Freigeben über

Windows XP-Sicherheitshandbuch

Kapitel 2: Konfigurieren der Domäneninfrastruktur von Active Directory

Aktualisiert: 20.10.2005

Auf dieser Seite

Überblick
Organisationseinheitenentwurf zum Unterstützen der Sicherheitsverwaltung
Entwurf von Gruppenrichtlinienobjekten zum Unterstützen der Sicherheitsverwaltung
Gruppenrichtlinien auf Domänenebene
Kennwortrichtlinieneinstellungen
Einstellungen der Kontosperrungsrichtlinie
Einstellungen zum Zuweisen von Benutzerrechten
Einstellungen der Sicherheitsoptionen
Kerberos-Richtlinie
Gruppenrichtlinie auf Ebene der Organisationseinheiten
Gruppenrichtlinientools
Zusammenfassung

Überblick

Gruppenrichtlinien sind eine Funktion des Active Directory®-Verzeichnisdienstes, die die Änderungs- und Konfigurationsverwaltung in Microsoft® Windows Server™ 2003- und Microsoft Windows® 2000 Server-Domänen erleichtert. Sie müssen jedoch gewisse vorbereitende Schritte in Ihrer Domäne durchführen, bevor Sie Gruppenrichtlinien auf Clientcomputer in Ihrer Umgebung anwenden können, auf denen Microsoft Windows XP Professional mit Service Pack 2 (SP2) ausgeführt wird.

Gruppenrichtlinieneinstellungen werden in der Active Directory-Datenbank in Gruppenrichtlinienobjekten (GPOs) gespeichert. Die Gruppenrichtlinien sind mit Containern wie Active Directory-Standorten, -Domänen und -Organisationseinheiten verknüpft. Da Gruppenrichtlinien ein zentraler Bestandteil von Active Directory sind, ist ein grundlegendes Verständnis der Active Directory-Struktur und der Sicherheitsaspekte bei der Konfiguration unterschiedlicher Entwurfsmöglichkeiten vor einer Implementierung von Gruppenrichtlinien erforderlich. Weitere Informationen zum Active Directory-Entwurf finden Sie in Kapitel 3, „Die Domänenrichtlinie“, des Windows Server 2003-Sicherheitshandbuchs.

Gruppenrichtlinien sind ein wesentliches Hilfsmittel für den Schutz von Windows XP. In diesem Kapitel wird beschrieben, wie mithilfe von Gruppenrichtlinien einheitliche Sicherheitsrichtlinien für das gesamte Netzwerk von einem zentralen Ort aus angewendet und verwaltet werden können.

In diesem Handbuch werden Optionen sowohl für Unternehmensclientumgebungen (EC) als auch für Hochsicherheitsumgebungen (SSLF) vorgestellt. Die in diesem Kapitel empfohlenen Einstellungen sind für Desktop- und Laptopclientcomputer identisch, und da es sich um besondere Einstellungen handelt, werden sie auf Ebene des Domänenstamms statt auf Ebene der Organisationseinheiten angewendet. Kennwort- und Kontosperrungsrichtlinien für Windows Server 2003- und Windows 2000 Server-Domänen müssen durch ein Gruppenrichtlinienobjekt konfiguriert werden, das mit dem Domänenstamm verknüpft ist. Die Namen der Baseline-Sicherheitsvorlagendateien für die beiden unterschiedlichen Umgebungen lauten:

  • Unternehmensclient - Domäne.inf

  • Hochsicher - Domäne.inf

Zum Seitenanfang

Organisationseinheitenentwurf zum Unterstützen der Sicherheitsverwaltung

Eine Organisationseinheit ist ein Container innerhalb einer Active Directory-Domäne. Eine Organisationseinheit kann Benutzer, Gruppen, Computer sowie weitere Organisationseinheiten enthalten, die dann als untergeordnete Organisationseinheiten bezeichnet werden. Sie können ein Gruppenrichtlinienobjekt mit einer Organisationseinheit verknüpfen. Dann werden die GPO-Einstellungen auf die Benutzer und Computer angewendet, die in der Organisationseinheit und den untergeordneten Organisationseinheiten enthalten sind. Um die Verwaltung zu erleichtern, können Sie an die einzelnen Organisationseinheiten Verwaltungsautorität delegieren. Organisationseinheiten erleichtern das Gruppieren von Benutzern, Computern und anderen Sicherheitsprinzipalen und können zur effektiven Segmentierung administrativer Bereiche verwendet werden. Microsoft empfiehlt Organisationen, Benutzer und Computer getrennten Organisationseinheiten zuzuordnen, da einige Einstellungen nur für Benutzer gelten und andere nur für Computer.

