Windows Server 2003-Sicherheitshandbuch

Kapitel 4: Die Richtlinie für die Mitgliedsserver-Baseline

Aktualisiert: 27.12.2005

Auf dieser Seite

	Überblick
	Baseline-Richtlinie für Windows Server 2003
	Überwachungsrichtlinie
	Zuweisen von Benutzerrechten
	Sicherheitsoptionen
	Ereignisprotokoll
	Zusätzliche Registrierungseinträge
	Eingeschränkte Gruppen
	Sichern des Dateisystems
	Zusätzliche Sicherheitseinstellungen
	Zusammenfassung

Überblick

In diesem Kapitel werden die Konfigurationsanforderungen behandelt, die zum Verwalten einer Baseline-Sicherheitsvorlage für alle Server unter Microsoft® Windows Server™ 2003 mit Service Pack 1 (SP1) erforderlich sind. Das Kapitel bietet auch Verwaltungsanweisungen für die Einrichtung und Konfiguration eines sicheren Windows Server 2003 SP1-Systems in drei unterschiedlichen Umgebungen. Die Konfigurationsanforderungen in diesem Kapitel bilden die Grundlage für alle Verfahren, die in späteren Kapiteln dieses Handbuchs beschrieben werden. In diesen Kapiteln wird die Absicherung spezifischer Serverrollen beschrieben.

Die Einstellungsempfehlungen in diesem Kapitel unterstützen Sie bei der Errichtung einer sicheren Grundlage für Geschäftsanwendungsserver in einer Unternehmensumgebung. Vor der Implementierung in der Produktionsumgebung müssen Sie jedoch sorgfältig testen, wie diese Sicherheitskonfigurationen zusammen mit den Geschäftsanwendungen Ihrer Organisation funktionieren.

Die Empfehlungen in diesem Kapitel eignen sich für die meisten Organisationen und können sowohl auf vorhandene als auch auf neue Computer angewendet werden, auf denen Windows Server 2003 mit SP1 ausgeführt wird. Die Standardsicherheitskonfigurationen in Windows Server 2003 mit SP1 wurden von den Verfassern dieses Handbuchs untersucht, geprüft und getestet. Informationen zu sämtlichen Standardeinstellungen und eine ausführliche Erläuterung der einzelnen Einstellungen, die in diesem Kapitel diskutiert werden, finden Sie im Begleithandbuch Bedrohungen und Gegenmaßnahmen: Sicherheitseinstellungen unter Windows Server 2003 und Windows XP, das unter http://www.microsoft.com/germany/technet/sicherheit/topics/serversecurity/tcg/tcgch00.mspx heruntergeladen werden kann. Im Allgemeinen bieten die meisten der folgenden Konfigurationsempfehlungen größere Sicherheit als die Standardeinstellungen.

Die Sicherheitseinstellungen, die in diesem Kapitel diskutiert werden, beziehen sich auf folgende drei Umgebungen:

•	Älterer Client (LC). Diese Umgebung beinhaltet Computer unter Windows NT® 4.0 und Microsoft Windows® 98, bei denen es sich um ältere Betriebssysteme handelt. Obwohl diese Umgebung angemessene Sicherheit bietet, gilt sie als die unsicherste der drei in diesem Handbuch definierten Umgebungen. Zur Erhöhung der Sicherheit können sich Organisationen für eine Migration zur sichereren Unternehmensclient-Umgebung entscheiden. Neben den erwähnten älteren Betriebssystemen verfügt die Umgebung mit älteren Clients auch über Arbeitsstationen mit Windows 2000 Professional und Windows XP. Diese Umgebung enthält nur Domänencontroller unter Windows 2000 oder Windows Server 2003. Windows NT 4.0-Domänencontroller werden in dieser Umgebung nicht verwendet. Es können aber Windows NT-Mitgliedsserver vorhanden sein.
•	Unternehmensclient (EC). Diese Umgebung bietet solide Sicherheit und wurde für neuere Versionen des Windows-Betriebssystems konzipiert. Die Unternehmensclient-Umgebung umfasst Clientcomputer, auf denen Windows 2000 Professional bzw. Windows XP Professional ausgeführt werden. Der Großteil der Arbeit bei der Migration von einer Umgebung mit älteren Clients zur Unternehmensclient-Umgebung liegt im Aktualisieren der älteren Systeme, wie z. B. Windows 98- und Windows NT 4.0-Arbeitsstationen, auf Windows 2000 oder Windows XP. Alle Domänencontroller und Mitgliedsserver in dieser Umgebung werden unter Windows 2000 Server oder Windows Server 2003 ausgeführt.
•	Hochsicher (SSLF). Diese Umgebung bietet viel höherer Sicherheit als die Unternehmensclient-Umgebung. Die Migration von der Unternehmensclient-Umgebung zur Hochsicherheitsumgebung erfordert die Einhaltung strenger Sicherheitsrichtlinien im Hinblick auf Clientcomputer und Server. Diese Umgebung enthält Clientcomputer mit Windows 2000 Professional oder Windows XP Professional sowie Domänencontroller unter Windows 2000 Server oder Windows Server 2003. In der Hochsicherheitsumgebung sind die Sicherheitsaspekte so wichtig, dass ein Verlust an Funktionalität und Verwaltbarkeit als akzeptabler Kompromiss angesehen wird, um eine möglichst hohe Sicherheit zu erreichen. Mitgliedsserver in dieser Umgebung werden unter Windows 2000 Server oder Windows Server 2003 ausgeführt.

In vielen Fällen wird in der Hochsicherheitsumgebung explizit die Standardeinstellung ausgewählt. Sie müssen damit rechnen, dass sich diese Konfiguration auf die Kompatibilität auswirkt, da es aufgrund des lokalen Anpassens einiger Einstellungen zu Anwendungsfehlern kommen kann. Einige Anwendungen müssen z. B. Zuweisungen von Benutzerrechten anpassen, damit ihrem Dienstkonto zusätzliche Berechtigungen erteilt werden. Da Gruppenrichtlinien Vorrang vor Richtlinien für lokale Computer haben, schlagen diese Vorgänge oft fehl. Sie sollten sämtliche Anwendungen gründlich prüfen, bevor Sie die empfohlenen Einstellungen auf Ihren Produktionscomputern bereitstellen. Dies trifft insbesondere auf Einstellungen für Hochsicherheitsumgebungen zu.

In der folgenden Abbildung werden die drei Sicherheitsumgebungen und die darin jeweils unterstützten Clients aufgezeigt.

Abbildung 4.1: Bestehende und geplante Sicherheitsumgebungen
Bild in voller Größe anzeigen

Organisationen, die einen auf mehreren Phasen beruhenden Ansatz für die Sicherung ihrer Umgebungen verwenden möchten, können auf der Ebene von Umgebungen mit älteren Clients beginnen und dann schrittweise zu Umgebungen mit höherer Sicherheit übergehen, wenn ihre Anwendungen und Clientcomputer aktualisiert und mit strengeren Sicherheitseinstellungen getestet werden.

Die folgende Abbildung zeigt, wie die INF-Sicherheitsvorlagen als Grundlage für die Mitgliedsserver-Baseline-Richtlinie (MSBP) der Unternehmensclient-Umgebung verwendet werden. In der Abbildung wird auch eine Möglichkeit aufgezeigt, wie diese Richtlinie verknüpft und auf alle Server in einer Organisation angewendet werden kann.

Windows Server 2003 mit SP1 wird mit Standardeinstellungswerten geliefert, deren Konfiguration eine sichere Umgebung gewährleistet. In vielen Fällen werden in diesem Kapitel Einstellungen empfohlen, die sich von den Standardwerten unterscheiden. Es werden in diesem Kapitel auch bestimmte Standardwerte für alle drei Umgebungen erzwungen. Informationen zu sämtlichen Standardeinstellungen finden Sie im Begleithandbuch Bedrohungen und Gegenmaßnahmen: Sicherheitseinstellungen unter Windows Server 2003 und Windows XP unter http://www.microsoft.com/germany/technet/sicherheit/topics/serversecurity/tcg/tcgch00.mspx.

Abbildung 4.2: Die Sicherheitsvorlage Unternehmensclient-Mitgliedsserver-Baseline.inf wird in die Richtlinie für die Mitgliedsserver-Baseline importiert, die dann mit der Mitgliedsserver-Organisationseinheit verknüpft wird.
Bild in voller Größe anzeigen

Verfahren zur Absicherung bestimmter Serverrollen werden in den übrigen Kapiteln dieses Handbuchs definiert. Die wichtigsten in diesem Handbuch erläuterten Serverrollen sind folgende:

•	Domänencontroller, die DNS-Dienste beinhalten
•	Infrastrukturserver, die WINS- und DHCP-Dienste beinhalten
•	Dateiserver
•	Druckserver
•	Webserver, auf denen Internet Information Services (IIS) ausgeführt werden
•	Microsoft Internet Authentication Server (IAS)-Server
•	Zertifikatdienste (CA)-Server
•	Bastion-Hosts

Viele der folgenden Einstellungen in der Mitgliedsserver-Baselinie-Richtlinie für die Unternehmensclient-Umgebung gelten auch für die Serverrollen in den drei in diesem Handbuch definierten Umgebungen. Die Sicherheitsvorlagen werden speziell für die Sicherheitsanforderungen der jeweiligen Umgebung zugewiesen. Die folgende Tabelle enthält die Namen der Baseline-Sicherheitsvorlagen für die drei Umgebungen.

Tabelle 4.1: Baseline-Sicherheitsvorlagen für alle drei Umgebungen

Älterer Client	Unternehmensclient	Hochsicher (SSLF)
Älterer Client - Mitgliedsserver-Baseline.inf	Unternehmensclient - Mitgliedsserver-Baseline.inf	Hochsicher - Mitgliedsserver-Baseline.inf

Die auf alle drei Umgebungen und daher alle Sicherheitsvorlagen für die Mitgliedsserver-Baseline zutreffenden Sicherheitseinstellungen werden im übrigen Teil des Kapitels erläutert.

Die Baseline-Sicherheitsvorlagen bilden auch die Grundlage für die Domänencontroller-Sicherheitsvorlagen, die in Kapitel 5, „Richtlinie für die Domänencontroller-Baseline“, definiert sind. Die Sicherheitsvorlagen für die Domänencontrollerrolle umfassen Baseline-Einstellungen für das Gruppenrichtlinienobjekt der Domänencontrollergruppenrichtlinie, das in allen drei Umgebungen mit der Domänencontroller-Organisationseinheit verknüpft ist. Eine ausführliche Anleitung zum Erstellen der Organisationseinheiten und Gruppenrichtlinien und zum anschließenden Importieren der entsprechenden Sicherheitsvorlage in das jeweiligen Gruppenrichtlinienobjekt wird in Kapitel 2, „Absicherungsmechanismen von Windows Server 2003“, bereitgestellt.

