Windows Server 2003-Sicherheitshandbuch

Kapitel 2: Absicherungsmechanismen von Windows Server 2003

Aktualisiert: 27.12.2005

Auf dieser Seite

	Überblick
	Absicherung mit dem Sicherheitskonfigurations-Assistenten
	Absichern von Servern mit der Active Directory-Gruppenrichtlinie
	Überblick über den Prozess
	Zusammenfassung

Überblick

Dieses Kapitel enthält eine Einführung in die Mechanismen, die zur Implementierung von Sicherheitseinstellungen unter Microsoft® Windows Server™ 2003 verwendet werden können. Service Pack 1 (SP1) von Windows Server 2003 enthält den Sicherheitskonfigurations-Assistenten, ein neues rollenbasiertes Tool, das Sie zur Erhöhung der Sicherheit Ihrer Server verwenden können. In Verbindung mit Gruppenrichtlinienobjekten (GPOs) ermöglicht der SCW erhöhte Kontrolle, Flexibilität und Konsistenz im Absicherungsprozess.

In diesem Kapitel werden v. a. folgende Themen behandelt:

•	Verwenden des SCW zum Erstellen, Testen und Bereitstellen rollenbasierter Absicherungsverfahren
•	Ermöglichen zuverlässiger Unternehmensabsicherung mithilfe des Active Directory®-Verzeichnisdienstes und des Einsatzes von Gruppenrichtlinienobjekten
•	Auswirkungen des Entwurfs von Active Directory-Domänen, Organisationseinheiten, Gruppenrichtlinien und administrativen Gruppen auf die Sicherheitsbereitstellungen
•	Verwenden des SCW und der Gruppenrichtlinien zum Erstellen eines überschaubaren, rollenbasierten Ansatzes zur Absicherung von Servern unter Windows Server 2003 mit SP1

Diese Informationen stellen eine Grundlage dar und geben Ihnen eine Vorstellung davon, wie Sie innerhalb einer Domäneninfrastruktur von einer Umgebung mit älteren Clients (LC) zu einer Hochsicherheitsumgebung (SSLF) wechseln können.

Zum Seitenanfang

Absicherung mit dem Sicherheitskonfigurations-Assistenten

Der SCW bietet ein flexibles, schrittweises Verfahren zum Verringern der Angriffsfläche auf Servern, die unter Windows Server 2003 mit SP1 ausgeführt werden. Beim SCW handelt es sich um eine Toolsammlung, die mit einer Datenbank aus XML-Regeln verknüpft ist. Sie soll Administratoren dabei helfen, die für die Rollen spezifischer Server erforderliche Mindestfunktionalität schnell und zuverlässig zu bestimmen.

Mit dem SCW können Administratoren Sicherheitsrichtlinien, die sämtliche unwesentlichen Funktionen deaktivieren, erstellen, testen, korrigieren und bereitstellen. Außerdem besteht die Möglichkeit einer Rücknahme von Sicherheitsrichtlinien. Der SCW bietet systemeigene Unterstützung für die Verwaltung von Sicherheitsrichtlinien auf einzelnen Servern sowie Servergruppen mit verwandten Funktionen.

Der SCW ist ein umfassendes Tool, das Sie bei der Durchführung folgender Aufgaben unterstützen kann:

•	Festlegen, welche Dienste aktiv sein bzw. ausgeführt werden müssen und welche Dienste deaktiviert werden können
•	Verwalten der Netzwerkanschlussfilterung in Verbindung mit der Windows-Firewall
•	Festlegen, welche IIS-Interneterweiterungen für Webserver zugelassen sind
•	Reduzierung der Gefährdung von Protokollen in Zusammenhang mit SMB-basierten Protokollen (Server Message Block), NetBIOS (Network Basic Input/Output System), CIFS (Common Internet File System) und Lightweight Directory Access Protocol (LDAP)
•	Erstellen nützlicher Überwachungsrichtlinien, die bestimmte Ereignisse erfassen

Ausführliche Anweisungen zur Installation und Verwendung des SCW sowie zur Fehlerbehebung finden Sie in der Dokumentation zum Sicherheitskonfigurations-Assistenten (in englischer Sprache), die unter www.microsoft.com/downloads/details.aspx?FamilyID=903fd496-9eb9-4a45-aa00-3f2f20fd6171&displaylang=en heruntergeladen werden kann.

Hinweis: Der SCW kann nur mit Windows Server 2003 mit SP1 verwendet werden. Zum Erstellen von Richtlinien für Windows 2000 Server, Windows XP oder Windows Small Business Server 2003 kann er nicht eingesetzt werden. Zur Absicherung einer großen Anzahl von Computern mit diesen Betriebssystemen müssen Sie von den gruppenrichtlinienbasierten Absicherungsmechanismen Gebrauch machen, die weiter unten in diesem Kapitel beschrieben werden.

Erstellen und Testen von Richtlinien

Mit dem SCW können Sie schnell Sicherheitsrichtlinien für mehrere Server oder Servergruppen von einem einzelnen Computer aus erstellen und testen. Dadurch können Sie von einem einzelnen Ort aus Richtlinien unternehmensweit verwalten. Diese Richtlinien bieten einheitliche, unterstützte Absicherungsmaßnahmen, die auf die Funktionen der einzelnen Server im Unternehmen abgestimmt sind. Wenn Sie den SCW zum Erstellen und Testen von Richtlinien verwenden, sollte dieser auf allen Zielservern bereitgestellt werden. Obwohl die Richtlinie auf einer Verwaltungsstation erstellt wird, versucht der SCW, mit den Zielservern zu kommunizieren, um ihre Konfiguration zu prüfen und die Feinabstimmung der resultierenden Richtlinie vorzunehmen.

Der SCW ist in die IPSec- und Windows-Firewall-Untersysteme integriert und ändert diese Einstellungen dementsprechend. Sofern es nicht unterbunden wird, konfiguriert der SCW die Windows-Firewall so, dass eingehender Netzwerkverkehr über wichtige, vom Betriebssystem benötigte Ports und empfangsbereite Anwendungen zugelassen wird. Werden zusätzliche Portfilter benötigt, kann der SCW sie erstellen. Als Folge dessen sorgen die mit dem SCW erstellten Richtlinien dafür, dass IPSec-Filter durch benutzerdefinierte Skripts so konfiguriert werden, dass unerwünschter Verkehr blockiert wird. Dadurch wird die Verwaltung der Netzwerkabsicherung erleichtert. Die Konfiguration von Netzwerkfiltern für Dienste, die RPC-Ports oder dynamische Ports verwenden, kann ebenfalls vereinfacht werden.

Darüber hinaus bietet der SCW umfassende Möglichkeiten zur Anpassung der von Ihnen erstellten Richtlinien. So lassen sich Konfigurationen erstellen, mit denen notwendige Funktionen zugelassen und gleichzeitig Sicherheitsrisiken verringert werden. Neben den Baseline-Verhaltensweisen und -einstellungen können Sie den SCW in folgenden Bereichen außer Kraft setzen:

•	Dienste
•	Netzwerkports
•	Von der Windows-Firewall genehmigte Anwendungen
•	Registrierungseinstellungen
•	IIS-Einstellungen
•	Einbeziehung bereits vorhandener Sicherheitsvorlagen (INF-Dateien)

Der SCW stellt dem Administrator Informationen zu einigen der wichtigsten Registrierungseinstellungen zur Verfügung. Zur Verringerung der Komplexität des Tools haben die Entwickler nur jene Einstellungen aufgenommen, die die größten Auswirkungen auf die Sicherheit haben. In diesem Handbuch werden jedoch noch viele weitere Registrierungseinstellungen erläutert. Zur Überwindung der Einschränkungen des SCW können Sie Sicherheitsvorlagen mit Ergebnissen des SCW kombinieren, um eine umfassendere Konfiguration zu erstellen.

Wenn Sie den SCW zum Erstellen einer neuen Richtlinie verwenden, verwendet dieser zunächst die aktuelle Konfiguration eines Servers. Sie sollten deshalb einen Server als Zielserver verwenden, der vom selben Typ ist wie die Server, auf denen Sie die Richtlinie bereitstellen möchten, damit Sie die Konfiguration der Serverrollen genau beschreiben können. Wenn Sie die grafische Benutzeroberfläche des SCW zum Erstellen einer neuen Richtlinie verwenden, wird eine XML-Datei erstellt und standardmäßig im Ordner %systemdir%\security\msscw\Policies gespeichert. Nach Erstellung der Richtlinien können Sie diese entweder mit der Benutzeroberfläche des SCW oder mit dem Befehlszeilenprogramm Scwcmd auf Ihre Testserver anwenden.

Beim Testen der Richtlinien müssen Sie möglicherweise eine bereitgestellte Richtlinie entfernen. Sie können sowohl die grafische Benutzeroberfläche als auch das Befehlszeilenprogramm zum Zurücknehmen der letzten auf einen Server oder eine Servergruppe angewendeten Richtlinie verwenden. Der SCW speichert die vorherigen Konfigurationseinstellungen in XML-Dateien.

Für Unternehmen mit begrenzten Ressourcen für das Entwerfen und das Testen von Sicherheitskonfigurationen ist der SCW möglicherweise ausreichend. Unternehmen, denen es an solchen Ressourcen mangelt, sollten eine Absicherung der Server gar nicht erst versuchen, da solche Bemühungen häufig zu unerwarteten Problemen und Produktivitätsverlusten führen. Wenn in Ihrem Unternehmen die für den Umgang mit diesen Problemen erforderliche Fachkenntnis und Zeit nicht zur Verfügung stehen, sollten Sie sich auf andere wichtige Sicherheitsaktivitäten wie Anwendungs- und Betriebssystemaktualisierungen und Updateverwaltung konzentrieren.

Bereitstellen von Richtlinien

Zum Bereitstellen Ihrer Richtlinien stehen Ihnen drei verschiedene Möglichkeiten zur Verfügung:

•	Anwenden der Richtlinie mit der grafischen Benutzeroberfläche des SCW
•	Anwenden der Richtlinie mit dem Befehlszeilenprogramm Scwcmd
•	Konvertieren der SCW-Richtlinie in ein Gruppenrichtlinienobjekt und Verknüpfen der Richtlinie mit einer Domäne oder Organisationseinheit

Jede Option hat ihre Vor- und Nachteile. Diese werden in den folgenden Unterabschnitten beschrieben.

Anwenden der Richtlinie mit der grafischen Benutzeroberfläche des SCW

Der wichtigste Vorteil der grafischen Benutzeroberfläche des SCW ist ihre Einfachheit. Mit ihr können Administratoren leicht eine vordefinierte Richtlinie auswählen und auf einen einzelnen Computer anwenden.

Der Nachteil der grafischen Benutzeroberfläche des SCW liegt darin, dass Richtlinien mit ihr immer nur auf einen einzelnen Computer angewendet werden können. Diese Option ist also nicht für große Umgebungen geeignet. Auf diese Methode wird deshalb in diesem Handbuch nicht weiter eingegangen.

