS-Hilfsdienst | | • | Telefonie | | • | Terminaldienste (nur Server) | | • | WINS (Windows Internet Name Service) | | • | Windows-Verwaltungsinstrumentation | | • | Windows-Verwaltungsinstrumentations-
Treibererweiterungen | | • | Windows-Zeit | | • | Arbeitsstation | | • | WWW-Publishingdienst, SMTP-Dienst (Simple
Mail Transport), NNTP-Dienst und
FTP-Dienst sollten NUR auf
echten IIS-Servern aktiviert werden. Stellen Sie sicher, dass
diese Dienste auf allen anderen
Computern deaktiviert oder deinstalliert sind. |
|
Sicherheit des DateisystemsIn Windows 2000 können Dateien mit wahlfreien Zugriffssteuerungslisten (DACL) geschützt werden. DACLs werden in ihrer Gesamtheit auch als Berechtigungen bezeichnet. Seit Service Pack 3 bietet der Standardsatz von Datei- und Verzeichnisberechtigungen eine geeignete Sicherheitsstufe für die meisten Anwendungsumgebungen. Bestimmte DACLs können jedoch zum Überschreiben der Standards verbessert werden. Standardmäßige Datei- und Verzeichnisberechtigungen werden während der Installation des Betriebssystems über die Sicherheitsvorlagendatei setup security.inf angewendet. Diese Datei wird als "vordefinierte Standardsicherheitseinstellungen" beschrieben. Zum Verbessern der Sicherheit sollten Sie Datei-, Verzeichnis- und Unterverzeichnisberechtigungen unmittelbar nach der Installation des Betriebssystems wie in Tabelle 27 empfohlen geändert werden, und das Betriebssystem sollte mit dem neuesten Service Pack und allen seitdem erschienen Patches aktualisiert werden. Verwenden Sie die Vererbungsfeatures in Windows 2000, um Berechtigungen an der höchstmöglichen Position in der Verzeichnisstruktur zu definieren. Dadurch wird die Verwaltung von Berechtigungen deutlich vereinfacht. Die im Folgenden empfohlenen Berechtigungsänderungen gelten für alle Betriebssysteme Windows 2000. Verwenden Sie Gruppenrichtlinien, um Berechtigungen für alle oder mehrere Windows 2000-Plaftformen in einer Domäne zu implementieren. Berechtigungen sollten möglichst nicht auf Domänenebene, sondern auf Organisationseinheitsebene eingestellt werden. Eine Organisationseinheit kann auf einfache Weise erstellt werden, um alle Computer mit bestimmten Sicherheitsanforderungen zusammenzufassen. Lokale Berechtigungen können auf einzelnen Windows 2000-Plattformen über den Sicherheitskonfigurations-Editor mit den mitgelieferten Vorlagen eingestellt werden. Berechtigungen über eine Domänenrichtlinie festlegen| • | So definieren Sie eine Datei- und Ordnerberechtigungsrichtlinie für die Domäne oder Domänencontroller 1. | Öffnen Sie das entsprechende Gruppenrichtlinienobjekt. | 2. | Erweitern Sie den Knoten Sicherheitseinstellungen. | 3. | Klicken Sie in Sicherheitseinstellungen mit der rechten Maustaste auf Dateisystem. | 4. | Wählen Sie die Option Datei hinzufügen. | 5. | Wählen Sie im Fenster Datei oder Ordner hinzufügen die gewünschte Datei bzw. den Ordner aus.  Abbildung 16. Einstellen von Dateiberechtigungen in einer Richtlinie | 6. | Klicken Sie auf OK. Ein Fenster mit dem Titel Datenbanksicherheit für Pfad\DateinameEigenschaften wird angezeigt.  Abbildung 17. Einstellen von Dateiberechtigungen in einer Richtlinie | 7. | Stellen Sie die Berechtigungen wie erforderlich ein. Tabelle 27 zeigt die Datei- und Ordnerberechtigungseinstellungen. |
|
Berechtigungen über den Sicherheitskonfigurations-Editor lokal festlegenDie einfachste Methode zum Einstellen sich wiederholender Berechtigungen für ein eigenständiges oder lokales System ist die Verwendung des Sicherheitskonfigurations-Editors. Die folgenden Anweisungen zeigen, wie Berechtigungen am Stamm eines neu hinzugefügten Laufwerks definiert und eingestellt werden. | • | So definieren Sie Berechtigungen am Stamm eines neu definierten Laufwerks und stellen Sie diese ein 1. | Klicken Sie im Menü Start auf Ausführen, und geben Sie MMCein. Die Microsoft Management Console wird geöffnet. | 2. | Wählen Sie die Option Konsole: Snap-In hinzufügen/entfernen, und klicken Sie auf Hinzufügen. | 3. | Doppelklicken Sie auf Sicherheitskonfiguration und -analyse und Sicherheitsvorlagen, und klicken Sie auf Schließen. Klicken Sie auf OK. Speichern Sie gegebenenfalls die Konsole. | 4. | Erweitern Sie den Knoten Sicherheitsvorlagen, und wählen Sie Neue Vorlage. Speichern Sie die neue Vorlage unter einem beschreibenden Namen.  