Mithilfe des Assistenten zum Erstellen neuer Delegierungen, der Bestandteil des Snap-Ins Active Directory-Benutzer und -Computer der Microsoft Management Console (MMC) ist, kann die Steuerung einer Gruppe oder einzelner Organisationseinheiten delegiert werden. Verweise auf die Dokumentation zum Delegieren von Autoritäten finden Sie im Abschnitt „Weitere Informationen“ am Ende dieses Kapitels.

Eines der Hauptziele beim Erstellen einer Organisationseinheitsstruktur für beliebige Umgebungen besteht in der Bereitstellung einer Grundlage zum Erstellen einer reibungslosen Implementierung von Gruppenrichtlinien für alle in Active Directory vorhandenen Arbeitsstationen bei gleichzeitiger Einhaltung der in Ihrer Organisation geltenden Sicherheitsstandards. Die Organisationseinheitsstruktur muss darüber hinaus so ausgelegt sein, dass adäquate Sicherheitseinstellungen für in einer Organisation definierte Benutzertypen gewährleistet sind. Beispielsweise kann Entwicklern gestattet werden, auf ihren Arbeitsstationen Aktionen auszuführen, die einem durchschnittlichen Benutzer nicht gestattet werden sollen. Auch für Laptopbenutzer können andere Sicherheitsstandards gelten als für Desktopbenutzer. Die folgende Abbildung enthält ein Beispiel einer einfachen Organisationseinheitsstruktur, das für die Erläuterung von Gruppenrichtlinien in diesem Kapitel ausreichend ist. Die Struktur dieser Organisationseinheit kann von den organisatorischen Anforderungen Ihrer Umgebung abweichen.

Abbildung 2.1: Eine Organisationseinheitsstruktur für Windows XP-Computer

Abteilungs-Organisationseinheit

Da es innerhalb einer Organisation oft unterschiedliche Sicherheitsanforderungen gibt, ist es sinnvoll, in Ihrer Umgebung Abteilungs-Organisationseinheiten zu erstellen. Die Sicherheitseinstellungen auf Abteilungsebene können durch ein Gruppenrichtlinienobjekt auf Computer und Benutzer in ihren jeweiligen Abteilungs-Organisationseinheiten angewendet werden.

Organisationseinheit „Geschützte Windows XP-Benutzer“

Diese Organisationseinheit enthält die Konten für Benutzer sowohl in der Unternehmensclient-Umgebung als auch der Hochsicherheitsumgebung. Die auf diese Organisationseinheit angewendeten Einstellungen werden im Abschnitt „Benutzerkonfiguration“ in Kapitel 4, „Administrative Vorlagen für Windows XP“, behandelt.

Organisationseinheit „Windows XP“

In dieser Organisationseinheit sind untergeordnete Organisationseinheiten für alle Windows XP-Clienttypen in Ihrer Umgebung enthalten. In diesem Handbuch sind auch Anleitungen für Desktop- und Laptopcomputer enthalten. Aus diesem Grund wurde eine Organisationseinheit „Desktop“ und eine Organisationseinheit „Laptop“ erstellt.

  • Organisationseinheit „Desktop“. In dieser Organisationseinheit sind Desktopcomputer enthalten, die permanent mit Ihrem Netzwerk verbunden sind. Die Einstellungen, die auf diese Organisationseinheit angewendet werden, werden ausführlich in Kapitel 3, „Sicherheitseinstellungen für Windows XP-Clients“, und in Kapitel 4, „Administrative Vorlagen für Windows XP“, beschrieben.

