Bedrohungen und Gegenmaßnahmen

Kapitel 9: Administrative Vorlagen für Windows XP und Windows Server 2003

Aktualisiert: 27.12.2005

Die administrativen Vorlagen der Gruppenrichtlinien enthalten registrierungsbasierte Einstellungen, mit denen das Verhalten und das Erscheinungsbild von Computern in einer Umgebung festgelegt wird. Diese Einstellungen betreffen auch das Verhalten von Betriebssystemkomponenten und Anwendungen. Sie können hunderte dieser Einstellungen konfigurieren und durch Importieren zusätzlicher ADM-Dateien weitere Einstellungen hinzufügen.

In diesem Kapitel werden die administrativen Vorlagen aufgeführt, die unter dem Knoten „Computerkonfiguration“ der in diesem Handbuch definierten Gruppenrichtlinien enthalten sind. Außerdem werden die administrativen Vorlagen aufgeführt, die sich unter dem Knoten „Benutzerkonfiguration“ befinden. In diesem Kapitel werden nicht alle Einstellungen beschrieben, die in den administrativen Vorlagen für Microsoft® Windows® XP und Microsoft Windows Server™ 2003 zur Verfügung stehen. Das Kapitel enthält jedoch Anleitungen zu allen Einstellungen, die für die Sicherheit von Computern mit den genannten Betriebssystemen relevant sind. Einige Einstellungen werden nicht erläutert und gelten speziell für Anwendungskompatibilität, Taskplaner, Windows Installer, Windows Messenger und Windows Media® Player.

Frühere Versionen dieses Handbuchs enthielten Informationen zu administrativen Vorlagen für Office XP. Microsoft Office 2003 verfügt über eine Vielzahl von neuen Funktionen und Änderungen in Bezug auf die im Lieferumfang des Produkts enthaltenen administrativen Vorlagen. Weitere Informationen zu diesen Änderungen finden Sie im Abschnitt „Weitere Informationen“ am Ende dieses Kapitels.

Auf dieser Seite

	Computerkonfigurationseinstellungen
	Benutzerkonfigurationseinstellungen
	Weitere Informationen

Computerkonfigurationseinstellungen

Für Computer, die Mitglieder einer Active Directory®-Verzeichnisdienstdomäne sind, gelten die folgenden Konfigurationseinstellungen. Informationen zu Benutzerkonfigurationseinstellungen finden Sie weiter unten in diesem Kapitel.

NetMeeting

Mit Microsoft NetMeeting® können über das Netzwerk Ihrer Organisation virtuelle Besprechungen durchgeführt werden. Die Gruppenrichtlinieneinstellungen für NetMeeting können im Gruppenrichtlinienobjekt-Editor in folgendem Verzeichnis konfiguriert werden:

Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\
NetMeeting

Remotedesktop-Freigabe deaktivieren

Mit dieser Richtlinieneinstellung können Sie die Remotedesktop-Freigabefunktion von NetMeeting deaktivieren. Bei Aktivierung dieser Richtlinieneinstellung ist die Konfiguration von NetMeeting zur automatischen Beantwortung von eingehenden Aufrufen und zur Remotesteuerung des lokalen Desktops durch den Benutzer nicht möglich.

Für die Einstellung Remotedesktop-Freigabe deaktivieren sind folgende Werte möglich:

•	Aktiviert
•	Deaktiviert
•	Nicht konfiguriert

Sicherheitsanfälligkeit

Bei Aktivierung dieser Richtlinieneinstellung können Benutzer die Remotedesktop-Freigabefunktion von NetMeeting nicht verwenden.

Gegenmaßnahme

Setzen Sie die Einstellung Remotedesktop-Freigabe deaktivieren auf Aktiviert.

Mögliche Auswirkung

Benutzer können die Remotedesktop-Freigabe über NetMeeting nicht konfigurieren. Es ist jedoch möglich, dass sie weiterhin die Windows-Funktionen „Remoteunterstützung“ und „Remotedesktop“ verwenden können, falls diese Funktionen aktiviert sind.

Computereinstellungen für Internet Explorer

Microsoft Internet Explorer ist der in Windows XP und Windows Server 2003 enthaltene Webbrowser. Viele seiner Funktionen können durch Gruppenrichtlinien verwaltet werden. Die Computer-Gruppenrichtlinieneinstellungen für Internet Explorer können im Gruppenrichtlinienobjekt-Editor in folgendem Verzeichnis konfiguriert werden:

Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\
Internet Explorer

Automatische Installation von Internet Explorer-Komponenten deaktivieren

Mit dieser Richtlinieneinstellung können Sie verhindern, dass Internet Explorer beim Aufrufen einer Website durch die Benutzer die für diese Website erforderlichen Komponenten automatisch herunterlädt. Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, werden Benutzer bei jedem Besuch der entsprechenden Websites aufgefordert, die erforderlichen Komponenten herunterzuladen und zu installieren. Mit dieser Richtlinieneinstellung kann der Administrator festlegen, welche Komponenten von Benutzern installiert werden dürfen.

Für die Einstellung Automatische Installation von Internet Explorer-Komponenten deaktivieren sind folgende Werte möglich:

•	Aktiviert
•	Deaktiviert
•	Nicht konfiguriert

Sicherheitsanfälligkeit

Website-Operatoren können in böswilliger Absicht Komponenten mit schädlichem Code hosten. Dieser Code kann u. U. von Benutzern in Ihrer Organisation versehentlich heruntergeladen und auf den Computern in Ihrer Umgebung ausgeführt werden. Mögliche Folgen sind die Offenlegung vertraulicher Daten, Datenverlust und Instabilität.

Gegenmaßnahme

Setzen Sie die Einstellung Automatische Installation von Internet Explorer-Komponenten deaktivieren auf Aktiviert.

Mögliche Auswirkung

Von Internet Explorer können automatisch keine Komponenten heruntergeladen werden, wenn die Benutzer Websites besuchen, für die diese Komponenten benötigt werden.

Periodische Überprüfungen auf Softwareaktualisierungen von Internet Explorer deaktivieren

Bei Aktivierung dieser Richtlinieneinstellung kann Internet Explorer nicht mehr feststellen, ob eine neuere Browserversion verfügbar ist, und die entsprechende Benachrichtigung an die Benutzer entfällt. Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, überprüft Internet Explorer alle 30 Tage (Standardeinstellung), ob Updates vorhanden sind. Wenn eine neue Version verfügbar ist, werden die Benutzer benachrichtigt. Diese Richtlinieneinstellung hilft dem Administrator, die Kontrolle über die Internet Explorer-Version zu behalten, da Benutzer nicht mehr über neue verfügbare Browserversionen informiert werden.

Für die Einstellung Periodische Überprüfungen auf Softwareaktualisierungen von Internet Explorer deaktivieren sind folgende Werte möglich:

•	Aktiviert
•	Deaktiviert
•	Nicht konfiguriert

Sicherheitsanfälligkeit

Obwohl Microsoft alle Patches und Service Packs vor ihrer Veröffentlichung gründlich testet, möchten manche Organisationen die gesamte Software auf den verwalteten Computern genau überwachen. Durch Aktivierung der Einstellung Periodische Überprüfungen auf Softwareaktualisierungen von Internet Explorer deaktivieren können Sie sicherstellen, dass Updates für Internet Explorer nicht automatisch heruntergeladen und auf den Computern installiert werden.

Gegenmaßnahme

Setzen Sie die Einstellung Periodische Überprüfungen auf Softwareaktualisierungen von Internet Explorer deaktivieren auf Aktiviert.

Mögliche Auswirkung

Hotfixes und Service Packs können nicht automatisch von Internet Explorer heruntergeladen und installiert werden. Administratoren müssen daher ein anderes Verfahren verwenden, um Softwareupdates automatisch auf alle verwalteten Computer zu verteilen.

Softwareupdatebenachrichtigungen beim Programmstart deaktivieren

Diese Richtlinieneinstellung verhindert, dass Benutzer benachrichtigt werden, wenn Programme, die Microsoft Software Distribution Channel verwenden, neue Komponenten installieren. Software Distribution Channel ist eine Möglichkeit zur dynamischen Aktualisierung von Software mit OSD-Technologien (Open Software Distribution).

Wenn Sie diese Richtlinieneinstellung aktivieren, werden Benutzer nicht benachrichtigt, wenn ihre Programme über Software Distribution Channels aktualisiert werden. Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, erhalten Benutzer eine Benachrichtigung, bevor ihre Programme aktualisiert werden. Diese Richtlinieneinstellung ist für Administratoren vorgesehen, die die Programme der Benutzer ohne Benutzereingriff über Software Distribution Channels aktualisieren möchten.

Für die Einstellung Softwareupdatebenachrichtigungen beim Programmstart deaktivieren sind folgende Werte möglich:

•	Aktiviert
•	Deaktiviert
•	Nicht konfiguriert

Sicherheitsanfälligkeit

Organisationen, die OSD-Tools und -Technologien verwenden, ziehen es möglicherweise vor, dass die Benutzer nicht über die Installation von Patches und Service Packs auf ihren Computern benachrichtigt werden, damit diese den Installationsvorgang nicht vorzeitig abbrechen können.

Gegenmaßnahme

Setzen Sie die Einstellung Softwareupdatebenachrichtigungen beim Programmstart deaktivieren auf Aktiviert.

Mögliche Auswirkung

Die Benutzer werden nicht benachrichtigt, wenn Softwareupdates über OSD-Technologien bereitgestellt werden.

Proxyeinstellungen pro Computer vornehmen (anstelle von pro Benutzer)

Bei Aktivierung dieser Richtlinieneinstellung können benutzerspezifische Proxyeinstellungen nicht vom Benutzer geändert werden. Die Benutzer müssen die Zonen verwenden, die für alle Benutzer eines Computers erstellt wurden.

Für die Einstellung Proxyeinstellungen pro Computer vornehmen (anstelle von pro Benutzer) sind folgende Werte möglich:

•	Aktiviert
•	Deaktiviert
•	Nicht konfiguriert

Sicherheitsanfälligkeit

Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, können die Benutzer desselben Computers ihre eigenen Proxyeinstellungen festlegen. Mit dieser Richtlinieneinstellung soll sichergestellt werden, dass die Gültigkeit von Proxyeinstellungen auf einem Computer einheitlich bleibt und nicht je nach Benutzer variiert.

Gegenmaßnahme

Setzen Sie die Einstellung Proxyeinstellungen pro Computer vornehmen (anstelle von pro Benutzer) auf Aktiviert.

Mögliche Auswirkung

Alle Benutzer werden gezwungen, die für den Computer definierten Proxyeinstellungen zu verwenden.

Sicherheitszonen: Benutzer können keine Sites hinzufügen oder entfernen

Mit dieser Richtlinieneinstellung können Sie die Einstellungen für die Siteverwaltung von Sicherheitszonen deaktivieren. (Um die Einstellungen für die Siteverwaltung von Sicherheitszonen anzuzeigen, klicken Sie in Internet Explorer im Menü Extras auf Internetoptionen. Klicken Sie auf die Registerkarte Sicherheit und dann auf Sites). Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, können die Benutzer den Zonen „Vertrauenswürdige Sites“ und „Eingeschränkte Sites“ Websites hinzufügen oder aus diesen Zonen entfernen. Außerdem können sie die Einstellungen in der Zone „Lokales Intranet“ ändern.