Abbildung 18. Erstellen einer neuen Sicherheitsvorlage | 5. | Erweitern Sie die neue Vorlage, so dass der Knoten Dateisystem angezeigt wird. | 6. | Klicken Sie mit der rechten Maustaste auf Dateisystem, und wählen Sie Datei hinzufügen. Wählen Sie das neue Laufwerk aus (in diesem Beispiel D). | 7. | Stellen Sie die Berechtigungen wie in dieser Abbildung dargestellt ein:  Abbildung 19. Konfigurieren der Datenträgerzugriffssteuerung in einer Sicherheitsvorlage | 8. | Klicken Sie zum Schließen aller Dialogfelder auf OK. Klicken Sie mit der rechten Maustaste auf die neue Vorlage, und wählen Sie den Befehl Speichern. | 9. | Klicken Sie mit der rechten Maustaste auf Sicherheitskonfiguration und -analyse, und wählen Sie Datenbank öffnen. | 10. | Geben Sie einen Namen für die Datenbank ein, und klicken Sie auf OK. Wenn Sie eine vorhandene Datenbank öffnen,müssen Sie im nächsten Dialogfeld die Option Datenbank vor dem Importieren aufräumen aktivieren. Wählen Sie anschließend die soeben erstellte Vorlage aus, und klicken Sie auf Öffnen.  Abbildung 20. Importieren der neuen Sicherheitsvorlage | 11. | Klicken Sie mit der rechten Maustaste auf Sicherheitskonfiguration und -analyse, und wählen Sie Computer jetzt konfigurieren. Wählen Sie einen Pfad für das Fehlerprotokoll aus (der Standardpfad kann übernommen werden). | 12. | Sie können die Berechtigungen jetzt im Standard-ACL-Editor im Windows-Explorer überprüfen. Sie können diese ACLs jetzt zur späteren Verwendung speichern oder auf ein anderes System anwenden. |
|
Tabelle 27: Einstellungen für Datei- und Ordnerberechtigungen %SystemDrive% Hinweis: Dies ist das Laufwerk, auf dem das Betriebssystem Windows 2000 installiert ist. Hinweis: Diese Berechtigungen sollten auch auf alle anderen nicht austauschbaren Laufwerke angewendet werden. Wenn diese Berechtigungen am Stamm aller Laufwerke eingestellt werden, ermöglichen sie Benutzern das Erstellen von Ordnern und Dateien (in den zuvor erstellten Ordnern), die Benutzer können jedoch nur die von ihnen selbst erstellten Elemente auf dem Laufwerk ändern. Beachten Sie auch die Verwendung der Gruppe Jeder. Wenn Sie den anonymen Zugriff auf das System beschränken unddas Gastkonto deaktiviert ist, wird jeder authentifizierte Benutzer der Gruppe Jeder zugeordnet. | Administratoren: Vollzugriff
ERSTELLER-BESITZER: Vollzugriff (Unterordner und Dateien)
SYSTEM: Vollzugriff
Benutzer: Lesen und Ausführen (dieser Ordner, Unterordner und Dateien)
Benutzer: Ordner erstellen / Daten anhängen (dieser Ordner und Unterordner)
Benutzer: Dateien erstellen / Daten schreiben (nur Unterordner)
Jeder: Lesen und Ausführen | Übertragen |
|
|
|
|
|
|
OrdnerfreigabeberechtigungenDer systemeigene Windows 2000-Dateifreigabedienst wird mit dem SMB-basierten Server und Redirector-Diensten bereitgestellt. Obwohl nur Administratoren Freigaben erstellen können, gewährt die auf Freigaben angewendete Standardsicherheit der Gruppe Jeder den Vollzugriff. Diese Berechtigungen gewähren Zugriff auf die im Netzwerk sichtbaren Freigaben selbst. Der Zugriff auf die über die Freigabe angezeigten Dateien und Unterordner wird durch die für den zugrunde liegenden Ordner der Freigabe definierten NTFS-Berechtigungen gesteuert. Daher sollten alle einer Freigabe zugeordneten Dateien und Ordner über NTFS-Berechtigungen gesichert werden. Wird für die Gruppe Jeder der Vollzugriff eingestellt, werden Berechtigungen nur im zugrunde liegenden Dateisystem verwaltet und nicht für die Freigabe selbst. Sicherheit der RegistrierungZusätzlich zu den in diesem Modul beschriebenen Einstellungen und Empfehlungen für die Standardsicherheit möchten einige Sicherheitsadministratoren den Schutz bestimmter Schlüssel in der Windows 2000-Registrierung verbessern. Für verschiedene Komponenten der Registrierung sind standardmäßig Schutzmechanismen vorgesehen, die die Funktionalität des Systems gewährleisten und eine Standardsicherheitsstufe bereitstellen. Standardmäßige Registrierungsschlüsselberechtigungen