  • Organisationseinheit „Laptop“. In dieser Organisationseinheit sind Laptopcomputer mobiler Benutzer enthalten, die nicht permanent mit Ihrem Netzwerk verbunden sind. In Kapitel 3, „Sicherheitseinstellungen für Windows XP-Clients“, und Kapitel 4, „Administrative Vorlagen für Windows XP“, werden die Einstellungen, die auf diese Organisationseinheit angewendet werden, ausführlich dargelegt.

Zum Seitenanfang

Entwurf von Gruppenrichtlinienobjekten zum Unterstützen der Sicherheitsverwaltung

Mithilfe von Gruppenrichtlinienobjekten kann sichergestellt werden, dass bestimmte Richtlinieneinstellungen, Benutzerrechte und Verhaltensweisen auf alle Arbeitsstationen bzw. Benutzer in einer Organisationseinheit angewendet werden. Die Verwendung von Gruppenrichtlinien anstelle manueller Konfiguration macht es einfach, eine Reihe von Arbeitsstationen oder Benutzern mit zusätzlichen Änderungen zu aktualisieren. Die manuelle Konfiguration ist ineffizient, weil ein Techniker dafür sämtliche Clientcomputer aufsuchen muss. Wenn die Richtlinieneinstellungen in domänenbasierten Gruppenrichtlinienobjekten sich von den lokal angewendeten unterscheiden, überschreiben die domänenbasierten Einstellungen von Gruppenrichtlinienobjekten die lokal angewendeten Richtlinieneinstellungen.

Abbildung 2.2: Anwendungsreihenfolge für Gruppenrichtlinienobjekte

Bild in voller Größe anzeigen

In dieser Abbildung wird die Reihenfolge dargestellt, in der Gruppenrichtlinienobjekte auf einen Computer angewendet werden, der Mitglied einer untergeordneten Organisationseinheit ist. Die Reihenfolge ist aufsteigend, von der niedrigsten Ebene (1) zur höchsten (5). Gruppenrichtlinien werden zunächst aus der lokalen Richtlinie der einzelnen Windows XP-Arbeitsstationen angewendet. Nachdem die lokalen Richtlinien angewendet wurden, werden alle Gruppenrichtlinienobjekte auf Standortebene und schließlich auf Domänenebene angewendet.

Auf Windows XP-Clients, die in mehreren Schichten von Organisationseinheiten verschachtelt sind, werden Gruppenrichtlinienobjekte in absteigender Reihenfolge von der höchsten zur niedrigsten Ebene der Organisationseinheiten in der Hierarchie angewendet. Das letzte Gruppenrichtlinienobjekt wird aus der den Clientcomputer enthaltenden Organisationseinheit angewendet. Diese Reihenfolge der GPO-Verarbeitung – lokale Richtlinie, Standort, Domäne, übergeordnete Organisationseinheit und untergeordnete Organisationseinheit – ist bedeutsam, weil Gruppenrichtlinienobjekte, die später im Prozess angewendet werden, früher angewendete überschreiben. Gruppenrichtlinienobjekte für Benutzer werden in gleicher Weise angewendet.

Beim Entwerfen von Gruppenrichtlinien sollten Sie die folgenden Punkte berücksichtigen.

  • Die Reihenfolge, in der mehrere Gruppenrichtlinienobjekte mit einer Organisationseinheit verknüpft werden, muss von einem Administrator festgelegt werden, da die Richtlinien sonst standardmäßig in der Reihenfolge angewendet werden, in der sie mit der Organisationseinheit verknüpft wurden. Wenn in mehreren Richtlinien die gleiche Einstellung festgelegt wird, hat die Richtlinie Vorrang, die sich in der Richtlinienliste für den Container am weitesten oben befindet.

  • Ein Gruppenrichtlinienobjekt kann mithilfe der Option Erzwungen konfiguriert werden. Wenn Sie diese Option auswählen, können die in diesem Gruppenrichtlinienobjekt festgelegten Einstellungen nicht von anderen Gruppenrichtlinienobjekten außer Kraft gesetzt werden.

    Hinweis: In Windows 2000 trägt die Option Erzwungen die Bezeichnung Kein Vorrang.