Anwenden der Richtlinie mit dem Befehlszeilenprogramm Scwcmd

Wenn Sie systemeigene SCW-Richtlinien ohne Active Directory auf mehrere Computer anwenden möchten, können Sie das Programm Scwcmd verwenden. Sie können den Einsatz von Scwcmd auch mit Skripterstellungstechnologien verbinden, um ein bestimmtes Maß an automatischer Richtlinienbereitstellung zu erzielen, z. B. als Teil eines bestehenden Prozesses zum Einrichten und Bereitstellen von Servern.

Der größte Nachteil der Scwcmd-Option besteht darin, dass es sich um keinen automatischen Vorgang handelt. Sie müssen die Richtlinie und den Zielserver entweder manuell oder durch eine Skripterstellungslösung angeben. Dabei besteht die Gefahr, dass versehentlich die falsche Richtlinie auf dem falschen Computer bereitgestellt wird. Wenn Sie Server mit leicht abweichenden Konfigurationen in einer Gruppe haben, müssen Sie für jeden dieser Computer eine separate Richtlinie erstellen und diese separat anwenden. Aufgrund dieser Einschränkungen wird in diesem Handbuch nicht auf diese Methode eingegangen.

Konvertieren der SCW-Richtlinie in ein Gruppenrichtlinienobjekt

Als dritte Option zur Bereitstellung von SCW-Richtlinien steht die Verwendung des Programms Scwcmd zur Konvertierung der XML-basierten Richtlinie in ein Gruppenrichtlinienobjekt (GPO) zur Verfügung. Obwohl diese Umwandlung zunächst unnötig erscheinen mag, ergeben sich daraus einige Vorteile:

•	Die Replikation, Bereitstellung und Anwendung der Richtlinien erfolgt anhand vertrauter Active Directory-Mechanismen.
•	Da es sich um systemeigene Gruppenrichtlinienobjekte handelt, können für die Feinabstimmung der Absicherung von Servern, die so ähnlich, aber nicht genauso wie andere Server konfiguriert sind, Organisationseinheiten, Richtlinienvererbung und inkrementelle Richtlinien verwendet werden. Mit Gruppenrichtlinien platzieren Sie diese Server in einer untergeordneten Organisationseinheit und wenden eine inkrementelle Richtlinie an, während Sie mit dem SCW für jede spezielle Konfiguration eine neue Richtlinie erstellen müssten.
•	Richtlinien werden automatisch auf alle Server angewendet, die in den entsprechenden Organisationseinheiten enthalten sind. Systemeigene SCW-Richtlinien müssen entweder manuell angewendet oder in Verbindung mit einer benutzerdefinierten Skripterstellungslösung eingesetzt werden.

Zum Seitenanfang

Absichern von Servern mit der Active Directory-Gruppenrichtlinie

Mit Active Directory können Anwendungen Verzeichnisressourcen in einer dezentralisierten Computerumgebung suchen, verwenden und verwalten. Obwohl ausführliche Informationen zum Entwerfen einer Aktive Directory-Infrastruktur ein ganzes Buch füllen könnte, werden diese Begriffe hier nur kurz erklärt, um einen Zusammenhang mit dem Rest des Handbuchs herzustellen. Die Informationen zum Entwerfen sind nötig, um verständlich zu machen, wie mithilfe von Gruppenrichtlinien die Domänen, Domänencontroller und Serverrollen Ihres Unternehmens sicher verwaltet werden können. Wenn Ihr Unternehmen bereits über einen Active Directory-Entwurf verfügt, erhalten Sie in diesem Kapitel einen Einblick in einige Sicherheitsvorteile und potenzielle Probleme.

In diesem Handbuch wird keine spezielle Anleitung zum Schutz der Active Directory-Datenbank gegeben. Eine solche Anleitung erhalten Sie im Dokument „Best Practice Guide for Securing Active Directory Installations“, auf das im Abschnitt „Weitere Informationen“ am Ende dieses Kapitels verwiesen wird.

Beim Erstellen einer Active Directory-Infrastruktur müssen Sie die Sicherheitsgrenzen der Umgebung genau berücksichtigen. Wenn Sie die Sicherheitsdelegierung und den Implementierungsplan eines Unternehmens umsichtig planen, ist der Active Directory-Entwurf für das Unternehmen sicherer. Sie müssen den Entwurf wahrscheinlich nur bei umfassenden Änderungen an der Umgebung, wie etwa bei einer Übernahme oder einer Umstrukturierung der Organisation, neu strukturieren.

Active Directory-Grenzen

In Active Directory gibt es verschiedene Arten von Grenzen. Diese Grenzen definieren die Gesamtstruktur, die Domäne, die Standorttopologie und die Zuweisung von Rechten. Sie werden bei der Installation von Active Directory automatisch eingerichtet. Sie müssen jedoch sicherstellen, dass die Berechtigungsgrenzen den Anforderungen und Richtlinien der Organisation entsprechen. Die Zuweisung von Verwaltungsrechten kann recht flexibel gehandhabt werden, um den Anforderungen verschiedener Organisation gerecht zu werden. Zum Gewährleisten eines geeigneten Gleichgewichts zwischen Sicherheit und Verwaltungsfunktionalität können Sie die Berechtigungszuweisungsgrenzen z. B. in Sicherheitsgrenzen und Verwaltungsgrenzen unterteilen.

Sicherheitsgrenzen

Sicherheitsgrenzen definieren die Autonomie oder Isolierung verschiedener Gruppen in einer Organisation. Die Gewährleistung einer ausreichenden Sicherheit (basierend auf der Konfiguration der Geschäftsgrenzen der Organisation) und die Notwendigkeit der Aufrechterhaltung solider grundlegender Funktionen müssen unter Berücksichtigung der möglichen Einbußen gegen einander abgewogen werden. Zum Herstellen dieses Gleichgewichts müssen Sie die Bedrohungen für Ihr Unternehmen gegen die Sicherheitsauswirkungen durch die Delegierung von Verwaltungsrechten und andere im Zusammenhang mit der Netzwerkarchitektur Ihrer Umgebung zu treffende Entscheidungen abwägen.

Die Gesamtstruktur ist die wahre Sicherheitsgrenze Ihrer Netzwerkumgebung. Es wird empfohlen, separate Gesamtstrukturen zu erstellen, damit Ihre Umgebung vor potenziellen Beeinträchtigungen durch Administratoren anderer Domänen geschützt sind. Dieser Ansatz trägt dazu bei, dass die Beeinträchtigung einer Gesamtstruktur nicht notwendigerweise die Beeinträchtigung des gesamten Unternehmens mit sich bringt.

Eine Domäne ist eine Verwaltungsgrenze von Active Directory, keine Sicherheitsgrenze. Bei einer Organisation mit zuverlässigen Benutzern ermöglicht eine Domänengrenze eine autonome Verwaltung der Dienste und Daten innerhalb der einzelnen Domänen der Organisation. Leider ist Isolierung in Bezug auf die Sicherheit gar nicht so einfach zu erreichen. Eine Domäne kann z. B. einen Angriff von einem böswilligen Domänenadministrator nicht vollständig isolieren. Diese Ebene einer Trennung kann nur auf der Ebene von Gesamtstrukturen erreicht werden.

Innerhalb der Domäne bietet die Organisationseinheit eine andere Verwaltungsgrenzenebene. Organisationseinheiten stellen einen flexiblen Weg zur Gruppierung verwandter Ressourcen und zur Delegierung des Verwaltungszugriffs an das entsprechende Personal dar, ohne diesem dabei die Verwaltung der gesamten Domäne zu gestatten. Wie Domänen sind auch Organisationseinheiten keine echten Sicherheitsgrenzen. Obwohl Sie einer Organisationseinheit Berechtigungen zuweisen können, werden die Ressourcen sämtlicher Organisationseinheiten einer Domäne in Bezug auf die Ressourcen der Domäne und der Gesamtstruktur authentifiziert. Eine gut gestaltete Organisationseinheitshierarchie unterstützt dennoch die Entwicklung, Bereitstellung und Verwaltung effektiver Sicherheitsmaßnahmen.

Ihr Unternehmen kann eine geteilte administrative Überwachung der Dienste und Daten innerhalb des aktuellen Active Directory-Entwurfs in Betracht ziehen. Ein effektiver Active Directory-Entwurf setzt ein umfassendes Verständnis der Anforderungen Ihres Unternehmens bezüglich Dienstautonomie und -isolierung sowie Datenautonomie und -isolierung voraus.

Verwaltungsgrenzen

Da möglicherweise eine Segmentierung von Diensten und Daten notwendig ist, müssen Sie die verschiedenen benötigten Verwaltungsebenen definieren. Neben Administratoren, die bestimmte Dienste für Ihre Organisation ausführen können, sollten Sie folgende Administratortypen in Betracht ziehen.

Dienstadministratoren

Die Active Directory-Dienstadministratoren sind für die Konfiguration und Bereitstellung des Verzeichnisdienstes verantwortlich. Dienstadministratoren verwalten z. B. Domänencontrollerserver, steuern verzeichnisweite Konfigurationseinstellungen und gewährleisten die Verfügbarkeit von Diensten. Die Active Directory-Administratoren in Ihrem Unternehmen sollten u. U. auch als Ihre Dienstadministratoren fungieren.

Die Konfiguration des Active Directory-Dienstes wird häufig von Attributwerten bestimmt. Diese Attributwerte entsprechen den im Verzeichnis gespeicherten Objekten. Dienstadministratoren in Active Directory sind daher gleichzeitig auch Datenadministratoren. Aufgrund der Anforderungen Ihres Unternehmens müssen Sie möglicherweise andere Gruppen von Dienstadministratoren für den Entwurf des Active Directory-Dienstes in Betracht ziehen. Beispiele:

•	Eine Domänenverwaltungsgruppe, die hauptsächlich für Verzeichnisdienste verantwortlich ist. Für die Auswahl der Gruppe, die die einzelnen Domänen verwaltet, ist der Gesamtstrukturadministrator verantwortlich. Wegen der umfassenden Zugriffsrechte, die dem Administrator jeder Domäne gewährt werden, müssen diese Administratoren besonders vertrauenswürdig sein. Die Domänenadministratoren verwalten die Domänen über die Gruppe Domänenadministratoren und andere vordefinierte Gruppen.
•	Administratorgruppen, die DNS verwalten. Die DNS-Administratorgruppe ist für den DNS-Entwurf und die Verwaltung der DNS-Infrastruktur zuständig. Der DNS-Administrator verwaltet die DNS-Infrastruktur über die Gruppe der DNS-Administratoren.
•	Administratorgruppen, die Organisationseinheiten verwalten. Der Administrator für eine Organisationseinheit weist jeder Organisationseinheit eine Gruppe oder eine Person als Verwalter zu. Jeder Organisationseinheitsadministrator verwaltet die in der zugewiesenen Active Directory-Organisationseinheit gespeicherten Daten. Diese Gruppen können die Zuweisung der Verwaltung und die Anwendung von Richtlinien auf die Objekte in ihren Organisationseinheiten steuern. Organisationseinheitsadministratoren können auch neue Unterstrukturen erstellen und die Verwaltung ihrer Organisationseinheiten delegieren.
•	Administratorgruppen, die Infrastrukturserver verwalten. Die für die Verwaltung der Infrastrukturserver zuständige Gruppe verwaltet die Dienste WINS, DHCP und u. U. die DNS-Infrastruktur. In einigen Fällen verwaltet die für die Domänenverwaltung zuständige Gruppe die DNS-Infrastruktur, da Active Directory in DNS integriert ist und auf den Domänencontrollern gespeichert und verwaltet wird.