werden während der Installation des Betriebssystem über die Sicherheitsvorlagendatei setup security.inf angewendet. Diese Datei wird als "vordefinierte Standardsicherheitseinstellungen" beschrieben. Microsoft hat die standardmäßigen ACL-Einstellungen für die Registrierung von Windows 2000 konfiguriert, um Sicherheitsprobleme zu beheben, die im Zusammenhang mit den standardmäßigen Registrierungs-ACL-Einstellungen von Windows NT 4.0 aufgetreten sind. Darüber hinaus sichern Service Packs 2 und höher von den Standardeinstellungen nicht berücksichtigte Teile der Registrierung. Die in Tabelle 28 definierten ACL-Änderungen stellen daher nur eine kleine Anzahl von Änderungen dar, die minimale Auswirkungen auf Anwendungen haben und wichtige Datenspeicherorte in der Registrierung schützen. Gehen Sie beim Durchführen solcher Änderungen immer vorsichtig vor. Das Risiko, dass einige nicht getestete Anwendungen von Drittanbietern nicht funktionieren, besteht immer. Die empfohlenen Berechtigungsänderungen gelten für alle Betriebssysteme Windows 2000. Aufgrund der unterschiedlichen Gruppenverwendung auf den verschiedenen Plattformen unterscheiden sich die Berechtigungen für Clients, Server und Domänencontroller jedoch geringfügig. Clientberechtigungen dürfen daher nur auf Clients angewendet werden usw. Sollte Ihnen ein Fehler unterlaufen, wirkt sich dies aller Wahrscheinlichkeit nach nachteilig auf die Funktionalität Ihrer Systeme aus. Ein Fehler kann allerdings in den meisten Fällen durch erneutes Anwenden der entsprechenden Vorlage behoben werden. Definieren Sie eine Domänensicherheitsrichtlinie, wenn Sie Berechtigungen auf allen oder mehreren Windows 2000-Plattformen in einer Domäne implementieren möchten. Verwenden Sie für Einstellungen auf Domänencontrollern die Schnittstelle Sicherheitsrichtlinie für Domänencontroller. Lokale Berechtigungen auf einzelnen Windows 2000-Plaftformen können über die Schnittstelle Regedt32.exe oder mit Sicherheitsvorlagen und dem Dienstprogramm secedit.exe eingestellt werden. Registrierungsberechtigungen über eine Domänenrichtlinie festlegen| • | So stellen Sie Registrierungsberechtigungen für die Domäne und für Domänencontroller ein 1. | Öffnen Sie die Sicherheitsrichtlinie für Domänen bzw. die Sicherheitsrichtlinie für Domänencontroller. | 2. | Erweitern Sie den Knoten Sicherheitseinstellungen. | 3. | Klicken Sie in Sicherheitseinstellungen mit der rechten Maustaste auf Registrierung. Wählen Sie die Option Schlüssel hinzufügen. | 4. | Wählen Sie im Fenster Registrierungsschlüssel auswählen den gewünschten Schlüssel aus.  Abbildung 21. Auswählen eines Registrierungsschlüssels in einer Richtlinie | 5. | Klicken Sie auf OK. Ein Fenster mit dem Titel Datenbanksicherheit fürPfadEigenschaften wird angezeigt.  Abbildung 22. Einstellen von Registrierungsberechtigungen in einer Richtlinie | 6. | Stellen Sie die Berechtigungen wie erforderlich ein. Tabelle 28 zeigt die erforderlichen DACL-Änderungen. |
|
Registrierungsberechtigungen über "Regedt32.exe" festlegen| • | So legen Sie Registrierungsberechtigungen lokal fest 1. | Wählen Sie im Menü Start den Befehl Ausführen. | 2. | Geben Sie regedt32 ein, und klicken Sie auf OK, um den Registrierungs-Editor (Regedt32.exe) zu öffnen. | 3. | Wählen Sie den gewünschten Registrierungsschlüssel aus.  Abbildung 23. Lokaler Zugriff auf einen Registrierungsschlüssel | 4. | Wählen Sie im Menü Sicherheit den Befehl Berechtigungen. Das Dialogfeld Berechtigungen für... wird angezeigt. Klicken Sie auf Erweitert, um detailliertere Berechtigungseinstellungen anzuzeigen.  Abbildung 24. Lokales Festlegen von Registrierungsberechtigungen | 5. | Stellen Sie die Berechtigungen wie erforderlich ein. Tabelle 28 zeigt die DACL-Änderungen. Hinweis: Wenn Sie das Übertragungs- oder Ersetzungsverhalten verwalten möchten, müssen Sie auf Erweitert klicken. Über die Schaltfläche Erweitert können Berechtigungen durch Anwendung auf den aktuellen Schlüssel und die Unterschlüssel übertragen werden. Standardmäßig werden Berechtigungen ersetzt, wenn sie nur auf den aktuellen Schlüssel angewendet werden. Der Zugriffssteuerungseintrag "Lesesteuerung" im Tool Regedt32.exe trägt in den Sicherheitsrichtlinientools den Namen "Berechtigungen lesen". Die in der folgenden Tabelle dargestellte Gruppe Hauptbenutzer ist nicht auf Domänencontrollern verfügbar und kann nicht über einen Domänencontroller für Windows 2000-Remotecomputer eingestellt werden. Für diese Gruppe können jedoch Berechtigungen festgelegt werden, indem eine Sicherheitsvorlage auf ein Gruppenrichtlinienobjekt angewendet wird. |