Hinweis: Einige Verfahren zum Absichern von Servern können nicht anhand von Gruppenrichtlinien automatisiert werden. Diese Verfahren werden in diesem Kapitel im Abschnitt „Zusätzliche Sicherheitseinstellungen“ beschrieben.

Zum Seitenanfang

Baseline-Richtlinie für Windows Server 2003

Einstellungen auf der Mitgliedsserver-Organisationseinheitsebene legen die gemeinsamen Einstellungen für alle in diesem Handbuch erläuterten Mitgliedsserverrollen fest. Zum Anwenden dieser Einstellungen können Sie ein Gruppenrichtlinienobjekt erstellen, das mit der Mitgliedsserver-Organisationseinheit, der so genannten Baseline-Richtlinie, verknüpft ist. Durch das Gruppenrichtlinienobjekt wird die Konfiguration von spezifischen Sicherheitseinstellungen auf jedem Server automatisiert. Je nach der Rolle der einzelnen Server ist es erforderlich, die Serverkonten in die entsprechende untergeordnete Organisationseinheit der Mitgliedsserver-Organisationseinheit zu verschieben.

Die folgenden Einstellungen werden in der Reihenfolge beschrieben, in der sie in der Benutzeroberfläche des Sicherheitskonfigurations-Editor-Snap-Ins (SCE) der Microsoft Management Console (MMC) erscheinen.

Zum Seitenanfang

Überwachungsrichtlinie

Administratoren sollten eine Überwachungsrichtlinie erstellen, in der festgelegt wird, welche Sicherheitsereignisse gemeldet und welche Benutzer- oder Computeraktivitäten in festgelegten Ereigniskategorien aufgezeichnet werden sollen. Die Administratoren können dann die sicherheitsrelevanten Aktivitäten überwachen. Dazu gehört z. B. die Überwachung der für Objektzugriffe verwendeten Konten, der An- und Abmeldezeiten der Benutzer sowie der Änderungen, die an den Einstellungen der Überwachungsrichtlinien vorgenommen werden.

Vor dem Implementieren einer Überwachungsrichtlinie müssen Sie entscheiden, welche Ereigniskategorien in Ihrer Umgebung überwacht werden sollen. Die vom Administrator für die Ereigniskategorien ausgewählten Überwachungseinstellungen legen die Überwachungsrichtlinie der Organisation fest. Beim Definieren von Überwachungseinstellungen für bestimmte Ereigniskategorien können Administratoren eine den Sicherheitsanforderungen der Organisation entsprechende Überwachungsrichtlinie erstellen.

Wenn keine Überwachungsrichtlinie festgelegt wurde, ist es schwierig oder unmöglich, die genauen Umstände einer Sicherheitsverletzung zu bestimmen. Sind die Überwachungseinstellungen jedoch so konfiguriert, dass für eine Vielzahl autorisierter Aktivitäten Ereignisse produziert werden, sind die Sicherheitsereignisprotokolle schnell mit unnötigen Daten überfüllt. Die folgenden Empfehlungen und Einstellungsbeschreibungen sollen Ihnen dabei helfen zu bestimmen, was überwacht werden soll, damit die gesammelten Daten relevant sind.

Das Protokollieren fehlgeschlagener Ereignisse bietet häufig wertvollere Informationen als das Protokollieren erfolgreich ausgeführter Ereignisse, da fehlgeschlagene Ereignisse normalerweise auf Fehler hinweisen. Wenn sich ein Benutzer z. B. erfolgreich beim System anmeldet, wird dies in der Regel als normaler Vorgang angesehen. Wenn sich jedoch ein Benutzer mehrfach ohne Erfolg beim System anzumelden versucht, kann dies darauf hinweisen, dass sich ein Angreifer mit den Kontoanmeldeinformationen einer anderen Person unerlaubten Zugriff auf den Computer verschaffen möchte. In den Ereignisprotokollen werden die Ereignisse auf dem Computer aufgezeichnet. Microsoft Windows-Betriebssysteme verfügen über separate Ereignisprotokolle für Anwendungen, Sicherheitsereignisse und Systemereignisse. Im Sicherheitsprotokoll werden Überwachungsereignisse aufgezeichnet. Der Ereignisprotokoll-Container der Gruppenrichtlinie dient zum Definieren von Attributen für die Anwendungs-, Sicherheits- und Systemereignisprotokolle, z. B. maximale Protokollgröße, Zugriffsrechte für jedes Protokoll sowie Einstellungen für die Dauer und Methode der Aufbewahrung.

Vor der Implementierung von Überwachungsprozessen müssen Organisationen entscheiden, wie die Daten erfasst, strukturiert und analysiert werden sollen. Große Mengen von Überwachungsdaten sind nur von Nutzen, wenn ihre Verwendung zuvor geplant wurde. Zudem kann beim Überwachen von Computernetzwerken die Leistung beeinträchtigt werden. Während eine bestimmte Kombination von Einstellungen sich u. U. nur geringfügig auf einen Endbenutzercomputer auswirkt, kann dieselbe Kombination erhebliche Auswirkungen auf einen Server mit hoher Auslastung haben. Daher sollten Sie testen, ob die Leistung beeinträchtigt ist, bevor neue Überwachungseinstellungen in der Produktionsumgebung bereitgestellt werden.

Die folgende Tabelle enthält die empfohlenen Überwachungsrichtlinieneinstellungen für die drei in diesem Handbuch definierten Umgebungen. Die Einstellungen der meisten Werte sind für alle drei Umgebungen ähnlich. Weitere Informationen zu jeder Einstellung finden Sie in den Unterabschnitten im Anschluss an die Tabelle.

Die Überwachungsrichtlinieneinstellungen können in Windows Server 2003 mit SP1 im Gruppenrichtlinienobjekt-Editor in folgendem Verzeichnis konfiguriert werden:

Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien
\Überwachungsrichtlinie

Eine Zusammenfassung der in diesem Abschnitt beschriebenen Einstellungen finden Sie in der Microsoft Excel®-Arbeitsmappe „Sicherheitseinstellungen unter Windows Server 2003“, die gemeinsam mit dem Handbuch heruntergeladen werden kann. Weitere Informationen zu den Standardeinstellungen und eine ausführliche Erläuterung der einzelnen Einstellungen, die in diesem Abschnitt diskutiert werden, finden Sie im Begleithandbuch Bedrohungen und Gegenmaßnahmen: Sicherheitseinstellungen unter Windows Server 2003 und Windows XP, das unter http://www.microsoft.com/germany/technet/sicherheit/topics/serversecurity/tcg/tcgch00.mspx heruntergeladen werden kann.

Tabelle 4.2: Einstellungen für Überwachungsrichtlinien

Einstellung	Älterer Client	Unternehmensclient	Hochsicher (SSLF)
Anmeldeversuche überwachen	Erfolg	Erfolg	Erfolg Fehler
Kontenverwaltung überwachen	Erfolg	Erfolg	Erfolg Fehler
Anmeldeereignisse überwachen	Erfolg	Erfolg	Erfolg Fehler
Objektzugriffsversuche überwachen	Keine Überwachung	Keine Überwachung	Fehler
Richtlinienänderungen überwachen	Erfolg	Erfolg	Erfolg
Rechteverwendung überwachen	Keine Überwachung	Keine Überwachung	Fehler
Prozessverfolgung überwachen	Keine Überwachung	Keine Überwachung	Keine Überwachung
Systemereignisse überwachen	Erfolg	Erfolg	Erfolg

Anmeldeversuche überwachen

Durch diese Richtlinieneinstellung wird festgelegt, ob jede Instanz eines Benutzers, der sich von einem anderen für die Überprüfung des Kontos zuständigen Computer an- oder abmeldet, überwacht werden soll. Durch die Authentifizierung eines Domänenbenutzerkontos auf einem Domänencontroller wird ein Kontoanmeldeereignis erzeugt, das im Sicherheitsprotokoll des Domänencontrollers erfasst wird. Durch die Authentifizierung eines lokalen Benutzers auf einem lokalen Computer wird ein Anmeldeereignis erzeugt, das im lokalen Sicherheitsprotokoll erfasst wird. Abmeldungen werden nicht erfasst.

Die Einstellung Anmeldeversuche überwachen ist für die Baseline-Richtlinien für ältere Clients und Unternehmensclients auf den Wert Erfolg und für die Hochsicherheitsumgebung sowohl auf Erfolg als auch auf Fehler gesetzt.

In der folgenden Tabelle sind wichtige Sicherheitsereignisse aufgeführt, die von der Richtlinieneinstellung im Sicherheitsprotokoll erfasst werden. Diese Ereigniskennungen können nützlich sein, wenn Sie benutzerdefinierte Warnmeldungen zum Überwachen beliebigen Softwaresammlung, wie z. B. Microsoft Operations Manager (MOM), erstellen möchten.

Tabelle 4.3: Ereignisse zu Anmeldeversuchen

Ereigniskennung	Ereignisbeschreibung
672	Ein AS-Ticket (Authentifizierungsdienstticket) wurde erfolgreich ausgestellt und bestätigt. Unter Windows Server 2003 mit SP1 lautet dieser Ereignistyp für erfolgreiche Anforderungen „Erfolgsüberwachung“ und für fehlgeschlagene Anforderungen „Fehlerüberwachung“.
673	Ein TGS-Ticket (Ticket-Granting Service, Ticket-genehmigender Dienst) wurde genehmigt. Ein TGS-Ticket wird vom Kerberos Version 5-TGS ausgestellt, der es Benutzern erlaubt, sich bei einem bestimmten Dienst in der Domäne zu authentifizieren. Windows Server 2003 mit SP1 erfasst Erfolge und Fehler für diesen Ereignistyp.
674	Ein Sicherheitsprinzipal hat ein AS-Ticket oder TGS-Ticket erneuert.
675	Die Vorbestätigung ist fehlgeschlagen. Dieses Ereignis wird in einem Schlüsselverteilungscenter (Key Distribution Center, KDC) erzeugt, wenn ein Benutzer ein falsches Kennwort eingibt.
676	Fehlgeschlagene Anfrage für Authentifizierungsticket. Dieses Ereignis wird von Windows Server 2003 mit SP1 nicht erzeugt. Andere Windows-Versionen zeigen mit diesem Ereignis einen Authentifizierungsfehler an, der nicht auf falsche Anmeldeinformationen zurückzuführen ist.
677	Ein TGS-Ticket wurde nicht genehmigt. Dieses Ereignis wird unter Windows Server 2003 mit SP1 nicht erzeugt. Für diesen Fall wird ein Fehlerüberwachungsereignis mit der Kennung 672 verwendet.
678	Ein Konto wurde erfolgreich einem Domänenkonto zugeordnet.
681	Anmeldefehler. Ein Anmeldeversuch mit einem Domänenkonto wurde unternommen. Dieses Ereignis wird nur von Domänencontrollern erzeugt.
682	Ein Benutzer hat die Verbindung zu einer getrennten Terminalserversitzung wiederhergestellt.
683	Ein Benutzer hat eine Terminalserversitzung getrennt, sich jedoch nicht abgemeldet.