Für die Einstellung Sicherheitszonen: Benutzer können keine Sites hinzufügen/entfernen sind folgende Werte möglich:

•	Aktiviert
•	Deaktiviert
•	Nicht konfiguriert

Hinweis: Bei Aktivierung der Einstellung Sicherheitsseite deaktivieren unter
\Benutzerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Internet Explorer\Internetsystemsteuerung
wird die Registerkarte Sicherheit aus der Benutzeroberfläche entfernt. Wenn diese Einstellung aktiviert ist, hat sie Vorrang vor der Einstellung Sicherheitszonen: Benutzer können keine Sites hinzufügen/entfernen.

Sicherheitsanfälligkeit

Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, können Benutzer nach Belieben Websites zu den Zonen „Vertrauenswürdige Sites“ und „Eingeschränkte Sites“ hinzufügen oder aus diesen Zonen entfernen und Einstellungen in der Zone „Lokales Intranet“ ändern. Diese Konfiguration kann es ermöglichen, dass diesen Zonen Sites hinzugefügt werden, die schädlichen mobilen Code hosten, der von den Benutzern ausgeführt werden kann.

Gegenmaßnahme

Setzen Sie die Einstellung Sicherheitszonen: Benutzer können keine Sites hinzufügen/entfernen auf Aktiviert.

Mögliche Auswirkung

Die Benutzer können die vom Administrator vorgenommenen Einstellungen für die Siteverwaltung von Sicherheitszonen nicht ändern. Wenn die Benutzer Sites zu diesen Sicherheitszonen von Internet Explorer hinzufügen oder aus diesen Zonen entfernen müssen, müssen sie von einem Administrator konfiguriert werden.

Sicherheitszonen: Benutzer können keine Einstellungen ändern

Mit dieser Richtlinieneinstellung können Sie die Schaltfläche Stufe anpassen und den Zonenschieberegler „Sicherheitsstufe“ auf der Registerkarte Sicherheit im Dialogfeld Internetoptionen deaktivieren. Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, können Benutzer die Sicherheitszoneneinstellungen ändern. Mit dieser Richtlinieneinstellung kann verhindert werden, dass die vom Administrator vorgenommenen Richtlinieneinstellungen für Sicherheitszonen geändert werden.

Für die Einstellung Sicherheitszonen: Benutzer können keine Einstellungen ändern sind folgende Werte möglich:

•	Aktiviert
•	Deaktiviert
•	Nicht konfiguriert

Sicherheitsanfälligkeit

Benutzer, die die Internet Explorer-Sicherheitseinstellungen ändern, ermöglichen dadurch u. U. die Ausführung von gefährlichen Codetypen aus dem Internet und den Websites, die im Browser in der Zone für eingeschränkte Sites aufgeführt werden.

Gegenmaßnahme

Setzen Sie die Einstellung Sicherheitszonen: Benutzer können keine Einstellungen ändern auf Aktiviert.

Mögliche Auswirkung

Die Benutzer können für Internet Explorer-Zonen keine Sicherheitseinstellungen konfigurieren.

Sicherheitszonen: Die Einstellungen für Sicherheitszonen statisch festlegen

Durch diese Richtlinieneinstellung wird Benutzern erlaubt, Änderungen an einer Sicherheitszone vornehmen, die für alle Benutzer des betreffenden Computers gültig sind. Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, können die Benutzer desselben Computers ihre eigenen Sicherheitseinstellungen festlegen. Mit dieser Richtlinieneinstellung wird sichergestellt, dass die Gültigkeit von Sicherheitszoneneinstellungen auf demselben Computer einheitlich bleibt und nicht je nach Benutzer variiert.

Für die Einstellung Sicherheitszonen:Die Einstellungen für Sicherheitszonen statisch festlegen sind folgende Werte möglich:

•	Aktiviert
•	Deaktiviert
•	Nicht konfiguriert

Sicherheitsanfälligkeit

Gegenmaßnahme

Setzen Sie die Einstellung Sicherheitszonen: Die Einstellungen für Sicherheitszonen statisch festlegen auf Aktiviert.

Mögliche Auswirkung

Die Benutzer können für Internet Explorer-Zonen keine Sicherheitseinstellungen konfigurieren.

Absturzerkennung deaktivieren

Mit dieser Richtlinieneinstellung können Sie die Absturzerkennung in der Add-On-Verwaltung in Internet Explorer verwalten. Bei Aktivierung dieser Richtlinieneinstellung hat ein Absturz in Internet Explorer ähnliche Auswirkungen wie ein Absturz auf einem Computer, auf dem Windows XP Professional mit Service Pack 1 (SP1) oder eine frühere Version ausgeführt wird: Die Windows-Fehlerberichterstattung wird aufgerufen. Wenn Sie diese Richtlinieneinstellung deaktivieren, ist die Absturzerkennung in der Add-On-Verwaltung aktiviert.

Für die Einstellung Systemabsturzermittlung deaktivieren sind folgende Werte möglich:

•	Aktiviert
•	Deaktiviert
•	Nicht konfiguriert

Sicherheitsanfälligkeit

In einem Absturzbericht können vertrauliche Informationen aus dem Computerspeicher enthalten sein.

Gegenmaßnahme

Setzen Sie die Einstellung Systemabsturzermittlung deaktivieren auf Aktiviert.

Mögliche Auswirkung

Informationen zu den durch Internet Explorer-Add-Ons verursachten Abstürzen werden nicht an Microsoft gesendet. Wenn Abstürze häufig und wiederholt auftreten und Sie sich zur Problembehandlung an den Support wenden müssen, sollte die Einstellung vorübergehend auf Deaktiviert gesetzt werden.

Benutzern nicht erlauben, Add-Ons zu aktivieren oder zu deaktivieren

Durch diese Richtlinieneinstellung wird festgelegt, ob Benutzer die Möglichkeit haben, Add-Ons mithilfe des Befehls „Add-Ons verwalten“ zuzulassen oder zu verweigern. Wenn Sie diese Richtlinieneinstellung auf Aktiviert einstellen, können Benutzer Add-Ons nicht über den Befehl „Add-Ons verwalten“ aktivieren oder deaktivieren. Einzige Ausnahme ist der Fall, wenn ein Add-On ausdrücklich so in der Richtlinieneinstellung Add-On-Liste eingegeben wurde, dass Benutzer das Add-On weiterhin über den Befehl „Add-Ons verwalten“ verwalten können. Wenn Sie diese Richtlinieneinstellung auf Deaktiviert setzen, kann der Benutzer Add-Ons aktivieren bzw. deaktivieren.

Hinweis: Weitere Informationen zur Verwaltung von Internet Explorer-Add-Ons in Windows XP SP2 finden Sie im Knowledge Base-Artikel 883256, „Verwalten von Internet Explorer-Add-Ons in Windows XP Service Pack 2“, unter http://support.microsoft.com/?kbid=883256.

Für die Einstellung Aktivierung bzw. Deaktivierung von Add-Ons für Benutzer nicht zulassen sind folgende Werte möglich:

•	Aktiviert
•	Deaktiviert
•	Nicht konfiguriert

Sicherheitsanfälligkeit

Benutzer installieren häufig Add-Ons, die von der Sicherheitsrichtlinie einer Organisation nicht zugelassen sind. Solche Add-Ons können ein Sicherheits- und Vertraulichkeitsrisiko für Ihr Netzwerk darstellen.

Gegenmaßnahme

Setzen Sie die Einstellung Aktivierung bzw. Deaktivierung von Add-Ons für Benutzer nicht zulassen auf Aktiviert.

Mögliche Auswirkung

Bei Aktivierung der Einstellung Aktivierung bzw. Deaktivierung von Add-Ons für Benutzer nicht zulassen können Benutzer ihre eigenen Internet Explorer-Add-Ons nicht aktivieren bzw. deaktivieren. Wenn in Ihrer Organisation Add-Ons verwendet werden, kann diese Konfiguration u. U. Auswirkungen auf die Arbeitsfähigkeit der Mitarbeiter haben.

Internet Explorer\Internetsystemsteuerung\Sicherheitsseite

Die Gruppenrichtlinieneinstellungen für die Internet Explorer-Sicherheitsseite können im Gruppenrichtlinienobjekt-Editor in folgendem Verzeichnis konfiguriert werden:

Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\
Internet Explorer\Internetsystemsteuerung\Sicherheitsseite

Die einzelnen Richtlinieneinstellungen für die Sicherheitsseite werden ausführlich in den Windows XP- und Windows Server 2003-Hilfesystemen sowie auf der Microsoft-Website dokumentiert. Diese Informationen werden daher in diesem Handbuch nicht wiederholt. Sie sollten die folgenden allgemeinen Richtlinien berücksichtigen.

Sicherheitsanfälligkeit

Wenn Sie Benutzern erlauben, ihre eigenen Sicherheitseinstellungen in Internet Explorer zu konfigurieren, können die Computer anfälliger für schädliche Software (Malware) werden. Darüber hinaus können die Benutzer alle für das Unternehmen eingerichteten Standardsicherheitsrichtlinien umgehen.

Gegenmaßnahme

Verwenden Sie die Einstellungen im Gruppenrichtlinienknoten Internet Explorer\Internetsystemsteuerung\Sicherheitsseite, um angemessene Werte für Sicherheitszonen und sicherheitszonenspezifisches Verhalten festzulegen.

Mögliche Auswirkung

Unter Windows XP SP2 und Windows Server 2003 SP1 werden mehrere neue Richtlinieneinstellungen zur Sicherung der Internet Explorer-Zonenkonfiguration in der gesamten Umgebung eingeführt. Die Standardwerte für diese Richtlinieneinstellungen bieten eine höhere Sicherheit als früheren Windows-Versionen. Sie müssen diese Richtlinieneinstellungen jedoch u. U. an Ihre lokale Umgebung anpassen. Möglicherweise möchten Sie z. B. der Zone „Vertrauenswürdige Sites“ Ihre Geschäftspartner oder Lieferanten hinzufügen und Änderungen an den Zonenlisten durch die Benutzern verhindern.

Internet Explorer\Internetsystemsteuerung\Seite "Erweitert"

Die Einstellungen in diesem Abschnitt der administrativen Vorlage entsprechen den Einstellungen, die in Internet Explorer im Dialogfeld Internetoptionen auf der Registerkarte Erweitert verfügbar sind.

Die folgenden zwei Richtlinieneinstellungen sind sowohl unter Windows Server 2003 mit SP1 als auch unter Windows XP mit SP2 verfügbar.

Ausführen oder Installieren von Software zulassen, selbst wenn die Signatur ungültig ist

Mit dieser Richtlinieneinstellung können Sie festlegen, ob heruntergeladene Software durch Benutzer installiert oder ausgeführt werden kann, wenn die Signatur ungültig ist. Eine ungültige Signatur kann darauf hinweisen, dass die Datei manipuliert wurde. Wenn Sie diese Richtlinieneinstellung aktivieren, werden Benutzer aufgefordert, Dateien mit einer ungültigen Signatur zu installieren oder auszuführen. Wenn Sie diese Richtlinieneinstellung deaktivieren, können Benutzer Dateien mit einer ungültigen Signatur nicht ausführen oder installieren.