|
Tabelle 28: Erforderliche Änderungen der Registrierungsberechtigungen \SOFTWARE\Microsoft\ Windows NT\CurrentVersion | Benutzer: Lesen; dieser Schlüssel und Unterschlüssel
Hauptbenutzer: Wert abfragen, Wert festlegen, Unterschlüssel erstellen, Unterschlüssel auflisten, Benachrichtigen, Löschen, Lesen; dieser Schlüssel und Unterschlüssel
Administratoren: Vollzugriff; dieser Schlüssel und Unterschlüssel
SYSTEM: Vollzugriff; dieser Schlüssel und Unterschlüssel
ERSTELLER-BESITZER: Vollzugriff; nur Unterschlüssel
TERMINALSERVER-
BENUTZER: Wert abfragen, Wert festlegen, Unterschlüssel erstellen, Unterschlüssel auflisten, Benachrichtigen, Löschen, Lesen; dieser Schlüssel und Unterschlüssel | Ersetzen | | | |
| |
| \SOFTWARE\Microsoft\ Windows NT\CurrentVersion | Authentifizierte Benutzer: Lesen; dieser Schlüssel und Unterschlüssel
Server-Operatoren: Wert abfragen, Wert festlegen, Unterschlüssel erstellen, Unterschlüssel auflisten, Benachrichtigen, Löschen, Lesen; dieser Schlüssel und Unterschlüssel
Administratoren: Vollzugriff; dieser Schlüssel und Unterschlüssel
SYSTEM: Vollzugriff; dieser Schlüssel und Unterschlüssel
ERSTELLER-BESITZER: Vollzugriff; nur Unterschlüssel | Ersetzen | | |
| | | | \SOFTWARE\Microsoft\ Windows NT\CurrentVersion | Benutzer: Lesen; dieser Schlüssel und Unterschlüssel
Hauptbenutzer: Wert abfragen, Wert festlegen, Unterschlüssel erstellen, Unterschlüssel auflisten, Benachrichtigen, Löschen, Lesen; dieser Schlüssel und Unterschlüssel
Administratoren: Vollzugriff; dieser Schlüssel und Unterschlüssel
SYSTEM: Vollzugriff; dieser Schlüssel und Unterschlüssel
ERSTELLER-BESITZER: Vollzugriff; nur Unterschlüssel | Ersetzen |
|
| | |
| | \SOFTWARE\Microsoft\ Windows NT\CurrentVersion\Winlogon | Authentifizierte Benutzer: Lesen; dieser Schlüssel und Unterschlüssel
Server-Operatoren: Lesen; dieser Schlüssel und Unterschlüssel
Administratoren: Vollzugriff; dieser Schlüssel und Unterschlüssel
SYSTEM: Vollzugriff; dieser Schlüssel und Unterschlüssel
ERSTELLER-BESITZER: Vollzugriff; nur Unterschlüssel | Ersetzen | | |
| | | | Die verbleibenden Einstellungen setzen die Standard-DACL für eine Reihe von Unterschlüsseln mit expliziten DACLs zurück. Wenn Sie diese Einstellungen nicht konfigurieren, werden sie von den oben vorgenommenen Änderungen geändert. | | | | | | | | | \SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon | Benutzer: Lesen; dieser Schlüssel und Unterschlüssel
Hauptbenutzer: Lesen; dieser Schlüssel und Unterschlüssel
Administratoren: Vollzugriff; dieser Schlüssel und Unterschlüssel
SYSTEM: Vollzugriff; dieser Schlüssel und Unterschlüssel
ERSTELLER-BESITZER: Vollzugriff; nur Unterschlüssel | Ersetzen |
|
| |
|
|
| Die verbleibenden Einstellungen setzen die Standard-DACL für eine Reihe von Unterschlüsseln mit expliziten DACLs zurück. Wenn Sie diese Einstellungen nicht konfigurieren, werden sie von den oben vorgenommenen Änderungen geändert. | | | | | | | | | HKLM\System\Software\ Microsoft\Windows NT\ CurrentVersion\ProfileList | Benutzer: Lesen; dieser Schlüssel und Unterschlüssel
Hauptbenutzer: Lesen; dieser Schlüssel und Unterschlüssel
Administratoren: Vollzugriff; dieser Schlüssel und Unterschlüssel
SYSTEM: Vollzugriff; dieser Schlüssel und Unterschlüssel
ERSTELLER-BESITZER: Vollzugriff; nur Unterschlüssel | Berechtigungen für diesen Schlüssel dürfen nicht ersetzt werden. |
|
| |
|
|
| HKLM\System\Software\ Microsoft\Windows NT\Current Version\AEDebug | Benutzer: Lesen; dieser Schlüssel und Unterschlüssel
Hauptbenutzer: Lesen; dieser Schlüssel und Unterschlüssel
Administratoren: Vollzugriff; dieser Schlüssel und Unterschlüssel
SYSTEM: Vollzugriff; dieser Schlüssel und Unterschlüssel
