Windows 2000 - Sicherheitshandbuch

Tools für die Sicherheitskonfiguration

Aktualisiert: 22. Mrz 2004
Auf dieser Seite
ModulübersichtModulübersicht
ZielsetzungZielsetzung
BetrifftBetrifft
Der Nutzen dieses ModulsDer Nutzen dieses Moduls
Windows 2000-SicherheitsrichtlinienWindows 2000-Sicherheitsrichtlinien
Zusätzliche Schnittstellen für die SicherheitskonfigurationZusätzliche Schnittstellen für die Sicherheitskonfiguration

Modulübersicht

Dieses Modul bietet einen Überblick über die Tools zum Ändern der Sicherheitskonfiguration eines standardmäßig installierten Betriebssystems Microsoft Windows 2000. In diesem Modul werden nur die Tools beschrieben, nicht die mit diesen Tools vorzunehmenden Einstellungen.

Zielsetzung

Identifizieren der Windows 2000-Tools für die Sicherheitskonfiguration

Betrifft

Die Informationen in diesem Modul gelten für folgende Produkte und Technologien:

Microsoft Windows 2000

Sicherheitskonfigurationstools des Betriebssystems Microsoft Windows 2000

Der Nutzen dieses Moduls

In diesem Modul werden die in Windows 2000 verfügbaren Tools für die Sicherheitskonfiguration vorgestellt. Zudem werden die Erstellung und Verarbeitung von Gruppenrichtlinien behandelt. Dieses Modul bietet eine Einführung in diese Tools.

Empfehlungen für eine erfolgreiche Arbeit mit diesem Modul:

Lesen Sie das Modul Sicherheitskonfigurationen für Windows 2000. Dieses Modul stellt eine ausführliche Dokumentation zu den Sicherheitseinstellungen bereit, mit denen die Sicherheit von Windows 2000 verbessert werden kann.

Verwenden Sie die begleitenden Verfahrenshinweise:

Konfiguration und Anwendung von Sicherheitsvorlagen mit Windows 2000

Windows 2000-Sicherheitsrichtlinien

In diesem Abschnitt werden die verschiedenen Sicherheitsrichtlinientools und deren Rangfolge im Hinblick auf die Anwendung von Sicherheitsrichtlinien beschrieben. Gruppenrichtlinien werden standardmäßig vererbt, sie sind kumulativ und betreffen alle Computer in einem Microsoft Active Directory-Container. Gruppenrichtlinien können mithilfe von Gruppenrichtlinienobjekten (GPOs) verwaltet werden. Gruppenrichtlinienobjekte sind in einer bestimmten Hierarchie an ausgewählte Active Directory-Objekte wie Sites, Domänen oder Organisationseinheiten (OUs) angehängte Datenstrukturen.

Nachdem Sie diese Gruppenrichtlinienobjekte erstellt haben, werden sie in einer Standardreihenfolge angewendet: LSDOU - diese Abkürzung steht für (1) Lokal, (2) Site, (3) Domäne, (4) Organisationseinheit. Die zu einem späteren Zeitpunkt angewendeten Richtlinien haben Vorrang vor den zuvor angewendeten Richtlinien. Wenn ein Computer einer Domäne angehört und ein Konflikt zwischen Domänen- und lokalen Computerrichtlinien auftritt, hat die Domänenrichtlinie Vorrang. Gehört ein Computer einer Domäne jedoch nicht mehr an, wird die lokale Gruppenrichtlinie angewendet.

Wenn ein Computer einer Domäne mit implementiertem Active Directory und implementierter Gruppenrichtlinie hinzugefügt wird, wird ein lokales Gruppenrichtlinienobjekt verarbeitet. Die lokale Gruppenrichtlinienobjekt-Richtlinie wird auch dann angewendet, wenn die Option Richtlinienvererbung deaktivieren aktiviert wurde.