Datenadministratoren

Active Directory-Datenadministratoren verwalten Daten, die in Active Directory oder auf mit Active Directory verbundenen Computern gespeichert sind. Diese Administratoren haben keine Kontrolle über die Konfiguration oder Bereitstellung des Verzeichnisdienstes. Datenadministratoren sind Mitglieder einer von Ihrer Organisation erstellten Sicherheitsgruppe. Die Standardsicherheitsgruppen in Windows sind manchmal nicht für alle Situationen in der Organisation geeignet. Daher können Organisationen eigene für die Umgebung geeignete Benennungsstandards und Definitionen für Sicherheitsgruppen entwickeln. Zu den täglichen Aufgaben der Datenadministratoren zählen:

•	Verwalten eines Teils der Objekte im Verzeichnis. Durch die vererbbare Zugriffssteuerung auf Attributebene kann Datenadministratoren die Steuerung spezieller Abschnitte des Verzeichnisses, aber keine Kontrolle über die Konfiguration des Dienstes selbst ermöglicht werden.
•	Verwalten von Mitgliedscomputern im Verzeichnis sowie der auf diesen Computern gespeicherten Daten.

Hinweis: In vielen Fällen bestimmen Attributwerte für im Verzeichnis gespeicherte Objekte die Dienstkonfiguration des Verzeichnisses.

Bevor Besitzern von Active Directory-Dienststrukturen und -Verzeichnisstrukturen der Beitritt zu einer Gesamtstruktur oder Domäneninfrastruktur erlaubt wird, muss die Organisation also allen Dienstadministratoren in der Gesamtstruktur und in sämtlichen Domänen vertrauen. Darüber hinaus müssen die Unternehmenssicherheitsprogramme Standardrichtlinien und –verfahren entwickeln, die eine entsprechende Überprüfung der Administratoren durchführen. Dienstadministratoren zu vertrauen, bedeutet im Kontext dieses Sicherheitshandbuchs Folgendes:

•

Darauf vertrauen, dass Dienstadministratoren in erster Linie entsprechend den Interessen des Unternehmens handeln. Organisationen sollten keiner Gesamtstruktur oder Domäne beitreten, wenn die Besitzer dieser Gesamtstruktur oder Domäne triftige Gründe haben könnten, der Organisation zu schaden.

•

Darauf vertrauen, dass die Dienstadministratoren die empfohlenen Vorgehensweisen befolgen und den physischen Zugriff auf die Domänencontroller einschränken.

•

Verstehen und Akzeptieren der Risiken für das Unternehmen, einschließlich der folgenden:

•

Böswillige Administratoren. Vertrauenswürdige Administratoren könnten zu böswilligen Administratoren werden und die Berechtigungen, die sie auf dem Netzwerk haben, missbrauchen. Ein böswilliger Administrator in einer Gesamtstruktur könnte leicht die Sicherheits-ID (SID) für einen anderen Administrator von einer anderen Domäne nachschlagen. Der böswillige Administrator kann die gestohlene SID dann mithilfe eines API-Tools (Anwendungsprogrammierschnittstelle), Festplatteneditors oder Debuggers der SID-Verlaufsliste eines Kontos in seiner eigenen Domäne hinzufügen. Durch das Hinzufügen der gestohlenen SID zum SID-Verlauf des Benutzers, besitzt der böswillige Administrator nicht nur in seiner eigenen Domäne Verwaltungsrechte, sondern auch in der Domäne der gestohlenen SID.

•

Genötigte Administratoren. Ein vertrauenswürdiger Administrator kann u. U. zum Durchführen von Operationen gezwungen werden, die die Sicherheit eines Computers oder Netzwerks verletzen. Ein Benutzer oder Administrator kann Social Engineering-Techniken oder Drohungen mit körperlichem oder sonstigen Schaden auf legitimierte Administratoren eines Computersystems anwenden, um sich die für den Zugriff auf den Computer benötigten Informationen zu verschaffen.

Einige Organisationen können möglicherweise das Risiko einer Sicherheitsverletzung durch einen böswilligen oder genötigten Dienstadministrator aus einem anderen Teil des Unternehmens akzeptieren. Diese Organisationen können zu dem Entschluss kommen, dass die gemeinschaftlichen und Kosten sparenden Vorteile der Beteiligung an einer gemeinsamen Infrastruktur dieses Risiko überwiegen. Andere Organisationen können das Risiko u. U. nicht akzeptieren, da die möglichen Konsequenzen einer Sicherheitsverletzung zu gravierend sind.

Active Directory-Gruppenrichtlinie für Computer

Obwohl Organisationseinheiten eine einfache Möglichkeit bieten, Computer, Benutzer, Gruppen und andere Sicherheitsprinzipale zu gruppieren, bieten sie auch einen effektiven Mechanismus, um administrative Grenzen zu segmentieren. Darüber hinaus bieten Organisationseinheiten eine entscheidende Struktur für die Bereitstellung von Gruppenrichtlinienobjekten (GPOs), weil sie Ressourcen entsprechend den Sicherheitsanforderungen segmentieren und es Ihnen ermöglichen können, für verschiedene Organisationseinheiten unterschiedliche Sicherheitsmaßnahmen zu ergreifen. Der Einsatz von Organisationseinheiten zum Verwalten und Zuweisen von Sicherheitsrichtlinien in Abhängigkeit von der Serverrolle ist ein wesentlicher Bestandteil der Gesamtsicherheitsarchitektur für der Organisation.

Delegieren der Verwaltung und Anwenden von Gruppenrichtlinien

Organisationseinheiten sind Container innerhalb der Verzeichnisstruktur einer Domäne. Diese Container können beliebige Sicherheitsprinzipale in der Domäne enthalten, obwohl sie meist Objekte eines bestimmten Typs aufweisen. Um einer Gruppe bzw. einem einzelnen Benutzer eine Zugriffsberechtigung auf die Organisationseinheiten zu erteilen oder den Zugriff zu sperren, können Sie bestimmte Zugriffssteuerungslisten (ACLs) in der Organisationseinheit festlegen, sodass die Berechtigungen von allen Objekten innerhalb der Organisationseinheit geerbt werden.

Mithilfe einer Organisationseinheit können Sie rollenbasierte, Verwaltungsfunktionen bereitstellen. So könnte z. B. eine Administratorgruppe für die Organisationseinheiten der Benutzer und Gruppen zuständig sein, während eine andere Gruppe die Organisationseinheiten mit den Servern verwalten könnte. Sie können auch eine Organisationseinheit erstellen, die eine Gruppe von Ressourcenservern enthält und durch andere Benutzer über die so genannte Delegierung verwaltet wird. Dieser Ansatz ermöglicht der delegierten Gruppe die autonome Steuerung einer bestimmten Organisationseinheit, ohne sie vom Rest der Domäne zu isolieren.

Administratoren, die die Objektverwaltung für bestimmte Organisationseinheiten zuweisen, sollten Dienstadministratoren sein. Auf einer niedrigeren Autoritätsebene handelt es sich bei den Benutzern, die die Objekte der Organisationseinheiten verwalten, normalerweise um Datenadministratoren.

Administrative Gruppen

Administratoren können administrative Gruppen erstellen, um Benutzer-, Sicherheitsgruppen- oder Servercluster in Container für die autonome Verwaltung zu unterteilen.

Betrachten Sie z. B. die Infrastrukturserver, die sich in einer Domäne befinden. Zu den Infrastrukturservern zählen alle Server, die keine Domänencontroller sind und auf denen grundlegende Netzwerkdienste ausgeführt werden, z. B. WINS- oder DHCP-Dienste. Oftmals werden diese Server von einer Betriebsgruppe oder einer Infrastrukturverwaltungsgruppe verwaltet. Sie können eine Organisationseinheit auf einfache Weise zu Verwaltungsfertigkeiten für diese Servern einsetzen.

Die folgende Abbildung enthält eine übergeordnete Darstellung einer solchen Organisationseinheitskonfiguration.

Abbildung 2.1: Organisationseinheitsdelegierung der Verwaltung

Wenn der Gruppe Infrastrukturadministrator die Verwaltung der Infrastruktur-Organisationseinheit zugewiesen wurde, besitzen die Mitglieder dieser Gruppe Vollzugriff auf die Infrastruktur-Organisationseinheit und sämtliche darin enthaltenen Server und Objekte. Dadurch können Mitglieder der Gruppe die Serverrollen mithilfe von Gruppenrichtlinien schützen.

Dieser Ansatz stellt nur eine der Möglichkeiten zum Bereitstellen einer administrativen Segmentierung durch Organisationseinheiten dar. Informationen für komplexere Organisationen finden Sie im Abschnitt „Weitere Informationen“ am Ende dieses Kapitels.

Hinweis: Da Active Directory so stark von DNS abhängig ist, ist es üblich, den DNS-Dienst auf Domänencontrollern auszuführen. Domänencontroller werden standardmäßig der vordefinierten Domänencontroller-Organisationseinheit hinzugefügt. Da in den Beispielen in diesem Handbuch wird ebenso verfahren wird, ist die Infrastruktur-Serverrolle nicht im DNS-Dienst enthalten.

Anwendung von Gruppenrichtlinien

Verwenden Sie Gruppenrichtlinien, und delegieren Sie die Verwaltung, um bestimmte Einstellungen, Rechte und Verhalten auf alle Server in einer Organisationseinheit anzuwenden. Wenn Sie statt manueller Schritte Gruppenrichtlinien verwenden, können mehrere Server auf einfache Weise mit eventuell erforderlichen zusätzlichen Änderungen aktualisiert werden.

Gruppenrichtlinien werden in der dargestellten Reihenfolge (siehe folgende Abbildung) zusammengefasst und angewendet.

Abbildung 2.2: Anwendungshierarchie von Gruppenrichtlinienobjekten
Bild in voller Größe anzeigen

Wie in der Abbildung dargestellt, werden Richtlinien zunächst auf der lokalen Richtlinienebene des Computers angewendet. Anschließend werden alle Gruppenrichtlinienobjekte auf Standortebene und danach auf Domänenebene angewendet. Wenn der Server in mehreren Organisationseinheiten eingebettet ist, werden zuerst die Gruppenrichtlinienobjekte der Organisationseinheit der höchsten Ebene angewendet. Der Prozess der Anwendung der Gruppenrichtlinienobjekte wird entlang der Organisationseinheit-Hierarchie fortgeführt. Das letzte Gruppenrichtlinienobjekt wird auf der untergeordneten Organisationseinheitsebene angewendet, die das Serverobjekt enthält. Die Rangfolge für die Verarbeitung von Gruppenrichtlinien reicht von der höchsten Organisationseinheit (am weitesten vom Benutzer- oder Computerkonto entfernt) bis zur untersten Organisationseinheit (die das Benutzer- bzw. Computerkonto enthält).