Für die Einstellung Installation bzw. Ausführung von Software zulassen, auch wenn die Signatur ungültig ist sind folgende Werte möglich:

•	Aktiviert
•	Deaktiviert
•	Nicht konfiguriert

Sicherheitsanfälligkeit

Microsoft ActiveX®-Steuerelemente und Dateidownloads verfügen häufig über digitale Signaturen, die sowohl für die Integrität der Datei als auch die Identität des Signaturgebers (Erstellers) der Software bürgen. Mit solchen Signaturen wird sichergestellt, dass Software unverändert heruntergeladen wird und dass Sie den Signaturgeber eindeutig identifizieren können. So können Sie entscheiden, ob Sie genügend Vertrauen in die Software haben, um sie auszuführen. Die Gültigkeit von nicht signiertem Code kann nicht überprüft werden.

Gegenmaßnahme

Setzen Sie die Einstellung Installation bzw. Ausführung von Software zulassen, auch wenn die Signatur ungültig ist auf Deaktiviert, damit Benutzer keine nicht signierten ActiveX-Komponenten ausführen können.

Mögliche Auswirkung

Legitimierte Software und Steuerelemente können u. U. über eine ungültige Signatur verfügen. Solche Software sollte sorgfältig in einer isolierten Umgebung getestet werden, bevor Sie deren Verwendung im Netzwerk Ihrer Organisation zulassen.

Ausführung aktiver Inhalte von CDs auf Computern zulassen

Mit dieser Richtlinieneinstellung können Sie festlegen, ob aktive Inhalte von CDs auf den Benutzercomputern ausgeführt werden können. Organisationen mit hohen Sicherheitsanforderungen können dadurch die Ausführung von ActiveX-Steuerelementen oder anderen aktiven Inhalten, die auf einer CD bereitgestellt werden, verhindern.

Für die Einstellung Ausführung aktiver Inhalte von CDs auf Computern zulassen sind folgende Werte möglich:

•	Aktiviert
•	Deaktiviert
•	Nicht konfiguriert

Sicherheitsanfälligkeit

Benutzer können die Sicherheitsrichtlinien der Organisation versehentlich umgehen, wenn sie Inhalte ausführen, die auf einer CD und nicht über das Netzwerk bereitgestellt wurden.

Gegenmaßnahme

Setzen Sie die Einstellung Ausführung aktiver Inhalte von CDs auf Computern zulassen auf Deaktiviert. Durch diese Konfiguration wird die Ausführung von aktiven Inhalten, die auf CDs gespeichert sind, verhindert.

Mögliche Auswirkung

Bei Aktivierung dieser Richtlinieneinstellung funktionieren Anwendungen, die von einer CD installiert werden sollten, möglicherweise nicht einwandfrei.

Browsererweiterungen von Drittanbietern zulassen

(Diese Richtlinieneinstellung ist nur unter Windows Server 2003 verfügbar.)

Benutzer können Browsererweiterungen von Drittanbietern installieren, die als Browserhilfsobjekte (BHOs) bezeichnet werden. Durch die Einstellung Browsererweiterungen von Drittanbietern zulassen wird festgelegt, ob installierte BHOs beim Starten von Internet Explorer geladen werden.

Für die Einstellung Browsererweiterungen von Drittanbietern zulassen sind folgende Werte möglich:

•	Aktiviert
•	Deaktiviert
•	Nicht konfiguriert

Sicherheitsanfälligkeit

Browsererweiterungen von Drittanbietern stellen ein Sicherheitsrisiko dar, da sie u. U. Sicherheitsanfälligkeiten oder sogar schädlichen Code enthalten. Außerdem kann ihre Installation gegen die Sicherheitsrichtlinien der Organisation verstoßen.

Gegenmaßnahme

Setzen Sie die Einstellung Browsererweiterungen von Drittanbietern zulassen auf Deaktiviert.

Mögliche Auswirkung

Wenn Sie die Einstellung Browsererweiterungen von Drittanbietern zulassen auf Deaktiviert setzen, können von Benutzern Browsererweiterungen von Drittanbietern installiert werden. Diese werden jedoch nicht beim Starten von Internet Explorer geladen. Diese Konfiguration kann den Arbeitsablauf für Benutzer beeinträchtigen oder zu Anfragen beim Helpdesk führen.

Auf gesperrte Serverzertifikate überprüfen

(Diese Richtlinieneinstellung ist nur unter Windows Server 2003 verfügbar.)

Wenn eine SSL-Verbindung (Secure Sockets Layer) zwischen dem Browser und einem Remoteserver hergestellt wurde, übergibt der Server dem Clientcomputer ein Zertifikat, das in der anfänglichen Sicherheitsaushandlung verwendet werden soll. Bei Aktivierung der Einstellung Auf gesperrte Serverzertifikate überprüfen prüft Internet Explorer, ob das übergebene Zertifikat in der Zertifikatsperrliste des Ausstellers enthalten ist.

Für die Einstellung Auf gesperrte Serverzertifikate überprüfen sind folgende Werte möglich:

•	Aktiviert
•	Deaktiviert
•	Nicht konfiguriert

Sicherheitsanfälligkeit

Benutzer können versehentlich mit einem Server kommunizieren, dessen Zertifikat abgelaufen ist oder durch den Aussteller gesperrt wurde. Eine solche Situation kann zur Offenlegung von Informationen oder sogar zu Angriffen führen, wenn der Remoteserver beeinträchtigt wurde.

Gegenmaßnahme

Setzen Sie die Einstellung Auf gesperrte Serverzertifikate überprüfen auf Aktiviert.

Mögliche Auswirkung

Bei Aktivierung der Einstellung Auf gesperrte Serverzertifikate überprüfen erhalten Benutzer u. U. eine Warnmeldung für Websites, die sie zuvor als vertrauenswürdig eingestuft haben. Stellen Sie den Benutzern alle notwendigen Informationen zur Verfügung, damit sie beim Surfen im Internet fundierte Vertrauensentscheidungen treffen können.

Signaturen von übertragenen Programmen überprüfen

(Diese Richtlinieneinstellung ist nur unter Windows Server 2003 verfügbar.)

Heruntergeladene Programme können mit Microsoft Authenticode®-Technologie signiert werden, wodurch an ausführbare Objekte (z. B. Programme und ActiveX-Steuerelemente) eine digitale Signatur gebunden wird. Bei Aktivierung der Einstellung Signaturen von übertragenen Programmen überprüfen ermittelt Internet Explorer die digitale Signatur der ausführbaren Programme und zeigt deren Identitäten an, bevor sie heruntergeladen werden.

Für die Einstellung Signaturen von übertragenen Programmen überprüfen sind folgende Werte möglich:

•	Aktiviert
•	Deaktiviert
•	Nicht konfiguriert

Sicherheitsanfälligkeit

Benutzer können versehentlich ungeeignete oder schädliche Inhalte herunterladen.

Gegenmaßnahme

Setzen Sie die Einstellung Signaturen von übertragenen Programmen überprüfen auf Aktiviert.

Mögliche Auswirkung

Bei Aktivierung der Einstellung Signaturen von übertragenen Programmen überprüfen werden Benutzern die Identitätsinformationen zu ausführbaren und signierten Programmen angezeigt.

Verschlüsselte Seiten nicht auf der Festplatte speichern

(Diese Richtlinieneinstellung ist nur unter Windows Server 2003 verfügbar.)

Wenn Internet Explorer Seiten von einem Remoteserver abruft, werden die Seiten als temporären Dateien im Cache von Internet Explorer gespeichert. Diese Funktion verbessert die Leistung und ermöglicht das Vorwärts- und Zurückblättern in der Verlaufsliste des Browsers, ohne dass eine erneute Verbindung zum Host hergestellt werden muss.

Für die Einstellung Verschlüsselte Seiten nicht auf der Festplatte speichern sind folgende Werte möglich:

•	Aktiviert
•	Deaktiviert
•	Nicht konfiguriert

Sicherheitsanfälligkeit

Zwischengespeicherte Seiten von SSL-gesicherten Verbindungen können vertrauliche Informationen (z. B. Kennwörter oder Kreditkartennummern) enthalten.

Gegenmaßnahme

Setzen Sie die Einstellung Verschlüsselte Seiten nicht auf der Festplatte speichern auf Aktiviert.

Mögliche Auswirkung

Die über SSL-Verbindungen abgerufenen Seiten werden nicht zwischengespeichert. Diese Konfiguration kann dazu führen, dass eine erhöhte Netzwerkbandbreite in Anspruch genommen wird, da die bei Deaktivierung dieser Richtlinieneinstellung zwischengespeicherten Seiten nun von den Benutzerbrowsern erneut heruntergeladen werden müssen.

Leeren des Ordners "Temporary Internet Files" beim Schließen des Browsers

(Diese Richtlinieneinstellung ist nur unter Windows Server 2003 verfügbar.)

Die von Internet Explorer abgerufenen Seiten werden als temporäre Dateien im Cache von Internet Explorer gespeichert. Internet Explorer verwaltet diesen Cache gemäß der Einstellungen im Dialogfeld Einstellungen für temporäre Internetdateien. Nach dem Herunterladen einer Datei oder eines Objekts wird es im Cache gespeichert, bis es von Internet Explorer entfernt wird.

Für die Einstellung Leeren des Ordners "Temporary Internet Files" beim Schließen des Browsers sind folgende Werte möglich:

•	Aktiviert
•	Deaktiviert
•	Nicht konfiguriert

Sicherheitsanfälligkeit

Vertrauliche Informationen können im Ordner \Temporary Internet Files aufbewahrt werden, nachdem ein Benutzer Internet Explorer beendet und sich abgemeldet hat. Ein anderer Benutzer kann auf diese Dateien zugreifen, wenn er denselben Computer verwendet.

Gegenmaßnahme

Setzen Sie die Einstellung Leeren des Ordners "Temporary Internet Files" beim Schließen des Browsers auf Aktiviert.

Mögliche Auswirkung

Internet Explorer verwendet den Ordner \Temporary Internet Files als Cache, um die Browserleistung zu verbessern. Bei Deaktivierung dieser Funktion wird von den Benutzern möglicherweise mehr Zeit und Bandbreite beim Surfen im Internet in Anspruch genommen.