ERSTELLER-BESITZER: Vollzugriff; nur Unterschlüssel | Ersetzen |
|
| |
|
|
| HKLM\System\Software\ Microsoft\Windows NT\ CurrentVersion\Accessibility | Benutzer: Lesen; dieser Schlüssel und Unterschlüssel
Hauptbenutzer: Lesen; dieser Schlüssel und Unterschlüssel
Administratoren: Vollzugriff; dieser Schlüssel und Unterschlüssel
SYSTEM: Vollzugriff; dieser Schlüssel und Unterschlüssel
ERSTELLER-BESITZER: Vollzugriff; nur Unterschlüssel | Ersetzen |
|
| |
|
|
| HKLM\System\Software\ Microsoft\Windows NT\CurrentVersion\ AsrCommands | Benutzer: Lesen; dieser Schlüssel und Unterschlüssel
Hauptbenutzer: Lesen; dieser Schlüssel und Unterschlüssel
Administratoren: Vollzugriff; dieser Schlüssel und Unterschlüssel
SYSTEM: Vollzugriff; dieser Schlüssel und Unterschlüssel
ERSTELLER-BESITZER: Vollzugriff; nur Unterschlüssel
Sicherungs-Operatoren: Wert abfragen, Wert festlegen, Unterschlüssel erstellen, Unterschlüssel auflisten, Benachrichtigen, Löschen, Lesen; dieser Schlüssel und Unterschlüssel | Ersetzen |
|
| |
|
|
| HKLM\System\Software\ Microsoft\Windows NT\ CurrentVersion\Classes | Benutzer: Lesen; dieser Schlüssel und Unterschlüssel
Hauptbenutzer: Lesen; dieser Schlüssel und Unterschlüssel
Administratoren: Vollzugriff; dieser Schlüssel und Unterschlüssel
SYSTEM: Vollzugriff; dieser Schlüssel und Unterschlüssel
ERSTELLER-BESITZER: Vollzugriff; nur Unterschlüssel | Ersetzen |
|
| |
|
|
| HKLM\System\Software\ Microsoft\Windows NT\ CurrentVersion\Drivers32 | Benutzer: Lesen; dieser Schlüssel und Unterschlüssel
Hauptbenutzer: Lesen; dieser Schlüssel und Unterschlüssel
Administratoren: Vollzugriff; dieser Schlüssel und Unterschlüssel
SYSTEM: Vollzugriff; dieser Schlüssel und Unterschlüssel
ERSTELLER-BESITZER: Vollzugriff; nur Unterschlüssel | Ersetzen |
|
| |
|
|
| HKLM\System\Software \Microsoft\Windows NT\ CurrentVersion\EFS | Benutzer: Lesen; dieser Schlüssel und Unterschlüssel
Hauptbenutzer: Lesen; dieser Schlüssel und Unterschlüssel
Administratoren: Vollzugriff; dieser Schlüssel und Unterschlüssel
SYSTEM: Vollzugriff; dieser Schlüssel und Unterschlüssel
ERSTELLER-BESITZER: Vollzugriff; nur Unterschlüssel | Ersetzen |
|
| |
|
|
| HKLM\System\Software\ Microsoft\Windows NT \CurrentVersion \IniFileMapping | Benutzer: Lesen; dieser Schlüssel und Unterschlüssel
Hauptbenutzer: Lesen; dieser Schlüssel und Unterschlüssel
Administratoren: Vollzugriff; dieser Schlüssel und Unterschlüssel
SYSTEM: Vollzugriff; dieser Schlüssel und Unterschlüssel
ERSTELLER-BESITZER: Vollzugriff; nur Unterschlüssel | Ersetzen |
|
| |
|
|
| HKLM\System\Software\ Microsoft\Windows NT\Current Version\Image File Execution Options | Benutzer: Lesen; dieser Schlüssel und Unterschlüssel
Hauptbenutzer: Lesen; dieser Schlüssel und Unterschlüssel
Administratoren: Vollzugriff; dieser Schlüssel und Unterschlüssel
SYSTEM: Vollzugriff; dieser Schlüssel und Unterschlüssel
ERSTELLER-BESITZER: Vollzugriff; nur Unterschlüssel | Ersetzen |
|
| |
|
|
| HKLM\System\Software\ Microsoft\Windows NT\Current Version\FontMapper | Benutzer: Lesen; dieser Schlüssel und Unterschlüssel
Hauptbenutzer: Lesen; dieser Schlüssel und Unterschlüssel
Administratoren: Vollzugriff; dieser Schlüssel und Unterschlüssel
SYSTEM: Vollzugriff; dieser Schlüssel und Unterschlüssel
ERSTELLER-BESITZER: Vollzugriff; nur Unterschlüssel | Ersetzen |
|
| |
|
|
| HKLM\System\Software\ Microsoft\Windows NT\CurrentVersion\Font Drivers | Benutzer: Lesen; dieser Schlüssel und Unterschlüssel
Hauptbenutzer: Lesen; dieser Schlüssel und Unterschlüssel
Administratoren: Vollzugriff; dieser Schlüssel und Unterschlüssel
SYSTEM: Vollzugriff; dieser Schlüssel und Unterschlüssel
ERSTELLER-BESITZER: Vollzugriff; nur Unterschlüssel | Ersetzen |
|
| |
|
|
| HKLM\System\Software\ Microsoft\Windows NT\CurrentVersion\Windows | Benutzer: Lesen; dieser Schlüssel und Unterschlüssel
Hauptbenutzer: Lesen; dieser Schlüssel und Unterschlüssel
Administratoren: Vollzugriff; dieser Schlüssel und Unterschlüssel
SYSTEM: Vollzugriff; dieser Schlüssel und Unterschlüssel
ERSTELLER-BESITZER: Vollzugriff; nur Unterschlüssel | Ersetzen |
|
| |
|
|
