| Dateisystemkonfiguration
Sicherheitsziel: Konfiguration von Sicherheitsmechanismen zulassen und Konformität mit Sicherheitsrichtlinien unterstützen Wenn das Dateisystem nicht NTFS ist, muss es konvertiert werden. Nach dem Konvertieren müssen die Standardzugriffskontrolllisten in der Vorlage "Setup Security.inf" angewendet werden, da diese Listen während der Konvertierung nicht eingerichtet werden.
Dateisystemtyp: NTFS |
Kontorichtlinien | |
| Kennwortrichtlinien |
| Kennwortchronik erzwingen
Sicherheitsziel: Grenze setzen, wie häufig Kennwörter verwendet werden dürfen.
Computereinstellung: Erinnerung an _____ Kennwörter |
| Maximales Kennwortalter
Sicherheitsziel: Festlegen, wie lange Benutzer ein Kennwort verwenden können, bevor sie es ändern müssen
Computereinstellung: _____ Tage |
| Minimales Kennwortalter
Sicherheitsziel: Festlegen, wie lange Benutzer ein Kennwort verwenden müssen, bevor sie es ändern können
Computereinstellung: _____ Tage |
| Minimale Kennwortlänge
Sicherheitsziel: Festlegen der Mindestanzahl von Zeichen für Benutzerkennwörter
Computereinstellung: _____ Zeichen |
| Kennwörter müssen Komplexitätsvoraussetzungen entsprechen
Sicherheitsziel: Erfordert komplexe (starke) Kennwörter
Computereinstellung:
Aktiviert " src="/germany/technet/images/sicherheit/mnp_checkbox.gif"/>
Deaktiviert |
| Kennwörter für alle Domänenbenutzer mit umkehrbarer Verschlüsselung speichern
Sicherheitsziel: Nicht aktivieren. Verwendet schwache Verschlüsselung für Kennwörter.
Computereinstellung:
Aktiviert " src="/germany/technet/images/sicherheit/mnp_checkbox.gif"/>
Deaktiviert |
| Kontosperrungsrichtlinien |
| Kontosperrdauer
Sicherheitsziel: Konto nach Eingabe von ungültigen Kennwörtern für eine bestimmte Zeit sperren
Computereinstellung: _____ Minuten |
| Kontosperrungsschwelle
Sicherheitsziel: Festlegen, wie viele ungültigen Anmeldeversuche zulässig sind, bevor das Konto gesperrt wird
Computereinstellung: _____ ungültige Anmeldeversuche |
| Zurücksetzungsdauer des Kontosperrungszählers
Sicherheitsziel: Festlegen, wie lange die Sperrungsschwelle aufrecht erhalten wird vor dem Zurücksetzen
Computereinstellung: _____ Minuten |
| Kerberos-Richtlinie |
| Benutzeranmeldeeinschränkungen erzwingen
Sicherheitsziel: Jede Anmeldeanforderung durch Überprüfung der Benutzerrechtrichtlinien validieren
Computereinstellung: Aktiviert Deaktiviert |
| Max. Gültigkeitsdauer des Diensttickets
Sicherheitsziel: Festlegen, wie lange ein Dienstticket maximal gültig ist
Computereinstellung: _____ Minuten |
| Max. Gültigkeitsdauer des Benutzertickets
Sicherheitsziel: Festlegen, wie lange ein Benutzerticket maximal gültig ist
Computereinstellung: _____ Stunden |
| Max. Zeitraum, in dem ein Benutzerticket erneuert werden kann
Sicherheitsziel: Festlegen, wie lange abgelaufene Tickets erneuert werden können
Computereinstellung: _____ Tage |
| Max. Toleranz für die Synchronisation des Computertakts
Sicherheitsziel: Die maximale Toleranz für die Synchronisation von Computern in der Domäne festlegen
Computereinstellung: _____ Minuten |
Lokale Richtlinien | |
| Überwachungsrichtlinie |
| Anmeldeversuche überwachen
Sicherheitsziel: Abmelde-bzw. Anmeldeereignissen von einem anderen Computer aus überwachen, der zur Validierung des Kontos verwendet wird. Anmeldeereignisse werden auf dem Computer erstellt, auf dem sich das Konto befindet.
Computereinstellung: Erfolg Fehler |
| Kontenverwaltung überwachen
Sicherheitsziel: Kontoverwaltungsaktivitäten überwachen
Computereinstellung: Erfolg Fehler |
| Active Directory-Zugriff überwachen
Sicherheitsziel: Zugriff auf ein Microsoft Active Directory-Objekt überwachen, das eine eigene Systemzugriffssteuerungsliste besitzt
Computereinstellung: Erfolg Fehler |
| Anmeldeereignisse überwachen
Sicherheitsziel: Lokale oder Netzwerkanmelde- bzw. abmeldeereignisse auf diesem Computer überwachen Anmeldeereignisse werden auf dem Computer erstellt, auf dem der Anmeldeversuch stattfindet
Computereinstellung: Erfolg Fehler |
| Objektzugriffsversuche überwachen
Sicherheitsziel: Zugriff auf ein Objekt überwachen, z.B. Dateien, Ordner, Registrierungsschlüssel oder Drucker, das eine eigene Systemzugriffssteuerungsliste besitzt
Computereinstellung: Erfolg Fehler |
| Richtlinienänderungen überwachen
Sicherheitsziel: Änderungen in den Zuweisungsrichtlinien der Benutzerrechte, in den Überwachungsrichtlinien oder Vertrauensrichtlinien überwachen
Computereinstellung: Erfolg Fehler |
| Rechteverwendung überwachen
Sicherheitsziel: Jede Ausübung eines Benutzerrechts durch Benutzer überwachen
Computereinstellung: Erfolg Fehler |
| Prozessverfolgung überwachen
Sicherheitsziel: Detaillierte Verfolgungsinformationen für Ereignisse wie Programmaktivierung, Prozessbeendigung, Handleduplizierung und indirekter Objektzugriff erfassen
Computereinstellung: Erfolg Fehler |
| Systemereignisse überwachen
Sicherheitsziel: Neustarten und Herunterfahren eines Computers oder die Systemsicherheit oder das Sicherheitsprotokoll betreffende Ereignisse überwachen
Computereinstellung: Erfolg Fehler |
| Zuweisen von Benutzerrechten |
| Auf diesen Computer vom Netzwerk aus zugreifen
Sicherheitsziel: Bestimmen, welche Benutzer über das Netzwerk eine Verbindung mit dem Computer herstellen dürfen
Computereinstellung: Zugewiesen an:
________________ ________________ ________________
________________ ________________ ________________ |
| Einsetzen als Teil des Betriebssystems
Sicherheitsziel: Einem Benutzer ermöglichen, Code als Betriebssystem selbst auszuführen und demzufolge als jeder beliebige Benutzer des Systems. Hinweis: Hierbei handelt es sich um ein äußerst gefährliches Recht, das nur administrativen Benutzern zugewiesen werden sollte. Ein Benutzer mit diesem Recht kann sämtliche Sicherheitsvorkehrungen im Betriebssystem umgehen.