In den lokalen Richtlinien für das Standard-Gruppenrichtlinienobjekt einer Domäne (Überwachungsrichtlinie, Zuweisung von Benutzerrechten und Sicherheitsoptionen) können Kontorichtlinien (Kennwort-, Kontensperrungs- und Kerberos-Richtlinien) für die gesamte Domäne definiert werden. Lokale Richtlinien für Domänencontroller (DCs) werden im Standard-Gruppenrichtlinienobjekt für Domänencontroller definiert. Für Domänencontroller haben die im Standard-Gruppenrichtlinienobjekt für Domänencontroller definierten Einstellungen Vorrang vor Einstellungen im Standard-Gruppenrichtlinienobjekt der Domäne. Wenn Sie im Standard-Gruppenrichtlinienobjekt der Domäne ein Benutzerrecht definieren (zum Beispiel Hinzufügen von Arbeitsstationen zur Domäne), hat dieses Recht folglich keinen Einfluss auf die Domänencontroller in dieser Domäne.

Mit entsprechenden Optionen kann die Anwendung der Gruppenrichtlinie in einem bestimmten Gruppenrichtlinienobjekt erzwungen werden, so dass Gruppenrichtlinienobjekte in untergeordneten Active Directory-Containern nicht durch diese Richtlinie überschrieben werden. Wenn Sie zum Beispiel ein spezifisches Gruppenrichtlinienobjekt auf der Domänenebene definieren und die Erzwingung dieses Gruppenrichtlinienobjekts festlegen, werden die im Objekt enthaltenen Richtlinien auf alle Organisationseinheiten unter dieser Domäne angewendet. Dies bedeutet, dass die Container (Organisationseinheiten) auf niedrigeren Ebenen diese Domänengruppenrichtlinie nicht überschreiben können.

Hinweis: Für die Anwendung der Kontorichtlinien auf Computer in der Domäne gelten einige spezielle Ausnahmen. Unabhängig davon, wo sich das Computerobjekt für den Domänencontroller befindet, erhalten alle Domänencontroller in der Domäne ihre Kontorichtlinien von den im Domänenknoten definierten Gruppenrichtlinienobjekten. Dadurch wird sichergestellt, dass konsistente Kontorichtlinien für alle Domänenkonten erzwungen werden. Die lokalen Konten auf allen Nicht-Domänencontrollern in der Domäne erhalten ihre Richtlinien entsprechend der normalen Gruppenrichtlinienobjekt-Hierarchie. Standardmäßig erzwingen Mitgliedsarbeitsstationen und Server die im Gruppenrichtlinieobjekt der Domäne definierten Richtlinieneinstellungen für ihre lokalen Konten. Werden die Standardeinstellungen jedoch durch ein anderes Gruppenrichtlinienobjekt auf niedrigerer Ebene überschrieben, treten diese Einstellungen in Kraft.

Lokale Sicherheitsrichtlinie

Eine lokale Sicherheitsrichtlinie wird zum Festlegen der Sicherheitsanforderungen auf dem lokalen Computer verwendet. Sie dient in erster Linie für eigenständige Computer oder zur Anwendung spezifischer Sicherheitseinstellungen auf ein Domänenmitglied. In einem durch Active Directory verwalteten Netzwerk haben die lokalen Sicherheitsrichtlinieneinstellungen die niedrigste Priorität.

So öffnen Sie die lokale Sicherheitsrichtlinie

1.

Melden Sie sich mit Administratorrechten am Computer an.

2.

Auf einem Windows 2000 Professional-Computer wird Verwaltung nicht standardmäßig im Menü Start angezeigt. Zum Anzeigen der Menüoption Verwaltung unter Windows 2000 Professional klicken Sie im Menü Start auf Einstellungen, und klicken Sie dann auf Taskleiste und Startmenü . Klicken Sie im Fenster Eigenschaften von Taskleiste und Startmenü auf die Registerkarte Erweitert. Wählen Sie im Dialogfeld Startmenüeinstellungen die Option Verwaltung anzeigen. Klicken Sie zum Abschließen der Einstellung auf OK.

3.