Kontenverwaltung überwachen

Durch diese Richtlinieneinstellung wird festgelegt, ob jedes Kontenverwaltungsereignis auf einem Computer überwacht werden soll. Beispiele für Kontenverwaltungsereignisse:

•	Erstellen, Ändern oder Löschen eines Benutzerkontos oder einer Gruppe
•	Umbenennen, Deaktivieren oder Aktivieren eines Benutzerkontos
•	Festlegen oder Ändern eines Kennworts

Organisationen müssen feststellen können, wer Domänenkonten und lokale Konten erstellt, ändert oder löscht. Nicht autorisierte Änderungen können auf falsche Änderungen durch einen Administrator, der die Richtlinien der Organisation nicht versteht oder befolgt, oder auf absichtliche Angriffe hinweisen.

Kontenverwaltungs-Fehlerereignisse weisen z. B. häufig darauf hin, dass ein Administrator auf niedrigerer Ebene oder ein Angreifer, der sich Zugang zum Konto eines Administrators auf niedrigerer Ebene verschafft hat, versucht, seine Berechtigungen zu erhöhen. Mithilfe der Protokolle können Sie feststellen, welche Konten ein Angreifer geändert und erstellt hat.

Die Einstellung Kontenverwaltung überwachen ist für die Baseline-Richtlinien für ältere Clients und Unternehmensclients auf Erfolg und für die Baseline-Richtlinie für die Hochsicherheitsumgebung sowohl auf Erfolg als auch auf Fehler gesetzt.

In der folgenden Tabelle sind wichtige Sicherheitsereignisse enthalten, die von der Richtlinieneinstellung im Sicherheitsprotokoll aufgezeichnet werden. Diese Ereigniskennungen können nützlich sein, wenn Sie benutzerdefinierte Warnmeldungen zum Überwachen einer beliebigen Softwaresammlung, wie z. B. MOM, erstellen möchten. Der Großteil der Betriebsverwaltungssoftware kann mit Skripts so angepasst werden, dass auf diesen Sicherheitskennungen beruhende Ereignisse erfasst oder gekennzeichnet werden.

Tabelle 4.4: Ereignisse zur Kontoverwaltung

Ereigniskennung	Ereignisbeschreibung
624	Ein Benutzerkonto wurde erstellt.
627	Ein Benutzerkennwort wurde geändert.
628	Ein Benutzerkennwort wurde festgelegt.
630	Ein Benutzerkonto wurde gelöscht.
631	Eine globale Gruppe wurde erstellt.
632	Einer globalen Gruppe wurde ein Mitglied hinzugefügt.
633	Aus einer globalen Gruppe wurde ein Mitglied entfernt.
634	Eine globale Gruppe wurde gelöscht.
635	Eine neue lokale Gruppe wurde erstellt.
636	Einer lokalen Gruppe wurde ein Mitglied hinzugefügt.
637	Aus einer lokalen Gruppe wurde ein Mitglied entfernt.
638	Eine lokale Gruppe wurde gelöscht.
639	Das Konto einer lokalen Gruppe wurde geändert.
641	Das Konto einer globalen Gruppe wurde geändert.
642	Ein Benutzerkonto wurde geändert.
643	Eine Domänenrichtlinie wurde geändert.
644	Ein Benutzerkonto wurde automatisch gesperrt.
645	Ein Computerkonto wurde erstellt.
646	Ein Computerkonto wurde geändert.
647	Ein Computerkonto wurde gelöscht.
648	Es wurde eine lokale Sicherheitsgruppe mit deaktivierter Sicherheit erstellt. Hinweis: SECURITY_DISABLED im formalen Namen bedeutet, dass mit dieser Gruppe keine Berechtigungen für Zugriffsprüfungen erteilt werden können.
649	Es wurde eine lokale Sicherheitsgruppe mit deaktivierter Sicherheit geändert.
650	Einer lokalen Sicherheitsgruppe mit deaktivierter Sicherheit wurde ein Mitglied hinzugefügt.
651	Aus einer lokalen Sicherheitsgruppe mit deaktivierter Sicherheit wurde ein Mitglied entfernt.
652	Eine lokale Gruppe mit deaktivierter Sicherheit wurde gelöscht.
653	Eine globale Gruppe mit deaktivierter Sicherheit wurde erstellt.
654	Eine globale Gruppe mit deaktivierter Sicherheit wurde geändert.
655	Einer globalen Gruppe mit deaktivierter Sicherheit wurde ein Mitglied hinzugefügt.
656	Aus einer globalen Gruppe mit deaktivierter Sicherheit wurde ein Mitglied entfernt.
657	Eine globale Gruppe mit deaktivierter Sicherheit wurde gelöscht.
658	Eine universelle Gruppe mit aktivierter Sicherheit wurde erstellt.
659	Eine universelle Gruppe mit aktivierter Sicherheit wurde geändert.
660	Einer universellen Gruppe mit aktivierter Sicherheit wurde ein Mitglied hinzugefügt.
661	Aus einer universellen Gruppe mit aktivierter Sicherheit wurde ein Mitglied entfernt.
662	Eine universelle Gruppe mit aktivierter Sicherheit wurde gelöscht.
663	Eine universelle Gruppe mit deaktivierter Sicherheit wurde erstellt.
664	Eine universelle Gruppe mit deaktivierter Sicherheit wurde geändert.
665	Einer universellen Gruppe mit deaktivierter Sicherheit wurde ein Mitglied hinzugefügt.
666	Aus einer universellen Gruppe mit deaktivierter Sicherheit wurde ein Mitglied entfernt.
667	Eine universelle Gruppe mit deaktivierter Sicherheit wurde gelöscht.
668	Ein Gruppentyp wurde geändert.
684	Der Sicherheitsdeskriptor für administrative Gruppenmitglieder wurde festgelegt. Hinweis: Auf einem Domänencontroller sucht ein Hintergrundthread alle 60 Minuten alle Mitglieder administrativer Gruppen (wie Domänen-, Unternehmens- und Schema-Administratoren) und wendet einen festen Sicherheitsdeskriptor auf sie an. Dieses Ereignis wird protokolliert.
685	Der Name eines Kontos wurde geändert.

Anmeldeereignisse überwachen

Durch diese Richtlinieneinstellung wird festgelegt, ob sämtliche An- und Abmeldeereignisse von einem Computer überwacht werden sollen. Die Einstellung Anmeldeereignisse überwachen erzeugt auf Domänencontrollern und auf lokalen Computern Einträge zur Überwachung der Domänenkontenaktivitäten bzw. Aktivitäten für lokale Konten.

Wenn Sie die Einstellung Anmeldeereignisse überwachen auf Keine Überwachung setzen, ist es schwierig oder unmöglich festzustellen, welche Benutzer die Anmeldung bzw. einen Anmeldeversuch bei den Computern in der Organisation vorgenommen haben. Wenn Sie für einem Domänenmitglied den Wert Erfolg für die Option Anmeldeereignisse überwachen aktivieren, wird immer dann, wenn sich jemand beim Netzwerk anmeldet, ein Ereignis erzeugt, unabhängig davon, wo sich die Konten auf dem Netzwerk befinden. Wenn sich der Benutzer bei einem lokalen Konto anmeldet und Anmeldeversuche überwachen auf Aktiviert gesetzt ist, werden durch die Anmeldung zwei Ereignisse erzeugt.

Selbst wenn Sie die Standardwerte für diese Richtlinieneinstellung nicht ändern, ist nach einer Sicherheitsverletzung kein Überwachungseintrag als Beweis zur Analyse verfügbar. Die Einstellung Anmeldeereignisse überwachen ist in den Baseline-Richtlinien für ältere Clients und Unternehmensclients auf die Werte Erfolg und in der Baseline-Richtlinie für die Hochsicherheitsumgebung sowohl auf Erfolg als auch auf Fehler gesetzt.

In der folgenden Tabelle sind wichtige Sicherheitsereignisse enthalten, die von der Richtlinieneinstellung im Sicherheitsprotokoll aufgezeichnet werden.