Computereinstellung: Zugewiesen an:
________________ ________________ ________________
________________ ________________ ________________ |
| Sicherungsdateien und -verzeichnisse
Sicherheitsziel: Ermöglicht dem Benutzer, Berechtigungen für Dateien und Verzeichnisse zu umgehen, um das System zu sichern. Hinweis: Ein Benutzer mit diesem Recht kann jede Datei auf dem Computer lesen, einschließlich Dateien, auf die er keinen Zugriff hat.
Computereinstellung: Zugewiesen an:
________________ ________________ ________________
________________ ________________ ________________ |
| Auslassen der durchsuchenden Überprüfung
Sicherheitsziel: Ermöglicht dem Benutzer, Ordner zu passieren, auf die er sonst keinen Zugriff hat.
Computereinstellung: Zugewiesen an:
________________ ________________ ________________
________________ ________________ ________________ |
| Ändern der Systemzeit
Sicherheitsziel: Ermöglicht dem Benutzer, die Zeit auf der internen Uhr des Computers einzustellen.
Computereinstellung: Zugewiesen an:
________________ ________________ ________________
________________ ________________ ________________ |
| Auslagerungsdatei erstellen
Sicherheitsziel: Ermöglicht dem Benutzer eine Auslagerungsdatei zu erstellen und ihre Größe anzupassen.
Computereinstellung: Zugewiesen an:
________________ ________________ ________________
________________ ________________ ________________ |
| Erstellen eines Tokenobjekts
Sicherheitsziel: Ermöglicht einem Prozess die Erstellung eines Zugriffstokens
Computereinstellung: Zugewiesen an:
________________ ________________ ________________
________________ ________________ ________________ |
| Permanente freigegebene Objekte erstellen
Sicherheitsziel: Ermöglicht einem Prozess, ein Verzeichnisobjekt im Windows 2000- Objektmanager zu erstellen.
Computereinstellung: Zugewiesen an:
________________ ________________ ________________
________________ ________________ ________________ |
| Debuggen von Programmen
Sicherheitsziel: Ermöglicht dem Benutzer das Debuggen eines Prozess, der im Rahmen eines anderen Benutzers ausgeführt wird. Hinweis: Mit diesem Recht kann ein Benutzer Code in jeden laufenden Prozess einführen, der im Rahmen eines anderen Benutzers ausgeführt wird. Ein Benutzer mit diesem Recht kann daher Code ausführen wie jeder andere Benutzer des Systems, einschließlich das Betriebssystem. Hierbei handelt es sich um ein äußerst gefährliches Recht, dass nur administrativen Benutzern zugewiesen werden sollte. Mit diesem Recht kann der Benutzer sämtliche Sicherheitsvorkehrungen im System umgehen. Ein weit verbreiteter Irrtum ist, dass Entwickler dieses Recht benötigen, um Programme zu debuggen. Das ist nicht richtig. Ein Benutzer kann seine Programme auch ohne dieses Recht debuggen. Dieses Recht ist nur dann erforderlich, wenn der Entwickler Programme als anderer Benutzer debuggen muss. Computereinstellung: Zugewiesen an:
________________ ________________ ________________
________________ ________________ ________________ |
| Den Zugriff auf diesen Computer vom Netzwerk aus verweigern
Sicherheitsziel: Verweigert einem Benutzer oder einer Gruppe die Verbindung zum Computer vom Netzwerk aus.
Computereinstellung: Zugewiesen an:
________________ ________________ ________________
________________ ________________ ________________ |
| Anmelden als Batchauftrag verweigern
Sicherheitsziel: Verweigert einem Benutzer oder einer Gruppe die Anmeldung mithilfe einer Batchwarteschlangeneinrichtung.
Computereinstellung: Zugewiesen an:
________________ ________________ ________________
________________ ________________ ________________ |
| Anmeldung als Dienst verweigern
Sicherheitsziel: Verweigert einem Benutzer oder einer Gruppe die Anmeldung als Dienst.
Computereinstellung: Zugewiesen an:
________________ ________________ ________________
________________ ________________ ________________ |
| Lokale Anmeldung verweigern
Sicherheitsziel: Verweigert einem Benutzer oder einer Gruppe die lokale Anmeldung über die Tastatur.