Internet Explorer\Sicherheitsfunktionen

Der Abschnitt Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Internet Explorer\Sicherheitsfunktionen der administrativen Vorlagen von Windows enthält mehrere Richtlinieneinstellungen, die verschiedene Sicherheitsfunktionen steuern, die Internet Explorer 6.0 unter Windows Server 2003 SP1 und Windows XP SP2 hinzugefügt wurden. Jede dieser Richtlinieneinstellungen enthält drei untergeordnete Einstellungen:

•	Internet Explorer-Prozesse. Für diese Einstellung sind folgende drei Werte möglich: Aktiviert, Deaktiviert und Nicht konfiguriert. Wird diese Einstellung auf Aktiviert gesetzt, wird das festgelegte Verhalten für Internet Explorer- und Windows Explorer-Prozesse ausgeschaltet. Wird diese Einstellung auf Deaktiviert oder Nicht konfiguriert gesetzt, wird das (für jede Einstellung separat beschriebene) Standardverhalten beibehalten.
•	Prozessliste. Mit dieser Einstellung können Sie einzelne Prozesse angeben, für die die Sicherheitsfunktion aktiviert bzw. deaktiviert werden soll. Durch die Prozessliste wird festgelegt, für welche Prozesse die Funktionssteuerung gültig ist. Die Funktion für diese Prozesse wird bei einem Einstellungswert von 1 deaktiviert und bei einem Einstellungswert von 0 aktiviert.
•	Alle Prozesse. Für diese Einstellung sind folgende drei Werte möglich: Aktiviert, Deaktiviert und Nicht konfiguriert. Wird diese Einstellung auf Aktiviert gesetzt, wird das festgelegte Verhalten für Internet Explorer- und Windows Explorer-Prozesse ausgeschaltet. Wird diese Einstellung auf Deaktiviert oder Nicht konfiguriert gesetzt, wird das (für jede Einstellung separat beschriebene) Standardverhalten beibehalten.

Sicherheitseinschränkung für Binärverhalten

Internet Explorer enthält dynamische binäre Verhaltensweisen. Hierbei handelt es sich um Komponenten, die spezifische Funktionalität für die HTML-Elemente einkapseln, an die sie angefügt wurden. Das Binärverhalten wird nicht durch Sicherheitseinstellungen von Internet Explorer gesteuert und funktioniert daher auf Webseiten in der Zone „Eingeschränkte Sites“.

Windows XP SP2 und Windows Server 2003 SP1 verfügen über eine neue Internet Explorer-Sicherheitseinstellung für Binärverhalten. Durch die neue Sicherheitseinstellung wird das Binärverhalten in der Zone „Eingeschränkte Sites“ standardmäßig deaktiviert. Darüber hinaus bietet sie eine allgemeine Vorbeugung gegen Sicherheitsanfälligkeiten im Binärverhalten von Internet Explorer.

Neben den oben beschriebenen Einstellungen Internet Explorer-Prozesse, Prozessliste und Alle Prozesse ermöglicht die Einstellung Sicherheitseinschränkung für Binärverhalten, individuelle Verhaltensweisen mithilfe der Einstellung Vom Administrator zugelassenes Verhalten zuzulassen. Zur Steuerung dieses Binär- und Skriptverhaltens können Sie nun für die entsprechenden Zonen die Einstellung Vom Administrator zugelassenes Verhalten wählen und anschließend mit dieser Einstellung die individuellen Verhaltensweisen festlegen, die in jeder Zone ausgeführt werden können.

Sicherheitsanfälligkeit

Webseiten können fehlerhafte oder schädliche Verhaltensweisen aufrufen, die Instabilität und Beeinträchtigungen verursachen.

Gegenmaßnahme

Deaktivieren Sie jegliche Möglichkeit zur Verwendung von Binärverhalten. Wahlweise können Sie in der Einstellung Vom Administrator zugelassenes Verhalten mehrere zulässige Verhaltensweisen angeben.

Mögliche Auswirkung

Anwendungen, die auf Binärverhalten beruhen, funktionieren u. U. nicht einwandfrei, wenn die für diese Anwendungen erforderlichen Verhaltenweisen deaktiviert wurden.

Sicherheitseinschränkung für MK-Protokoll

Durch diese Richtlinieneinstellung wird das selten verwendete MK-Protokoll blockiert, um die Angriffsfläche des Computer zu verringern. Einige ältere Webanwendungen rufen mithilfe des MK-Protokolls Informationen aus komprimierten Dateien ab.

Sicherheitsanfälligkeit

Im MK-Protokollhandler oder in Anwendungen, die diesen Handler aufrufen, liegen möglicherweise Sicherheitsanfälligkeiten vor.

Gegenmaßnahme

Da das MK-Protokoll selten verwendet wird, sollte es blockiert werden, sofern es nicht erforderlich ist. Deaktivieren Sie den Zugriff auf das MK-Protokoll für alle Prozesse.

Mögliche Auswirkung

Wenn Sie diese Einstellung vornehmen, können die Ressourcen, die das MK-Protokoll verwenden, nicht ausgeführt werden. Sie sollten deshalb sicherstellen, dass keine Ihrer Anwendungen das MK-Protokoll verwendet.

Sperrung der Zone des lokalen Computers

Beim Öffnen einer Webseite in Internet Explorer wird das Seitenverhalten entsprechend der Internet Explorer-Sicherheitszone, zu der die Seite gehört, eingeschränkt. Es sind mehrere mögliche Sicherheitszonen vorhanden, wobei zu jeder Zone andere Einschränkungen gehören. Die Sicherheitszone für eine Seite wird durch den Seitenstandort bestimmt. Seiten, die sich z. B. im Internet befinden, werden normalerweise der Internetsicherheitszone zugewiesen, die strengen Einschränkungen unterliegt. Möglicherweise sind für diese Seiten bestimmte Vorgänge (z. B. der Zugriff auf die lokale Festplatte) nicht zulässig. Seiten, die sich im Netzwerk der Organisation befinden, werden normalerweise der Intranetsicherheitszone zugewiesen, die weniger strengen Einschränkungen unterliegt. Die genauen Einschränkungen, die mit den meisten dieser Zonen verbunden sind, können vom Benutzer in Internet Explorer im Menü Extras über die Option Internetoptionen festgelegt werden.

Fehlerfreie Anwendungen sollten nicht auf domänenübergreifendem Objektzugriff beruhen. Andernfalls können solche Anwendungen bei Aktivierung dieser Richtlinieneinstellung nicht ausgeführt werden.

Sicherheitseinschränkungen für Skriptfenster

Internet Explorer ermöglicht Skripts, verschiedene Arten von Fenstern per Programm zu öffnen, in der Größe anzupassen und neu zu positionieren. Die Einstellung Sicherheitseinschränkungen für Skriptfenster schränkt Popupfenster ein und verhindert die Anzeige von Fenstern, deren Titel- und Statusleisten für den Benutzer nicht sichtbar sind oder in denen die Titel- und Statusleisten von anderen Fenstern ausgeblendet sind. Wenn Sie diese Richtlinieneinstellung aktivieren, wendet Windows diese Einschränkungen auf Windows Explorer- und Internet Explorer-Prozesse an. Wenn Sie diese Richtlinieneinstellung nicht konfigurieren bzw. deaktivieren, können Skripts weiterhin Popupfenster sowie Fenster, die andere Fenster verbergen, erstellen.

Es gibt viele Tools von Drittanbietern, mit denen Popupfenster in Internet Explorer gesteuert werden können. Die Einschränkung von Popupfenstern durch diese Tools funktioniert auf ähnliche Wiese wie diese Einstellung. Popupblocker von Drittanbietern beeinflussen diese Einstellung normalerweise nicht. Umgekehrt hat die Einstellung auch keine Auswirkungen auf solche Blocker.

Sicherheitsanfälligkeit

Websites von zweifelhaftem Ruf passen die Größe von Fenstern an, um andere Fenster zu verbergen oder um Benutzer zur Interaktion mit einem Fenster zu veranlassen, das schädlichen Code enthält.

Gegenmaßnahme

Setzen Sie die Einstellung Sicherheitseinschränkungen für Skriptfenster für Internet Explorer-Prozesse auf Aktiviert.

Mögliche Auswirkung

Bei Aktivierung dieser Einstellung werden Webanwendungen, die das Ändern der Größe oder Position von Fenstern erfordern, u. U. nicht ordnungsgemäß ausgeführt.

Schutz vor Zonenanhebung

Internet Explorer versieht jede Webseite, die geöffnet wird, mit Einschränkungen. Diese Einschränkungen hängen vom Standort der Webseite ab (z. B. Internetzone, Intranetzone oder Zone des lokalen Computers). Webseiten auf einem lokalen Computer haben die wenigsten Sicherheitsbeschränkungen und befinden sich in der Zone des lokalen Computers. Dadurch wird die Sicherheitszone des lokalen Computers zum vorrangigen Ziel für Angreifer.

Die Ausführung von Anwendungen oder die Verwendung von Seiten mit aktivem Inhalt ist für Benutzer u. U. nicht möglich, wenn zonenspezifische Einschränkungen festgelegt werden. Sie müssen die Anwendungen in jeder Zone gründlich testen, um deren ordnungsgemäße Funktionsweise bei Aktivierung der Protokollsperrung sicherzustellen.

Internetinformationsdienste

Microsoft Internet Information Services (IIS) 6.0, der integrierte Webserver von Windows Server 2003, erleichtert die Freigabe von Dokumenten und Daten in einem unternehmenseigenen Intranet und im Internet. Die IIS-Einstellung kann im Gruppenrichtlinienobjekt-Editor in folgendem Verzeichnis konfiguriert werden:

Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\
Internetinformationsdienste

IIS-Installation verhindern

IIS 6.0 wird unter Windows Server 2003 nicht standardmäßig installiert. Sie können die Einstellung IIS-Installation verhindern aktivieren, um die Installation von IIS auf Computern in Ihrer Umgebung zu verhindern.

Für die Einstellung IIS-Installation verhindern sind folgende Werte möglich:

•	Aktiviert
•	Deaktiviert
•	Nicht konfiguriert

Sicherheitsanfälligkeit

Frühere Versionen von IIS und Anwendungen, die IIS für den Zugriff auf das Netzwerk benötigten, hatten einige schwerwiegende Sicherheitsanfälligkeiten, die von Remotebenutzern ausgenutzt werden konnten. Zwar ist IIS 6.0 wesentlich sicherer als seine Vorläufer, doch gibt es möglicherweise neue Sicherheitsanfälligkeiten, die noch entdeckt und veröffentlicht werden müssen. Unternehmen sollten daher eventuell sicherstellen, dass IIS nur auf den als Webserver vorgesehenen Computern installiert werden kann.

Gegenmaßnahme

Setzen Sie die Einstellung IIS-Installation verhindern auf Aktiviert.

Mögliche Auswirkung

Sie können keine Windows-Komponenten oder Anwendungen installieren, die IIS benötigen. Aufgrund dieser Gruppenrichtlinieneinstellung wird Benutzern, die Windows-Komponenten oder Anwendungen installieren, die IIS erfordern, eventuell keine Fehlermeldung oder Warnung angezeigt, die besagt, dass IIS nicht installiert werden kann. Diese Richtlinieneinstellung hat keine Auswirkungen auf einem Computer, auf dem IIS bereits installiert ist.

Terminaldienste

Die Windows Server 2003-Komponente „Terminaldienste“ beruht auf der soliden Grundlage des Anwendungsservermodus der Windows 2000-Terminaldienste und umfasst nun die neuen Client- und Protokollfunktionen von Windows XP. Mit den Terminaldiensten können Sie Windows-basierte Anwendungen bzw. den Windows-Desktop selbst auf praktisch jeden Computer übertragen, sogar auf Computer, auf denen Windows nicht ausgeführt werden kann.