Tabelle 4.5: Ereignisse zur Anmeldeüberwachung

Ereigniskennung	Ereignisbeschreibung
528	Ein Benutzer hat sich erfolgreich bei einem Computer angemeldet.
529	Anmeldefehler. Es wurde eine Anmeldung mit einem unbekannten Benutzernamen oder einem bekannten Benutzernamen mit einem falschen Kennwort versucht.
530	Anmeldefehler. Ein Anmeldeversuch wurde außerhalb der zulässigen Zeit unternommen.
531	Anmeldefehler. Ein Anmeldeversuch mit einem deaktivierten Konto wurde unternommen.
532	Anmeldefehler. Ein Anmeldeversuch mit einem abgelaufenen Konto wurde unternommen.
533	Anmeldefehler. Ein Benutzer, dem die Anmeldung bei dem entsprechenden Computer nicht erlaubt ist, hat versucht sich anzumelden.
534	Anmeldefehler. Der Benutzer hat versucht, sich mit einem unzulässigen Kennworttyp anzumelden.
535	Anmeldefehler. Das Kennwort für das angegebene Konto ist abgelaufen.
536	Anmeldefehler. Der Anmeldedienst ist nicht aktiv.
537	Anmeldefehler. Der Anmeldeversuch ist aus anderen Gründen fehlgeschlagen. Hinweis: In einigen Fällen ist der Grund für die fehlgeschlagene Anmeldung möglicherweise nicht bekannt.
538	Die Abmeldung eines Benutzers wurde abgeschlossen.
539	Anmeldefehler. Das Konto wurde beim Anmeldeversuch gesperrt.
540	Ein Benutzer hat sich erfolgreich bei einem Netzwerk angemeldet.
541	Die Internetschlüsselaustausch-Authentifizierung im Hauptmodus zwischen dem lokalen Computer und der aufgeführten Peeridentität wurde abgeschlossen (und eine Sicherheitszuordnung erstellt), oder der Schnellmodus hat einen Datenkanal aufgebaut.
542	Ein Datenkanal wurde beendet.
543	Der Hauptmodus wurde beendet. Hinweis: Gründe können die zeitliche Beschränkung der Sicherheitszuordnung (die Standardeinstellung lautet acht Stunden) sowie Richtlinienänderungen oder eine Peerbeendigung sein.
544	Die Authentifizierung im Hauptmodus schlug fehl, da der Peer kein gültiges Zertifikat zur Verfügung stellte oder die Signatur nicht überprüft wurde.
545	Die Authentifizierung im Hauptmodus schlug aufgrund eines Fehlers des Kerberos-Authentifizierungsprotokolls oder eines ungültigen Kennworts fehl.
546	Die IKE-Sicherheitszuordnung konnte nicht festgelegt werden, da der Peer einen ungültigen Vorschlag sendete. Es wurde ein Paket empfangen, das ungültige Daten enthielt.
547	Bei einem IKE-Handshake ist ein Fehler aufgetreten.
548	Anmeldefehler. Die Sicherheitskennung (SID) einer vertrauenswürdigen Domäne stimmt nicht mit der SID der Kontendomäne des Clients überein.
549	Anmeldefehler. Alle SIDs nicht vertrauenswürdiger Namespaces wurden bei einer Authentifizierung der Gesamtstruktur herausgefiltert.
550	Benachrichtigung, die auf einen möglichen DoS-Angriff hinweisen könnte.
551	Ein Benutzer hat die Abmeldung initiiert.
552	Ein Benutzer hat sich erfolgreich mit expliziten Anmeldeinformationen bei einem Computer angemeldet, obwohl er bereits als ein anderer Benutzer angemeldet war.
682	Ein Benutzer hat die Verbindung zu einer getrennten Terminalserversitzung wieder hergestellt.
683	Ein Benutzer hat eine Terminalserversitzung getrennt, sich jedoch nicht abgemeldet. Hinweis: Dieses Ereignis wird erzeugt, wenn ein Benutzer über das Netzwerk mit einer Terminalserversitzung verbunden ist. Das Ereignis wird auf dem Terminalserver angezeigt.

Objektzugriffsversuche überwachen

Diese Richtlinieneinstellung allein führt nicht zur Überwachung von Ereignissen. Durch die Einstellung Objektzugriffsversuche überwachen wird festgelegt, ob Benutzerzugriffe auf Objekte (z. B. Dateien, Ordner, Registrierungsschlüssel, Drucker) mit definierter Systemzugriffssteuerungsliste (SACL) überwacht werden sollen.

Eine SACL besteht aus Zugriffssteuerungseinträgen (ACE). Jeder ACE enthält drei Informationen:

•	Den zu überwachenden Sicherheitsprinzipal (Benutzer, Computer oder Gruppe)
•	Den zu überwachenden Zugriffstyp (bezeichnet als Zugriffsmaske)
•	Ein Flag, das angibt, ob fehlgeschlagene Zugriffsereignisse, erfolgreiche Zugriffsereignisse oder beide Ereignistypen überwacht werden sollen

Wenn Sie die Einstellung Objektzugriffsversuche überwachen für die Erfassung von Erfolg-Werten konfigurieren, wird jedes Mal ein Überwachungseintrag generiert, wenn ein Benutzer erfolgreich auf ein Objekt mit definierter SACL zugreift. Wenn Sie diese Richtlinieneinstellung für die Erfassung von Fehler-Werten konfigurieren, wird jedes Mal ein Überwachungseintrag generiert, wenn ein Benutzer erfolglos auf ein Objekt mit definierter SACL zugreift.

Organisationen sollten beim Konfigurieren von SACLs nur jene Aktionen definieren, die aktiviert sein sollen. Es kann z. B. sein, dass Sie die Überwachungseinstellung Daten schreiben und Daten anhängen für ausführbare Dateien aktivieren möchten, um Ersetzungen oder Änderungen dieser Dateien zu überwachen, weil Viren, Würmer und Trojaner meist ausführbare Dateien angreifen. Ebenso können Sie Änderungen an wichtigen Dokumenten oder den Zugriff auf solche Dokumente überwachen.

Die Einstellung Objektzugriffsversuche überwachen ist in der Baseline-Richtlinie für Umgebungen mit älteren Clients und Unternehmensclient-Umgebungen auf den Standardwert Keine Überwachung gesetzt. Die Richtlinieneinstellung ist jedoch so konfiguriert, dass Fehler-Werte in der Baseline-Richtlinie für die Hochsicherheitsumgebung aufgezeichnet werden.

In der folgenden Tabelle sind wichtige Sicherheitsereignisse enthalten, die von der Richtlinieneinstellung im Sicherheitsprotokoll aufgezeichnet werden.

Tabelle 4.6: Objektzugriffsereignisse

Ereigniskennung	Ereignisbeschreibung
560	Der Zugriff auf ein bereits vorhandenes Objekt wurde gewährt.
562	Ein Handle zu einem Objekt wurde geschlossen.
563	Es wurde versucht, ein Objekt zu öffnen mit der Absicht dieses zu löschen. Hinweis: Dieses Ereignis wird von Dateisystemen verwendet, wenn das Flag FILE_DELETE_ON_CLOSE in Createfile() festgelegt wurde.
564	Ein geschütztes Objekt wurde gelöscht.
565	Der Zugriff auf einen bereits vorhandenen Objekttyp wurde gewährt.
567	Es wurde eine mit einem Handle verknüpfte Berechtigung verwendet. Hinweis: Ein Handle wird mit bestimmten Berechtigungen erstellt (wie etwa Lese- und Schreibzugriff). Bei Verwendung des Handles wird für jede verwendete Berechtigung eine Überwachung generiert.
568	Es wurde versucht, eine feste Verknüpfung zu einer überwachten Datei zu erstellen.
569	Der Ressourcenmanager des Autorisierungs-Managers hat versucht, einen Clientkontext zu erstellen.
570	Ein Client hat versucht, auf ein Objekt zuzugreifen. Hinweis: Für jeden Versuch, eine Aktion mit dem Objekt durchzuführen, wird ein Ereignis generiert.
571	Der Clientkontext wurde vom Autorisierungs-Manager gelöscht.
572	Der Administratormanager hat die Anwendung initialisiert.
772	Die Zertifikatsverwaltung hat eine ausstehende Zertifikatsanforderung abgelehnt.
773	Die Zertifikatdienste haben eine erneut gestellte Zertifikatanforderung erhalten.
774	Die Zertifikatsdienste haben ein Zertifikat gesperrt.
775	Die Zertifikatdienste haben eine Anforderung zur Veröffentlichung der Zertifikatsperrliste erhalten.
776	Die Zertifikatdienste haben die Zertifikatssperrliste veröffentlicht.
777	Eine Zertifikatsanforderungserweiterung wurde erstellt.
778	Ein oder mehrere Zertifikatanforderungsattribute wurden geändert.
779	Die Zertifikatdienste haben eine Anforderung zum Herunterfahren erhalten.
780	Die Sicherung der Zertifikatdienste wurde gestartet.
781	Die Sicherung der Zertifikatdienste wurde beendet.
782	Die Wiederherstellung der Zertifikatdienste wurde gestartet.
783	Die Wiederherstellung der Zertifikatdienste wurde beendet.
784	Die Zertifikatdienste wurden gestartet.
785	Die Zertifikatdienste wurden beendet.
786	Die Sicherheitsberechtigungen für Zertifikatdienste wurden geändert.
787	Die Zertifikatdienste haben einen archivierten Schlüssel wiedergefunden.
788	Die Zertifikatdienste haben ein Zertifikat in die Datenbank importiert.
789	Der Überwachungsfilter für Zertifikatdienste wurde geändert.
790	Die Zertifikatdienste haben eine Zertifikatanforderung erhalten.
791	Die Zertifikatdienste haben eine Zertifikatanforderung genehmigt und ein Zertifikat ausgestellt.
792	Die Zertifikatdienste haben eine Zertifikatanforderung abgelehnt.
793	Die Zertifikatdienste haben den Status einer Zertifikatanforderung auf "anstehend" festgelegt.
794	Die Zertifikatverwaltungseinstellungen für die Zertifikatdienste wurden geändert.
795	Es wurde ein Konfigurationseintrag in den Zertifikatdiensten geändert.
796	Eine Eigenschaft der Zertifikatdienste wurde geändert.
797	Die Zertifikatdienste haben einen Schlüssel archiviert.
798	Die Zertifikatdienste haben einen Schlüssel importiert und archiviert.
799	Die Zertifikatdienste haben das Zertifizierungsstellenzertifikat (CA-Zertifikat) in Active Directory veröffentlicht.
800	Aus der Zertifikatdatenbank wurde mindestens eine Zeile gelöscht.
801	Rollentrennung aktiviert

Richtlinienänderungen überwachen

Durch diese Richtlinieneinstellung wird festgelegt, ob jede Änderung in Richtlinien für die Zuweisung von Benutzerrechten, in Vertrauensrichtlinien oder in der Überwachungsrichtlinie selbst überwacht wird.

Wenn Sie die Einstellung Richtlinienänderungen überwachen für die Erfassung von Erfolg-Werten konfigurieren, wird für jede erfolgreiche Änderung in Richtlinien für die Zuweisung von Benutzerrechten, in Überwachungsrichtlinien oder in Vertrauensrichtlinien ein Überwachungseintrag generiert. Wenn Sie diese Richtlinieneinstellung für die Erfassung von Fehler-Werten konfigurieren, wird für jede fehlgeschlagene Änderung in Richtlinien für die Zuweisung von Benutzerrechten, in Überwachungsrichtlinien oder in Vertrauensrichtlinien ein Überwachungseintrag generiert.

Die empfohlenen Einstellungen ermöglichen die Anzeige aller Kontenberechtigungen, die ein Angreifer versucht zu erhöhen, indem er z. B. die Berechtigung Debuggen von Programmen oder die Berechtigung Sichern von Dateien und Verzeichnissen hinzuzufügen versucht.

Die Einstellung Richtlinienänderungen überwachen ist in der Baseline-Richtlinie für alle drei in diesem Handbuch definierten Umgebungen zur Erfassung von Erfolg-Werten konfiguriert. Derzeit werden bei einer Einstellung auf Fehler-Werte keine bedeutungsvollen Ereignisse erfasst.