  • Die Option Richtlinienvererbung deaktivieren kann für Active Directory, einen Standort, eine Domäne oder eine Organisationseinheit festgelegt werden. Durch diese Option werden die Einstellungen der Gruppenrichtlinienobjekte für in der Active Directory-Hierarchie höher stehende Gruppenrichtlinienobjekte gesperrt, sofern für diese nicht die Option Erzwungen ausgewählt wurde. Das bedeutet, dass die Option Erzwungen Vorrang vor der Option Richtlinienvererbung deaktivieren hat.

  • Gruppenrichtlinieneinstellungen werden auf Benutzer und Computer entsprechend ihrem Speicherort in Active Directory angewendet. In einigen Fällen kann es notwendig sein, Richtlinien auf ein Benutzerobjekt auf Grundlage des Speicherortes des Computerobjekts anstelle des Speicherortes des Benutzerobjekts anzuwenden. Mithilfe der Loopback-Funktion für Gruppenrichtlinien kann der Administrator Gruppenrichtlinieneinstellungen für Benutzer auf Grundlage des Computers anwenden, an dem der Benutzer angemeldet ist. Weitere Informationen zur Loopback-Unterstützung finden Sie im Whitepaper zu Gruppenrichtlinien im Abschnitt „Weitere Informationen“ am Ende dieses Kapitels.

In der folgenden Abbildung wird eine Erweiterung der vorläufigen Organisationseinheitsstruktur dargestellt, die veranschaulicht, wie Gruppenrichtlinienobjekte auf Windows XP-Clients angewendet werden können, die zu den Organisationseinheiten „Laptop“ und „Desktop“ gehören.

Abbildung 2.3: Erweiterte Organisationseinheitsstruktur zur Unterbringung von Windows XP-basierten Desktop- und Laptopcomputern

Bild in voller Größe anzeigen

Im obigen Beispiel sind die Laptopcomputer Mitglied der Organisationseinheit „Laptop“. Die lokale Sicherheitsrichtlinie wird zuerst auf die Laptopcomputer unter Windows XP angewendet. Da es in diesem Beispiel nur einen Standort gibt, wird auf Standortebene kein Gruppenrichtlinienobjekt angewendet. Folglich wird als nächstes das Gruppenrichtlinienobjekt der Domäne angewendet. Zum Schluss wird das Gruppenrichtlinienobjekt für Laptopcomputer angewendet.

Hinweis: Die Desktoprichtlinie wird nicht auf Laptops angewendet, da sie mit keiner der Organisationseinheiten der Hierarchie verknüpft ist, die die Organisationseinheit „Laptop“ enthält. Außerdem verfügt die Organisationseinheit „Geschützte Windows XP-Benutzer“ über keine entsprechende Sicherheitsvorlage (INF-Datei), da nur Einstellungen aus den administrativen Vorlagen enthalten sind.

Die Umsetzung der Vorrangsregeln wird im folgenden Beispielszenario veranschaulicht, in dem die Richtlinieneinstellung Anmeldung über Terminaldienste zulassen der Organisationseinheit „Windows XP“ für die Gruppe Administratoren und die Laptop-Gruppenrichtlinieneinstellung Anmeldung über Terminaldienste zulassen für die Gruppen Hauptbenutzer und Administratoren festgelegt ist. In diesem Beispiel kann ein Benutzer, dessen Konto sich in der Gruppe Hauptbenutzer befindet, sich über Terminaldienste bei einem Laptop anmelden, da die Organisationseinheit „Laptop“ eine untergeordnete Organisationseinheit der Organisationseinheit Windows XP ist. Wenn im Windows XP-Gruppenrichtlinienobjekt die Richtlinienoption Kein Vorrang aktiviert wird, können sich nur jene Benutzer über die Terminaldienste am Clientcomputer anmelden, die über Konten in der Gruppe Administratoren verfügen.