Beachten Sie beim Anwenden von Gruppenrichtlinien die folgenden grundlegenden Überlegungen:

•	Sie müssen die Anwendungsreihenfolge der Gruppenrichtlinienobjekte für Gruppenrichtlinienebenen mit mehreren Gruppenrichtlinienobjekten festlegen. Wenn mehrere Richtlinien dieselbe Option enthalten, hat die zuletzt angewendete Option Vorrang.
•	Sie müssen für eine Gruppenrichtlinie die Option Kein Vorrang wählen, wenn Sie verhindern möchten, dass sie von anderen Gruppenrichtlinienobjekten überschrieben wird. Wenn Sie die Gruppenrichtlinien-Verwaltungskonsole (Group Policy Management Console, GPMC) verwenden, heißt diese Option Erzwungen.

Zeitkonfiguration

Die Ausführung vieler Sicherheitsdienste, insbesondere der Authentifizierung, hängt von einem genauen Computerzeit ab. Sie sollten sicherstellen, dass die Computerzeit korrekt ist und alle Server in Ihrem Unternehmen dieselbe Zeitquelle verwenden. Der W32-Zeitdienst von Windows Server 2003 ermöglicht die Zeitsynchronisierung für in einer Active Directory-Domäne ausgeführte Windows Server 2003- und Microsoft Windows XP-Computer.

Der W32-Zeitdienst synchronisiert die Uhren von Windows Server 2003-Computern mit den Domänencontrollern in einer Domäne. Diese Synchronisierung ist für das korrekte Funktionieren des Kerberos-Authentifizierungsprotokolls und anderer Authentifizierungsprotokolle erforderlich. Eine Reihe von Komponenten der Windows Server-Produktfamilie erfordern ein genaue und synchronisierte Zeit, um einwandfrei zu funktionieren. Wenn die Uhren auf den Clients nicht synchronisiert sind, kann es passieren, dass das Kerberos-Authentifizierungsprotokoll Benutzern den Zugriff verweigert.

Ein weiterer wichtiger Vorteil der Zeitsynchronisierung ist die Ereigniskorrelation auf allen Clients im Unternehmen. Synchronisierte Uhren auf den Clients in der Umgebung gewährleisten, dass Sie auf diesen Clients in einheitlicher Folge auftretende Ereignisse im ganzen Unternehmen korrekt analysieren können.

Der W32-Zeitdienst verwendet NTP (Network Time Protocol) zum Synchronisieren von Computeruhren unter Windows Server 2003. In einer Windows Server 2003-Gesamtstruktur wird die Zeit standardmäßig wie folgt synchronisiert:

•	Die PDC-Emulation (Primary Domain Controller oder primärer Domänencontroller) in der Stammdomäne der Gesamtstruktur bildet die maßgebliche Zeitquelle für die Organisation.
•	Alle PDC-Betriebsmaster in anderen Domänen der Gesamtstruktur folgen bei der Auswahl einer PDC-Emulation zum Synchronisieren der Zeit der Domänenhierarchie.
•	Alle Domänencontroller in einer Domäne synchronisieren ihre Zeit mit dem PDC-Betriebsmaster in ihrer Domäne als Zeitgeber.
•	Alle Mitgliedsserver und Clientdesktopcomputer verwenden den authentifizierenden Domänencontroller als Zeitgeber.

Zum Gewährleisten einer korrekten Uhrzeit kann die PDC-Emulation in der Stammdomäne der Gesamtstruktur mit einer maßgeblichen Zeitquelle, wie etwa einer zuverlässigen NTP-Quelle oder einer extrem genauen Uhr in Ihrem Netzwerk, synchronisiert werden. Bedenken Sie, dass für die NTP-Synchronisierung der UDP-Port 123 verwendet wird. Bevor Sie eine Synchronisierung mit einem externen Server vornehmen, müssen Sie die Vorteile der Portöffnung gegen das mögliche Sicherheitsrisiko abwägen.

Dazu kommt, dass Sie beim Synchronisieren mit einem externen Server, der nicht von Ihnen verwaltet wird, das Risiko der Konfiguration Ihrer Server mit einer falschen Zeit eingehen. Der externe Server könnte von einem Angreifer beeinträchtigt werden, um die Uhren Ihrer Computer zu manipulieren. Wie bereits erläutert, sind für das Kerberos-Authentifizierungsprotokoll synchronisierte Computeruhren notwendig. Wurde die Synchronisierung unterlassen, kann eine Denial-of-Service-Attacke stattfinden.

Verwaltung von Sicherheitsvorlagen

Sicherheitsvorlagen sind textbasierte Dateien, die Sie zum Anwenden einer Computerkonfiguration auf einen Computer verwenden können. Sie können Sicherheitsvorlagen mit dem Sicherheitsvorlagen-Snap-In der Microsoft Management Console (MMC) oder mit einem Texteditor, wie z. B. Notepad, ändern. Einige Abschnitte der Vorlagendateien enthalten spezielle in SDDL (Security Descriptor Definition Language) geschriebene Zugriffssteuerungslisten (ACLs). Weitere Informationen zum Bearbeiten von Sicherheitsvorlagen und SDDL finden Sie auf der Microsoft MSDN®-Seite „Security Descriptor Definition Language“ unter http: //msdn.microsoft.com/library/en-us/secauthz/security/security_descriptor_definition_language.asp.

Authentifizierte Benutzer sind standardmäßig berechtigt, alle Einstellungen in einem Gruppenrichtlinienobjekt zu lesen. Daher ist es sehr wichtig, die für eine Produktionsumgebung verwendeten Sicherheitsvorlagen an einem sicheren Speicherort abzulegen, auf den nur die Administratoren zugreifen können, die Gruppenrichtlinien implementieren. Dadurch soll nicht die Anzeige von INF-Dateien, sondern die unautorisierte Änderung der Quellsicherheitsvorlagen verhindert werden.

Alle Computer mit Windows Server 2003 speichern Sicherheitsvorlagen in ihrem lokalen Ordner %SystemRoot%\security\templates. Da dieser Ordner nicht auf mehreren Domänencontrollern repliziert wird, muss ein Ort ausgewählt werden, auf dem die Masterkopie der Sicherheitsvorlagen gespeichert wird, damit Versionskontrollprobleme bei den Vorlagen vermieden werden. Nachdem die zentral gespeicherte Vorlage modifiziert wurde, kann sie auf den jeweiligen Computern erneut bereitgestellt werden. Durch diesen Ansatz wird sichergestellt, dass immer das gleiche Vorlagenexemplar geändert wird.

Ereignisse bei erfolgreicher Anwendung von Gruppenrichtlinienobjekten

Obwohl ein Administrator alle Einstellungen manuell überprüfen kann, um deren ordnungsgemäße Anwendung auf die Server in der Organisation sicherzustellen, sollte auch ein Ereignis im Ereignisprotokoll angezeigt werden, damit der Administrator über das erfolgreiche Herunterladen der Domänenrichtlinie auf jeden Server informiert wird. Ein Ereignis wie das folgende sollte im Anwendungsprotokoll mit seiner eindeutige Ereigniskennung angezeigt werden.

Typ: Informationen

Quelle: SceCli

Ereigniskennung: 1704

Beschreibung: Die Sicherheitsrichtlinie in den Gruppenrichtlinienobjekten wurde erfolgreich angewendet.

Die Sicherheitseinstellungen werden auf einer Arbeitsstation oder einem Server standardmäßig alle 90 Minuten und auf einem Domänencontroller alle 5 Minuten aktualisiert. Dieser Ereignistyp wird angezeigt, wenn in dieser Zeit Änderungen aufgetreten sind. Außerdem werden die Einstellungen alle 16 Stunden aktualisiert, unabhängig davon, ob Änderungen vorgenommen wurden. Sie können auch eine manuelle Aktualisierung der Gruppenrichtlinien-Einstellungen erzwingen, indem Sie die später in diesem Kapitel beschriebene Methode verwenden.

Organisationseinheiten für Serverrollen

Im vorigen Beispiel wurde gezeigt, wie die Infrastrukturserver eines Unternehmens verwaltet werden können. Diese Methode kann erweitert werden, um andere Server und Dienste in einem Unternehmen mit einzubeziehen. Ziel ist das Erstellen einer nahtlosen Gruppenrichtlinie, die alle Server abdeckt und gleichzeitig sicherstellt, dass die Server in Active Directory die Sicherheitsstandards der Umgebung erfüllen.

Dieser Gruppenrichtlinientyp bildet eine konsistente Baseline von Standardeinstellungen auf allen Servern der Organisation. Zudem müssen die Organisationseinheitsstruktur und die Anwendung von Gruppenrichtlinien einen detaillierten Entwurf zum Bereitstellen von Sicherheitseinstellungen für bestimmte Servertypen in einer Organisation bieten. Internet Information Server (IIS), Datei-, Druck-, Internetauthentifizierungsserver (IAS) und Zertifikatdienste sind nur einige der Serverrollen in einem Unternehmen, die u. U. spezielle Gruppenrichtlinien erfordern.

Wichtig: Der Einfachheit halber wird für die Beispiele in diesem Kapitel die Verwendung der Unternehmensclient-Umgebung (EC) vorausgesetzt. Wenn Sie eine der anderen zwei Umgebungen benutzen, müssen Sie die entsprechenden Dateinamen ersetzen. Die Unterschiede zwischen den drei Umgebungen und ihren Funktionen werden in Kapitel 1, „Einführung in das Windows Server 2003-Sicherheitshandbuch“, erläutert.

Richtlinie für die Mitgliedsserver-Baseline

Der erste Schritt beim Einrichten der Serverrollen-Organisationseinheiten ist das Erstellen einer Baseline-Richtlinie. Zum Erstellen einer solchen Richtlinie kann mit dem SCW eine Mitgliedsserver-Baseline.xml-Datei auf einem standardmäßigen Mitgliedsserver erstellt werden. Als Teil der XML-Erstellung können Sie mit dem SCW eine der im Lieferumfang enthaltenen Sicherheitsvorlagen für die Mitgliedserver-Baseline („Älterer Client - Mitgliedsserver-Baseline.inf“, „Unternehmensclient - Mitgliedsserver-Baseline.inf“ oder „Hochsicher - Mitgliedsserver-Baseline.inf“) hinzufügen.

Nach Erstellung der SCW-Richtlinie wird diese in ein Gruppenrichtlinienobjekt konvertiert und mit der Mitgliedsserver-Organisationseinheit verknüpft. Dieses neue Baseline-Gruppenrichtlinienobjekt wendet die Einstellungen der Baseline-Gruppenrichtlinie auf alle Server in der Mitgliedsserver-Organisationseinheit und in untergeordneten Organisationseinheiten an. Die Richtlinie für die Mitgliedsserver-Baseline wird in Kapitel 4, „Die Richtlinie für die Mitgliedsserver-Baseline“, erläutert.