In der folgenden Tabelle sind wichtige Sicherheitsereignisse enthalten, die von der Richtlinieneinstellung im Sicherheitsprotokoll aufgezeichnet werden.

Tabelle 4.7: Ereignisse zur Überwachung von Richtlinienänderungen

Ereigniskennung	Ereignisbeschreibung
608	Ein Benutzerrecht wurde zugewiesen.
609	Ein Benutzerrecht wurde entfernt.
610	Eine Vertrauensstellung mit einer anderen Domäne wurde erstellt.
611	Eine Vertrauensstellung mit einer anderen Domäne wurde entfernt.
612	Eine Überwachungsrichtlinie wurde geändert.
613	Ein Richtlinienagent für die Internetprotokollsicherheit (IPSec) wurde gestartet.
614	Ein IPSsec-Richtlinienagent wurde deaktiviert.
615	Ein IPSec-Richtlinienagent wurde geändert.
616	Ein IPSec-Richtlinienagent hat einen potenziell schwerwiegenden Fehler entdeckt.
617	Eine Richtlinie von Kerberos Version 5 wurde geändert.
618	Die Richtlinie zur Wiederherstellung verschlüsselter Daten wurde geändert.
620	Eine vertrauenswürdige Beziehung zu einer anderen Domäne wurde geändert.
621	Systemzugriff auf ein Konto wurde erteilt.
622	Systemzugriff auf ein Konto wurde entfernt.
623	Die Überwachungsrichtlinie wurde auf Einzelbenutzerbasis festgelegt.
625	Die Überwachungsrichtlinie wurde auf Einzelbenutzerbasis aktualisiert.
768	Ein Konflikt zwischen einem Namespace-Element in einer Gesamtstruktur und einem Namespace-Element in einer anderen Gesamtstruktur wurde erkannt. Hinweis: Das Überlappen zweier in verschiedenen Strukturen befindlicher Namespace-Elemente kann zu Mehrdeutigkeiten bei der Namensauflösung für Namespace-Elemente führen. Diese Überlappung wird auch als Konflikt bezeichnet. Nicht alle Parameter sind für jeden Eintragstyp gültig. Felder wie DNS-Name, NetBIOS-Name und SID sind z. B. nicht gültig für einen Eintrag des Typs „TopLevelName“.
769	Es wurden vertrauenswürdige Strukturinformationen hinzugefügt. Hinweis: Diese Ereignisnachricht wird generiert, wenn vertrauenswürdige Strukturinformationen aktualisiert wurden und mindestens ein Eintrag hinzugefügt wurde. Für jeden hinzugefügten, gelöschten oder geänderten Eintrag wird eine Ereignisnachricht generiert. Werden bei einer einzelnen Aktualisierung der vertrauenswürdigen Strukturinformationen mehrere Einträge hinzugefügt, gelöscht oder geändert, wird allen generierten Ereignisnachrichten eine einzelne eindeutige Kennung, die so genannte Vorgangs-ID, zugewiesen. Durch diese Funktion können Sie erkennen, dass die mehrfach generierten Ereignisnachrichten auf einen einzigen Vorgang zurückzuführen sind. Nicht alle Parameter sind für jeden Eintragstyp gültig. Parameter wie DNS-Name, NetBIOS-Name und SID sind z. B. nicht gültig für einen Eintrag des Typs „TopLevelName“.
770	Es wurden vertrauenswürdige Strukturinformationen gelöscht. Hinweis: Siehe Ereignisbeschreibung für Ereignis 769.
771	Es wurden vertrauenswürdige Strukturinformationen geändert. Hinweis: Siehe Ereignisbeschreibung für Ereignis 769.
805	Dieser Ereignisprotokolldienst hat die Sicherheitsprotokollkonfiguration für eine Sitzung gelesen.

Rechteverwendung überwachen

Durch diese Richtlinieneinstellung wird festgelegt, ob jede Ausübung eines Benutzerrechts überwacht wird. Ist die Einstellung Rechteverwendung überwachen auf Erfolg gesetzt, wird bei jeder erfolgreichen Ausübung eines Benutzerrechts ein Überwachungseintrag generiert. Ist diese Richtlinieneinstellung auf Fehler gesetzt, wird bei jeder fehlgeschlagenen Ausübung eines Benutzerrechts ein Überwachungseintrag generiert.

Für die folgenden Benutzerrechte werden auch dann keine Überwachungseinträge generiert, wenn die Einstellung Rechteverwendung überwachen konfiguriert ist, da diese Benutzerrechte viele Ereignisse im Sicherheitsprotokoll erzeugen. Die Computerleistung wäre beeinträchtigt, wenn folgende Benutzerrechte überwacht würden:

•	Auslassen der durchsuchenden Prüfung
•	Debuggen von Programmen
•	Erstellen eines Tokenobjekts
•	Ersetzen eines Prozessebenentokens
•	Generieren von Sicherheitsüberwachungen
•	Sichern von Dateien und Verzeichnissen
•	Wiederherstellen von Dateien und Verzeichnissen Hinweis: Wenn Sie diese Benutzerberechtigungen überwachen möchten, müssen Sie die Sicherheitsoption Überwachung: Die Verwendung des Sicherungs- und Wiederherstellungsrechts überprüfen in der Gruppenrichtlinie aktivieren.

Die Einstellung Rechteverwendung überwachen wird in der Baseline-Richtlinie für Umgebungen mit älteren Clients und Unternehmensclient-Umgebungen auf dem Standardwert Keine Überwachung belassen. Die Richtlinieneinstellung ist jedoch so konfiguriert, dass Fehler-Werte in der Baseline-Richtlinie für die Hochsicherheitsumgebung aufgezeichnet werden. Der fehlgeschlagene Einsatz eines Benutzerrechts weist auf ein globales Netzwerkproblem hin und ist häufig ein Anzeichen für eine versuchte Sicherheitsverletzung. Organisationen sollten Rechteverwendung überwachen nur dann auf Aktivieren setzen, wenn bestimmte geschäftliche Gründe dies erfordern.

In der folgenden Tabelle sind wichtige Sicherheitsereignisse enthalten, die von der Einstellung im Sicherheitsprotokoll aufgezeichnet werden.

Tabelle 4.8: Rechteverwendungsereignisse

Ereigniskennung	Ereignisbeschreibung
576	Die angegebenen Rechte wurden dem Zugriffstoken eines Benutzers hinzugefügt. Hinweis: Dieses Ereignis wird generiert, wenn sich der Benutzer anmeldet.
577	Ein Benutzer hat versucht, eine privilegierte Systemdienstoperation auszuführen.
578	Rechte wurden an einem bereits geöffneten Handle eines geschützten Objekts ausgeübt.

Prozessverfolgung überwachen

Durch diese Richtlinieneinstellung wird festgelegt, ob detaillierte Überwachungsinformationen für Ereignisse wie Programmaktivierung, Prozessbeendigung, Handleduplizierung und indirekter Objektzugriff erfasst werden. Wenn Sie diese Richtlinieneinstellung auf Erfolg setzen, wird bei jedem erfolgreichen Durchführen eines überwachten Prozesses ein Überwachungseintrag generiert. Wenn Sie diese Richtlinieneinstellung auf Fehler setzen, wird bei jedem fehlgeschlagenen Durchführen eines überwachten Prozesses ein Überwachungseintrag generiert.

Die Einstellung Prozessverfolgung überwachen erzeugt eine große Anzahl von Ereignissen, sodass sie in der Regel auf Keine Überwachung gesetzt ist. Diese Einstellung wird auch für die Baseline-Richtlinie für alle drei in diesem Handbuch definierten Umgebungen verwendet. Diese Richtlinieneinstellung kann sich jedoch bei einer Reaktion auf Zwischenfälle als sehr nützlich erweisen, da sie eine detaillierte Aufzeichnung der gestarteten Prozesse sowie des Startzeitpunkts bietet.

In der folgenden Tabelle sind wichtige Sicherheitsereignisse enthalten, die von der Einstellung im Sicherheitsprotokoll aufgezeichnet werden.

Tabelle 4.9: Prozessverfolgungsereignisse

Ereigniskennung	Ereignisbeschreibung
592	Ein neuer Vorgang wurde erstellt.
593	Ein Vorgang wurde beendet.
594	Ein Handle zu einem Objekt wurde dupliziert.
595	Indirekter Zugriff auf ein Objekt war erfolgreich.
596	Ein Datensicherungs-Hauptschlüssel wurde gesichert. Hinweis: Der Hauptschlüssel wird von den Routinen „CryptProtectData“ und „CryptUnprotectData“ sowie dem verschlüsselnden Dateisystem (EFS) verwendet. Der Hauptschlüssel wird gesichert, sobald ein neuer Schlüssel erstellt wird. (Die Standardeinstellung beträgt 90 Tage.) Der Schlüssel wird in der Regel von einem Domänencontroller gesichert.
597	Ein Datensicherungs-Hauptschlüssel wurde von einem Wiederherstellungsserver wiederhergestellt.
598	Überwachbare Daten wurden geschützt.
599	Überwachbare Daten waren nicht geschützt.
600	Einem Prozess wurde ein primärer Token zugewiesen.
601	Ein Benutzer hat versucht, einen Dienst zu installieren.
602	Ein Zeitplanauftrag wurde erstellt.

Systemereignisse überwachen

Durch diese Richtlinieneinstellung wird festgelegt, ob das Neustarten und Herunterfahren eines Computers bzw. Ereignisse, die Computersicherheit oder das Sicherheitsprotokoll betreffen, überwacht werden. Wenn Sie diese Richtlinieneinstellung auf Erfolg setzen, wird ein Überwachungseintrag generiert, wenn ein Systemereignis erfolgreich ausgeführt wurde. Wenn Sie diese Richtlinieneinstellung auf Fehler setzen, wird ein Überwachungseintrag generiert, wenn die Ausführung eines Systemereignisses fehlgeschlagen ist.

In der folgenden Tabelle sind die nützlichsten, erfolgreich ausgeführten Ereignisse für diese Einstellung aufgeführt.