Sicherheitsvorlagen

Sicherheitsvorlagen sind Textdateien, die Sicherheitseinstellungen enthalten. Sie sind Unterkomponenten von Gruppenrichtlinienobjekten. Die in Sicherheitsvorlagen enthaltenen Richtlinieneinstellungen können im Snap-In „Gruppenrichtlinienobjekt-Editor“ der Microsoft Management Console (MMC) geändert werden. Sie befinden sich im Ordner Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen. Mit dem Snap-In „Gruppenrichtlinien-Editor“ oder mit einem Texteditor wie z. B. Editor können diese Dateien auch bearbeitet werden. Microsoft empfiehlt, Richtlinieneinstellungen, die sich in Sicherheitsvorlagen innerhalb von Gruppenrichtlinienobjekten befinden, mit dem Snap-In „Gruppenrichtlinienobjekt-Editor“ zu verwalten und für die Verwaltung von Richtlinieneinstellungen in eigenständigen Sicherheitsvorlagen das Snap-In „Sicherheitsvorlagen“ zu verwenden.

Einige Abschnitte der Vorlagendateien enthalten spezielle Zugriffssteuerungslisten (Access Control List, ACL), die mithilfe von SDDL (Security Descriptor Definition Language) definiert werden. Weitere Informationen zum Bearbeiten von Sicherheitsvorlagen und SDDL finden Sie im Abschnitt „Weitere Informationen“ am Ende dieses Kapitels.

Verwaltung von Sicherheitsvorlagen

Es ist sehr wichtig, die Sicherheitsvorlagen einer Produktionsumgebung an einem sicheren Ort in der Infrastruktur zu speichern. Der Zugriff auf Sicherheitsvorlagen sollte nur den Administratoren gestattet sein, die für die Implementierung der Gruppenrichtlinien verantwortlich sind. Die in Windows XP, Windows 2000 und Windows Server 2003 enthaltenen Sicherheitsvorlagen sind standardmäßig im Ordner %SystemRoot%\security\templates gespeichert. Wie in Kapitel 1 beschrieben, werden die in diesem Handbuch enthaltenen Sicherheitsvorlagen in den Ordner \Tools und Vorlagen für das Windows XP Sicherheitshandbuch\Sicherheitsvorlagen kopiert, wenn Sie die MSI-Datei in dem WinZip-Archiv ausführen, in dem sich dieses Handbuch befindet. (Die Downloadversion des Handbuchs steht unter https://go.microsoft.com/fwlink/?Linkid=14840&clcid=0x409 zur Verfügung.) Sie können die Sicherheitsvorlagen aus diesem Ordner an einen Speicherort auf den Testcomputern kopieren oder verschieben, während Sie die Einstellungen bewerten und verfeinern, um sie den Geschäftsanforderungen Ihrer Organisation anzupassen. Nachdem die Tests abgeschlossen sind, sollten Sie die endgültigen Versionen der Sicherheitsvorlagen an einen zentralen Speicherort verschieben, z. B. den Standardspeicherort der vordefinierten Sicherheitsvorlagen.

Der Ordner %SystemRoot%\security\templates wird nicht auf mehreren Domänencontrollern repliziert. Daher muss ein Domänencontroller ausgewählt werden, auf dem die Masterkopie der Sicherheitsvorlagen gespeichert wird. So werden Versionskontrollprobleme bei den Vorlagen vermieden. Durch diese empfohlene Vorgehensweise wird sichergestellt, dass Änderungen immer an der gleichen Vorlagenkopie vorgenommen werden.

Importieren einer Sicherheitsvorlage

Führen Sie die im Folgenden beschriebenen Schritte durch, um eine Sicherheitsvorlage zu importieren.

So importieren Sie eine Sicherheitsvorlage in ein Gruppenrichtlinienobjekt

  1. Wechseln Sie im Gruppenrichtlinienobjekt-Editor zum Ordner Windows-Einstellungen.

  2. Erweitern Sie den Ordner Windows-Einstellungen, und wählen Sie Sicherheitseinstellungen aus.

  3. Klicken Sie mit der rechten Maustaste auf den Ordner Sicherheitseinstellungen, und klicken Sie anschließend auf Richtlinie importieren.

  4. Wählen Sie die zu importierende Sicherheitsvorlage aus, und klicken Sie auf Öffnen. Die Einstellungen aus der Datei werden in das Gruppenrichtlinienobjekt importiert.

