In diesem Handbuch werden viele Sicherheitsgegenmaßnahmen und Sicherheitseinstellungen erörtert, von denen einige besonders wichtig ist. Die Einstellungen werden in diesem Anhang vorgestellt. In dem entsprechenden Kapiteln finden Sie Informationen zur Funktion und zur Bedeutung der jeweiligen Einstellung. Welche Einstellungen in dieser Liste enthalten sein sollten ist offen. Die Sicherheitsexperten von Microsoft haben sich eingehend mit diesem Thema befasst. Möglicherweise haben Sie den Eindruck, dass einige Einstellungen fehlen oder dass einige der aufgeführten Einstellungen nicht in der Liste enthalten sein müssten. Jede Organisation verfügt über eine spezielle Umgebung mit einzigartigen Geschäftsanforderungen. Unterschiedliche Meinungen in Bezug auf Sicherheitsrisiken sind deshalb zu erwarten. Mithilfe dieser Liste fällt es Ihnen jedoch leichter, bestimmte Prioritäten zu setzen, die die Absicherung von Computern unter Microsoft® Windows® zum Ziel haben. Zu wichtigen Gegenmaßnahmen, bei denen es sich nicht um Sicherheitseinstellungen handelt, zählen die Folgenden: | • | Halten Sie Computer auf dem neuesten Stand: mithilfe von Service Packs und Hotfixes mit automatisierten Tools zum Prüfen und Bereitstellen. | | • | Installieren und konfigurieren Sie Software für verteilte Firewalls oder organisationseigene IPSec-Richtlinien. | | • | Stellen Sie Antivirussoftware bereit, und pflegen Sie diese. | | • | Verwenden Sie Antispywaresoftware auf Computern, mit denen im Internet surfen. | | • | Benutzen Sie ein Nicht-Administratorkonto für den normalen Betriebsalltag. Ein Konto mit Administratorrechten sollten Sie nur für Aufgaben verwenden, die erhöhte Berechtigungen erfordern. |
Zu den in Microsoft Windows verfügbaren Sicherheitseinstellungen zählen u. a. Folgende: | • | Kennwortrichtlinien (in Kapitel 3, „Die Domänenrichtlinie“, beschrieben) | • | Kennwortchronik erzwingen | | • | Maximales Kennwortalter | | • | Minimale Kennwortlänge | | • | Kennwörter müssen Komplexitätsanforderungen entsprechen | | • | Kennwörter für alle Domänenbenutzer mit umkehrbarer Verschlüsselung speichern |
| | • | Benutzerrechte (siehe Kapitel 4, „Die Richtlinie für die Mitgliedsserver-Baseline“) | • | Auf diesen Computer vom Netzwerk aus zugreifen | | • | Einsetzen als Teil des Betriebssystems | | • | Lokal anmelden zulassen | | • | Anmeldung über Terminaldienste zulassen |
| | • | Sicherheitsoptionen (siehe Kapitel 4, „Die Richtlinie für die Mitgliedsserver-Baseline“) | • | Konten: Lokale Kontenverwendung von leeren Kennwörtern auf Konsolenanmeldung beschränken | | • | Domänenmitglied: Daten des sicheren Kanals digital verschlüsseln oder signieren (immer) | | • | Domänenmitglied: Daten des sicheren Kanals digital verschlüsseln (wenn möglich) | | • | Domänenmitglied: Daten des sicheren Kanals digital signieren (wenn möglich) | | • | Domänenmitglied: Starker Sitzungsschlüssel erforderlich (Windows 2000 oder höher) | | • | Netzwerkzugriff: Anonyme SID-/Namensübersetzung zulassen | | • | Netzwerkzugriff: Anonyme Aufzählung von SAM-Konten nicht erlauben | | • | Netzwerkzugriff: Anonyme Aufzählung von SAM-Konten und Freigaben nicht erlauben | | • | Netzwerkzugriff: Die Verwendung von 'Jeder'-Berechtigungen für anonyme Benutzer ermöglichen | | • | Netzwerkzugriff: Registrierungspfade, auf die von anderen Computern aus zugegriffen werden kann | | • | Netzwerkzugriff: Anonymen Zugriff auf Named Pipes und Freigaben einschränken | | • | Netzwerkzugriff: Freigaben, auf die anonym zugegriffen werden kann | | • | Netzwerkzugriff: Modell für gemeinsame Nutzung und Sicherheitsmodell für lokale Konten | | • | Netzwerksicherheit: Keine LAN Manager-Hashwerte für nächste Kennwortänderung speichern | | • | Netzwerksicherheit: LAN Manager-Authentifizierungsebene |
| | • | Zusätzliche Registrierungseinstellungen (siehe Kapitel 4, „Die Richtlinie für die Mitgliedsserver-Baseline“) |
| |