Computereinstellung: Zugewiesen an:
________________ ________________ ________________
________________ ________________ ________________ |
| Computer und Benutzerkonten für Delegierungszwecke vertrauen
Sicherheitsziel: Ermöglicht dem Benutzer, die Einstellung Für Delegierungszwecke vertrauen für ein Benutzerkonto oder einen Computer in Active Directory zu ändern.
Computereinstellung: Zugewiesen an:
________________ ________________ ________________
________________ ________________ ________________ |
| Erzwingen des Herunterfahrens von einem Remotesystem aus
Sicherheitsziel: Ermöglicht einem Benutzer, einen Computer von einem Remotestandort im Netzwerk aus herunterzufahren.
Computereinstellung: Zugewiesen an:
________________ ________________ ________________
________________ ________________ ________________ |
| Generieren von Sicherheitsüberwachungen
Sicherheitsziel: Ermöglicht einem Prozess, Einträge im Sicherheitsprotokoll zu erstellen.
Computereinstellung: Zugewiesen an:
________________ ________________ ________________
________________ ________________ ________________ |
| Kontingente erhöhen
Sicherheitsziel: Ermöglicht einem Prozess mit Schreibeigenschaft den Zugriff auf einen anderen Prozess, um das Prozessorkontingent zu erhöhen, das dem anderen Prozess zugewiesen wurde.
Computereinstellung: Zugewiesen an:
________________ ________________ ________________
________________ ________________ ________________ |
| Anheben der Zeitplanungspriorität
Sicherheitsziel: Ermöglicht einem Prozess mit Schreibeigenschaft den Zugriff auf einen anderen Prozess, um dessen Verarbeitungspriorität zu ändern.
Computereinstellung: Zugewiesen an:
________________ ________________ ________________
________________ ________________ ________________ |
| Laden und Entfernen von Gerätetreibern
Sicherheitsziel: Ermöglicht einem Benutzer, Plug&Play-Gerätetreiber zu installieren und zu deinstallieren.
Computereinstellung: Zugewiesen an:
________________ ________________ ________________
________________ ________________ ________________ |
| Seiten im Speicher sperren
Sicherheitsziel: Ermöglicht einem Prozess das Speichern von Daten in einem physikalischen Speicher, wodurch das System daran gehindert wird, die Daten in einen virtuellen Speicher auf der Festplatte auszulagern.
Computereinstellung: Zugewiesen an:
________________ ________________ ________________
________________ ________________ ________________ |
| Anmelden als Stapelverarbeitungsauftrag
Sicherheitsziel: Ermöglicht einem Benutzer die Anmeldung mithilfe einer Batchwarteschlangeneinrichtung.
Computereinstellung: Zugewiesen an:
________________ ________________ ________________
________________ ________________ ________________ |
| Anmeldung als Dienst
Sicherheitsziel: Lässt die Anmeldung eines Sicherheitsprinzipals als Dienst zu.
Computereinstellung: Zugewiesen an:
________________ ________________ ________________
________________ ________________ ________________ |
| Lokal anmelden
Sicherheitsziel: Lässt die lokale Anmeldung eines Benutzers an einem Computer zu.
Computereinstellung: Zugewiesen an:
________________ ________________ ________________
________________ ________________ ________________ |
| Hinzufügen von Arbeitsstationen zur Domäne (Domänencontroller)
Sicherheitsziel: Ermöglicht einem Benutzer, einen Computer zu einer bestimmten Domäne hinzuzufügen.
Computereinstellung: Zugewiesen an:
________________ ________________ ________________
________________ ________________ ________________ |
| Verwalten von Überwachungs- und Sicherheitsprotokoll
Sicherheitsziel: Ermöglicht einem Benutzer das Festlegen von Objektzugriff-Überwachungsoptionen für einzelne Ressourcen wie Dateien, Active Directory-Objekte und Registrierungsschlüssel.
Computereinstellung: Zugewiesen an:
________________ ________________ ________________
________________ ________________ ________________ |
| Firmware-Umgebungsvariablen ändern
Sicherheitsziel: Ermöglicht Änderungen von Systemumgebungsvariablen entweder durch einen Prozess über eine API oder durch einen Benutzer, der die Systemeigenschaften bearbeitet.
Computereinstellung: Zugewiesen an:
________________ ________________ ________________
________________ ________________ ________________ |
| Einzelprozessprofil erstellen
Sicherheitsziel: Ermöglicht einem Benutzer das Ausführen von Leistungsüberwachungsprogrammen unter Microsoft Windows NT und Windows 2000 zur Überwachung der Leistung von systemfremden Prozessen.
Computereinstellung: Zugewiesen an:
________________ ________________ ________________
________________ ________________ ________________ |
| Erstellen eines Profils der Systemleistung
Sicherheitsziel: Ermöglicht einem Benutzer das Ausführen von Leistungsüberwachungsprogrammen unter Microsoft Windows NT und Windows 2000 zur Überwachung der Leistung von systemeigenen Prozessen.
Computereinstellung: Zugewiesen an:
________________ ________________ ________________
________________ ________________ ________________ |
| Entfernen eines Computers aus der Dockingstation
Sicherheitsziel: Ermöglicht einem Benutzer eines tragbaren Computers das Abdocken des Computers, indem er im Menü Start den Befehl PC trennen wählt.
Computereinstellung: Zugewiesen an:
________________ ________________ ________________
________________ ________________ ________________ |
| Ersetzen eines Prozessebenentokens
Sicherheitsziel: Ermöglicht einem übergeordneten Prozess das Ersetzen eines Zugriffstokens, das einem untergeordneten Prozess zugeordnet ist.