Administrative Vorlagen

Zusätzliche Sicherheitseinstellungen sind in den administrativen Vorlagen verfügbar, die im Unicode-Format vorliegen. Diese Dateien enthalten Registrierungseinstellungen, die sich auf Windows XP und dessen Komponenten sowie auf Anwendungen wie Microsoft Office 2003 auswirken. Administrative Vorlagen können neben Computereinstellungen auch Benutzereinstellungen enthalten. Computereinstellungen werden in der Registrierungsstruktur HKEY_LOCAL_MACHINE gespeichert. Benutzereinstellungen werden in der Registrierungsstruktur HKEY_CURRENT_USER gespeichert.

Verwaltung administrativer Vorlagen

Ebenso wichtig wie das sichere Speichern von Sicherheitsvorlagen ist es, auch die in einer Produktionsumgebung verwendeten administrativen Vorlagen an einem sicheren Ort in der Infrastruktur zu speichern. Nur Administratoren, die für die Implementierung der Gruppenrichtlinie verantwortlich sind, sollten Zugriff auf diesen Speicherort haben. Im Lieferumfang von Windows XP und Windows 2003 Server enthaltene administrative Vorlagen sind im Verzeichnis %systemroot%\inf gespeichert. Im Office 2003 Resource Kit sind zusätzliche Vorlagen für Office 2003 enthalten. Die von Microsoft bereitgestellten administrativen Vorlagen sollten nicht bearbeitet werden, da sie sich ändern können, wenn Service Packs veröffentlicht werden.

Hinzufügen einer administrativen Vorlage zu einer Richtlinie

Zusätzlich zu den im Lieferumfang von Windows XP enthaltenen administrativen Vorlagen können auf die Gruppenrichtlinienobjekte, in denen Office 2003-Einstellungen konfiguriert werden sollen, entsprechende Office 2003-Vorlagen angewendet werden. Möglicherweise haben Sie benutzerdefinierte administrative Vorlagen erstellt, die speziell auf Ihre Organisation zugeschnitten sind. Im Folgenden wird das Verfahren zum Hinzufügen einer Vorlage zu einem Gruppenrichtlinienobjekt beschrieben.

So fügen Sie einem Gruppenrichtlinienobjekt eine administrative Vorlage hinzu

  1. Wechseln Sie im Gruppenrichtlinienobjekt-Editor zum Ordner „Administrative Vorlagen“.

  2. Klicken Sie mit der rechten Maustaste auf den Ordner Administrative Vorlagen, und klicken Sie anschließend auf Vorlagen hinzufügen/entfernen.

  3. Klicken Sie im Dialogfeld Vorlagen hinzufügen/entfernen auf Hinzufügen.

  4. Wechseln Sie zu dem Ordner mit den Dateien für die administrativen Vorlagen.

  5. Wählen Sie die hinzuzufügende Vorlage aus, und klicken Sie auf Öffnen und anschließend auf Schließen.

Zum Seitenanfang

Gruppenrichtlinien auf Domänenebene

Die Gruppenrichtlinien auf Domänenebene enthalten Einstellungen für alle Computer und Benutzer in der Domäne. In diesem Handbuch wird vorgeschlagen, die Einstellungen für die Domänenebene in einem neuen Gruppenrichtlinienobjekt zu konfigurieren, und nicht in der vordefinierten Standarddomänenrichtlinie. Der Grund für diesen Vorschlag ist, dass dadurch die Standardeinstellungen einfacher wiederhergestellt werden können, wenn die in diesem Handbuch vorgestellten Änderungen Probleme verursachen. Beachten Sie, dass einige Anwendungen die Standarddomänenrichtlinie automatisch konfigurieren. Richtlinieneinstellungen, die von solchen Anwendungen geändert werden, können in Konflikt mit Einstellungen im Domänenrichtlinien-Gruppenrichtlinienobjekt stehen, das in diesem Handbuch beschrieben wird. Die Gefahr, dass dieser Fall eintritt, ist jedoch gering, da nur eine Hand voll von Einstellungen auf Domänenebene konfiguriert wird. Ausführliche Informationen zu Sicherheitseinstellungen auf Domänenebene finden Sie in Kapitel 3, „Die Domänenrichtlinie“, des Windows Server 2003-Sicherheitshandbuchs, das unter https://www.microsoft.com/germany/technet/sicherheit/prodtech/windowsserver2003/w2003hg/sgch00.mspx verfügbar ist.