Durch die Terminaldienste von Windows Server 2003 können die Softwarebereitstellungsfunktionen eines Unternehmens für verschiedene Szenarien erweitert werden, da sie eine sehr flexible Anwendungs- und Verwaltungsinfrastruktur ermöglichen. Wenn ein Benutzer eine Anwendung unter Terminalserver ausführt, erfolgt die Ausführung auf dem Server, und nur die für Tastatur, Maus und Bildschirm benötigten Daten werden über das Netzwerk übertragen. Jedem Benutzer wird nur die eigene individuelle Sitzung angezeigt, die vom Betriebssystem des Servers transparent verwaltet wird. Darüber hinaus wird jede Sitzung unabhängig von den anderen Clientsitzungen ausgeführt.

Die Gruppenrichtlinieneinstellungen für Terminalserver können im Gruppenrichtlinienobjekt-Editor in folgendem Verzeichnis Eintrag konfiguriert werden:

Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\
Terminaldienste

Abmelden von Administratoren in Konsolensitzung verweigern

Diese Richtlinieneinstellung gibt an, ob ein Administrator, der eine Verbindung mit der Konsole eines Servers herstellen möchte, einen derzeit bei der Konsole angemeldeten Administrator abmelden kann. Die Konsolensitzung wird auch als Sitzung 0 bezeichnet. Der Zugriff auf die Konsole kann erfolgen, wenn Sie den Parameter „/console“ im Dialogfeld „Remotedesktopverbindung“ des Feldes für den Computernamen oder über die Befehlszeile eingeben.

Für die Einstellung Abmelden von Administratoren in Konsolensitzung verweigern sind folgende Werte möglich:

•	Aktiviert
•	Deaktiviert
•	Nicht konfiguriert

Bei Aktivierung der Einstellung Abmelden von Administratoren in Konsolensitzung verweigern kann ein Administrator, der eine Verbindung zum Computer hergestellt hat, von keinem Benutzer abgemeldet werden. Bei Deaktivierung dieser Richtlinieneinstellung kann ein Administrator von einem anderen Administrator abgemeldet werden. Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, kann ein Administrator von einem anderen Administrator abgemeldet werden. Die Berechtigung kann jedoch auf der Richtlinienebene für den lokalen Computer gesperrt werden.

Diese Richtlinie ist hilfreich, wenn der derzeit verbundene Administrator nicht von einem anderen Administrator abgemeldet werden möchte. Wenn ein Administrator bei hergestellter Verbindung abgemeldet wird, gehen alle nicht gespeicherten Daten verloren.

Sicherheitsanfälligkeit

Ein Angreifer, der eine Terminalserversitzung einrichten konnte und Administratorrechte erworben hat, kann das Zurückgewinnen der Kontrolle über den Computer erschweren, indem er die Abmeldung eines Administrators erzwingt, der sich über die Konsolensitzung 0 beim Server anzumelden versucht. Der Wert dieser Gegenmaßnahme wird dadurch verringert, dass ein Angreifer, der genügend Rechte zum Abmelden anderer Benutzer erlangt hat, praktisch bereits die vollständige Kontrolle über den Computer besitzt.

Gegenmaßnahme

Setzen Sie die Einstellung Abmelden von Administratoren in Konsolensitzung verweigern auf Aktiviert.

Mögliche Auswirkung

Ein Administrator ist nicht in der Lage, andere Administratoren zwangsweise aus der Konsolensitzung 0 abzumelden.

Berechtigungsanpassung für lokale Administratoren nicht zulassen

Mit dieser Richtlinieneinstellung können Sie die Rechte von Administratoren in Bezug auf die Anpassung der Sicherheitsberechtigungen im Terminaldienste-Konfigurationsprogramm festlegen. Bei Aktivierung dieser Richtlinieneinstellung können Administratoren keine Änderungen an den Sicherheitsbeschreibungen für Benutzergruppen auf der Registerkarte Berechtigungen im Terminaldienste-Konfigurationsprogramm vornehmen. In der Standardkonfiguration können Administratoren solche Änderungen vornehmen.

Bei Aktivierung der Einstellung Berechtigungsanpassung für lokale Administratoren nicht zulassen kann die Registerkarte Berechtigungen im Terminaldienste-Konfigurationsprogramm nicht zur Anpassung der Sicherheitsbeschreibungen pro Verbindung oder zur Änderung der Standardsicherheitsbeschreibungen für eine vorhandene Gruppe verwendet werden. Alle Sicherheitsbeschreibungen sind dann schreibgeschützt. Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, erhalten Serveradministratoren über die Registerkarte Berechtigungen im Terminaldienste-Konfigurationsprogramm die vollen Lese-/Schreibzugriff auf die Sicherheitsbeschreibungen für Benutzer.

Für die Einstellung Berechtigungsanpassung für lokale Administratoren nicht zulassen sind folgende Werte möglich:

•	Aktiviert
•	Deaktiviert
•	Nicht konfiguriert

Hinweis: Die beste Methode zur Verwaltung des Benutzerzugriffs besteht darin, Benutzer der Gruppe „Remotedesktopbenutzer“ hinzuzufügen.

Sicherheitsanfälligkeit

Ein Angreifer, der auf einem Server, auf dem die Terminaldienste ausgeführt werden, administrative Berechtigungen erlangt hat, kann Berechtigungen mit dem Terminaldienste-Konfigurationsprogramm ändern. Auf diese Weise kann er andere Benutzer an der Herstellung einer Serververbindung hindern und einen Denial-of-Service herbeiführen.

Der Wert dieser Gegenmaßnahme wird dadurch verringert, dass ein Angreifer, der Administratorrechte erlangt hat, bereits vollständige Kontrolle über den Computer übernommen hat.

Gegenmaßnahme

Setzen Sie die Einstellung Berechtigungsanpassung für lokale Administratoren nicht zulassen auf Aktiviert.

Mögliche Auswirkung

Die Registerkarte Berechtigungen im Terminaldienste-Konfigurationsprogramm kann nicht zur Anpassung von Sicherheitsbeschreibungen pro Verbindung oder zur Änderung der Standardsicherheitsbeschreibungen für eine vorhandene Gruppe verwendet werden.

Regeln für Remoteüberwachung von Terminaldienste-Benutzersitzungen festlegen

Diese Richtlinieneinstellung gibt die zulässige Remoteüberwachungsstufe für eine Terminalserversitzung an. Die Remoteüberwachung kann mit oder ohne Erlaubnis des Benutzers der Sitzung eingerichtet werden. Mit dieser Einstellung können Sie eine von zwei Remoteüberwachungsstufen auswählen: Bei Sitzung anzeigen kann der Remoteüberwachungsbenutzer eine Sitzung beobachten. Bei Vollzugriff kann der Remoteüberwachungsbenutzer in die Sitzung eingreifen.

Wenn Sie die Einstellung Regeln für Remoteüberwachung von Terminaldienste-Benutzersitzungen festlegen aktivieren, können Administratoren entsprechend den festgelegten Regeln von einem Remotestandort aus in die Terminaldienstesitzung eines Benutzers eingreifen. Wählen Sie in der Liste „Optionen“ die gewünschte Überwachungs- und Berechtigungsstufe aus, um diese Regeln festzulegen. Wählen Sie Keine Remoteüberwachung zulassen, um die Remoteüberwachung zu deaktivieren. Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, kann der Serveradministrator die Remoteüberwachungsregeln mit dem Terminaldienste-Konfigurationsprogramm festlegen. Standardmäßig erhalten die Remoteüberwachungsbenutzer mit Erlaubnis des Sitzungsbenutzers Vollzugriff.

Für die Einstellung Regeln für Remoteüberwachung von Terminaldienste-Benutzersitzungen festlegen sind folgende Werte möglich:

•

Aktiviert mit folgenden Optionen:

•	Keine Remoteüberwachung zulassen
•	Vollzugriff mit Erlaubnis des Benutzers
•	Vollzugriff ohne Erlaubnis des Benutzers
•	Sitzung mit Erlaubnis des Benutzers anzeigen
•	Sitzung ohne Erlaubnis des Benutzers anzeigen

•

Deaktiviert

•

Nicht konfiguriert

Hinweis: Diese Einstellung ist sowohl im Knoten „Computerkonfiguration“ als auch im Knoten „Benutzerkonfiguration“ vorhanden. Wenn diese Einstellung an beiden Stellen konfiguriert ist, hat die Einstellung unter „Computerkonfiguration“ Vorrang vor derselben Einstellung unter „Benutzerkonfiguration“.

Sicherheitsanfälligkeit

Ein Angreifer, der Administratorrechte auf dem Server erlangt, kann mithilfe der Remoteüberwachungsfunktion der Terminaldienste die Aktionen anderer Benutzer beobachten. In einer solchen Situation können vertrauliche Daten offen gelegt werden. Der Wert dieser Gegenmaßnahme wird dadurch verringert, dass ein Angreifer, der Administratorrechte erlangt, bereits vollständige Kontrolle über den Computer übernommen hat.

Gegenmaßnahme

Setzen Sie die Einstellung Regeln für Remoteüberwachung von Terminaldienste-Benutzersitzungen festlegen auf Aktiviert, und wählen Sie die Option Keine Remoteüberwachung zulassen.

Mögliche Auswirkung

Administratoren können die Remoteüberwachungsfunktion nicht zur Unterstützung anderer Terminaldienstebenutzer verwenden.

Client/Server-Datenumleitung

Terminaldienste ermöglichen, dass Daten und Ressourcen vom Client und Server umgeleitet werden können. Die von einer Serveranwendung gedruckten Daten können z. B. an den Client umgeleitet werden, oder die Zwischenablage des Clients kann in Serveranwendungen verwendet werden. Mit den Einstellungen im Gruppenrichtlinienabschnitt „Client/Server-Datenumleitung“ können Sie festlegen, welche Umleitungstypen zulässig sind.

Die Einstellungen für Terminalserver-Datenumleitung können im Gruppenrichtlinienobjekt-Editor in folgendem Verzeichnis konfiguriert werden:

Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\
Terminaldienste\Client\Server-Datenumleitung

Zeitzonenumleitung zulassen

Durch diese Richtlinieneinstellung wird festgelegt, ob der Clientcomputer seine Zeitzoneneinstellungen an die Terminalserversitzung umleiten kann. In der Standardeinstellung ist die Zeitzone der Sitzung mit der Zeitzone des Servers identisch, und der Clientcomputer kann seine Zeitzoneninformationen nicht umleiten.

Bei Aktivierung der Einstellung Zeitzonenumleitung zulassen können Clients, die zur Zeitzonenumleitung in der Lage sind, ihre Zeitzoneninformationen an den Server senden. Die aktuelle Sitzungszeit wird dann auf Grundlage der Serverbasiszeit berechnet. Die aktuelle Sitzungszeit ist die Serverbasiszeit plus Clientzeitzone. Derzeit sind Remotedesktopverbindung und Windows CE 5.1 die einzigen Clients, die die Zeitzonenumleitung durchführen können. Sitzung 0, die Konsolensitzung, hat stets die Zeitzone und Einstellungen des Servers. Stellen Sie eine Verbindung mit der Sitzung 0 her, um die Uhrzeit und Zeitzone des Computers zu ändern.