Computereinstellung: Zugewiesen an:
________________ ________________ ________________
________________ ________________ ________________ |
| Wiederherstellen von Dateien und Verzeichnissen
Sicherheitsziel: Ermöglicht einem Benutzer beim Wiederherstellen von gesicherten Dateien und Verzeichnissen, die Datei- und Verzeichnisberechtigungen zu umgehen und gültige Sicherheitsprinzipale als Besitzer eines Objekts zu setzen.
Computereinstellung: Zugewiesen an:
________________ ________________ ________________
________________ ________________ ________________ |
| Herunterfahren des Systems
Sicherheitsziel: Ermöglicht einem Benutzer das Herunterfahren des lokalen Computers.
Computereinstellung: Zugewiesen an:
________________ ________________ ________________
________________ ________________ ________________ |
| Synchronisieren von Verzeichnisdienstdaten
Sicherheitsziel: Ermöglicht einem Dienst, Verzeichnissynchronisierungsdienste bereitzustellen.
Computereinstellung: Zugewiesen an:
________________ ________________ ________________
________________ ________________ ________________ |
| Übernehmen des Besitzes an Dateien und Objekten
Sicherheitsziel: Ermöglicht einem Benutzer die Übernahme der Besitzrechte für ein zu sicherndes Objekt.
Computereinstellung: Zugewiesen an:
________________ ________________ ________________
________________ ________________ ________________ |
| Sicherheitsoptionen |
| Weitere Einschränkungen für anonyme Verbindungen
Sicherheitsziel: Einschränkungen für anonyme Verbindungen zu diesem Computer festlegen.
Computereinstellung: Ausgewählte Option: __________________________________ |
| Serveroperatoren das Einrichten von geplanten Tasks erlauben (nur Domänencontroller)
Sicherheitsziel: Legt fest, ob Serveroperatoren Aufträge mit der AT-Zeitplanfunktion senden können.
Computereinstellung:
Aktiviert " src="/germany/technet/images/sicherheit/mnp_checkbox.gif"/>
Deaktiviert |
| Herunterfahren des Systems ohne Anmeldung zulassen
Sicherheitsziel: Computer so einrichten, dass das Herunterfahren ohne angemeldeten Benutzer möglich ist.
Computereinstellung:
Aktiviert " src="/germany/technet/images/sicherheit/mnp_checkbox.gif"/>
Deaktiviert |
| Zugriff auf globale Systemobjekte prüfen
Sicherheitsziel: Ermöglicht den Zugriff auf globale Systemobjekte zu Prüfungszwecken.
Computereinstellung:
Aktiviert " src="/germany/technet/images/sicherheit/mnp_checkbox.gif"/>
Deaktiviert |
| Die Verwendung des Sicherungs- und Wiederherstellungsrechts überprüfen
Sicherheitsziel: Prüfung der Sicherungs- und Wiederherstellungsrechte zulassen
Computereinstellung:
Aktiviert " src="/germany/technet/images/sicherheit/mnp_checkbox.gif"/>
Deaktiviert |
| Auswerfen von NTFS-Wechselmedien zulassen
Sicherheitsziel: Die Konten einrichten, die NTFS-Wechselmedien auswerfen dürfen
Computereinstellung: In folgender Richtlinie definierte Konten: ___________________ |
| Leerlaufzeitspanne bis zum Anhalten der Sitzung
Sicherheitsziel: Die Leerlaufzeitspanne in einer SMB-Sitzung festlegen, nach der die Sitzung aufgrund der Inaktivität angehalten wird
Computereinstellung: _____ Minuten |
| Benutzer automatisch abmelden, wenn die Anmeldezeit abläuft
Sicherheitsziel: Bei Aktivierung werden Benutzer getrennt, wenn sie außerhalb der für ihr Konto gültigen Anmeldezeiten mit einem lokalen Computer verbunden sind. Kann nur auf Domänencontroller festgelegt werden
Computereinstellung:
Aktiviert " src="/germany/technet/images/sicherheit/mnp_checkbox.gif"/>
Deaktiviert |
| Benutzer automatisch abmelden, wenn die Anmeldezeit abläuft (Lokal)
Sicherheitsziel: Bei Aktivierung werden Benutzer getrennt, wenn sie außerhalb der für ihr Konto gültigen Anmeldezeiten mit einem lokalen Computer verbunden sind.
Computereinstellung:
Aktiviert " src="/germany/technet/images/sicherheit/mnp_checkbox.gif"/>
Deaktiviert |
| Auslagerungsdatei des virtuellen Arbeitsspeichers beim Herunterfahren des Systems löschen
Sicherheitsziel: Legt fest, ob die Auslagerungsdatei des virtuellen Arbeitsspeichers beim Herunterfahren des Systems gelöscht wird.
Computereinstellung:
Aktiviert " src="/germany/technet/images/sicherheit/mnp_checkbox.gif"/>
Deaktiviert |
| Client-Kommunikation digital signieren (immer)
Sicherheitsziel: Legt fest, ob der Computer Client-Kommunikation immer digital signiert.
Computereinstellung:
Aktiviert " src="/germany/technet/images/sicherheit/mnp_checkbox.gif"/>
Deaktiviert |
| Client-Kommunikation digital signieren (wenn möglich)
Sicherheitsziel: Wenn die Einstellung aktiviert ist, werden SMB-Pakete nur vom SMB-Client signiert, wenn dieser mit einem SMB-Server kommuniziert, der aktiviert ist oder die Signatur von SMB-Paketen erfordert.
Computereinstellung:
Aktiviert " src="/germany/technet/images/sicherheit/mnp_checkbox.gif"/>
Deaktiviert |
| Serverkommunikation digital signieren (immer)
Sicherheitsziel: Wenn diese Einstellung aktiviert ist, ist eine Signatur der SMB-Pakete durch den SMB-Server erforderlich.