Zum Seitenanfang

Kennwortrichtlinieneinstellungen

Durch komplexe, regelmäßig geänderte Kennwörter wird das Risiko eines erfolgreichen Kennwortangriffs verringert. Durch Kennwortrichtlinieneinstellungen wird die Komplexität und Gültigkeitsdauer von Kennwörtern festgelegt. Diese Einstellungen können auf Domänenebene nur über Gruppenrichtlinien konfiguriert werden. Weitere Informationen zum direkten Festlegen von Kennwortrichtlinien in der lokalen Sicherheitskontenverwaltung (Security Account Manager, SAM) auf eigenständigen Computern finden Sie in Kapitel 5, „Schützen eigenständiger Windows XP-Clients“.

In diesem Abschnitt werden sämtliche Kennwortrichtlinieneinstellungen für die Unternehmensclient- und die Hochsicherheitsumgebung beschrieben.

Die Kennwortrichtlinieneinstellungen können im Gruppenrichtlinienobjekt-Editor in folgendem Verzeichnis konfiguriert werden:

Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Kontorichtlinien\Kennwortrichtlinien

In der folgenden Tabelle werden die Empfehlungen zu den Kennwortrichtlinien für die beiden in diesem Handbuch definierten Sicherheitsumgebungen zusammengefasst. Ausführlichere Informationen zu jeder Einstellung finden Sie in den folgenden Unterabschnitten.