Klicken Sie auf Start, wählen Sie Programme und Verwaltung, und klicken Sie dann auf Lokale Sicherheitsrichtlinie. Daraufhin wird die Konsole Lokale Sicherheitseinstellungen geöffnet.

Lokale Sicherheitseinstellungen

Abbildung 1: Lokale Sicherheitseinstellungen

Sicherheitsrichtlinie für Domänen

Eine Domänensicherheitsrichtlinie dient zum Festlegen und Übertragen von Sicherheitsanforderungen für alle Computer in einer Domäne. Die Domänensicherheitsrichtlinie überschreibt die lokalen Sicherheitsrichtlinieneinstellungen für alle Computer in der Domäne.

So öffnen Sie eine Domänensicherheitsrichtlinie

1.

Öffnen Sie das Snap-In Active Directory-Benutzer und -Computer.

2.

Klicken Sie mit der rechten Maustaste auf die Organisationseinheit oder Domäne, deren Richtlinie Sie anzeigen möchten, und klicken Sie auf Eigenschaften. Zum Anzeigen der Sicherheitsrichtlinie für eine Domäne klicken Sie zum Beispiel mit der rechten Maustaste auf die Domäne. Zum Anzeigen der Domänencontrollerrichtlinie klicken Sie mit der rechten Maustaste auf die Organisationseinheit Domänencontroller.

3.

Klicken Sie auf die Registerkarte Gruppenrichtlinie.

4.

Klicken Sie auf die Schaltfläche Bearbeiten.

5.

Erweitern Sie Windows-Einstellungen.

6.

Die Sicherheitskonfiguration wird in der Struktur Sicherheitseinstellungen durchgeführt.

Gruppenrichtlinienobjekte für Organisationseinheiten

Organisationseinheiten sollten zum Verwalten von Sicherheitsrichtlinien in einer Domäne verwendet werden. In der Standardkonfiguration enthält die Domäne bereits die Organisationseinheit Domänencontroller. Sie können bei Bedarf jedoch weitere Organisationseinheiten definieren. Sie sollten zum Beispiel die Basiseinstellungen auf der Domänenebene anwenden und anschließend die spezifischen Einstellungen auf der Organisationseinheitsebene anwenden. Somit erstellen Sie eine Organisationseinheit "Arbeitsstationen" für alle Arbeitsstationen, eine Organisationseinheit "Domänenserver" für alle Domänenmitgliedsserver usw.

Ein Gruppenrichtlinienobjekt für eine Organisationseinheit kann die von den zuvor beschriebenen Richtlinienschnittstellen implementierten Sicherheitsrichtlinieneinstellungen überschreiben. Wenn zum Beispiel eine für die Domäne definierte Richtlinie mit der gleichen für die Organisationseinheit "Domänencontroller" definierten Richtlinie inkompatibel ist, erben die Domänencontroller die Domänenrichtlinieneinstellung nicht. Dieses Problem kann durch Auswahl der Option Kein Vorrang beim Erstellen eines Gruppenrichtlinienobjekts für eine Organisationseinheit vermieden werden. Die Option Kein Vorrang erzwingt die Vererbung von Richtlinien von übergeordneten Containern an alle untergeordneten Container. Dies gilt auch, wenn diese Richtlinien mit denen des untergeordneten Containers in Konflikt stehen und Richtlinienvererbung deaktivieren für den untergeordneten Container aktiviert wurde. Das Kontrollkästchen Kein Vorrang wird angezeigt, wenn Sie im Dialogfeld Eigenschaften für das Gruppenrichtlinienobjekt auf die Schaltfläche Optionen klicken.

Zusätzliche Schnittstellen für die Sicherheitskonfiguration

Zum Vereinfachen der Diskussion und Implementierung beschränkt sich dieses Dokument auf die Verwaltung von Sicherheitseinstellungen über Windows 2000-Sicherheitsrichtlinien. Auf eigenständigen Computern sind diese Schnittstellen jedoch nicht verfügbar, und selbst auf Domänenmitgliedern ist eine individuelle Verwaltung der Sicherheit mitunter der gruppenrichtliniengestützten Verwaltung vorzuziehen. Zur Durchführung dieser Aufgaben stehen Ihnen zahlreiche eigenständige Tools zur Verfügung. Das am häufigsten verwendete Tool ist der in allen Windows 2000-Systemen enthaltene Security Configuration Editor.