Computereinstellung:
Aktiviert " src="/germany/technet/images/sicherheit/mnp_checkbox.gif"/>
Deaktiviert |
| Serverkommunikation digital signieren (wenn möglich)
Sicherheitsziel: Wenn die Einstellung aktiviert ist, werden SMB-Pakete vom SMB-Server signiert, sofern erforderlich.
Computereinstellung: Aktiviert Deaktiviert |
| STRG+ALT+ENTF-Anforderung für Anmeldung deaktivieren
Sicherheitsziel: Legt fest, ob der Benutzer vor der Anmeldung STRG+ALT+ENTF drücken muss.
Computereinstellung: Aktiviert Deaktiviert |
| Letzten Benutzernamen auf dem Anmeldebildschirm nicht anzeigen
Sicherheitsziel: Legt fest, ob der Name des Benutzers, der sich zuletzt auf dem Computer angemeldet hat, auf dem Windows-Anmeldebildschirm angezeigt wird.
Computereinstellung: Aktiviert Deaktiviert |
| LAN Manager-Authentifizierungsebene
Sicherheitsziel: Legt fest, welches Anfrage/Antwort-Authentifizierungsprotokoll für Netzwerkanmeldungen verwendet wird.
Computereinstellung: Ausgewählte Option: ________________________________________ |
| Nachricht für Benutzer, die sich anmelden wollen
Sicherheitsziel: Legt eine Textmeldung fest, die Benutzern bei der Anmeldung angezeigt wird.
Computereinstellung: Nachricht: _____________________________________________
_________________________________________________________________________
_________________________________________________________________________ |
| Nachrichtentitel für Benutzer, die sich anmelden wollen
Sicherheitsziel: Legt einen Titel für die Titelleiste des Fensters mit der Nachricht fest, der Benutzern bei der Anmeldung angezeigt wird.
Computereinstellung: Nachrichtentitel: ____________________________________________ |
| Anzahl zwischenzuspeichernder vorheriger Anmeldungen (für den Fall, dass der Domänencontroller nicht verfügbar ist)
Sicherheitsziel: Legt fest, wie oft sich ein Benutzer unter Verwendung von zwischengespeicherten Konteninformationen bei einer Windows-Domäne anmelden kann.
Computereinstellung: Cache: _____ Anmeldungen |
| Systemwartung der Kennwörter für Computerkonten verhindern
Sicherheitsziel: Bestimmt, ob verhindert wird, dass das Kennwort für ein Computerkonto jede Woche zurückgesetzt wird. Wenn diese Richtlinie aktiviert ist, wird verhindert, dass der Computer jede Woche eine Änderung des Kennworts anfordert.
Computereinstellung: Aktiviert Deaktiviert |
| Benutzern das Installieren von Druckertreibern nicht erlauben
Sicherheitsziel: Legt fest, ob Mitgliedern der Benutzergruppe das Installieren von Druckertreibern verweigert wird.
Computereinstellung: Aktiviert Deaktiviert |
| Benutzer vor Ablauf des Kennworts zum Ändern des Kennworts auffordern
Sicherheitsziel: Legt fest, wie weit im Voraus Benutzer von Windows 2000 über den Ablauf ihrer Kennwörter benachrichtigt werden.
Computereinstellung: _____ Tage |
| Wiederherstellungskonsole: Automatische administrative Anmeldungen zulassen
Sicherheitsziel: Wenn diese Option aktiviert ist, erfordert die Wiederherstellungskonsole kein Kennwort, sondern nimmt die Anmeldung am System automatisch vor.
Computereinstellung: Aktiviert Deaktiviert |
| Wiederherstellungskonsole: Kopieren von Disketten und Zugriff auf alle Laufwerke und alle Ordner zulassen
Sicherheitsziel: Durch Auswählen dieser Option wird der Befehl SET der Wiederherstellungskonsole aktiviert.
Computereinstellung: Aktiviert Deaktiviert |
| Administratorkonto umbenennen
Sicherheitsziel: Verknüpft einen anderen Kontonamen mit der Sicherheits-ID (SID) des Kontos "Administrator".
Computereinstellung: Neuer Kontoname: ______________________________________ |
| Gastkonto umbenennen
Sicherheitsziel: Verknüpft einen anderen Kontonamen mit der Sicherheits-ID (SID) des Kontos "Gast".
Computereinstellung: Neuer Kontoname: ______________________________________ |
| Zugriff auf CD-ROM-Laufwerke auf lokal angemeldete Benutzer beschränken
Sicherheitsziel: Durch Aktivieren dieser Einstellung können nur interaktiv angemeldete Benutzer auf Wechselmedien im CD-ROM-Laufwerk zugreifen.
Computereinstellung: Aktiviert Deaktiviert |
| Zugriff auf Diskettenlaufwerke auf lokal angemeldete Benutzer beschränken
Sicherheitsziel: Durch Aktivieren dieser Einstellung können nur interaktiv angemeldete Benutzer auf Diskettenlaufwerke zugreifen.
Computereinstellung: Aktiviert Deaktiviert |
| Sicherer Kanal: Daten des sicheren Kanals digital verschlüsseln oder signieren (immer)
Sicherheitsziel: Durch Aktivierung dieser Richtlinie muss der gesamte vom sicheren Kanal abgehende Datenverkehr entweder signiert oder verschlüsselt werden.
Computereinstellung: Aktiviert Deaktiviert |
| Sicherer Kanal: Daten des sicheren Kanals digital verschlüsseln oder signieren (wenn möglich)
Sicherheitsziel: Wenn diese Richtlinie aktiviert ist, muss der gesamte vom sicheren Kanal abgehende Datenverkehr verschlüsselt werden.