Die gewünschten Einstellungen für die meisten Server im Unternehmen sollten in der Baseline-Gruppenrichtlinie festgelegt werden. Bei einigen wenigen Servern kann es vorkommen, dass die Baseline-Richtlinie nicht auf sie zutrifft. Beim Erstellen Ihrer eigenen Baseline-Gruppenrichtlinie sollten Sie eine möglichst einschränkende Richtlinie erstellen und alle Server, die andere Richtlinien erfordern, in separate serverspezifische Organisationseinheiten unterteilen.

Serverrollentypen und Organisationseinheiten

Jede identifizierte Serverrolle erfordert eine zusätzliche SCW-Richtlinie, eine Sicherheitsvorlage sowie zuzüglich zur Baseline-Organisationseinheit eine weitere Organisationseinheit. Dadurch kann eine separate Richtlinie für schrittweise Änderungen, die die einzelnen Rollen erfordern, erstellt werden.

In einem früheren Beispiel wurden die Infrastrukturserver der Infrastruktur-Organisationseinheit hinzugefügt, die der Mitgliedsserver-Organisationseinheit untergeordnet ist. Im nächsten Schritt wird die entsprechende Konfiguration auf diese Server angewendet. Im Lieferumfang dieser Lösung sind drei Sicherheitsvorlagen enthalten, und zwar eine für jede Sicherheitsumgebung: „Älterer Client - Infrastrukturserver.inf“, „Unternehmensclient - Infrastrukturserver.inf“ und „Hochsicher - Infrastrukturserver.inf“. Werden diese Sicherheitsvorlagen gemeinsam mit dem SCW eingesetzt, können Sie eine Sicherheitsrichtlinie erstellen, die die spezifischen, für DHCP und WINS erforderlichen Anpassungen enthält. Die daraus resultierende Richtlinie wird dann in ein neues Gruppenrichtlinienobjekt konvertiert und mit der Infrastruktur-Organisationseinheit verknüpft.

Dieses Gruppenrichtlinienobjekt verwendet die Einstellung Eingeschränkte Gruppen, um die folgenden drei Gruppen zur Gruppe Lokale Administratoren aller Server der Infrastruktur-Organisationseinheit hinzuzufügen:

•	Domänenadministratoren
•	Unternehmensadministratoren
•	Infrastrukturadministratoren

Wie bereits erwähnt, stellt dieser Ansatz nur eine der vielen Möglichkeiten zum Erstellen von Organisationseinheitsstrukturen dar, die zum Bereitstellen von Gruppenrichtlinienobjekten verwendet werden können. Weitere Informationen zum Erstellen von Organisationseinheiten für die Gruppenrichtlinienimplementierung finden Sie auf der Seite „Entwerfen der Active Directory-Struktur“ (in englischer Sprache) und in den verwandten Themen unter www.microsoft.com/resources/documentation/Windows/2000/server/reskit/
en-us/deploy/dgbd_ads_heqs.asp?frame=true.

In der folgenden Tabelle werden die in diesem Kapitel definierten Serverrollen und entsprechenden Vorlagendateien von Windows Server 2003 aufgeführt. Den Dateinamen der Sicherheitsvorlagen wird die Variable <Umg> vorangestellt, die je nach Bedarf durch „Älterer Client“, „Unternehmensclient“ oder „Hochsicher“ ersetzt wird.

Tabelle 2.1: Serverrollen für Windows Server 2003

Serverrolle	Beschreibung	Dateiname der Sicherheitsvorlage
Mitgliedsserver	Alle Server, die Mitglied der Domäne sind und sich in oder unterhalb der Organisationseinheit für die Mitgliedsserver befinden.	<Umg>-Mitgliedsserver-Baseline.inf
Domänencontroller	Alle Active Directory-Domänencontroller. Diese Server sind auch DNS-Server.	<Umg>-Domänencontroller.inf
Infrastrukturserver	Alle dedizierten WINS- und DHCP-Server.	<Umg>-Infrastrukturserver.inf
Dateiserver	Alle dedizierten Dateiserver.	<Umg>-Dateiserver.inf
Druckserver	Alle dedizierten Druckserver.	<Umg>-Druckserver.inf
Webserver	Alle dedizierten IIS-Webserver.	<Umg>-Webserver.inf
IAS-Server	Alle dedizierten IAS-Server.	<Umg>-IAS-Server.inf
Zertifikatdienstserver	Alle dedizierten Zertifizierungsstellenserver.	<Umg>-Zertifizierungsstellenserver.inf
Bastion-Host	Alle Server mit Internetverbindung.	<Umg>-Bastion-Host.inf

Alle Vorlagendateien mit Ausnahme jener für die Bastion-Hostserver werden auf die entsprechenden untergeordneten Organisationseinheiten angewendet. Auf jede dieser untergeordneten Organisationseinheiten muss die spezifische Konfiguration angewendet werden, um die Rolle zu definieren, die die einzelnen Computer im Unternehmen erfüllen werden.

Die Sicherheitsanforderungen für die einzelnen Serverrollen sind unterschiedlich. Die geeigneten Sicherheitseinstellungen für jede Rolle werden in späteren Kapiteln ausführlich beschrieben. Beachten Sie, dass es nicht für alle Rollen Vorlagen gibt, die sämtlichen Umgebungen entsprechen. So wird die Bastion-Hostrolle immer mit der Hochsicherheitsumgebung in Zusammenhang gebracht.

Wichtig: In diesem Handbuch wird davon ausgegangen, dass Computer mit Windows Server 2003 speziell definierte Rollen übernehmen. Wenn die Server in Ihrer Organisation nicht mit diesen Rollen übereinstimmen oder Mehrzweckserver vorhanden sind, verwenden Sie die hier definierten Einstellungen als Anhaltspunkte für das Entwickeln eigener Sicherheitsvorlagen. Bedenken Sie jedoch, dass die Server umso anfälliger für Angriffe sind, je mehr Funktionen sie ausführen.

Ein Beispiel für den endgültigen Organisationseinheitsentwurf als Unterstützung dieser definierten Serverrollen in der Unternehmensclient-Umgebung wird in der folgenden Abbildung veranschaulicht.

Abbildung 2.3: Beispiel eines Organisationseinheitsentwurfs
Bild in voller Größe anzeigen

Entwurf von Organisationseinheiten, Gruppenrichtlinienobjekten und Gruppen

Durch die empfohlenen Organisationseinheiten und Richtlinien, die im vorigen Abschnitt erläutert wurden, wird eine Basislinie oder neue Umgebung erstellt, um die bestehende Organisationseinheitsstruktur für Computer unter Windows Server 2003 umzustrukturieren. Administratoren verwenden ihre vordefinierten Verwaltungsgrenzen, um die jeweiligen administrativen Gruppen zu erstellen. Ein Beispiel der Wechselbeziehung dieser Gruppen mit den verwalteten Organisationseinheiten ist in der folgenden Tabelle dargestellt.

Tabelle 2.2: Organisationseinheiten und administrative Gruppen

Name der Organisationseinheit	Administrative Gruppe
Domänencontroller	Domänentechnik
Mitgliedsserver	Domänentechnik
Infrastruktur	Infrastrukturadministratoren
Datei	Infrastrukturadministratoren
Druck	Infrastrukturadministratoren
IAS	Domänentechnik
Webserver	Webdienste
Zertifizierungsstelle	Unternehmensadministratoren

Jede administrative Gruppe wurde als globale Gruppe innerhalb der Domäne von den Mitgliedern der Domänentechnik erstellt, die für die Active Directory-Infrastruktur und die Sicherheit zuständig sind. Sie haben zum Hinzufügen der einzelnen administrativen Gruppen zur jeweiligen eingeschränkten Gruppe das entsprechende Gruppenrichtlinienobjekt verwendet. Die in der Tabelle angeführten administrativen Gruppen sind nur für jene Computer Mitglieder der Gruppe Lokale Administratoren, die sich in Organisationseinheiten mit Computern befinden, die in Zusammenhang mit ihren Auftragsfunktionen stehen.

Abschließend definieren die Mitglieder der Domänentechnik Berechtigungen für alle Gruppenrichtlinienobjekte, sodass diese nur von Administratoren in ihrer Gruppe bearbeitet werden können.

Beachten Sie, dass das Erstellen und Konfigurieren dieser Gruppen zum Entwurfs- und Implementierungsprozess von Active Directory insgesamt gehört. Dieser wird in diesem Handbuch nicht behandelt.

Zum Seitenanfang

Überblick über den Prozess

In diesem Handbuch werden die Stärken von SCW- und gruppenrichtlinienbasierten Ansätzen miteinander kombiniert. Durch diesen Ansatz wird das Erstellen und Testen von Sicherheitskonfigurationen vereinfacht, wobei die für große Windows-Netzwerke erforderliche Flexibilität und Skalierbarkeit dennoch erhalten bleibt.

Der zum Erstellen, Testen und Bereitstellen von Richtlinien verwendete Prozess läuft wie folgt ab:

1.	Erstellen Sie die Active Directory-Umgebung mitsamt ihren Gruppen und Organisationseinheiten. Sie müssen die entsprechenden administrativen Gruppen erstellen und den jeweiligen Gruppen Berechtigungen für Organisationseinheiten zuweisen.
2.	Konfigurieren Sie die Zeitsynchronisierung auf dem Domänencontroller, der die Betriebsmasterfunktion für die PDC-Emulation hostet.
3.	Konfigurieren Sie die Domänenrichtlinien.
4.	Erstellen Sie die Richtlinien für die Baseline mit dem SCW.
5.	Testen Sie die Richtlinien für die Baseline mit dem SCW.
6.	Konvertieren Sie die Baseline-Richtlinien in Gruppenrichtlinienobjekte, und verknüpfen Sie sie mit den entsprechenden GPOs.
7.	Erstellen Sie die Rollenrichtlinien mit dem SCW und den enthaltenen Sicherheitsvorlagen.
8.	Testen Sie die Rollenrichtlinien mit dem SCW.
9.	Konvertieren Sie die Rollenrichtlinien in Gruppenrichtlinienobjekte, und verknüpfen Sie sie mit den entsprechenden GPOs.

In den folgenden Abschnitten werden diese Schritte ausführlicher beschrieben.

Hinweis: Der Einfachheit halber wird für die Beispiele in diesem Abschnitt der Einsatz der Unternehmensclient-Umgebung (EC) vorausgesetzt. Wenn Sie eine der anderen zwei Umgebungen benutzen, müssen Sie die entsprechenden Dateinamen ersetzen. Die Unterschiede zwischen den drei Umgebungen und ihren Funktionen werden in Kapitel 1, „Einführung in das Windows Server 2003-Sicherheitshandbuch“, erläutert.