| HKLM\System\Software\ Microsoft\Windows NT\CurrentVersion\Time Zones | Benutzer: Lesen; dieser Schlüssel und Unterschlüssel
Hauptbenutzer: Lesen; dieser Schlüssel und Unterschlüssel
Administratoren: Vollzugriff; dieser Schlüssel und Unterschlüssel
SYSTEM: Vollzugriff; dieser Schlüssel und Unterschlüssel
ERSTELLER-BESITZER: Vollzugriff; nur Unterschlüssel | Ersetzen |
|
| |
|
|
| HKLM\System\Software\ Microsoft\Windows NT\CurrentVersion\Svchost | Benutzer: Lesen; dieser Schlüssel und Unterschlüssel
Hauptbenutzer: Lesen; dieser Schlüssel und Unterschlüssel
Administratoren: Vollzugriff; dieser Schlüssel und Unterschlüssel
SYSTEM: Vollzugriff; dieser Schlüssel und Unterschlüssel
ERSTELLER-BESITZER: Vollzugriff; nur Unterschlüssel | Ersetzen |
|
| |
|
|
| HKLM\System\Software\ Microsoft\Windows NT\CurrentVersion\Setup\ RecoveryConsole | Benutzer: Lesen; dieser Schlüssel und Unterschlüssel
Hauptbenutzer: Lesen; dieser Schlüssel und Unterschlüssel
Administratoren: Vollzugriff; dieser Schlüssel und Unterschlüssel
SYSTEM: Vollzugriff; dieser Schlüssel und Unterschlüssel
ERSTELLER-BESITZER: Vollzugriff; nur Unterschlüssel | Ersetzen |
|
| |
|
|
| HKLM\System\Software\ Microsoft\Windows NT\CurrentVersion\SecEdit | Benutzer: Lesen; dieser Schlüssel und Unterschlüssel
Hauptbenutzer: Lesen; dieser Schlüssel und Unterschlüssel
Administratoren: Vollzugriff; dieser Schlüssel und Unterschlüssel
SYSTEM: Vollzugriff; dieser Schlüssel und Unterschlüssel
ERSTELLER-BESITZER: Vollzugriff; nur Unterschlüssel | Ersetzen |
|
| |
|
|
| HKLM\System\Software\ Microsoft\Windows NT\CurrentVersion\ Perflib | INTERAKTIV: Lesen; dieser Schlüssel und Unterschlüssel
Hauptbenutzer: Lesen; dieser Schlüssel und Unterschlüssel
Administratoren: Vollzugriff; dieser Schlüssel und Unterschlüssel
SYSTEM: Vollzugriff; dieser Schlüssel und Unterschlüssel
ERSTELLER-BESITZER: Vollzugriff; nur Unterschlüssel | Ersetzen |
|
| |
|
|
| HKLM\System\Software\ Microsoft\Windows NT\Current Version\ProfileList | Authentifizierte Benutzer: Lesen; dieser Schlüssel und Unterschlüssel
Server-Operatoren: Lesen; dieser Schlüssel und Unterschlüssel
Administratoren: Vollzugriff; dieser Schlüssel und Unterschlüssel
SYSTEM: Vollzugriff; dieser Schlüssel und Unterschlüssel
ERSTELLER-BESITZER: Vollzugriff; nur Unterschlüssel | Berechtigungen für diesen Schlüssel dürfen nicht ersetzt werden. | | |
| | | | HKLM\System\Software\ Microsoft\Windows NT\Current Version\AEDebug | Authentifizierte Benutzer: Lesen; dieser Schlüssel und Unterschlüssel
Server-Operatoren: Lesen; dieser Schlüssel und Unterschlüssel
Administratoren: Vollzugriff; dieser Schlüssel und Unterschlüssel
SYSTEM: Vollzugriff; dieser Schlüssel und Unterschlüssel
ERSTELLER-BESITZER: Vollzugriff; nur Unterschlüssel | Ersetzen | | |
| | | | HKLM\System\Software\ Microsoft\Windows NT\CurrentVersion\Accessibility | Authentifizierte Benutzer: Lesen; dieser Schlüssel und Unterschlüssel
Server-Operatoren: Lesen; dieser Schlüssel und Unterschlüssel
Administratoren: Vollzugriff; dieser Schlüssel und Unterschlüssel
SYSTEM: Vollzugriff; dieser Schlüssel und Unterschlüssel
ERSTELLER-BESITZER: Vollzugriff; nur Unterschlüssel | Ersetzen | | |
| | | | HKLM\System\Software\ Microsoft\Windows NT\CurrentVersion\ AsrCommands | Authentifizierte Benutzer: Lesen; dieser Schlüssel und Unterschlüssel
Server-Operatoren: Lesen; dieser Schlüssel und Unterschlüssel
Administratoren: Vollzugriff; dieser Schlüssel und Unterschlüssel
SYSTEM: Vollzugriff; dieser Schlüssel und Unterschlüssel
ERSTELLER-BESITZER: Vollzugriff; nur Unterschlüssel
Sicherungs-Operatoren: Wert abfragen, Wert festlegen, Unterschlüssel erstellen, Unterschlüssel auflisten, Benachrichtigen, Löschen, Lesen; dieser Schlüssel und Unterschlüssel | Ersetzen | | |
| | | | HKLM\System\Software\ Microsoft\Windows NT\CurrentVersion\ Classes | Authentifizierte Benutzer: Lesen; dieser Schlüssel und Unterschlüssel
Server-Operatoren: Lesen; dieser Schlüssel und Unterschlüssel
Administratoren: Vollzugriff; dieser Schlüssel und Unterschlüssel
SYSTEM: Vollzugriff; dieser Schlüssel und Unterschlüssel
ERSTELLER-BESITZER: Vollzugriff; nur Unterschlüssel | Ersetzen | | |