Security Configuration Editor

Der Security Configuration Editor (SCE) besteht aus zwei MMC-Snap-Ins (Microsoft Management Console), die Funktionen für die Sicherheitskonfiguration und -analyse auf dem Betriebssystem Windows 2000 bereitstellen. Das erste Snap-In sind die Sicherheitsvorlagen. Dieses Snap-In bietet Administratoren eine grafische Methode zur Verwaltung der INF-Dateien, mit denen Sicherheitseinstellungen angewendet werden. Das zweite Snap-In ist die Sicherheitskonfiguration und -analyse. Dieses Snap-In ermöglicht Administratoren das Analysieren der Sicherheit eines Systems in Bezug zu einer bestimmten Vorlage und das Anwenden der Einstellungen in einer Vorlage auf ein System. Diese Schnittstellen werden in Abbildung 2 dargestellt. Zum Anzeigen dieser Snap-Ins muss eine neue Konsole erstellt werden.

So erstellen Sie eine neue Konsole

1.

Klicken Sie auf Start, wählen Sie Ausführen , und führen Sie MMC aus.

2.

Klicken Sie in MMC auf Konsole , und klicken Sie dann auf Snap-In hinzufügen/entfernen. Klicken Sie anschließend auf Hinzufügen, und doppelklicken Sie dann auf Sicherheitskonfiguration und -analyse und auf Sicherheitsvorlagen.

3.

Klicken Sie auf Schließenund auf OK, um zur Konsole zurückzukehren. Sie können diese Konsole jetzt zur späteren Verwendung speichern, damit Sie im Ordner Verwaltung im Menü Start verfügbar ist.

Sicherheitskonfigurations-Editor

Abbildung 2: Security Configuration Editor

Die SCE-Tools ermöglichen Administratoren das Konfigurieren der Sicherheit auf Computern mit dem Betriebssystem Windows 2000 sowie die regelmäßige Analyse der Systeme, um zu überprüfen, ob die Konfiguration intakt ist oder Änderungen notwendig sind. Diese Tools bieten Zugriff auf alle in der Struktur Sicherheitseinstellungen in einer Gruppenrichtlinie angezeigten Elemente.

Weitere Informationen zur Verwendung der SCE-Tools finden Sie unter:http://www.microsoft.com/windows2000/techinfo/howitworks/security/sctoolset.asp.

Weitere Tools

Mit Windows 2000 werden zahlreiche weitere Tools für die Sicherheitsverwaltung geliefert. In diesem Abschnitt werden einige dieser Tools kurz vorgestellt. Hierbei wird vorausgesetzt, dass Administratoren mit diesen Tools vertraut sind und keine weitere Einführung benötigen.

Windows-Explorer - Ermöglicht die Konfiguration von Freigegebenen Zugriffssteuerungslisten (DACL) und Systemzugriffssteuerungslisten (SACL) für das System.

Regedt32.exe - Ermöglicht die Konfiguration von DACLs und SACLs für die Registrierung.

Cacls.exe - Dieses Befehlszeilenprogramm ermöglicht die Konfiguration und Anzeige von Dateisystem-DACLs.

Net.exe - Dies ist eine Familie von Befehlszeilenprogrammen zur Erstellung und Konfiguration von Benutzerkonten und Gruppenmitgliedschaften sowie zur Konfiguration von verschiedenen Einstellungen wie der Sichtbarkeit des Systems in Netzwerksuchlisten.

Netsh.exe - Dies ist ein Befehlszeilenprogramm für die Konfiguration von Netzwerkparametern.

Secedit.exe - Dieses Befehlszeilenprogramm stellt dieselben Funktionen wie die SCE-Tools bereit.


**
**