Computereinstellung: Aktiviert Deaktiviert |
| Sicherer Kanal: Daten des sicheren Kanals digital signieren (wenn möglich)
Sicherheitsziel: Wenn diese Richtlinie aktiviert ist, muss der gesamte vom sicheren Kanal abgehende Datenverkehr signiert werden.
Computereinstellung: Aktiviert Deaktiviert |
| Sicherer Kanal: Starker Sitzungsschlüssel erforderlich (Windows 2000 oder höher)
Sicherheitsziel: Wenn diese Richtlinie aktiviert ist, erfordert der gesamte vom sicheren Kanal abgehende Datenverkehr einen starken Verschlüsselungsschlüssel (Windows 2000 oder höher).
Computereinstellung: Aktiviert Deaktiviert |
| Unverschlüsseltes Kennwort für die Verbindung zu SMB-Servern von Drittanbietern senden
Sicherheitsziel: Wenn diese Einstellung aktiviert ist, kann der SMB-Redirector Nur-Text-Kennwörter an Nicht-Microsoft-SMB-Server senden, die die Kennwortverschlüsselung während der Authentifizierung nicht unterstützen.
Computereinstellung: Aktiviert Deaktiviert |
| System sofort herunterfahren, wenn Sicherheitsüberprüfungen nicht protokolliert werden können
Sicherheitsziel: Legt fest, ob das System sofort heruntergefahren wird, wenn es Sicherheitsereignisse nicht protokollieren kann.
Computereinstellung: Aktiviert Deaktiviert |
| Verhalten beim Entfernen von Smartcards
Sicherheitsziel: Legt fest, was passiert, wenn die Smartcard für einen angemeldeten Benutzer aus dem Smartcard-Leser entfernt wird.
Computereinstellung: __________________________________________ |
| Standardberechtigungen globaler Systemobjekte (z. B. symbolischer Verknüpfungen) verstärken
Sicherheitsziel: Wenn diese Richtlinie aktiviert ist, wird die DACL verstärkt, wodurch Nicht-Administratoren das Lesen von freigegebenen Objekten ermöglicht wird, sie können jedoch nur die von ihnen selbst erstellten Objekte ändern.
Computereinstellung: Aktiviert Deaktiviert |
| Verhalten bei der Installation von nichtsignierten Treibern
Sicherheitsziel: Legt fest, was passiert, wenn ein Benutzer versucht, einen nicht vom Windows Hardware Quality Lab genehmigten Gerätetreiber zu installieren.
Computereinstellung: __________________________________________ |
| Verhalten bei der Installation von nichtsignierten Nicht-Treibern
Sicherheitsziel: Legt fest, was passiert, wenn ein Benutzer versucht, Nicht-Gerätetreiber-Software, die nicht genehmigt wurde, zu installieren.
Computereinstellung: __________________________________________ |
Ereignisprotokolle | |
| Einstellungen für Ereignisprotokolle |
| Maximale Größe des Anwendungsprotokolls
Sicherheitsziel: Legt die maximale Größe des Systemprotokolls fest.
Computereinstellung: ______________ KB |
| Maximale Größe des Sicherheitsprotokolls
Sicherheitsziel: Legt die maximale Größe des Sicherheitsereignisprotokolls fest.
Computereinstellung: ______________ KB |
| Maximale Größe des Systemprotokolls
Sicherheitsziel: Legt die maximale Größe des Systemereignisprotokolls fest.
Computereinstellung: ______________ KB |
| Gastzugriff auf Anwendungsprotokoll einschränken
Sicherheitsziel: Wenn diese Einstellung aktiviert ist, werden anonyme Benutzer daran gehindert, auf das Anwendungsereignisprotokoll zuzugreifen. Diese Richtlinienoption steht in eigenständigen Windows 2000 Professional- und Server-Betriebssystemen nicht zur Verfügung.
Computereinstellung: Aktiviert Deaktiviert |
| Gastzugriff auf Sicherheitsprotokoll einschränken
+
Sicherheitsziel: Wenn diese Einstellung aktiviert ist, werden anonyme Benutzer daran gehindert, auf das Sicherheitsereignisprotokoll zuzugreifen. Diese Richtlinienoption steht in eigenständigen Windows 2000 Professional- und Server-Betriebssystemen nicht zur Verfügung.
Computereinstellung: Aktiviert Deaktiviert |
| Gastzugriff auf Systemprotokoll einschränken
+
Sicherheitsziel: Wenn diese Einstellung aktiviert ist, werden anonyme Benutzer daran gehindert, auf das Systemereignisprotokoll zuzugreifen. Diese Richtlinienoption steht in eigenständigen Windows 2000 Professional- und Server-Betriebssystemen nicht zur Verfügung.
Computereinstellung: Aktiviert Deaktiviert |
| Anwendungsprotokoll aufbewahren
+
Sicherheitsziel: Legt die Anzahl Tage fest, die Ereignisse im Anwendungsprotokoll gespeichert bleiben sollen, wenn die Aufbewahrungsmethode des Anwendungsprotokolls "Nach Tagen" lautet.
Computereinstellung: _____ Tage |
| Sicherheitsprotokoll aufbewahren
+
Sicherheitsziel: Legt die Anzahl Tage fest, die Ereignisse im Sicherheitsprotokoll gespeichert bleiben sollen, wenn die Aufbewahrungsmethode des Sicherheitsprotokolls "Nach Tagen" lautet.