Bei Deaktivierung der Einstellung Zeitzonenumleitung zulassen findet keine Zeitzonenumleitung statt. Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, wird auf Gruppenrichtlinienebene keine Zeitzonenumleitung festgelegt, und die Zeitzonenumleitung ist in der Standardkonfiguration ausgeschaltet. Wenn ein Administrator diese Richtlinieneinstellung ändert, wird das durch die neue Einstellung festgelegte Verhalten nur bei neuen Verbindungen angezeigt. Sitzungen, die schon vor der Änderung begonnen wurden, müssen beendet werden und eine neue Verbindung herstellen, damit die neue Einstellung wirksam wird. Microsoft empfiehlt, dass sich alle Benutzer nach dem Ändern dieser Richtlinieneinstellung vom Server abmelden.

Für die Einstellung Zeitzonenumleitung zulassen sind folgende Werte möglich:

•	Aktiviert
•	Deaktiviert
•	Nicht konfiguriert

•	Aktiviert
•	Deaktiviert
•	Nicht konfiguriert

Sicherheitsanfälligkeit

Daten können ohne direktes Eingreifen des Benutzers von der Terminalserversitzung des Benutzers zum lokalen Computer des Benutzers umgeleitet werden.

Gegenmaßnahme

Setzen Sie diese Einstellung auf Aktiviert.

Mögliche Auswirkung

Während der Terminalserversitzung wird der Standarddrucker eines Clientcomputers nicht als Standarddrucker verwendet.

Verschlüsselung und Sicherheit

Die Einstellungen für Verschlüsselung und Sicherheit von Terminalserver können im Gruppenrichtlinienobjekt-Editor in folgendem Verzeichnis konfiguriert werden:

Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\
Terminaldienste\Verschlüsselung und Sicherheit

Verschlüsselungsstufe der Clientverbindung festlegen

Durch diese Richtlinieneinstellung wird festgelegt, ob für alle zwischen dem Client und dem Remotecomputer während einer Terminalserversitzung gesendeten Daten eine Verschlüsselungsstufe erzwungen wird.

Wenn Sie die Einstellung Verschlüsselungsstufe der Clientverbindung festlegen aktivieren, können Sie die Verschlüsselungsstufe für alle Verbindungen zum Server festlegen. In der Standardeinstellung ist die Verschlüsselung auf „Höchste Stufe“ eingestellt. Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, wird über die Gruppenrichtlinie keine Verschlüsselungsstufe erzwungen. Administratoren können die Verschlüsselungsstufe auf dem Server jedoch mit dem Terminaldienste-Konfigurationsprogramm festlegen.

Für die Einstellung Verschlüsselungsstufe der Clientverbindung festlegen sind folgende Werte möglich:

•

Aktiviert mit folgenden Verschlüsselungsoptionen:

•	Clientkompatibel. Mit diesem Wert werden die zwischen Client und Server gesendeten Daten mit der höchsten vom Client unterstützten Schlüsselstufe verschlüsselt. Verwenden Sie diese Stufe, wenn der Remotecomputer in einer Umgebung ausgeführt wird, die unterschiedliche bzw. ältere Clients enthält.
•	Höchste Stufe. Mit diesem Wert werden die zwischen Client und Server gesendeten Daten mit einer starken 128-Bit-Verschlüsselung verschlüsselt. Verwenden Sie diese Stufe, wenn der Remotecomputer in einer Umgebung ausgeführt wird, die ausschließlich 128-Bit-Clients enthält, z. B. Clients mit Remotedesktopverbindung. Mit Clients, die diese Verschlüsselungsstufe nicht unterstützen, wird bei dieser Einstellung keine Verbindung hergestellt.
•	Niedrige Stufe. Mit diesem Wert werden die vom Client an den Server gesendeten Daten mit einer 56-Bit-Verschlüsselung verschlüsselt. Bei der Einstellung „Niedrige Stufe“ werden die vom Server an den Client gesendeten Daten nicht verschlüsselt.

•

Deaktiviert

•

Nicht konfiguriert

Wichtig: Wenn die FIPS-Konformität bereits durch die Gruppenrichtlinie Systemkryptografie: FIPS-konformen Algorithmus für Verschlüsselung, Hashingund Signatur verwenden aktiviert wurde, können Sie die Verschlüsselungsstufe weder mit dieser Richtlinieneinstellung noch mit dem Terminaldienste-Konfigurationsprogramm ändern.

Sicherheitsanfälligkeit

Wenn Terminalserver-Clientverbindungen mit einer niedrigen Verschlüsselungsstufe zugelassen werden, ist die Wahrscheinlichkeit größer, dass ein Angreifer den abgefangenen Terminaldienste-Netzwerkverkehr entschlüsseln kann.

Gegenmaßnahme

Legen Sie für die Einstellung Verschlüsselungsstufe der Clientverbindung festlegen den Wert Höchste Stufe fest.

Mögliche Auswirkung

Clients, die keine 128-Bit-Verschlüsselung unterstützen, können keine Terminalserversitzungen einrichten.

Clients bei der Verbindungsherstellung immer zur Kennworteingabe auffordern

Durch diese Richtlinieneinstellung wird festgelegt, ob die Terminaldienste den Client immer zur Eingabe eines Kennworts auffordern, wenn eine Verbindung hergestellt werden soll. Mithilfe dieser Richtlinieneinstellung können sie für Benutzer, die sich bei Terminaldiensten anmelden, eine Aufforderung zur Kennworteingabe erzwingen, auch wenn die Benutzer das Kennwort bereits im Remotedesktopverbindungsclient eingegeben haben. Standardmäßig lassen die Terminaldienste die automatische Benutzeranmeldung zu, wenn das Benutzerkennwort im Remotedesktopverbindungsclient eingegeben wurde.

Bei Aktivierung der Einstellung Clients bei der Verbindungsherstellung immer zur Kennworteingabe auffordern können sich Benutzer nicht automatisch bei den Terminaldiensten anmelden, auch wenn sie das Kennwort im Remotedesktopverbindungsclient eingegeben haben. Sie werden aufgefordert, ein Kennwort einzugeben, um sich anzumelden. Bei Deaktivierung dieser Richtlinieneinstellung können sich Benutzer immer automatisch bei den Terminaldiensten anmelden, wenn sie das Kennwort im Remotedesktopverbindungsclient eingegeben haben. Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, wird auf Gruppenrichtlinienebene keine automatische Anmeldung definiert. Administratoren können die Aufforderung zur Eingabe eines Kennworts jedoch weiterhin mit dem Terminaldienste-Konfigurationsprogramm erzwingen.

Für die Einstellung Clients bei der Verbindungsherstellung immer zur Kennworteingabe auffordern sind folgende Werte möglich:

•	Aktiviert
•	Deaktiviert
•	Nicht konfiguriert

Sicherheitsanfälligkeit

Die Benutzer können sowohl ihren Benutzernamen als auch ihr Kennwort speichern, wenn sie eine neue Verknüpfung für eine Remotedesktopverbindung erstellen. Der Server, auf dem die Terminaldienste ausgeführt werden, gestattet u. U. den Benutzern, die diese Funktion verwendet haben, sich ohne Eingabe des Kennworts anzumelden. In diesem Fall kann ein Angreifer, der physischen Zugriff auf den Computer des Benutzers erlangt hat, über die Verknüpfung für die Remotedesktopverbindung eine Verbindung mit einem Terminalserver herstellen, obwohl er das Kennwort des Benutzers nicht kennt.

Gegenmaßnahme

Setzen Sie die Einstellung Clients bei der Verbindungsherstellung immer zur Kennworteingabe auffordern auf Aktiviert.

Mögliche Auswirkung

Benutzer müssen beim Einrichten von neuen Terminalserversitzungen immer ihr Kennwort eingeben.

RPC-Sicherheitsrichtlinie

Die Einstellung für die RPC-Sicherheit von Terminalserver kann im Gruppenrichtlinienobjekt-Editor in folgendem Verzeichnis konfiguriert werden:

Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Terminaldienste\Verschlüsselung und Sicherheit\RPC-Sicherheitsrichtlinie

Sicherer Server (Sicherheit erforderlich)

Durch diese Richtlinieneinstellung wird festgelegt, ob für einen Terminalserver eine sichere RPC-Kommunikation (Remote Procedure Call, Remoteprozeduraufruf) mit allen Clients erforderlich ist oder ob eine ungesicherte Kommunikation möglich ist. Mit dieser Einstellung können Sie die Sicherheit der RPC-Kommunikation mit Clients erhöhen, da nur authentifizierte und verschlüsselte Anforderungen zugelassen werden.

Bei Aktivierung der Einstellung Sicherer Server (Sicherheit erforderlich) werden vom Terminalserver nur Anforderungen von RPC-Clients akzeptiert, die sichere Anforderungen unterstützen. Eine ungesicherte Kommunikation mit nicht vertrauenswürdigen Clients wird nicht zugelassen. Bei Deaktivierung dieser Richtlinieneinstellung werden vom Terminalserver alle Anforderungen unabhängig von der Sicherheitsstufe für den gesamten RPC-Datenverkehr akzeptiert. Allerdings wird bei RPC-Clients, die nicht auf die Anforderung antworten, eine ungesicherte Kommunikation zugelassen. Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, ist die ungesicherte Kommunikation zulässig.

Für die Einstellung Sicherer Server (Sicherheit erforderlich) sind folgende Werte möglich:

•	Aktiviert
•	Deaktiviert
•	Nicht konfiguriert

Hinweis: Verwenden Sie die RPC-Schnittstelle für die Verwaltung und Konfiguration der Terminaldienste.

Sicherheitsanfälligkeit

Durch ungesicherte RPC-Kommunikation wird der Server Man-in-the-Middle-Angriffen und Datenoffenlegungsangriffen ausgesetzt. Ein Man-in-the-Middle-Angriff findet statt, wenn ein Eindringling Pakete zwischen einem Client und Server abfängt und sie vor dem Austausch ändert. In der Regel ändert der Angreifer die Informationen in den Paketen, damit entweder der Client oder der Server empfindliche Daten offenlegt.

Gegenmaßnahme

Setzen Sie die Einstellung Sicherer Server (Sicherheit erforderlich) auf Aktiviert.

Mögliche Auswirkung

Clients, die sicheren RPC nicht unterstützen, können den Server nicht remote verwalten.

Sitzungen

Zusätzliche Einstellungen für RPC-Sicherheit von Terminalserver können im Gruppenrichtlinienobjekt-Editor in folgendem Verzeichnis konfiguriert werden:

Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Terminaldienste\Verschlüsselung und Sicherheit\Sitzungen

Zeitlimit für getrennte Sitzungen festlegen

Durch diese Richtlinieneinstellung wird ein Zeitlimit für getrennte Terminalserversitzungen festgelegt. Mit dieser Einstellung wird angegeben, wie lange eine getrennte Sitzung auf dem Server maximal aktiv bleibt. Standardmäßig können die bei Terminaldienste angemeldeten Benutzer die Verbindung mit einer Remotesitzung ohne Abmeldung und Beenden der Sitzung trennen. Wenn die Verbindung einer Sitzung getrennt ist, können weiterhin Programme ausgeführt werden, obwohl der Benutzer nicht mehr aktiv verbunden ist. Standardmäßig bleiben diese getrennten Sitzungen für eine unbegrenzte Zeit auf dem Server bestehen.