| | | | HKLM\System\Software\ Microsoft\Windows NT\CurrentVersion\Drivers32 | Authentifizierte Benutzer: Lesen; dieser Schlüssel und Unterschlüssel
Server-Operatoren: Lesen; dieser Schlüssel und Unterschlüssel
Administratoren: Vollzugriff; dieser Schlüssel und Unterschlüssel
SYSTEM: Vollzugriff; dieser Schlüssel und Unterschlüssel
ERSTELLER-BESITZER: Vollzugriff; nur Unterschlüssel | Ersetzen | | |
| | | | HKLM\System\Software\ Microsoft\Windows NT\CurrentVersion\EFS | Authentifizierte Benutzer: Lesen; dieser Schlüssel und Unterschlüssel
Server-Operatoren: Lesen; dieser Schlüssel und Unterschlüssel
Administratoren: Vollzugriff; dieser Schlüssel und Unterschlüssel
SYSTEM: Vollzugriff; dieser Schlüssel und Unterschlüssel
ERSTELLER-BESITZER: Vollzugriff; nur Unterschlüssel | Ersetzen | | |
| | | | HKLM\System\Software\ Microsoft\Windows NT\CurrentVersion \IniFileMapping | Authentifizierte Benutzer: Lesen; dieser Schlüssel und Unterschlüssel
Server-Operatoren: Lesen; dieser Schlüssel und Unterschlüssel
Administratoren: Vollzugriff; dieser Schlüssel und Unterschlüssel
SYSTEM: Vollzugriff; dieser Schlüssel und Unterschlüssel
ERSTELLER-BESITZER: Vollzugriff; nur Unterschlüssel | Ersetzen | | |
| | | | HKLM\System\Software\ Microsoft\Windows NT\CurrentVersion\Image File Execution Options | Authentifizierte Benutzer: Lesen; dieser Schlüssel und Unterschlüssel
Server-Operatoren: Lesen; dieser Schlüssel und Unterschlüssel
Administratoren: Vollzugriff; dieser Schlüssel und Unterschlüssel
SYSTEM: Vollzugriff; dieser Schlüssel und Unterschlüssel
ERSTELLER-BESITZER: Vollzugriff; nur Unterschlüssel | Ersetzen | | |
| | | | HKLM\System\Software\ Microsoft\Windows NT\CurrentVersion\FontMapper | Authentifizierte Benutzer: Lesen; dieser Schlüssel und Unterschlüssel
Server-Operatoren: Lesen; dieser Schlüssel und Unterschlüssel
Administratoren: Vollzugriff; dieser Schlüssel und Unterschlüssel
SYSTEM: Vollzugriff; dieser Schlüssel und Unterschlüssel
ERSTELLER-BESITZER: Vollzugriff; nur Unterschlüssel | Ersetzen | | |
| | | | HKLM\System\Software\ Microsoft\Windows NT\CurrentVersion\Font Drivers | Authentifizierte Benutzer: Lesen; dieser Schlüssel und Unterschlüssel
Server-Operatoren: Lesen; dieser Schlüssel und Unterschlüssel
Administratoren: Vollzugriff; dieser Schlüssel und Unterschlüssel
SYSTEM: Vollzugriff; dieser Schlüssel und Unterschlüssel
ERSTELLER-BESITZER: Vollzugriff; nur Unterschlüssel | Ersetzen | | |
| | | | HKLM\System\Software\ Microsoft\Windows NT\CurrentVersion\Windows | Authentifizierte Benutzer: Lesen; dieser Schlüssel und Unterschlüssel
Server-Operatoren: Lesen; dieser Schlüssel und Unterschlüssel
Administratoren: Vollzugriff; dieser Schlüssel und Unterschlüssel
SYSTEM: Vollzugriff; dieser Schlüssel und Unterschlüssel
ERSTELLER-BESITZER: Vollzugriff; nur Unterschlüssel | Ersetzen | | |
| | | | HKLM\System\Software\ Microsoft\Windows NT\CurrentVersion\Time Zones | Authentifizierte Benutzer: Lesen; dieser Schlüssel und Unterschlüssel
Server-Operatoren: Lesen; dieser Schlüssel und Unterschlüssel
Administratoren: Vollzugriff; dieser Schlüssel und Unterschlüssel
SYSTEM: Vollzugriff; dieser Schlüssel und Unterschlüssel
ERSTELLER-BESITZER: Vollzugriff; nur Unterschlüssel | Ersetzen | | |
| | | | HKLM\System\Software\ Microsoft\Windows NT\CurrentVersion\Svchost | Authentifizierte Benutzer: Lesen; dieser Schlüssel und Unterschlüssel
Server-Operatoren: Lesen; dieser Schlüssel und Unterschlüssel
Administratoren: Vollzugriff; dieser Schlüssel und Unterschlüssel
SYSTEM: Vollzugriff; dieser Schlüssel und Unterschlüssel
ERSTELLER-BESITZER: Vollzugriff; nur Unterschlüssel | Ersetzen | | |
| | | | HKLM\System\Software\ Microsoft\Windows NT\CurrentVersion\Setup \RecoveryConsole | Authentifizierte Benutzer: Lesen; dieser Schlüssel und Unterschlüssel
Server-Operatoren: Lesen; dieser Schlüssel und Unterschlüssel
Administratoren: Vollzugriff; dieser Schlüssel und Unterschlüssel
SYSTEM: Vollzugriff; dieser Schlüssel und Unterschlüssel
ERSTELLER-BESITZER: Vollzugriff; nur Unterschlüssel | Ersetzen | | |
| | | | HKLM\System\Software\ Microsoft\Windows NT\CurrentVersion\SecEdit | Authentifizierte Benutzer: Lesen; dieser Schlüssel und Unterschlüssel