Computereinstellung: _____ Tage |
| Systemprotokoll aufbewahren
+
Sicherheitsziel: Legt die Anzahl Tage fest, die Ereignisse im Systemprotokoll gespeichert bleiben sollen, wenn die Aufbewahrungsmethode des Systemprotokolls "Nach Tagen" lautet.
Computereinstellung: _____ Tage |
| Aufbewahrungsmethode des Anwendungsprotokolls
+
Sicherheitsziel: Legt die "Umbruchmethode" für das Anwendungsprotokoll fest.
Computereinstellung: _____________________________________________________ |
| Aufbewahrungsmethode des Sicherheitsprotokolls
+
Sicherheitsziel: Legt die "Umbruchmethode" für das Sicherheitsprotokoll fest.
Computereinstellung: _____________________________________________________ |
| Aufbewahrungsmethode des Systemprotokolls
+
Sicherheitsziel: Legt die "Umbruchmethode" für das Systemprotokoll fest.
Computereinstellung: _____________________________________________________ |
| Den Computer herunterfahren, wenn das Protokoll zur Sicherheitsüberwachung voll ist
+
Sicherheitsziel: Das System wird sofort heruntergefahren, wenn Sicherheitsüberprüfungen nicht protokolliert werden können.
Computereinstellung: _____________________________________________________ |
Systemdienste | |
| Aktivierte Dienste Sicherheitsziel: Nur die notwendigen Dienste anzeigen. Warndienst | Netzwerkverbindungen | Automatische Updates | NT-LM-Sicherheitsdienst | Intelligenter Hintergrundübertragungsdienst | Plug & Play | COM+ Ereignissystem | Druckwarteschlange | Computerbrowser | Geschützter Speicher | DHCP-Client | Remoteprozeduraufruf (RPC) | DHCP-Server | Remoteregistrierungsdienst | Verteiltes Dateisystem (Distributed File System, DFS) | Wechselmedien | Überwachung verteilter Verknüpfungen (Client) | RunAs-Dienst | Überwachung verteilter Verknüpfungen (Server) | Sicherheitskontenverwaltung | DNS-Client | Serverdienst | DNS-Server | Systemereignisbenachrichtigung | Ereignisprotokoll | Taskplaner | Dateireplikationsdienst | TCP/IP NetBIOS-Hilfsdienst | Internet Information Services (IIS)-Verwaltungsdienst (nur auf Webservern) | Telefonie | Indexdienst (nur auf Systemen, die Dateiindizierung erfordern) | Windows-Verwaltungsinstrumentation | Standortübergreifender Messagingdienst | Treibererweiterungen der Windows-Verwaltungsinstrumentation | IPSec-Richtlinienagent | Windows-Zeit | Kerberos-Schlüsselverteilungscenter | Arbeitsstation | Lizenzprotokollierung | Der WWW-Publishingdienst, SMTP-Dienst (Simple Mail Transport), NNTP-Dienst (Network News Transfer Protocol) und FTP-Dienst sollten NUR auf vertrauenswürdigen IIS-Servern aktiviert werden. Vergewissern Sie sich, dass sie auf allen anderen Computern deaktiviert bzw. deinstalliert werden. | Verwaltung logischer Datenträger | | Verwaltungsdienst für die Verwaltung logischer Datenträger | | Messenger | | Netzwerkanmeldung | |
|
| Deaktivierte Dienste Sicherheitsziel: Die unten aufgeführten Standarddienste können deaktiviert werden. Anwendungsverwaltung | Verwaltung für automatische RAS-Verbindung | Ablagemappe | RAS-Verbindungsverwaltung | Distributed Transaction Coordinator | RPC-Locator | Faxdienst | Routing und RAS | FTP-Publishingdienst | RunAs-Dienst | IIS-Verwaltungsdienst | SMTP (Simple Mail Transport Protocol) | Indexdienst | Smartcard | Gemeinsame Nutzung der Internetverbindung (Unterstützt NAT) | Smartcard-Hilfsprogramm | Microsoft NetMeeting-Remotedesktop-Freigabe | SNMP-Dienst | Netzwerk-DDE-Dienst | SNMP-Trap-Dienst | Netzwerk-DDE-Serverdienst | SMTP | Leistungsprotokolle und Warnungen | Telnet | QoS-RSVP-Dienst | Terminaldienste | | Unterbrechungsfreie Stromversorgung | | Hilfsprogramm-Manager | | Windows Installer | | WWW-Publishingdienst |
|
Zusätzliche Registrierungseinstellungen | |
| Optionale Subsysteme Schlüssel: SubSystems
Wertname: Optional | REG_MULTI_SZ | |
Sicherheitsziel: Die auf dem Computer installierten Subsysteme einschränken
Computereinstellung: _____________________________________________________
|
| Nullsitzungszugriff einschränken Schlüssel: Parameter
Wertname: RestrictNullSessAccess | REG_DWORD | |
Sicherheitsziel: Zugriff auf Named Pipes und Freigaben über Nullsitzungen einschränken
Computereinstellung: _____________________________________________________ |
| Über Nullsitzungen verfügbare Named Pipes Schlüssel: Parameter
Wertname: NullSessionPipes | REG_MULTI_SZ | |
Sicherheitsziel: Zugriff auf bestimmte Endpunkte von Named Pipes über Nullsitzungen zulassen
Note: Diese Einstellung ist nur wirksam, wenn der Zugriff auf Nullsitzungen eingeschränkt ist.
Computereinstellung: _____________________________________________________ |
| Über Nullsitzungen verfügbare Freigaben Schlüssel: Parameter
Wertname: NullSessionPipes | REG_MULTI_SZ | |
Sicherheitsziel: Zugriff auf bestimmte Freigaben über Nullsitzungen zulassen
Hinweis: Diese Einstellung ist nur wirksam, wenn der Zugriff auf Nullsitzungen eingeschränkt ist.