Tabelle 4.10: Systemereignismeldungen zum Überwachen von Systemereignissen

Ereigniskennung	Ereignisbeschreibung
512	Windows wird gestartet.
513	Windows wird heruntergefahren.
514	Ein Authentifizierungspaket wurde durch die lokale Sicherheitsinstanz geladen.
515	Ein vertrauenswürdiger Anmeldevorgang wurde bei der lokalen Sicherheitsinstanz registriert.
516	Die für die Warteschlangenverarbeitung von Sicherheitsereignismeldungen reservierten internen Ressourcen sind ausgelastet. Der Verlust von einigen Sicherheitsereignismeldungen ist eingetreten.
517	Das Überwachungsprotokoll wurde gelöscht.
518	Die Sicherheitskontenverwaltung hat ein Benachrichtigungspaket geladen.
519	Ein Prozess verwendet einen ungültigen Port für den Lokalprozeduraufruf (LPC) und versucht, die Identität eines Clients anzunehmen und einen Clientadressraum zu lesen oder darauf zu antworten oder zu schreiben.
520	Die Systemzeit wurde geändert. Hinweis: Diese Überwachung wird in der Regel zweimal durchgeführt.

Zum Seitenanfang

Zuweisen von Benutzerrechten

Die Einstellungen für die Zuweisung von Benutzerrechten versorgen Benutzer und Gruppen mit Anmelderechten oder Berechtigungen für die Computer in der Organisation. Ein Beispiel für ein Anmelderecht ist das Recht, sich an einem Computer interaktiv anzumelden. Ein Beispiel für eine Berechtigung ist das Recht, einen Computer herunterzufahren. Beide Arten werden Benutzern oder Gruppen durch Administratoren als Teil der Sicherheitseinstellungen eines Computers zugewiesen.

Hinweis: In diesem Abschnitt gilt „Nicht definiert“ nur für Benutzer. Administratoren besitzen weiterhin das Benutzerrecht. Lokale Administratoren können Änderungen vornehmen, alle domänenbasierten Gruppenrichtlinieneinstellungen haben jedoch Vorrang, wenn diese aktualisiert oder erneut angewendet werden.

Die Einstellungen für die Zuweisung von Benutzerrechten können in Windows Server 2003 mit SP1 im Gruppenrichtlinienobjekt-Editor in folgendem Verzeichnis konfiguriert werden:

Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien
\Zuweisen von Benutzerrechten

Für die verschiedenen Servertypen in der Organisation gelten unterschiedliche Standardeinstellungen für die Zuweisung von Benutzerrechten. Windows Server 2003 weist z. B. vordefinierten Gruppen auf Mitgliedsservern und Domänencontrollern unterschiedliche Rechte zu. (Ähnlichkeiten zwischen vordefinierten Gruppen auf verschiedenen Servertypen sind in der folgenden Liste nicht dokumentiert.)

•

Mitgliedsserver

•	Hauptbenutzer. Besitzen mit einigen Einschränkungen die meisten Verwaltungsrechte. Hauptbenutzer können neben Anwendungen, die für Windows Server 2003 mit SP1 oder Windows XP zertifiziert sind, auch ältere Anwendungen ausführen.
•	Hilfedienstgruppe. Die Gruppe für das Hilfe- und Supportcenter. Support_388945a0 ist standardmäßig ein Mitglied dieser Gruppe.
•	Telnet-Clients. Mitglieder dieser Gruppe haben Zugriff auf den Telnet-Server im Netzwerk.

•

Domänencontroller

•	Server-Operatoren. Mitglieder dieser Gruppen können Domänenserver verwalten.
•	Terminalserver-Lizenzserver. Mitglieder dieser Gruppe haben Zugriff auf Terminalserver-Lizenzserver im Netzwerk.
•	Windows-Autorisierungszugriffsgruppe. Mitglieder dieser Gruppe haben Zugriff auf das berechnete tokenGroupsGlobalAndUniversal-Attribut von Benutzerobjekten.

Die Gruppe Gäste und die Benutzerkonten „Gast“ und „Support_388945a0“ besitzen in unterschiedlichen Domänen jeweils eindeutige SIDs. Daher muss diese Gruppenrichtlinie für die Zuweisung von Benutzerrechten u. U. auf einem Computer geändert werden, auf dem nur die spezifische Zielgruppe vorhanden ist. Alternativ dazu können die Richtlinienvorlagen auch einzeln bearbeitet werden, um die entsprechenden Gruppen in die INF-Dateien einzuschließen. Eine Gruppenrichtlinie für Domänencontroller könnte z. B. auf einem Domänencontroller in einer Testumgebung erstellt werden.

Hinweis: Aufgrund der eindeutigen SIDs für Mitglieder der Gruppe Gäste, „Support_388945a0“ und „Gast“ können einige Einstellungen zum Absichern von Servern anhand der in diesem Handbuch enthaltenen Sicherheitsvorlagen nicht automatisiert werden. Diese Einstellungen werden im Abschnitt „Zusätzliche Sicherheitseinstellungen“ weiter unten in diesem Kapitel beschrieben.

Dieser Abschnitt enthält eine ausführliche Beschreibung der empfohlenen MSBP-Einstellungen für die Zuweisung von Benutzerrechten für alle drei in diesem Handbuch definierten Umgebungen. Eine Zusammenfassung der in diesem Abschnitt beschriebenen Einstellungen finden Sie in der Microsoft Excel-Arbeitsmappe „Sicherheitseinstellungen unter Windows Server 2003“, die gemeinsam mit dem Handbuch heruntergeladen werden kann. Informationen zu den Standardeinstellungen und ausführliche Erklärungen zu den in diesem Abschnitt beschriebenen Einstellungen finden Sie im Begleithandbuch Bedrohungen und Gegenmaßnahmen: Sicherheitseinstellungen unter Windows Server 2003 und Windows XP.

Die folgende Tabelle enthält die empfohlenen Einstellungen für die Zuweisung von Benutzerrechten für die drei in diesem Handbuch definierten Umgebungen. Weitere Informationen zu jeder Einstellung finden Sie in den Unterabschnitten im Anschluss an die Tabelle.

Tabelle 4.11: Empfehlungen zu den Einstellungen für die Zuweisung von Benutzerrechten

Einstellung	Älterer Client	Unternehmensclient	Hochsicher (SSLF)
Auf diesen Computer vom Netzwerk aus zugreifen	Nicht definiert	Nicht definiert	Administratoren, Authentifizierte Benutzer, Domänencontroller der Organisation
Einsetzen als Teil des Betriebssystems	Nicht definiert	Nicht definiert	Niemand
Anpassen von Speicherkontingenten für einen Prozess	Nicht definiert	Nicht definiert	Administratoren, NETZWERKDIENST, LOKALER DIENST
Lokal anmelden zulassen	Administratoren, Sicherungs-Operatoren, Hauptbenutzer	Administratoren, Sicherungs-Operatoren, Hauptbenutzer	Administratoren
Anmeldung über Terminaldienste zulassen	Administratoren und Remotedesktopbenutzer	Administratoren und Remotedesktopbenutzer	Administratoren
Sichern von Dateien und Verzeichnissen	Nicht definiert	Nicht definiert	Administratoren
Auslassen der durchsuchenden Prüfung	Nicht definiert	Nicht definiert	Authentifizierte Benutzer
Ändern der Systemzeit	Nicht definiert	Nicht definiert	Administratoren
Auslagerungsdatei erstellen	Nicht definiert	Nicht definiert	Administratoren
Erstellen eines Tokenobjekts	Nicht definiert	Nicht definiert	Niemand
Globale Objekte erstellen	Nicht definiert	Nicht definiert	Administratoren, DIENST
Permanente freigegebene Objekte erstellen	Nicht definiert	Nicht definiert	Niemand
Debuggen von Programmen	Nicht definiert	Administratoren	Niemand
Den Zugriff auf diesen Computer vom Netzwerk aus verweigern	ANONYME ANMELDUNG; Gäste; Support_388945a0; Alle betriebssystemfremden Dienstkonten	ANONYME ANMELDUNG; Gäste; Support_388945a0; Alle betriebssystemfremden Dienstkonten	ANONYME ANMELDUNG; Gäste; Support_388945a0; Alle betriebssystemfremden Dienstkonten
Anmelden als Batchauftrag verweigern	Gäste; Support_388945a0	Gäste; Support_388945a0	Gäste; Support_388945a0;
Anmeldung als Dienst verweigern	Nicht definiert	Nicht definiert	Niemand
Lokale Anmeldung verweigern	Nicht definiert	Nicht definiert	Gäste; Support_388945a0;
Anmeldung über Terminaldienste verweigern	Gäste	Gäste	Gäste
Computer und Benutzerkonten für Delegierungszwecke vertrauen	Nicht definiert	Nicht definiert	Administratoren
Erzwingen des Herunterfahrens von einem Remotesystem aus	Nicht definiert	Nicht definiert	Administratoren
Generieren von Sicherheitsüberwachungen	Nicht definiert	Nicht definiert	NETZWERKDIENST, LOKALER DIENST
Annehmen der Clientidentität nach Authentifizierung	Nicht definiert	Nicht definiert	Administratoren, DIENST
Anheben der Zeitplanungspriorität	Nicht definiert	Nicht definiert	Administratoren
Laden und Entfernen von Gerätetreibern	Nicht definiert	Nicht definiert	Administratoren
Seiten im Speicher sperren	Nicht definiert	Nicht definiert	Niemand
Anmelden als Stapelverarbeitungsauftrag	Nicht definiert	Nicht definiert	Nicht definiert
Als Dienst anmelden	Nicht definiert	Nicht definiert	NETZWERKDIENST
Verwalten von Überwachungs- und Sicherheitsprotokoll	Nicht definiert	Nicht definiert	Administratoren
Firmware-Umgebungsvariablen ändern	Nicht definiert	Nicht definiert	Administratoren
Wartungsaufgaben für Speichermedien ausführen	Nicht definiert	Nicht definiert	Administratoren
Einzelprozessprofil erstellen	Nicht definiert	Nicht definiert	Administratoren
Erstellen eines Profils der Systemleistung	Nicht definiert	Nicht definiert	Administratoren
Entfernen eines Computers aus der Dockingstation	Nicht definiert	Nicht definiert	Administratoren
Ersetzen eines Prozessebenentokens	Nicht definiert	Nicht definiert	LOKALER DIENST, NETZWERKDIENST
Wiederherstellen von Dateien und Verzeichnissen	Nicht definiert	Nicht definiert	Administratoren
System herunterfahren	Nicht definiert	Nicht definiert	Administratoren
Synchronisieren von Verzeichnisdienstdaten	Nicht definiert	Nicht definiert	Niemand
Übernehmen des Besitzes an Dateien und Objekten	Nicht definiert	Nicht definiert	Administratoren

Auf diesen Computer vom Netzwerk aus zugreifen

Durch diese Richtlinieneinstellung wird festgelegt, welche Benutzer und Gruppen eine Verbindung zu dem Computer über das Netzwerk herstellen dürfen. Sie ist für eine Reihe von Netzwerkprotokollen erforderlich. Hierzu zählen SMB-basierte Protokolle (Server Message Block), NetBIOS, CIFS (Common Internet File System), HTTP und COM+ (Component Object Model Plus).