Sie können die Einstellung Zeitlimit für getrennte Sitzungen festlegen aktivieren, um nach Ablauf eines bestimmten Zeitraums getrennte Sitzungen auf dem Server zu löschen. Wählen Sie Nie, um das Standardverhalten zu erzwingen und getrennte Sitzungen für eine unbegrenzte Zeit bestehen zu lassen. Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, wird auf Gruppenrichtlinienebene kein Zeitlimit für getrennte Sitzungen definiert.

Für die Einstellung Zeitlimit für getrennte Sitzungen festlegen sind folgende Werte möglich:

•

Aktiviert mit folgenden Optionen für die Angabe des Zeitraums:

•	Nie
•	1 Minute
•	5 Minuten
•	10 Minuten
•	15 Minuten
•	30 Minuten
•	1 Stunde
•	2 Stunden
•	3 Stunden
•	1 Tag
•	2 Tage

•

Deaktiviert

•

Nicht konfiguriert

Hinweis: Diese Richtlinieneinstellung gilt nicht für Konsolensitzungen, z. B. Remotedesktopsitzungen mit Computern, auf denen Windows XP Professional ausgeführt wird. Diese Richtlinieneinstellung ist sowohl im Knoten „Computerkonfiguration“ als auch im Knoten „Benutzerkonfiguration“ vorhanden. Wenn diese Einstellung an beiden Stellen konfiguriert ist, hat die Einstellung unter „Computerkonfiguration“ Vorrang vor derselben Einstellung unter „Benutzerkonfiguration“.

Sicherheitsanfälligkeit

Jede Terminalserversitzung beansprucht die Systemressourcen. Wenn über einen längeren Zeitraum getrennte Sitzungen nicht zwangsweise beendet werden, können die Ressourcen des Servers knapp werden.

Gegenmaßnahme

Setzen Sie die Einstellung Zeitlimit für getrennte Sitzungen festlegen auf Aktiviert, und wählen Sie im Listenfeld Getrennte Sitzung beenden die Option 1 Tag.

Mögliche Auswirkung

Die Sitzungen von Benutzern, die es vergessen, sich von Terminalserversitzungen abzumelden, werden nach 24 Stunden Inaktivität zwangsweise beendet.

Erneute Verbindung nur vom ursprünglichen Client zulassen

Mit dieser Richtlinieneinstellung können Sie verhindern, dass Benutzer der Terminaldienste über einen anderen Computer als den ursprünglichen Clientcomputer, auf dem die Sitzung eingerichtet wurde, neue Verbindungen zu getrennten Sitzungen herstellen. Standardmäßig können die Benutzer mithilfe der Terminaldienste auf beliebigen Clientcomputern eine neue Verbindung mit getrennten Sitzungen herstellen.

Bei Aktivierung der Einstellung Erneute Verbindung nur vom ursprünglichen Client zulassen können Benutzer nur über den ursprünglichen Clientcomputer eine neue Verbindung zu getrennten Sitzungen herstellen. Wenn ein Benutzer versucht, auf einem anderen Computer eine Verbindung mit der getrennten Sitzung herzustellen, wird stattdessen eine neue Sitzung erstellt. Bei Deaktivierung dieser Einstellung können Benutzer über einen beliebigen Computer eine Verbindung zu einer getrennten Sitzung herstellen. Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, werden auf Gruppenrichtlinienebene keine Sitzungsregeln für erneue Verbindungen definiert.

Für die Einstellung Erneute Verbindung nur vom ursprünglichen Client zulassen sind folgende Werte möglich:

•	Aktiviert
•	Deaktiviert
•	Nicht konfiguriert

Wichtig: Diese Einstellung wird nur bei Citrix ICA-Clients unterstützt, die bei Verbindungsherstellung eine Seriennummer angeben. Die Einstellung wird ignoriert, wenn der Benutzer die Verbindung über einen Windows-Client herstellt. Diese Einstellung ist sowohl im Knoten „Computerkonfiguration“ als auch im Knoten „Benutzerkonfiguration“ vorhanden. Wenn diese Einstellung an beiden Stellen konfiguriert ist, hat die Einstellung unter „Computerkonfiguration“ Vorrang vor derselben Einstellung unter „Benutzerkonfiguration“.

Sicherheitsanfälligkeit

Standardmäßig können Benutzer die Verbindung zu getrennten Terminalserversitzungen über einen beliebigen Computer wiederherstellen. Bei Aktivierung dieser Einstellung wird sichergestellt, dass Benutzer die Verbindung nur über den Computer wiederherstellen können, mit dem die Verbindung ursprünglich eingerichtet wurde. Der Wert dieser Gegenmaßnahme wird dadurch verringert, dass sie nur für Benutzer erzwungen wird, die über Citrix ICA-Clients eine Verbindung herstellen.

Gegenmaßnahme

Setzen Sie die Einstellung Erneute Verbindung nur vom ursprünglichen Client zulassen auf Aktiviert.

Mögliche Auswirkung

Benutzer, die über Citrix ICA-Clients eine Verbindung herstellen, können getrennte Sitzungen nur über den Computer wiederherstellen, mit dem sie die Sitzung eingerichtet haben.

Windows Explorer

Die Windows Explorer-Einstellung kann im Gruppenrichtlinienobjekt-Editor in folgendem Verzeichnis konfiguriert werden:

Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\
Windows Explorer

Geschützten Modus für Shellprotokoll deaktivieren

Mit dieser Richtlinieneinstellung können Sie den Funktionsumfang für das Shellprotokoll festlegen. Bei voller Protokollfunktionalität können Anwendungen Ordner öffnen und Dateien starten. Durch den geschützten Modus wird die Funktionalität eingeschränkt, und Anwendungen können nur eine begrenzte Anzahl von Ordnern öffnen. Wenn dieses Protokoll im geschützten Modus ausgeführt wird, können Anwendungen keine Dateien öffnen.

Microsoft empfiehlt, dass dieses Protokoll zur Erhöhung der Sicherheit von Windows im geschützten Modus ausgeführt wird. Bei Aktivierung der Einstellung Geschützten Modus für Shellprotokoll deaktivieren ermöglicht das Protokoll, dass beliebige Anwendungen alle Ordner oder Dateien öffnen können. Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, wird das Protokoll im geschützten Modus ausgeführt, und Anwendungen können nur eine begrenzte Anzahl von Ordnern öffnen.

Für die Einstellung Geschützten Modus für Shellprotokoll deaktivieren sind folgende Werte möglich:

•	Aktiviert
•	Deaktiviert
•	Nicht konfiguriert

Sicherheitsanfälligkeit

Bei voller Shellprotokollfunktionalität können Anwendungen Dateien und Ordner öffnen. Dadurch kann versehentlich schädliche Software aufgerufen werden, und Informationen können unerlaubt offen gelegt werden. Möglicherweise wird auch ein Denial-of-Service ausgelöst.

Gegenmaßnahme

Setzen Sie die Einstellung Geschützten Modus für Shellprotokoll deaktivieren auf Aktiviert.

Mögliche Auswirkung

Bei Aktivierung der Einstellung Geschützten Modus für Shellprotokoll deaktivieren können Webseiten, für die die Verwendung des Shellprotokolls erforderlich ist, nicht ordnungsgemäß ausgeführt werden.

Windows Messenger

Mit Windows Messenger können Sofortnachrichten an andere Benutzer in einem Computernetzwerk gesendet werden. Den Nachrichten können Dateien und andere Anlagen hinzugefügt werden.

Die empfohlene Windows Messenger-Einstellung kann im Gruppenrichtlinienobjekt-Editor in folgendem Verzeichnis konfiguriert werden:

Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\
Windows Messenger

Ausführung von Windows Messenger nicht zulassen

Mit der Einstellung Ausführung von Windows Messenger nicht zulassen kann Windows Messenger deaktiviert werden. Sie können diese Einstellung auf Aktiviert setzen, um die Verwendung von Windows Messenger zu verhindern.

Hinweis: Wenn Sie diese Einstellung auf „Aktiviert“ setzen, ist die Verwendung von Windows Messenger durch Remoteunterstützung und die Verwendung von MSN® Messenger durch Benutzer nicht möglich.

Windows Update

Windows Update wird für das Herunterladen von Sicherheitsfixes, wichtigen Updates, aktuellen Hilfedateien, Treibern und Internetprodukten verwendet. Die Windows Update-Einstellungen können im Gruppenrichtlinienobjekt-Editor in folgendem Verzeichnis konfiguriert werden:

Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\

Automatische Updates konfigurieren

Durch diese Richtlinieneinstellung wird festgelegt, ob Computer in Ihrer Umgebung Sicherheitsupdates und andere wichtige Downloads über den automatischen Updatedienst von Windows empfangen sollen.

Bei Aktivierung der Einstellung Automatische Updates konfigurieren kann von Windows erkannt werden, wann die Computer online sind. Daraufhin wird über die bestehende Internetverbindung die Windows Update-Website nach Updates für die Computer durchsucht. Bei Deaktivierung dieser Richtlinieneinstellung müssen die Updates manuell von der Windows Update-Website (unter http://windowsupdate.microsoft.com) heruntergeladen und installiert werden. Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, wird auf Gruppenrichtlinienebene keine Verwendung von automatischen Updates definiert. Administratoren können Automatische Updates allerdings weiterhin über die Systemsteuerung konfigurieren.

Für die Einstellung Automatische Updates konfigurieren sind folgende Werte möglich:

•

Aktiviert mit den folgenden Optionen im Listenfeld Automatische Updates konfigurieren:

•

2.Vor dem Download von Updates benachrichtigen und vor deren Installation erneut benachrichtigen.

Wenn Windows Updates findet, die für Computer in Ihrer Umgebung gültig sind, wird im Statusbereich ein Symbol mit einer Meldung angezeigt, in der auf zum Herunterladen bereitstehende Updates hingewiesen wird. Klicken Sie auf das Symbol oder die Meldung, um bestimmte Updates auszuwählen. Die ausgewählten Updates werden von Windows daraufhin im Hintergrund heruntergeladen. Sobald das Herunterladen abgeschlossen ist, werden im Statusbereich wiederum das Symbol und eine Benachrichtigung darüber angezeigt, dass neue Updates installiert werden können. Klicken Sie auf das Symbol oder die Meldung, um die zu installierenden Updates auszuwählen.

•

3.Updates automatisch downloaden und über installierbare Updates benachrichtigen.

Hierbei handelt es sich um die Standardkonfiguration. Windows sucht nach gültigen Updates für die Computer in der Umgebung und lädt die Updates im Hintergrund herunter. Der Benutzer wird während dieses Vorgangs nicht benachrichtigt oder gestört. Sobald das Herunterladen abgeschlossen ist, werden im Statusbereich das Symbol und eine Benachrichtigung darüber angezeigt, dass die Updates installiert werden können. Klicken Sie auf das Symbol oder die Meldung, um die zu installierenden Updates auszuwählen.

•

4.Updates automatisch downloaden und laut angegebenem Zeitplan installieren.

Legen Sie den Zeitplan mit den Optionen in der Gruppenrichtlinieneinstellung fest. Wenn kein Zeitplan angegeben ist, werden alle Installationen laut Standardzeitplan täglich um 3 Uhr morgens ausgeführt. Windows startet die betreffenden Computer automatisch neu, wenn eines der Updates zum Abschließen der Installation einen Neustart erfordert. Wenn ein Benutzer zu der Zeit an einem Computer angemeldet ist, zu der Windows einen Neustart erfordert, wird der Benutzer darauf hingewiesen. Der Benutzer kann den Neustart dann verzögern.