Computereinstellung: _____________________________________________________ |
| Computer in der Suchliste ausblenden Schlüssel: Parameter
Wertname: hidden | REG_DWORD | |
Sicherheitsziel: Einen Computer in der Suchliste ausblenden
Hinweis: Diese Einstellung verhindert nicht, dass ein Angreifer eine List der Netzwerkressourcen abruft, es sei denn, der Zugriff auf Nullsitzungen ist eingeschränkt.
Computereinstellung: _____________________________________________________ |
| IPSEC-Standardausnahmen entfernen Schlüssel: IPSEC
Wertname: NoDefaultExempt | REG_DWORD | |
Sicherheitsziel: Angreifer daran hindern, die IPSEC-Richtlinien mithilfe des Quellports für den Angriff zu umgehen
Computereinstellung: _____________________________________________________ |
| DLL-Suchreihenfolge ändern Schlüssel: Sitzungs-Manager
Wertname: SafeDllSearchMode | REG_DWORD | |
Sicherheitsziel: Spoofing der System-DLLs verhindern
Computereinstellung: _____________________________________________________ |
| Störung der Sitzungssperre durch von der Anwendung erzeugte Daten verhindern Schlüssel: Desktop
Wertname: BlockSendInputResets | REG_SZ | |
Hinweis: Die entsprechenden Einstellungen für den Bildschirmschoner müssen unbedingt in Verbindung mit diesem Schlüssel festgelegt werden, damit die Funktion ordnungsgemäß arbeitet. Die notwendigen Einstellungen für den Bildschirmschoner sind folgende:
Ein ausgewählter Bildschirmschoner
Kennwortschutz
Zeitüberschreitung für den Bildschirmschoner
Wenn der Bildschirmschoner nicht ordnungsgemäß konfiguriert ist, hat diese Funktion insgesamt keine Auswirkung auf die Sicherheit des Computers. Computereinstellung |
| Ein Überwachungsereignis erzeugen, wenn das Überwachungsprotokoll einen Schwellenwert von einem Prozent erreicht hat Schlüssel: Sicherheit
Wertname: WarningLevel | REG_DWORD | |
(Der Wert kann bearbeitet und an lokale Anforderungen angepasst werden.) |
| Den TCP/IP-Stapel gegen DoS-Attacken sichern Schlüssel: Parameter
Wertname: DisableIPSourceRouting | REG_DWORD | | Schlüssel: Parameter
Wertname: EnableDeadGWDetect | REG_DWORD | | Schlüssel: Parameter
Wertname: EnableICMPRedirect | REG_DWORD | | Schlüssel: Parameter
Wertname: EnablePMTUDiscovery | REG_DWORD | | Schlüssel: Parameter
Wertname: EnableSecurityFilters | REG_DWORD | | Schlüssel: Parameter
Wertname: KeepAliveTime | REG_DWORD | | Schlüssel: Parameter
Wertname: NoNameReleaseOnDemand | REG_DWORD | | Schlüssel: Parameter
Wertname: PerformRouterDiscovery | REG_DWORD | | Schlüssel: Parameter
Wertname: SynAttackProtect | REG_DWORD | | Schlüssel: Parameter
Wertname: TcpMaxConnectResponseRetransmissions | REG_DWORD | | Schlüssel: Parameter
Wertname: TcpMaxConnectRetransmissions | REG_DWORD | | Schlüssel: Parameter
Wertname: TcpMaxDataRetransmissions | REG_DWORD | | Schlüssel: Parameter
Wertname:TCPMaxPortsExhausted | REG_DWORD | |
|
| Zeitdienstauthentifizierung überprüfen Schlüssel: Parameter
Wertname: type | REG_SZ | |
Sicherheitsziel: Vergewissern Sie sich, dass das System mit authentifiziertem Zeitdienst ausgeführt wird.
Computereinstellung: _____________________________________________________ |
| LMHash-Erstellung deaktivieren Schlüssel: Lsa\NoLM Hash
Wertname: Any (diese Einstellung ist kein Wert, sondern ein Schlüssel). | Nicht zutreffend | |
Sicherheitsziel: Erzeugung von schwächeren LMHash verhindern und das System so gegen Knacken von Kennwörtern sichern
Computereinstellung: _____________________________________________________ |
| Deaktivieren von Autorun Schlüssel: Explorer
Wertname: NoDriveTypeAutoRun | REG_DWORD | |
|
| Verarbeitung von LDAP-BIND-Anforderungen durch den LDAP-Server Schlüssel: Parameter
Wertname: LdapServerIntegrity | REG_DWORD | |
|
| Eine administrative Warnmeldung ausgeben, wenn das Überwachungsprotokoll voll ist Schlüssel: Parameter
Wertname: AlertNames | REG_MULTI_SZ | |
Hinweis: Administrative Warnmeldungen sind sowohl vom Warndienst als auch vom Messenger-Dienst abhängig. Vergewissern Sie sich, dass der Warndienst auf dem Quellcomputer und der Messenger-Dienst auf dem Empfängercomputer ausgeführt wird. |
| NTLM-SSP sichern Schlüssel: Erweitert
Wertname:WebView | REG_DWORD | |
Sicherheitsziel: Automatische Ausführung von bösartigem lokalem Inhalt verhindern
Computereinstellung: _____________________________________________________ |
| NTLM-SSP sichern Schlüssel: MSV1_0
Wertname: NtlmMinClientSec & NtlmMinServerSec | REG_DWORD | |
Sicherheitsziel: Automatische Ausführung von bösartigem lokalem Inhalt verhindern
Computereinstellung: _____________________________________________________ |