Erstellen der Active Directory-Umgebung

Bevor Sie mit dem Absicherungsprozess beginnen können, müssen Sie eine entsprechende Active Directory-Domäne und Organisationseinheitsstruktur einrichten. Im Folgenden werden die Schritte für das Erstellen der in diesem Handbuch verwendeten Organisationseinheiten und Gruppen und für das Konfigurieren des entsprechenden Verwaltungszugriffs aufgeführt.

1.	Öffnen Sie das MMC-Snap-In „Active Directory-Benutzer und -Computer“ (Dsa.msc).
2.	Erstellen Sie im Stamm des Domänenobjekts eine Organisationseinheit mit dem Namen „Mitgliedsserver“.
3.	Navigieren Sie zu dieser neuen Organisationseinheit, und erstellen Sie darin eine untergeordnete Organisationseinheit mit dem Namen „Infrastruktur“.
4.	Verschieben Sie alle WINS- und DHCP-Server in die Infrastruktur-Organisationseinheit.
5.	Erstellen Sie eine globale Sicherheitsgruppe mit den Namen Infrastrukturadministratoren, und fügen Sie dieser die entsprechenden Domänenkonten hinzu.
6.	Führen Sie den Assistenten zum Zuweisen der Objektverwaltung aus, um der Gruppe Infrastrukturadministratoren Vollzugriff auf die Organisationseinheit zu gewähren.
7.	Wiederholen Sie die Schritte 3 bis 6 für die Dateiserver-, Druckserver-, Webserver-, IAS-Server- und Zertifikatdienstserverrollen. Verwenden Sie die Informationen in Tabelle 2.2 für die entsprechende Organisationseinheit und die entsprechenden Gruppennamen.

Konfigurieren der Zeitsynchronisierung

Durch das folgende Verfahren wird sichergestellt, dass die Domänencontroller und Mitgliedsserver mit einer externen Zeitquelle synchronisiert werden. Durch diese Synchronisierung wird sichergestellt, dass die Kerberos-Authentifizierung ordnungsgemäß funktioniert und die Active Directory-Domäne mit beliebigen externen Computern synchronisiert wird.

Öffnen Sie auf dem Domänencontroller mit der Betriebsmasterfunktion für die PDC-Emulation eine Eingabeaufforderung, und führen Sie den folgenden Befehl aus. <PeerListe> ist dabei eine durch Komma getrennte Liste mit DNS-Namen oder IP-Adressen für die gewünschten Zeitquellen:

w32tm /config /syncfromflags:manual /manualpeerlist:<PeerList>

Führen Sie zum Aktualisieren der Konfiguration folgenden Befehl aus:

w32tm /config /update

Überprüfen Sie das Ereignisprotokoll. Wenn der Computer die Server nicht erreichen kann, schlägt der Vorgang fehl, und ein entsprechender Eintrag wird in das Ereignisprotokoll geschrieben.

Dieses Verfahren wird meist zum Synchronisieren der autorisierenden Zeitquelle des internen Netzwerks mit einer sehr genauen externen Zeitquelle verwendet. Dieses Verfahren kann jedoch auf allen Computern ausgeführt werden, auf denen Windows XP oder ein Windows Server 2003-Produkt ausgeführt wird. In der Regel ist es nicht notwendig, die Uhren aller Server mit einer externen Quelle zu synchronisieren, sofern sie mit der gleichen internen Quelle synchronisiert werden. Standardmäßig synchronisieren Mitgliedscomputer ihre Uhren immer mit Domänencontrollern.

Hinweis: Für eine genaue Protokollanalyse sollten Sie auch die Uhren von Netzwerkcomputern, auf denen andere Betriebssysteme als Windows ausgeführt werden, mit der Windows Server 2003-PDC-Emulation oder mit der gleichen Zeitquelle für diesen Server synchronisieren.

Konfigurieren der Domänenrichtlinie

Durch das folgende Verfahren werden die in diesem Handbuch enthaltenen Sicherheitsvorlagen für die Richtlinie auf Domänenebene importiert. Diese Richtlinie wird als Sicherheitsvorlage bereitgestellt, weil der SCW Richtlinien auf Domänenebene unberücksichtigt lässt. Vor dem Implementieren des folgenden Verfahrens müssen Sie die jeweilige INF-Datei auf Ihrem Computer suchen.

Warnung: Die Sicherheitsvorlagen in diesem Handbuch sollen die Sicherheit in Ihrer Umgebung erhöhen. Es kann gut sein, dass ihre Installation zu einem Funktionsverlust in Ihrer Umgebung führt oder dass unternehmenskritische Anwendungen fehlschlagen.

Es ist unbedingt erforderlich, dass Sie diese Einstellungen gründlich testen, bevor Sie sie in einer Produktionsumgebung bereitstellen. Erstellen Sie eine Sicherung von jedem Domänencontroller und Server in der Umgebung, bevor Sie neue Sicherheitseinstellungen anwenden. Stellen Sie sicher, dass in der Sicherung der Systemzustand enthalten ist. Dadurch können die Registrierungseinstellungen und Active Directory-Objekte wenn nötig wiederhergestellt werden.

So importieren Sie die Sicherheitsvorlagen für die Domänenrichtlinie

Klicken Sie unter „Active Directory-Benutzer und -Computer“ mit der rechten Maustaste auf die Domäne, und wählen Sie anschließend Eigenschaften aus.

Klicken Sie auf der Registerkarte Gruppenrichtlinien auf Neu, um ein neues Gruppenrichtlinienobjekt hinzuzufügen.

Geben Sie Unternehmensclient-Domänenrichtlinie ein, und drücken Sie die Eingabetaste.

Klicken Sie mit der rechten Maustaste auf Unternehmensclient-Domänenrichtlinie, und wählen Sie Kein Vorrang aus.

Wählen Sie Unternehmensclient-Domänenrichtlinie, und klicken Sie auf Bearbeiten.

Klicken Sie im Fenster „Gruppenrichtlinienobjekt-Editor“ auf Computerkonfiguration\Windows-Einstellungen. Klicken Sie mit der rechten Maustaste auf Sicherheitseinstellungen und anschließend auf Richtlinie importieren.

Navigieren Sie im Dialogfeld Richtlinie importieren von zu \Tools und Vorlagen\Sicherheitshandbuch\Sicherheitsvorlagen, und doppelklicken Sie auf Unternehmensclient - Domäne.inf.

Schließen Sie die geänderte Gruppenrichtlinie.

Schließen Sie das Fenster Domäneneigenschaften.

10.

Wenn Sie auf die geplante Gruppenrichtlinienanwendung nicht warten möchten, können Sie den Prozess manuell einleiten. Vorgehensweise:

•	Öffnen Sie eine Eingabeaufforderung, geben Sie gpupdate /force ein, und drücken Sie die Eingabetaste.

11.

Überprüfen Sie im Ereignisprotokoll, ob die Gruppenrichtlinie erfolgreich heruntergeladen wurde und der Server mit den anderen Domänencontrollern in der Domäne kommunizieren kann.

Warnung: Beim Erstellen der Domänenrichtlinie für den Unternehmensclient muss die Option Kein Vorrang aktiviert werden, damit diese Richtlinie in der gesamten Domäne angewendet wird. Diese Gruppenrichtlinie ist die einzige in diesem Handbuch, bei der die Option Kein Vorrang aktiviert werden muss. Aktivieren Sie diese Option nicht für die anderen in diesem Handbuch beschriebenen Gruppenrichtlinien. Zudem darf die Standarddomänenrichtlinie von Windows Server 2003 nicht geändert werden. Diese wird benötigt, wenn Sie die Konfiguration auf die Standardeinstellungen zurücksetzen müssen.

Um sicherzustellen, dass die neue Gruppenrichtlinie Vorrang vor der Standardrichtlinie hat, platzieren Sie sie so in den Gruppenrichtlinienobjekt-Links, dass sie die höchste Priorität besitzt.

Wichtig: Es empfiehlt sich, diese Gruppenrichtlinie in eine andere Domäne des Unternehmens zu importieren, um die gleichmäßige Anwendung der Kennwortrichtlinien sicherzustellen. In manchen Umgebungen ist die Kennwortrichtlinie der Stammdomäne jedoch strenger als die der anderen Domänen. Außerdem müssen Sie darauf achten, dass alle anderen Domänen, die die gleiche Richtlinie verwenden, dieselben Unternehmensanforderungen aufweisen. Da die Kennwortrichtlinie nur auf Domänenebene festgelegt werden kann, könnten geschäftliche oder rechtliche Anforderungen bestehen, einige Benutzer in eine separate Domäne auszugliedern, um in dieser Gruppe eine strengere Kennwortrichtlinie zu erzwingen.

So deaktivieren Sie die Option zur Verbreitung vererbbarer Berechtigungen

Standardmäßig übernimmt die neue Organisationseinheitsstruktur viele Sicherheitseinstellungen vom übergeordneten Container. Deaktivieren Sie für jede Organisationseinheit das Kontrollkästchen Berechtigungen übergeordneter Objekte, sofern vererbbar, über alle untergeordneten Objekte verbreiten.

1.	Öffnen Sie „Active Directory-Benutzer und -Computer“.
2.	Klicken Sie auf Ansicht und anschließend auf Erweiterte Funktionen, um die erweiterte Ansicht auszuwählen.
3.	Klicken Sie mit der rechten Maustaste auf die entsprechende Organisationseinheit, und klicken Sie anschließend auf Eigenschaften.
4.	Klicken Sie auf die Registerkarte Sicherheit und anschließend auf die Schaltfläche Erweitert.
5.	Deaktivieren Sie das Kontrollkästchen Berechtigungen übergeordneter Objekte, sofern vererbbar, über alle untergeordneten Objekte verbreiten. Diese Objekte inklusive den hier definierten Einträgen mit einbeziehen.

Entfernen Sie alle zuvor von Administratoren hinzugefügten nicht benötigen Gruppen, und fügen Sie die entsprechende Domänengruppe für jede Serverrollen-Organisationseinheit hinzu. Übernehmen Sie die Einstellung Vollzugriff für die Gruppe der Domänenadministratoren.

Manuelles Erstellen der Baseline-Richtlinien mithilfe des SCW

Erstellen Sie als Nächstes mit dem SCW die Baseline-Richtlinie für Mitgliedsserver.

Es empfiehlt sich, das Betriebssystem zu Beginn der Konfigurationsarbeit neu zu installieren. Dadurch wird sichergestellt, dass keine älteren Einstellungen oder Software von früheren Konfigurationen verwendet werden. Wenn möglich, sollten Sie ähnliche Hardware wie in Ihrer Bereitstellungsumgebung verwenden, um eine möglichst hohe Kompatibilität zu gewährleisten. Die neue Installation wird als Referenzcomputer bezeichnet.

Achten Sie während der Erstellung der Richtlinie für die Mitgliedsserver-Baseline (MSBP) darauf, die Dateiserverrolle aus der Liste mit den erkannten Rollen zu entfernen. Diese Rolle wird häufig auf Servern konfiguriert, die sie nicht benötigen. Sie könnte als Sicherheitsrisiko betrachtet werden. Um die Dateiserverrolle für Server zu aktivieren, die sie benötigen, können Sie zu einem späteren Zeitpunkt eine zweite Richtlinie anwenden.