Server-Operatoren: Lesen; dieser Schlüssel und Unterschlüssel
Administratoren: Vollzugriff; dieser Schlüssel und Unterschlüssel
SYSTEM: Vollzugriff; dieser Schlüssel und Unterschlüssel
ERSTELLER-BESITZER: Vollzugriff; nur Unterschlüssel | Ersetzen | | |
| | | | HKLM\System\Software\ Microsoft\Windows NT\CurrentVersion\ Perflib | INTERAKTIV: Lesen; dieser Schlüssel und Unterschlüssel
Server-Operatoren: Lesen; dieser Schlüssel und Unterschlüssel
Administratoren: Vollzugriff; dieser Schlüssel und Unterschlüssel
SYSTEM: Vollzugriff; dieser Schlüssel und Unterschlüssel
ERSTELLER-BESITZER: Vollzugriff; nur Unterschlüssel | Ersetzen | | |
| | | |
IPSec-RichtlinienZum Konfigurieren von IPSec-Sicherheitsrichtlinien werden nicht APIs verwendet, sondern IPSec-Richtlinien. Die Richtlinien stellen variable Schutzstufen für die meisten Verkehrstypen in den meisten vorhandenen Netzwerken bereit. IPSec-Richtlinien können entsprechend den Sicherheitsanforderungen eines Benutzers, einer Gruppe, einer Anwendung, einer Domäne, eines Standorts oder einer globalen Organisation konfiguriert werden. Microsoft Windows 2000 stellt eine als IPSec-Richtlinienverwaltung bezeichnete Verwaltungsschnittstelle zum Definieren von IPSec-Richtlinien für Computer auf der Active Directory-Ebene für Domänenmitglieder oder auf dem lokalen Computer für Nicht-Domänenmitglieder bereit. IPSec-Richtlinien können auf Computer, Domänen oder in Active Directory erstellte Organisationseinheiten angewendet werden. IPSec-Richtlinien sollte basierend auf den Betriebssicherheitsrichtlinien der Organisation definiert werden. Mithilfe von Sicherheitsaktionen -Regeln- kann eine Richtlinie auf gemischte Sicherheitsgruppen von Computern oder auf Organisationseinheiten angewendet werden. Verschlüsselndes DateisystemDie Betriebssysteme Windows 2000 bieten die Möglichkeit, Dateien und Ordner in einem NTFS-Volume mithilfe des systemeigenen verschlüsselnden Dateisystems (EFS) zu verschlüsseln. EFS verwendet einen Verschlüsselungsmechanismus mit privatem Schlüssel, um Dateien in verschlüsselter Form im Netzwerk zu speichern. EFS führt einen Dateisystemtreiber aus und verwendet zum Schützen der Dateien sowohl die symmetrische Schlüsselverschlüsselung als auch die Verschlüsselung des öffentlichen Schlüssels. Wie auch die IPSec-Richtlinien überschreitet die Verwaltung von EFS den Rahmen dieses Moduls. Die Verwendung von EFS ist relativ einfach, zur optimalen Nutzung der Sicherheitsvorteile des Features ist jedoch eine zusätzliche Konfiguration erforderlich. Weitere Informationen zu diesem Thema finden Sie unter: Automatischen Bildschirmsperrschutz aktivierenSie sollten einen kennwortgeschützten Bildschirmschoner für die ausgewertete Konfiguration aktivieren. Einer solcher Schutz ermöglicht die Sperrung eines Benutzerdesktops und verbessert somit die Sicherheit. Zu diesem Zweck wird eine automatische Bildschirmsperre eingerichtet, die nach einer bestimmten Inaktivitätsperiode mit dem Bildschirmschoner initiiert wird. Nach dem Aktivieren der Computerbildschirmsperre können nur der Benutzer, dessen Konto derzeit am Computer angemeldet ist, oder ein autorisierter Administrator auf den Computer zugreifen. | • | So richten Sie eine bildschirmschonergestützte automatische Bildschirmsperre ein 1. | Klicken Sie mit der rechten Maustaste auf den Benutzerdesktop, und wählen Sie Eigenschaften. Das Fenster Eigenschaften anzeigen wird geöffnet. | 2. | Klicken Sie auf die Registerkarte Bildschirmschoner. | 3. | Wählen Sie im Dropdownmenü Bildschirmschoner einen Bildschirmschoner aus. | 4. | Geben Sie im Feld Wartezeit die Anzahl von Minuten ohne Aktivität ein, nach denen das System den Bildschirmschoner aktiviert. (Die Standardeinstellung von 15 Minuten wird empfohlen). | 5. | Aktivieren Sie das Kontrollkästchen Kennwortschutz.  Abbildung 25. Einrichten eines Kennwortschutzes für den Bildschirmschoner | 6. | Klicken Sie auf OK, um den kennwortgeschützten Bildschirmschoner einzustellen. |
|
Notfalldiskette des Systems aktualisierenAktualisieren Sie die Notfalldiskette für das System, um alle vorgenommenen Änderungen aufzunehmen. Quellen
| |