Die Einstellung Auf diesen Computer vom Netzwerk aus zugreifen ist für Umgebungen mit älteren Clients und Unternehmensclient-Umgebungen auf Nicht definiert gesetzt. Berechtigungen, die in Windows Server 2003 mit SP1 der Sicherheitsgruppe Jeder zugewiesen wurden, bieten anonymen Benutzern zwar keinen Zugriff mehr, aber Gastgruppen und -konten können weiterhin über die Sicherheitsgruppe Jeder Zugriff erhalten. Aus diesem Grund wird der Sicherheitsgruppe Jeder in der Hochsicherheitsumgebung das Benutzerrecht Auf diesen Computer vom Netzwerk aus zugreifen verweigert. Der Schutz vor Angriffen auf den Gastzugriff zur Domäne wird dadurch verbessert. In der Hochsicherheitsumgebung werden diese Benutzerrechte nur den Gruppen Administratoren, Authentifizierte Benutzer und DOMÄNENCONTROLLER DER ORGANISATION zugewiesen.

Einsetzen als Teil des Betriebssystems

Durch diese Richtlinieneinstellung wird festgelegt, ob ein Prozess die Identität eines beliebigen Benutzers annehmen und dadurch Zugriff auf die dem Benutzer zugänglichen Ressourcen erlangen kann. Normalerweise erfordern nur einfache Authentifizierungsdienste dieses Benutzerrecht.

Das Benutzerrecht Einsetzen als Teil des Betriebssystems ist für Umgebungen mit älteren Clients und Unternehmensclient-Umgebungen auf Nicht definiert gesetzt. Für die Hochsicherheitsumgebung ist diese Richtlinieneinstellung allerdings auf einen Nullwert oder einen leeren Wert gesetzt. Dadurch wird dieses Benutzerrecht keiner Sicherheitsgruppe bzw. keinem Konto gewährt.

Anpassen von Speicherkontingenten für einen Prozess

Durch diese Richtlinieneinstellung wird festgelegt, ob Benutzer das maximale Arbeitsspeicherkontingent, das für einen Prozess zur Verfügung steht, anpassen können. Sie ist bei Anpassung des Computers von Nutzen, kann allerdings missbraucht werden. Ein Angreifer könnte dieses Benutzerrecht ausnutzen, um eine DoS-Attacke zu starten.

Die Einstellung Anpassen von Speicherkontingenten für einen Prozess ist für Umgebungen mit älteren Clients und Unternehmensclient-Umgebungen auf Nicht definiert gesetzt. In der Hochsicherheitsumgebung wird dieses Benutzerrecht jedoch nur den Gruppen Administrator, NETZWERKDIENST und LOKALER DIENST zugewiesen.

Lokal anmelden zulassen

Durch diese Richtlinieneinstellung wird festgelegt, welche Benutzer sich interaktiv bei dem angegebenen Computer anmelden können. Der Benutzer benötigt dieses Benutzerrecht, um sich durch Drücken der Tastenkombination STRG+ALT+ENTF anmelden zu können. Jedes Konto mit diesem Benutzerrecht kann zur Anmeldung an der lokalen Konsole des Computers verwendet werden.

Das Benutzerrecht Lokal anmelden zulassen ist in Umgebungen mit älteren Clients und Unternehmensclient-Umgebungen auf die Gruppen Administratoren, Sicherungs-Operatoren und Hauptbenutzer beschränkt. Dadurch wird verhindert, dass sich unautorisierte Benutzer anmelden können, die ihre Berechtigungsebene erhöhen oder Viren in die Umgebung einschleusen möchten. In der Hochsicherheitsumgebung wird dieses Benutzerrecht nur der Gruppe Administratoren zugewiesen.

Anmeldung über Terminaldienste zulassen

Durch diese Richtlinieneinstellung wird festgelegt, welche Benutzer oder Gruppen sich als Terminaldiensteclients anmelden können.

Für Umgebungen mit älteren Clients und Unternehmensclient-Umgebungen ist das Benutzerrecht Anmeldung über Terminaldienste zulassen auf die Gruppen Administratoren und Remotedesktopbenutzer beschränkt. In der Hochsicherheitsumgebung wird dieses Benutzerrecht nur Mitgliedern der Gruppe Administratoren zugeteilt.

Sichern von Dateien und Verzeichnissen

Durch diese Richtlinieneinstellung wird festgelegt, ob Benutzer Berechtigungen für Dateien und Verzeichnisse umgehen können, um den Computer zu sichern. Sie wird nur verwendet, wenn eine Anwendung versucht, über das NTFS-Sicherungs-API Zugriff zu erlangen, z. B. mit einem Sicherungsprogramm wie NTBACKUP.EXE. Andernfalls gelten die normalen Berechtigungen für Dateien und Verzeichnisse.

Die Einstellung Sichern von Dateien und Verzeichnissen ist für Umgebungen mit älteren Clients und Unternehmensclient-Umgebungen auf Nicht definiert gesetzt. In der Hochsicherheitsumgebung wird dieses Benutzerrecht nur der Gruppe Administratoren zugewiesen.

Auslassen der durchsuchenden Prüfung

Durch diese Richtlinieneinstellung wird festgelegt, ob Benutzer Ordner durchsuchen können, ohne dass bei der Navigation über einen Objektpfad im NTFS-Dateisystem oder in der Registrierung die spezielle Berechtigung „Ordner durchsehen“ überprüft wird. Das Benutzerrecht ermöglicht dem Benutzer nicht, den Inhalts eines Ordners anzuzeigen. Der Benutzer ist nur berechtigt, die entsprechenden Verzeichnisse zu passieren.

Die Einstellung Auslassen der durchsuchenden Überprüfung ist für Umgebungen mit älteren Clients und Unternehmensclient-Umgebungen auf Nicht definiert gesetzt. In der Hochsicherheitsumgebung wird dieses Benutzerrecht nur der Gruppe Authentifizierte Benutzer zugewiesen.

Ändern der Systemzeit

Durch diese Richtlinieneinstellung wird festgelegt, welche Benutzer die Uhrzeit und das Datum der internen Uhr des Computers ändern können. Benutzer, denen dieses Benutzerrecht zugewiesen wird, können die Ausgabe der Ereignisprotokolle beeinflussen, die von der internen Uhr des Computers mit einem Zeitstempel versehen werden. Wenn die Zeit des Computers geändert wird, enthalten die Protokolle nicht die Zeit, zu der Ereignisse tatsächlich aufgetreten sind.

Die Einstellung Ändern der Systemzeit ist für Umgebungen mit älteren Clients und Unternehmensclient-Umgebungen auf Nicht definiert gesetzt. In der Hochsicherheitsumgebung wird dieses Benutzerrecht nur der Gruppe Administratoren zugewiesen.

Hinweis: Abweichungen zwischen der Uhrzeit auf dem lokalen Computer und der Uhrzeit auf den Domänencontrollern können beim Kerberos-Authentifizierungsprotokoll Probleme verursachen. Dies kann dazu führen, dass Benutzer sich nicht mehr bei der Domäne anmelden können oder nach der Anmeldung nicht für den Zugriff auf Domänenressourcen autorisiert werden.

Auslagerungsdatei erstellen

Durch diese Richtlinieneinstellung wird festgelegt, ob Benutzer eine Auslagerungsdatei erstellen und ihre Größe anpassen können. Dazu legt der Benutzer im Dialogfeld Systemeigenschaften auf der Registerkarte Erweitert im Feld Leistungsoptionen für bestimmte Laufwerke eine Auslagerungsdateigröße fest.

Die Einstellung Auslagerungsdatei erstellen ist für Umgebungen mit älteren Clients und Unternehmensclient-Umgebungen auf Nicht definiert gesetzt. In der Hochsicherheitsumgebung wird dieses Benutzerrecht nur der Gruppe Administratoren zugewiesen.

Erstellen eines Tokenobjekts

Durch diese Richtlinieneinstellung wird festgelegt, ob ein Prozess ein Token erstellen kann. Wenn der Prozess NtCreateToken() oder andere APIs zur Tokenerstellung verwendet, kann anschließend mithilfe dieses Tokens auf alle lokalen Ressourcen zugegriffen werden.

Die Einstellung Erstellen eines Tokenobjekts ist für Umgebungen mit älteren Clients und Unternehmensclient-Umgebungen auf Nicht definiert gesetzt Für die Hochsicherheitsumgebung ist diese Richtlinieneinstellung auf einen Nullwert oder einen leeren Wert gesetzt. Dadurch steht dieses Benutzerrecht keiner Sicherheitsgruppe bzw. keinem Konto zu.

Globale Objekte erstellen

Diese Richtlinieneinstellung lässt zu, dass Benutzer globale Objekte erstellen, die in allen Sitzung zur Verfügung stehen. Benutzer haben auch ohne dieses Recht die Möglichkeit, für ihre Sitzungen spezifische Objekte zu erstellen.

Die Einstellung Globale Objekte erstellen ist für Umgebungen mit älteren Clients und Unternehmensclient-Umgebungen auf Nicht definiert gesetzt Für die Hochsicherheitsumgebung wird dieses Benutzerrecht nur den Gruppen DIENST und Administratoren zugewiesen.

Permanente freigegebene Objekte erstellen

Durch diese Richtlinieneinstellung wird festgelegt, ob Benutzer Verzeichnisobjekte im Objekt-Manager erstellen können, also das Recht zur Erstellung von Ordnern, Druckern und anderen Objekten besitzen. Sie ist für Kernelmoduskomponenten von Nutzen, die den Objekt-Namespace erweitern. Diese Komponenten beinhalten dieses Benutzerrecht automatisch. Deshalb ist es in der Regel nicht erforderlich, dieses Benutzerrecht Benutzern ausdrücklich zuzuweisen.

Die Einstellung Permanente freigegebene Objekte erstellen ist für Umgebungen mit älteren Clients und Unternehmensclient-Umgebungen auf Nicht definiert gesetzt Für die Hochsicherheitsumgebung ist diese Richtlinieneinstellung auf einen Nullwert oder einen leeren Wert gesetzt. Dadurch steht dieses Benutzerrecht keiner Sicherheitsgruppe bzw. keinem Konto zu.