Erstellen der Richtlinie für die Mitgliedsserver-Baseline

1.	Erstellen Sie auf einem neuen Referenzcomputer eine neue Installation von Windows Server 2003 mit SP1.
2.	Installieren Sie die Komponente für den Sicherheitskonfigurations-Assistenten (SCW) auf dem Computer, indem Sie auf „Systemsteuerung“, „Software“ und „Windows-Komponenten hinzufügen/entfernen“ klicken.
3.	Treten Sie mit dem Computer der Domäne bei.
4.	Installieren Sie nur die obligatorischen Anwendungen, die auf sämtlichen Servern Ihrer Umgebung benötigt werden. Dazu zählen beispielsweise Ihre Software- und Verwaltungsagenten, Bandsicherungsagenten und Antiviren- und Antispywaredienstprogramme.
5.	Starten Sie den SCW, wählen die Option zum Erstellen einer neuen Richtlinie, und verweisen Sie auf den Referenzcomputer.
6.	Entfernen Sie die Dateiserverrolle aus der Liste mit den erkannten Rollen.
7.	Stellen Sie sicher, dass die erkannten Clientfunktionen für Ihre Umgebung geeignet sind.
8.	Stellen Sie sicher, dass die erkannten Verwaltungsfunktionen für Ihre Umgebung geeignet sind.
9.	Stellen Sie sicher, dass von der Baseline benötigte zusätzliche Dienste, wie etwa Sicherungsagenten oder Antivirensoftware, erkannt werden.
10.	Entscheiden Sie, wie nicht festgelegte Dienste in Ihrer Umgebung zu behandeln sind. Um eine verbesserte Sicherheit zu erzielen, können Sie diese Einstellung auf Deaktivieren setzen. Es empfiehlt sich, diese Konfiguration vor ihrer Bereitstellung auf dem Produktionsnetzwerk zu testen, da es bei der Ausführung von zusätzlichen Diensten auf den Produktionsservern, die auf dem Referenzcomputer nicht dupliziert wurden, zu Problemen kommen kann.
11.	Überprüfen Sie die Netzwerkeinstellungen, und stellen Sie sicher, dass die jeweils entsprechenden Ports und Anwendungen erkannt wurden und als Ausnahmen für die Windows-Firewall konfiguriert werden.
12.	Überspringen Sie den Abschnitt „Registrierungseinstellungen“.
13.	Überspringen Sie den Abschnitt „Überwachungsrichtlinie“.
14.	Schließen Sie die entsprechende Sicherheitsvorlage mit ein (z. B. Unternehmensclient-Mitgliedsserver-Baseline.inf).
15.	Speichern Sie die Richtlinie unter einem geeigneten Namen (z. B. Mitgliedsserver-Baseline.xml).

Erstellen einer Domänencontrollerrichtlinie

Sie müssen einen Computer verwenden, der als ein Domänencontroller konfiguriert ist, um die Domänencontrollerrichtlinie erstellen zu können. Sie können entweder einen vorhandenen Domänencontroller verwenden oder einen Referenzcomputer erstellen und diesen mit dem Dcpromo-Tool zum Domänencontroller machen. Die meisten Organisationen entscheiden sich jedoch dafür, keinen Domänencontroller zu ihrer Produktionsumgebung hinzuzufügen, weil sie dadurch u. U. gegen die vorhandene Sicherheitsrichtlinie verstoßen. Wenn Sie einen vorhandenen Domänencontroller verwenden, müssen Sie sicherstellen, dass Sie mit dem SCW keine Einstellungen auf ihn anwenden und dass Sie seine Konfiguration nicht ändern.

1.	Installieren Sie die Komponente für den Sicherheitskonfigurations-Assistenten (SCW) auf dem Computer, indem Sie auf „Systemsteuerung“, „Software“ und „Windows-Komponenten hinzufügen/entfernen“ klicken.
2.	Installieren Sie nur die obligatorischen Anwendungen, die auf sämtlichen Servern Ihrer Umgebung benötigt werden. Dazu zählen beispielsweise Ihre Software- und Verwaltungsagenten, Bandsicherungsagenten und Antiviren- und Antispywaredienstprogramme.
3.	Starten Sie die grafische Benutzeroberfläche des SCW, wählen die Option zum Erstellen einer neuen Richtlinie, und verweisen Sie auf den Referenzcomputer.
4.	Stellen Sie sicher, dass die erkannten Rollen für Ihre Umgebung geeignet sind.
5.	Stellen Sie sicher, dass die erkannten Clientfunktionen für Ihre Umgebung geeignet sind.
6.	Stellen Sie sicher, dass die erkannten Verwaltungsfunktionen für Ihre Umgebung geeignet sind.
7.	Stellen Sie sicher, dass von der Baseline benötigte zusätzliche Dienste, wie etwa Sicherungsagenten oder Antivirensoftware, erkannt werden.
8.	Entscheiden Sie, wie nicht festgelegte Dienste in Ihrer Umgebung zu behandeln sind. Um eine verbesserte Sicherheit zu erzielen, können Sie diese Richtlinieneinstellung auf Deaktivieren setzen. Es empfiehlt sich, diese Konfiguration vor ihrer Bereitstellung auf dem Produktionsnetzwerk zu testen, da es bei der Ausführung von zusätzlichen Diensten auf den Produktionsservern, die auf dem Referenzcomputer nicht dupliziert wurden, zu Problemen kommen kann.
9.	Überprüfen Sie die Netzwerkeinstellungen, und stellen Sie sicher, dass die jeweils entsprechenden Ports und Anwendungen erkannt wurden und als Ausnahmen für die Windows-Firewall konfiguriert werden.
10.	Überspringen Sie den Abschnitt „Registrierungseinstellungen“.
11.	Überspringen Sie den Abschnitt „Überwachungsrichtlinie“.
12.	Schließen Sie die entsprechende Sicherheitsvorlage mit ein (z. B. Unternehmensclient-Domänencontroller.inf).
13.	Speichern Sie die Richtlinie unter einem geeigneten Namen (z. B. Domänencontroller.xml).

Testen der Richtlinien für die Baseline mithilfe des SCW

Nach dem Erstellen und Speichern der Baseline-Richtlinien empfiehlt es sich unbedingt, sie in Ihrer Testumgebung bereitzustellen. Im Idealfall werden Ihre Testserver die gleiche Hardware- und Softwarekonfiguration wie Ihre Produktionsserver aufweisen. Mit diesem Ansatz können Sie mögliche Probleme, wie etwa das Vorhandensein unerwarteter Dienste, die von bestimmten Hardwaregeräten benötigt werden, ermitteln und beheben.

Zum Testen der Richtlinien gibt es zwei Möglichkeiten. Sie können die standardmäßigen SCW-Bereitstellungsgeräte verwenden oder mithilfe eines Gruppenrichtlinienobjekts Richtlinien anwenden.

Beim Verfassen der Richtlinien sollten Sie zunächst die Verwendung der standardmäßigen SCW-Bereitstellungsgeräte in Betracht ziehen. Sie können Richtlinien mit dem SCW jeweils auf einen einzelnen Server oder mithilfe von Scwcmd auf eine ganze Servergruppe anwenden. Die standardmäßige Bereitstellungsmethode bietet den Vorteil, dass bereitgestellte Richtlinien leicht vom SCW aus zurückgenommen werden können. Dies erweist sich als außerordentlich nützlich, wenn Sie im Testverfahren mehrere Änderungen an Ihren Richtlinien vornehmen.

Die Richtlinien werden getestet, um sicherzustellen, dass durch ihre Anwendung keine wichtigen Funktionen auf den Zielservern beeinträchtigt werden. Nach Übernahme der Konfigurationsänderungen müssen Sie zunächst die Kernfunktionalität des Computers überprüfen. Ist der Server z. B. als Zertifizierungsstelle (CA) konfiguriert, müssen Sie sicherstellen, dass Clients Zertifikate anfordern und erhalten bzw. eine Zertifikatsperrliste herunterladen können usw.

Wenn Sie mit der Konfiguration von Richtlinien vertraut sind, können Sie Scwcmd verwenden, um wie im folgenden Verfahren veranschaulicht die Richtlinien in Gruppenrichtlinienobjekte umzuwandeln.

Konvertieren der Baseline-Richtlinien in Gruppenrichtlinienobjekte

Nachdem Sie die Baseline-Richtlinien gründlich getestet haben, führen Sie die folgenden Schritte aus, um sie in Gruppenrichtlinienobjekte zu konvertieren und mit den jeweiligen Organisationseinheiten zu verknüpfen:

Geben Sie an der Eingabeaufforderung Folgendes ein:

scwcmd transform /p:<PathToPolicy.xml> /g:<GPODisplayName>

und drücken Sie anschließend die Eingabetaste. Beispiel:

scwcmd transform /p:"C:\Windows\Security\msscw\Policies\Infrastructure.xml" 
/g:"Infrastructure Policy"

Hinweis: Die an der Eingabeaufforderung einzugebenden Daten werden hier aufgrund von Anzeigebeschränkungen in mehreren Zeilen angezeigt. Die Daten sollten jedoch in einer Zeile eingegeben werden.

Verknüpfen Sie mithilfe der Gruppenrichtlinien-Verwaltungskonsole das neu erstellte Gruppenrichtlinienobjekt mit der jeweiligen Organisationseinheit.

Beachten Sie, dass für eine erfolgreiche Durchführung dieses Verfahrens die Windows-Firewall auf dem lokalen Computer aktiviert sein muss, wenn die SCW-Sicherheitsrichtliniendatei Windows-Firewall-Einstellungen enthält. Um zu überprüfen, ob die Windows-Firewall aktiviert ist, öffnen Sie die Systemsteuerung, und doppelklicken Sie auf Windows-Firewall.

Anschließend sollten Sie eine endgültige Prüfung vornehmen, um sicherzustellen, dass das Gruppenrichtlinienobjekt die gewünschten Einstellungen anwendet. Prüfen Sie zum Abschluss dieses Verfahrens, dass die entsprechenden Einstellungen vorgenommen wurden und die Funktionalität nicht beeinträchtigt ist.

Erstellen der Rollenrichtlinien mithilfe des SCW

Als Nächstes werden mithilfe des SCW die Rollenrichtlinien für die einzelnen Serverrollen erstellt.

Die Schritte zum Erstellen rollenspezifischer Richtlinien sind mit den Schritten zum Erstellen der MSBP nahezu identisch. Es empfiehlt sich auch hier, einen Referenzcomputer zu verwenden, um sicherzustellen, dass keine älteren Einstellungen oder Software von früheren Konfigurationen verwenden werden.