•

Deaktiviert

•

Nicht konfiguriert

Klicken Sie auf Aktiviert, um diese Einstellung zu aktivieren, und wählen Sie dann eine der Optionen (2, 3 oder 4). Wenn Sie Option 4 auswählen, können Sie einen regelmäßigen Zeitplan setzen. Wenn kein Zeitplan angegeben ist, werden alle Installationen täglich um 3 Uhr morgens ausgeführt.

Sicherheitsanfälligkeit

Obwohl Windows Server 2003 und Windows XP vor der Veröffentlichung gründlich getestet wurden, ist es möglich, dass erst nach der Auslieferung der Produkte Probleme entdeckt werden. Mit der Einstellung Automatische Updates konfigurieren können Sie sicherstellen, dass auf den Computern in Ihrer Umgebung immer die neuesten wichtigen Betriebssystemupdates und Service Packs installiert sind.

Gegenmaßnahme

Setzen Sie die Einstellung Automatische Updates konfigurieren auf Aktiviert, und wählen Sie im Listenfeld Automatische Updates konfigurieren den Wert 4. Updates automatisch downloaden und laut angegebenem Zeitplan installieren.

Mögliche Auswirkung

Wichtige Betriebssystemupdates und Service Packs werden automatisch heruntergeladen und täglich um 3 Uhr morgens installiert.

Kein automatischer Neustart für geplante Installationen automatischer Updates

Diese Richtlinieneinstellung sorgt dafür, dass der Dienst „Automatische Updates“ zum Abschluss einer geplanten Installation darauf wartet, dass die Computer von den angemeldeten Benutzern neu gestartet werden.

Wenn Sie die Einstellung Kein automatischer Neustart für geplante Installationen automatischer Updates aktivieren, erfolgt im Rahmen von geplanten Installationen kein automatischer Computerneustart durch den Dienst „Automatische Updates“. Stattdessen werden die Benutzer vom Dienst „Automatische Updates“ benachrichtigt, dass die Computer zum Abschluss der Installation neu gestartet werden müssen. Automatische Updates kann bis zum Neustart der betreffenden Computer keine weiteren Updates ermitteln. Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, werden Benutzer vom Dienst „Automatische Updates“ benachrichtigt, dass der Computer zum Abschluss einer Installation in 5 Minuten automatisch neu gestartet wird.

Für die Einstellung Kein automatischer Neustart für geplante Installationen automatischer Updates sind folgende Werte möglich:

•	Aktiviert
•	Deaktiviert
•	Nicht konfiguriert

Hinweis: Diese Einstellung ist nur wirksam, wenn Sie „Automatische Updates“ für die Durchführung von automatischen Updateinstallationen konfiguriert haben. Wenn Sie die Einstellung Automatische Updates konfigurieren auf Deaktiviert gesetzt haben, ist diese Einstellung wirkungslos.

Sicherheitsanfälligkeit

Einige Updates erfordern, das die aktualisierten Computer zum Abschluss einer Installation neu gestartet werden. Wenn der Computer nicht automatisch neu gestartet werden kann, wird das letzte Update nicht vollständig installiert. Weitere Updates können in diesem Fall erst nach dem Neustart auf den Computer heruntergeladen werden.

Gegenmaßnahme

Setzen Sie die Einstellung Kein automatischer Neustart für geplante Installationen automatischer Updates auf Deaktiviert.

Mögliche Auswirkung

Bei Aktivierung dieser Richtlinieneinstellung werden die Betriebssysteme auf den Servern in der Umgebung automatisch neu gestartet. Bei wichtigen Servern kann dies zu einem zwar vorübergehenden, jedoch unerwarteten Denial-of-Service führen.

Geplante Installationen automatischer Updates erneut planen

Durch diese Richtlinieneinstellung wird festgelegt, wie lange Automatische Updates (nach dem Start) wartet, bevor eine geplante Installation ausgeführt wird, die zuvor übersprungen wurde. Wenn Sie diese Richtlinieneinstellung aktivieren, wird die zuvor übersprungene Installation eine bestimmte Anzahl von Minuten nach dem nächsten Start des Computers ausgeführt. Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, werden geplante und zuvor übersprungene Installationen zusammen mit der nächsten geplanten Installation ausgeführt.

Für die Einstellung Geplante Installationen automatischer Updates erneut planen sind folgende Werte möglich:

•	Aktiviert mit der Option einer Zeitangabe zwischen 1 und 60 Minuten.
•	Deaktiviert
•	Nicht konfiguriert

Sicherheitsanfälligkeit

Wenn für Automatische Updates nicht eine Wartezeit von einigen Minuten nach dem Neustart erzwungen wird, haben die Computer in der Umgebung möglicherweise nicht genügend Zeit, um alle auf ihnen ausgeführten Anwendungen und Dienste zu starten. Durch Angeben einer ausreichend langen Wartezeit nach dem Neustart kann verhindert werden, dass bei Installationen von Updates Konflikte mit der Startprozeduren des Computers auftreten.

Gegenmaßnahme

Setzen Sie die Einstellung Geplante Installationen automatischer Updates erneut planen auf Aktiviert, und wählen Sie den Wert „10 Minuten“.

Mögliche Auswirkung

Automatische Updates wird erst zehn Minuten nach dem Neustart des Computers ausgeführt.

Internen Pfad für den Microsoft Updatedienst angeben

Mit dieser Richtlinieneinstellung können Sie einen Intranetserver angeben, um Updates von der Microsoft Update-Website zu hosten. Anschließend kann dieses Updatedienstverzeichnis verwendet werden, um automatische Updates der Computer in Ihrem Netzwerk durchzuführen. Der Client für Automatische Updates durchsucht diesen Dienst auf gültige Updates für die Computer im Netzwerk.

Zur Verwendung der Einstellung Internen Pfad für den Microsoft Updatedienst angeben müssen Sie zwei Servernamen angeben: den Server, auf dem der Client für Automatische Updates die Updates ermittelt und herunterlädt, und den Server, auf den aktualisierte Arbeitsstationen ihre Statistiken hochladen. Sie können in beiden Fällen den gleichen Server verwenden.

Bei Aktivierung der Einstellung Internen Pfad für den Microsoft Updatedienst angeben wird der Client für Automatische Updates angewiesen, zum Suchen und Herunterladen von Updates anstelle einer Verbindung mit Windows Update eine Verbindung zum angegeben Microsoft-Updatedienstserver im Intranet herzustellen. Mit dieser Konfiguration können Endbenutzer potenzielle Probleme mit der Firewall vermeiden. Darüber hinaus bietet sie die Möglichkeit, Updates vor der Bereitstellung zu testen. Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, stellt der Client für Automatische Updates eine direkte Verbindung mit der Windows Update-Website her (sofern Automatische Updates nicht durch die Gruppenrichtlinie oder durch eine Benutzereinstellung deaktiviert wurde).

Für die Einstellung Internen Pfad für den Microsoft Updatedienst angeben sind folgende Werte möglich:

•	Aktiviert. Geben Sie nach Auswahl dieses Wertes im Dialogfeld Eigenschaften den Namen des internen Updateservers und den Namen des Statistikservers an.
•	Deaktiviert
•	Nicht konfiguriert

Hinweis: Wenn Sie die Einstellung Automatische Updates konfigurieren auf Deaktiviert gesetzt haben, ist diese Einstellung wirkungslos.

Sicherheitsanfälligkeit

Standardmäßig wird von Automatische Updates versucht, Updates von der Microsoft Windows Update-Website zu herunterzuladen. Manche Unternehmen möchten vor der Bereitstellung der Updates überprüfen, ob alle neuen Updates mit ihrer jeweiligen Umgebung kompatibel sind. Darüber hinaus werden durch die Konfiguration eines internen Software Update Services-Servers (SUS oder Softwareaktualisierungsdienste) Perimeterkomponenten wie Firewalls, Router und Proxyserver sowie externe Netzwerkverbindungen entlastet.

Gegenmaßnahme

Setzen Sie die Einstellung Internen Pfad für den Microsoft Updatedienst angeben auf Aktiviert. Geben Sie anschließend im Dialogfeld Eigenschaften den Namen des internen Updateservers und den Namen des Statistikservers an.

Mögliche Auswirkung

Wichtige Updates und Service Packs müssen vom IT-Personal der Organisation vorausschauend verwaltet werden.

System

Die empfohlene System-Computereinstellung kann im Gruppenrichtlinienobjekt-Editor in folgendem Verzeichnis konfiguriert werden:

Computerkonfiguration\Administrative Vorlagen\System

Autoplay deaktivieren

Mit Autoplay wird der Lesevorgang von einem Laufwerk unmittelbar nach dem Einlegen eines Mediums gestartet. Auf dem Medium gespeicherte Setupdateien oder Audiodaten werden dann automatisch ausgeführt bzw. abgespielt. Bei Aktivierung der Einstellung Autoplay deaktivieren wird die Autoplay-Funktion unterdrückt. Autoplay ist für einige Wechseldatenträger (z. B. Disketten- oder Netzlaufwerke) bereits in der Standardeinstellung deaktiviert. Für CD-ROM-Laufwerke ist die Funktion jedoch standardmäßig aktiviert.

Hinweis: Autoplay kann mit dieser Einstellung nicht für Computerlaufwerke aktiviert werden, für die diese Funktion bereits in der Standardeinstellung deaktiviert ist (z. B. Disketten- oder Netzlaufwerke).

Sicherheitsanfälligkeit

Ein Angreifer kann diese Funktion ausnutzen, um ein Programm zu starten, mit dem ein Clientcomputer oder Daten auf dem Computer beschädigt werden können.

Gegenmaßnahme

Setzen Sie die Einstellung Autoplay deaktivieren auf Aktiviert.

Mögliche Auswirkung

Benutzer müssen die auf Wechselmedien bereitgestellten Setup- oder Installationsprogramme manuell starten.

Anmeldung

Die empfohlenen Anmeldungs-Computereinstellungen können im Gruppenrichtlinienobjekt-Editor in folgendem Verzeichnis konfiguriert werden:

Computerkonfiguration\Administrative Vorlagen\System\Anmeldung

Willkommenseite für "Erste Schritte" bei der Anmeldung nicht anzeigen

Mit dieser Richtlinieneinstellung wird der Begrüßungsbildschirm ausgeblendet, der von Microsoft Windows 2000 Professional und Windows XP Professional bei jeder Anmeldung des Benutzers angezeigt wird. Benutzer können den Begrüßungsbildschirm weiterhin über das Startmenü anzeigen.

Die Einstellung Willkommenseite für "Erste Schritte" bei der Anmeldung nicht anzeigen gilt nur für Windows 2000 Professional und Windows XP Professional. Sie hat keinen Einfluss auf die Einstellung Konfiguration des Servers unter Windows 2000 Server oder Windows Server 2003.

Für die Einstellung Willkommenseite für "Erste Schritte" bei der Anmeldung nicht anzeigen sind folgende Werte möglich:

•

Akti