Debuggen von Programmen

Durch diese Richtlinieneinstellung wird festgelegt, welche Benutzer einen Prozess oder den Kernel debuggen können. Sie bietet Zugriff auf wichtige Komponenten des Betriebssystems. In Produktionsumgebungen sollte nur in extremen Fällen ein Debugging stattfinden, z. B. zur Problembehandlung einer für das Geschäft notwendigen Anwendung, die in der Testumgebung nicht effektiv beurteilt werden kann.

Die Einstellung Debuggen von Programmen ist für die Umgebung mit älteren Clients auf Nicht definiert gesetzt. In der Unternehmensclient-Umgebung wird dieses Benutzerrecht nur der Gruppe Administratoren zugewiesen. Für die Hochsicherheitsumgebung ist diese Richtlinieneinstellung auf einen Nullwert oder einen leeren Wert gesetzt. Dadurch steht dieses Benutzerrecht keiner Sicherheitsgruppe bzw. keinem Konto zu.

Hinweis: Unter Windows Server 2003 mit SP1 kann das Entfernen des Benutzerrechts Debuggen von Programmen dazu führen, dass der Windows-Update-Dienst nicht verwendet werden kann. Patches können jedoch weiterhin manuell heruntergeladen und installiert oder auf anderen Wegen angewendet werden. Das Entfernen dieses Benutzerrechts kann auch den Clusterdienst beeinträchtigen. Weitere Informationen finden Sie im Microsoft Knowledge Base-Artikel Anwenden strengerer Sicherheitseinstellungen auf einem Windows Server 2003-basierten Clusterserver (in englischer Sprache) unter http://support.microsoft.com/kb/891597/en-us.

Den Zugriff auf diesen Computer vom Netzwerk aus verweigern

Hinweis: Die Konten ANONYME ANMELDUNG, „Vordefinierter Administrator“, „Support_388945a0“ und „Gast“ sowie alle betriebssystemfremden Dienstkonten sind nicht in der INF-Sicherheitsvorlage enthalten. Diese Konten und Gruppen besitzen für jede Domäne in der Organisation eindeutige SIDs. Daher müssen sie manuell hinzugefügt werden. Weitere Informationen finden Sie im Abschnitt „Manuelle Absicherungsverfahren“ am Ende dieses Kapitels.

Durch diese Richtlinieneinstellung wird festgelegt, welche Benutzer über das Netzwerk auf Computer zugreifen können. Dabei können eine Reihe von Netzwerkprotokollen, einschließlich SMB-basierter Protokolle, NetBIOS, CIFS, HTTP und COM+ nicht verwendet werden. Diese Richtlinieneinstellung ersetzt das Benutzerrecht Auf diesen Computer vom Netzwerk aus zugreifen, wenn ein Benutzerkonto beiden Einstellungen unterliegt.

Für alle drei in diesem Handbuch definierten Umgebungen wird das Benutzerrecht Den Zugriff auf diesen Computer vom Netzwerk aus verweigern den Gruppen Gäste, ANONYME ANMELDUNG und „Support_388945a0“ sowie allen Dienstkonten, die nicht Teil des Betriebssystems sind, zugewiesen.

Die Konfiguration dieser Richtlinieneinstellung für andere Gruppen kann dazu führen, dass die Möglichkeiten von Benutzern mit speziellen Administratorrollen in der Umgebung eingeschränkt sind. Sie müssen sicherstellen, dass dies keine negativen Auswirkungen auf delegierte Aufgaben hat.

Anmeldung als Batchauftrag verweigern

Durch diese Richtlinieneinstellung wird festgelegt, welche Konten sich beim Computer nicht als Stapelverarbeitungsauftrag anmelden können. Ein Stapelverarbeitungsauftrag ist keine Batchdatei (BAT), sondern eine Batchwarteschlangeneinrichtung. Dieses Benutzerrecht wird von Konten benötigt, die den Taskplaner zum Planen von Aufgaben verwenden.

Das Benutzerrecht Anmeldung als Batchauftrag verweigern setzt das Benutzerrecht Anmelden als Stapelverarbeitungsauftrag außer Kraft, das das Planen von Aufträgen ermöglichen könnte, die extrem viel Systemressourcen verbrauchen. Dies könnte einen Denial-of-Service verursachen. Deshalb wird das Benutzerrecht Anmeldung als Batchauftrag verweigern in der Baseline-Richtlinie für alle drei in diesem Handbuch definierten Umgebungen der Gruppe Gäste und dem Benutzerkonto „Support_388945a0“ zugewiesen. Wenn Sie die Zuweisung des Benutzerrechts an die empfohlenen Konten unterlassen, kann dies ein Sicherheitsrisiko darstellen.

Anmeldung als Dienst verweigern

Durch diese Richtlinieneinstellung wird festgelegt, ob innerhalb des angegebenen Kontos Dienste gestartet werden können.

Die Einstellung Anmeldung als Dienst verweigern ist für Umgebungen mit älteren Clients und Unternehmensclient-Umgebungen auf Nicht definiert gesetzt. Für die Hochsicherheitsumgebung ist diese Richtlinieneinstellung auf einen Nullwert oder einen leeren Wert gesetzt. Dadurch steht dieses Benutzerrecht keiner Sicherheitsgruppe bzw. keinem Konto zu.

Lokale Anmeldung verweigern

Durch diese Richtlinieneinstellung wird festgelegt, ob sich Benutzer direkt über die Computertastatur anmelden können.

Die Einstellung Lokale Anmeldung verweigern ist für Umgebungen mit älteren Clients oder Unternehmensclient-Umgebungen auf Nicht definiert gesetzt. Dieses Benutzerrecht wird in der Hochsicherheitsumgebung jedoch nur der Gruppe Gäste und dem Benutzerkonto „Support_388945a0“ zugewiesen. Wenn Sie die Zuweisung des Benutzerrechts an die empfohlenen Konten unterlassen, kann dies ein Sicherheitsrisiko darstellen.

Anmeldung über Terminaldienste verweigern

Durch diese Richtlinieneinstellung wird festgelegt, ob sich Benutzer als Terminaldiensteclients anmelden können. Nachdem Sie den Baseline-Mitgliedsserver einer Domänenumgebung hinzugefügt haben, müssen keine lokalen Konten für den Netzwerkzugriff auf den Server verwendet werden. Domänenkonten können zur Verwaltung und Endbenutzerverarbeitung auf den Server zugreifen.

Für alle drei in diesem Handbuch definierten Umgebungen wird der Gruppe Gäste das Benutzerrecht Anmeldung über Terminaldienste verweigern zugewiesen, damit eine Anmeldung über Terminaldienste nicht möglich ist.

Computer und Benutzerkonten für Delegierungszwecke vertrauen

Durch diese Richtlinieneinstellung wird festgelegt, ob Benutzer die Einstellung Für Delegierungszwecke vertraut für einen Benutzer oder ein Computerobjekt in Active Directory ändern können. Benutzer oder Computer, denen dieses Benutzerrecht gewährt wird, müssen auch Schreibzugriff auf die Kontosteuerungsflags des Objekts haben. Der Missbrauch dieses Benutzerrechts kann dazu führen, dass nicht autorisierte Benutzer die Identität anderer Benutzer im Netzwerk annehmen.

Die Einstellung Computer und Benutzerkonten für Delegierungszwecke vertrauen ist für Umgebungen mit älteren Clients oder Unternehmensclient-Umgebungen auf Nicht definiert gesetzt. In der Hochsicherheitsumgebung wird dieses Benutzerrecht jedoch nur der Gruppe Administratoren zugewiesen.

Erzwingen des Herunterfahrens von einem Remotesystem aus

Durch diese Richtlinieneinstellung wird festgelegt, ob Benutzer einen Computer von einem Remotestandort im Netzwerk aus herunterfahren können. Jeder Benutzer, der einen Computer herunterfahren kann, könnte einen Denial-of-Service verursachen. Daher sollte dieses Benutzerrecht streng beschränkt werden.

Die Einstellung Erzwingen des Herunterfahrens von einem Remotesystem aus ist für Umgebungen mit älteren Clients oder Unternehmensclient-Umgebungen auf Nicht definiert gesetzt. In der Hochsicherheitsumgebung wird dieses Benutzerrecht nur der Gruppe Administratoren zugewiesen.

Generieren von Sicherheitsüberwachungen

Durch diese Richtlinieneinstellung wird festgelegt, ob ein Prozess Überwachungseinträge im Sicherheitsprotokoll erzeugen kann. Da das Sicherheitsprotokoll zum Verfolgen von unautorisiertem Systemzugriff dienen kann, könnten Konten mit Schreibzugriff auf das Sicherheitsprotokoll verwendet werden, um dieses Protokoll mit sinnlosen Ereignissen zu füllen. Wenn Sie den Computer zum bedarfsabhängigen Überschreiben von Ereignissen konfigurieren, kann ein Angreifer mit dieser Funktion Beweise für seine unautorisierten Aktivitäten entfernen. Wenn Sie den Computer so konfigurieren, dass er herunterfährt, wenn im Sicherheitsprotokoll keine Ereignisse erfasst werden können, kann ein Angreifer diese Funktion einsetzen, um einen Denial-of-Service zu verursachen.

Die Einstellung Generieren von Sicherheitsüberwachungen ist für Umgebungen mit älteren Clients und Unternehmensclient-Umgebungen auf Nicht definiert gesetzt. In der Hochsicherheitsumgebung wird dieses Benutzerrecht nur den Konten NETZWERKDIENST und LOKALER DIENST zugewiesen.

Annehmen der Clientidentität nach Authentifizierung

Durch diese Richtlinieneinstellung wird festgelegt, ob im Auftrag eines authentifizierten Benutzers ausgeführte Anwendungen die Identität von Clients annehmen können. Wenn dieses Benutzerrecht für diese Art von Identitätswechsel erforderlich ist, können unautorisierte Benutzer einen Client nicht dazu verleiten, eine Verbindung mit einem von ihnen erstellten Dienst herzustellen (z. B. durch einen Remoteprozeduraufruf oder durch Named Pipes), damit sie die Identität des Clients annehmen können. Der nicht autorisierte Benutzer könnte diese Möglichkeit zum Erhöhen seiner Berechtigungen auf Verwaltungs- oder Systemebene verwenden.

Die Einstellung Annehmen der Clientidentität nach Authentifizierung ist für die Umgebung mit älteren Clients und Unternehmensclient-Umgebungen auf Nicht definiert gesetzt. In der Hochsicherheitsumgebung wird dieses Benutzerrecht jedoch nur der Gruppe Administratoren und dem Konto DIENST zugewiesen.

Anheben der Zeitplanungspriorität

Durch diese Richtlinieneinstellung wird festgelegt, ob Benutzer die Basisprioritätsklas