So erstellen Sie Rollenrichtlinien

1.	Erstellen Sie auf einem neuen Referenzcomputer eine neue Installation von Windows Server 2003 mit SP1.
2.	Installieren Sie die Komponente für den Sicherheitskonfigurations-Assistenten (SCW) auf dem Computer, indem Sie auf „Systemsteuerung“, „Software“ und „Windows-Komponenten hinzufügen/entfernen“ klicken.
3.	Schließen Sie den neuen Server an die Domäne an.
4.	Installieren Sie die obligatorischen Anwendungen, die auf sämtlichen Servern Ihrer Umgebung benötigt werden. Dazu zählen beispielsweise Ihre Software- und Verwaltungsagenten, Bandsicherungsagenten und Antiviren- und Antispywaredienstprogramme.
5.	Konfigurieren Sie die entsprechenden Rollen für den Computer. Wenn auf Ihren Zielservern z. B. DHCP und WINS ausgeführt werden, installieren Sie diese Komponenten. Sie müssen nicht genauso wie die bereitgestellten Server konfiguriert werden, aber die Rollen müssen installiert werden.
6.	Starten Sie den SCW.
7.	Wählen die Option zum Erstellen einer neuen Richtlinie, und verweisen Sie auf den Referenzcomputer.
8.	Stellen Sie sicher, dass die erkannten Rollen für Ihre Umgebung geeignet sind.
9.	Stellen Sie sicher, dass die erkannten Clientfunktionen für Ihre Umgebung geeignet sind.
10.	Stellen Sie sicher, dass die erkannten Verwaltungsfunktionen für Ihre Umgebung geeignet sind.
11.	Stellen Sie sicher, dass von der Baseline benötigte zusätzliche Dienste, wie etwa Sicherungsagenten oder Antivirensoftware, erkannt werden.
12.	Entscheiden Sie, wie nicht festgelegte Dienste in Ihrer Umgebung zu behandeln sind. Für höhere Sicherheit (und eingeschränkte Funktionalität) sollten Sie diese Richtlinieneinstellung auf Deaktivieren setzen. Dadurch wird jeder neue Dienst, der nicht ausdrücklich vom SCW zugelassen wird, deaktiviert. Es empfiehlt sich, diese Konfiguration vor ihrer Bereitstellung auf dem Produktionsnetzwerk zu testen, da es bei der Ausführung von zusätzlichen Diensten auf den Produktionsservern, die auf dem Referenzcomputer nicht dupliziert wurden, zu Problemen kommen kann.
13.	Bestätigen Sie alle aufgeführten Änderungen an den Diensten.
14.	Überprüfen Sie die Netzwerkeinstellungen, und stellen Sie sicher, dass der SCW die jeweiligen Ports und Anwendungen, die als Ausnahmen für die Windows-Firewall konfiguriert wurden, erkannt hat.
15.	Überspringen Sie den Abschnitt „Registrierungseinstellungen“.
16.	Überspringen Sie den Abschnitt „Überwachungsrichtlinie“.
17.	Wenn der Server für die Webserverrolle konfiguriert ist, führen Sie die im Abschnitt „Internetinformationsdienste“ angegebenen Schritte aus, um sicherzustellen, dass der SCW diese notwendigen IIS-Funktionen unterstützt.
18.	Klicken Sie auf die Option zum Einbeziehen von Sicherheitsvorlagen, um die entsprechende Sicherheitsvorlage hinzuzufügen.
19.	Speichern Sie die Richtlinie mit einem geeigneten Namen.

Testen der Rollenrichtlinien mithilfe des SCW

Wie bei den Baseline-Richtlinien gibt es zwei verschiedene Möglichkeiten, die Richtlinien zu testen. Sie können die standardmäßigen SCW-Bereitstellungsgeräte verwenden oder anhand von Gruppenrichtlinienobjekten Richtlinien anwenden. Microsoft empfiehlt dringend, die Rollenrichtlinie in einer Testumgebung bereitzustellen, bevor sie in der Produktionsumgebung verwendet wird. Durch diesen Ansatz werden Ausfallszeiten und Fehler in der Produktionsumgebung minimiert. Nach eingehendem Testen der neuen Konfiguration können Sie die Richtlinien wie im folgenden Verfahren dargestellt in Gruppenrichtlinienobjekte konvertieren und auf die entsprechende Organisationseinheit anwenden.

Konvertieren der Rollenrichtlinien in Gruppenrichtlinienobjekte

Nachdem Sie die Rollenrichtlinien gründlich getestet haben, führen Sie die folgenden Schritte aus, um sie in Gruppenrichtlinienobjekte zu konvertieren und mit den jeweiligen Organisationseinheiten zu verknüpfen:

Geben Sie an der Eingabeaufforderung Folgendes ein:

scwcmd transform /p:<PathToPolicy.xml> /g:<GPODisplayName>

und drücken Sie anschließend die Eingabetaste. Beispiel:

scwcmd transform /p:"C:\Windows\Security\msscw\Policies\Infrastructure.xml" 
/g:"Infrastructure Policy"

Mit der Gruppenrichtlinien-Verwaltungskonsole können Sie das neu erstellte Gruppenrichtlinienobjekt mit der entsprechenden Organisationseinheit verknüpfen. Stellen Sie sicher, dass es über der Standard-Domänencontrollerrichtlinie platziert wird, damit es höchste Priorität erhält.

Beachten Sie, dass für eine erfolgreiche Durchführung dieses Verfahrens die Windows-Firewall auf dem lokalen Computer aktiviert sein muss, wenn die SCW-Sicherheitsrichtliniendatei Windows-Firewall-Einstellungen enthält. Um zu überprüfen, ob die Windows-Firewall aktiviert ist, klicken Sie auf die Systemsteuerung, und doppelklicken Sie auf „Windows-Firewall“.

Zum Seitenanfang

Zusammenfassung

Sicherheitsadministratoren müssen die Stärken und Schwächen des SCW im Vergleich zu herkömmlichen gruppenrichtlinienbasierten Absicherungsmethoden verstehen, damit sie die richtigen Methoden für ihre Umgebung auswählen können. Der SCW und Gruppenrichtlinien können zusammen verwendet werden, um sowohl die vom SCW gebotenen Richtlinien als auch die skalierbaren Bereitstellungsmöglichkeiten und die Verwaltungsfunktionen von Gruppenrichtlinien nutzen zu können.

Verschiedene Überlegungen zum Entwurf der Gesamtstruktur, Domäne und Organisationseinheit sind beim Sichern der Umgebung zu berücksichtigen.

Dabei müssen auch alle spezifischen Autonomie- und Isolierungsanforderungen für die Organisation überprüft und dokumentiert werden. Politische Autonomie, funktionale Isolation und rechtliche oder behördliche Isolation kommen als Gründe dafür in Frage, komplexe Gesamtstrukturentwürfe zu erwägen.

Es ist wichtig zu verstehen, wie Dienstadministratoren überwacht werden können. Böswillige Dienstadministratoren stellen ein hohes Risiko für eine Organisation dar. Auf untergeordneter Ebene können böswillige Domänenadministratoren auf die Daten in allen Domänen in der Gesamtstruktur zugreifen.

Obwohl es möglicherweise nicht leicht ist, den Gesamtstruktur- oder Domänenentwurf in einer Organisation zu ändern, sollten zumindest einige Sicherheitsrisiken beseitigt werden. Zudem ist es wichtig, die Bereitstellung von Organisationseinheiten im Unternehmen entsprechend den Anforderungen der Dienstadministratoren und Datenadministratoren zu planen. In diesem Kapitel wurden ausführliche Informationen zur Erstellung eines Organisationseinheitsmodells geboten, das die Verwendung von Gruppenrichtlinienobjekten für die fortlaufende Verwaltung unterschiedlicher Serverrollen im Unternehmen unterstützt.

Weitere Informationen

Die folgenden Links bieten zusätzliche Informationen zur Absicherung von Servern, auf denen Windows Server 2003 mit SP1 ausgeführt wird.

•	Weitere Informationen zu Sicherheit und Datenschutz bei Microsoft finden Sie auf der Seite Vertrauenswürdiges Programmieren: Sicherheit unter www.microsoft.com/germany/sicherheit/twc/default.mspx.
•	Solide Sicherheitsrichtlinien finden Sie im Artikel „Zehn unveränderliche Sicherheitsregeln“ (in englischer Sprache) unter www.microsoft.com/technet/archive/community/columns/security/essays/10imlaws.mspx.
•	Anleitungen zur Sicherung der Active Directory-Datenbank finden Sie im Artikel „Handbuch mit empfohlenen Vorgehensweisen für das Sichern von Active Directory-Installationen“ (in englischer Sprache) unter www.microsoft.com/downloads/details.aspx?FamilyID=4e734065-3f18-488a-be1e-f03390ec5f91&.
•	Überlegungen zum Entwurf in Active Directory finden Sie im Artikel „Überlegungen zum Entwerfen der Verwaltungsdelegierung in Active Directory“ (in englischer Sprache) unter www.microsoft.com/technet/prodtechnol/windows2000serv/technologies/activedirectory/plan/addeladm.mspx.
•	Informationen zum Konfigurieren eines Zeitservers finden Sie im Microsoft Knowledge Base-Artikel „Konfigurieren eines autorisierenden Zeitservers in Windows 2000“ unter http://support.microsoft.com/?kbid=216734.
•	Informationen zu Netzwerkports, die von Microsoft-Anwendungen verwendet werden, finden Sie im Microsoft Knowledge Base-Artikel „Dienste und Netzwerk-Port-Anforderungen für das Microsoft Windows-Serversystem“ unter http://support.microsoft.com/kb/832017.

Zum Seitenanfang

3 von 19

In diesem Beitrag

•	Überblick
•	Kapitel 1: Einführung in das Windows Server 2003-Sicherheitshandbuch
•	Kapitel 2: Absicherungsmechanismen von Windows Server 2003
•	Kapitel 3: Die Domänenrichtlinie
•	Kapitel 4: Die Richtlinie für die Mitgliedsserver-Baseline
•	Kapitel 5: Die Richtlinie für die Domänencontroller-Baseline
•	Kapitel 6: Die Infrastrukturserverrolle
•	Kapitel 7: Die Dateiserverrolle
•	Kapitel 8: Die Druckserverrolle
•	Kapitel 9: Die Webserverrolle
•	Kapitel 10: Die IAS-Serverrolle
•	Kapitel 11: Die Zertifikatdienstserverrolle
•	Kapitel 12: Die Bastion-Hostrolle
•	Kapitel 13: Zusammenfassung
•	Anhang A: Sicherheitstools und Formate
•	Anhang B: Zu berücksichtigende Schlüsseleinstellungen
•	Anhang C: Zusammenfassung der Einstellungen für Sicherheitsvorlagen
•	Anhang D: Testen des Windows Server 2003-Sicherheitshandbuchs
•	Danksagungen

Download

Holen Sie sich das Windows Server 2003-Sicherheitshandbuch (engl.)

Benachrichtigungen über Neuerungen

Melden Sie sich an, um sich über Updates und neue Versionen zu informieren

Feedback

Senden Sie uns Ihre Kommentare oder Vorschläge