Tabelle 2.1: Empfohlene Kennwortrichtlinieneinstellungen

Einstellung Standard für Domänencontroller Unternehmensclient Hochsicher
Kennwortchronik erzwingen 24 Kennwörter 24 Kennwörter 24 Kennwörter
Maximales Kennwortalter 42 Tage 90 Tage 90 Tage
Minimales Kennwortalter 1 Tag 1 Tag 1 Tag
Minimale Kennwortlänge 7 Zeichen 8 Zeichen 12 Zeichen
Kennwörter müssen den Komplexitätsanforderungen entsprechen Aktiviert Aktiviert Aktiviert
Kennwörter mit umkehrbarer Verschlüsselung für alle Benutzer der Domäne speichern Deaktiviert Deaktiviert Deaktiviert
### Kennwortchronik erzwingen Durch diese Richtlinieneinstellung wird die Anzahl eindeutiger neuer Kennwörter festgelegt, die einem Benutzerkonto zugewiesen werden müssen, bevor ein altes Kennwort wieder verwendet werden kann. Der Wert für diese Richtlinieneinstellung muss zwischen 0 und 24 liegen. Der Standardwert in Windows XP ist 0, während die Standardeinstellung in einer Domäne 24 lautet. Wenden Sie die Einstellung **Minimales Kennwortalter** an, um die Effektivität dieser Richtlinieneinstellung zu erhalten. Dadurch werden Benutzer daran gehindert, ihr Kennwort wiederholt zu ändern. In den beiden in diesem Handbuch definierten Sicherheitsumgebungen sollte für die Einstellung **Kennwortchronik erzwingen** der Wert **24 Kennwörter** festgelegt werden. ### Maximales Kennwortalter Die Werte für diese Richtlinieneinstellung liegen zwischen 1 und 999 Tagen. (Sie können den Wert auch auf 0 setzen, um anzugeben, dass Kennwörter nie ablaufen.) Durch diese Richtlinieneinstellung wird definiert, wie lange ein Benutzer sein Kennwort verwenden kann, bevor es abläuft. Der Standardwert für diese Richtlinieneinstellung beträgt 42 Tage. Die meisten Kennwörter können entschlüsselt werden. Daher haben Angreifer bei regelmäßig geänderten Kennwörtern weniger Gelegenheit, entschlüsselte Kennwörter zu verwenden. Je niedriger der Wert eingestellt wird, desto höher ist jedoch die Wahrscheinlichkeit für vermehrte Anfragen beim Helpdesk Ihrer IT-Abteilung. In den beiden in diesem Handbuch definierten Sicherheitsumgebungen sollte für die Einstellung **Maximales Kennwortalter** der Wert **90 Tage** festgelegt werden. ### Minimales Kennwortalter Durch diese Richtlinieneinstellung wird die Anzahl der Tage festgelegt, die ein Kennwort verwendet werden muss, bevor ein Benutzer es ändern kann. Der Wertebereich für diese Richtlinieneinstellung beträgt 1 bis 998 Tage. (Sie können den Wert auch auf 0 setzen, um unmittelbare Kennwortänderungen zuzulassen.) Die Standardeinstellung für diese Richtlinieneinstellung beträgt 0 Tage. Der für die Einstellung **Minimales Kennwortalter** festgelegte Wert muss unter dem Wert der Einstellung **Maximales Kennwortalter** liegen, sofern der Wert in der Einstellung **Maximales Kennwortalter** nicht auf 0 gesetzt wurde, da in diesem Fall das Kennwort immer gültig bleibt. Wenn für **Maximales Kennwortalter** der Wert 0 festgelegt wird, kann der Wert für diese Richtlinieneinstellung auf einen beliebigen Wert zwischen 0 und 999 gesetzt werden. Wenn die Einstellung **Kennwortchronik erzwingen** wirksam werden soll, muss dieser Wert größer sein als 0. Wenn die Einstellung **Minimales Kennwortalter** auf 0 gesetzt ist, können Benutzer Kennwörter so lange ändern, bis sie wieder ihr Lieblingskennwort verwenden können. In den beiden in diesem Handbuch definierten Sicherheitsumgebungen sollte für die Einstellung **Minimales Kennwortalter** der Wert „1 Tag“ festgelegt werden. Durch diesen Wert wird verhindert, dass Benutzer immer wieder das gleiche Kennwort verwenden, da sie nun einen ganzen Tag warten müssen, bevor sie ihr Kennwort erneut ändern können. Darüber hinaus werden Benutzer durch diesen Wert angehalten, sich neue Kennwörter zu merken, da sie diese vor einer erneuten Änderung mindestens einen Tag lang verwenden müssen. Dadurch wird auch verhindert, dass Benutzer die durch **Kennwortchronik erzwingen** auferlegte Einschränkung umgehen. ### Minimale Kennwortlänge Durch diese Richtlinieneinstellung wird die Mindestanzahl an Zeichen für das Kennwort eines Benutzerkontos festgelegt. Es gibt verschiedene Überlegungen zur geeigneten Länge von Kennwörtern für Organisationen. Möglicherweise sollte hierbei jedoch eher von einem „Kennsatz“ als von einem Kennwort gesprochen werden. Unter Microsoft Windows 2000 und höheren Versionen sind lange „Kennsätze“ mit Leerzeichen zulässig. Daher ist ein Satz wie „Ich möchte einen Milchshake für 5 € trinken“ ein gültiger Kennsatz. Ein solcher Satz ist viel sicherer als eine acht- oder zehnstellige Zeichenfolge aus beliebigen Zahlen und Buchstaben, und ist außerdem leichter zu merken. Denken Sie daran, dass Benutzer zur richtigen Auswahl und Pflege von Kennwörtern erzogen werden müssen, insbesondere in Bezug auf die Kennwortlänge. Stellen Sie in der Unternehmensclient-Umgebung sicher, dass der Wert für die Einstellung **Minimale Kennwortlänge** auf **8 Zeichen** gesetzt ist. Diese Richtlinieneinstellung ist lang genug, um eine adäquate Sicherheit zu gewährleisten, und trotzdem kurz genug, um sich leicht merken zu lassen. Setzen Sie den Wert in der Hochsicherheitsumgebung auf **12 Zeichen**. ### Kennwörter müssen den Komplexitätsanforderungen entsprechen Diese Richtlinieneinstellung sorgt dafür, dass alle neuen Kennwörter daraufhin geprüft werden, ob sie die grundlegenden Voraussetzungen für sichere Kennwörter erfüllen. Standardmäßig ist der Wert für diese Einstellung in Windows XP auf **Deaktiviert** gesetzt, in einer Windows Server 2003-Domäne ist diese Einstellung jedoch **Aktiviert**. Durch jedes zusätzliche Zeichen in einem Kennwort wird dessen Komplexität exponentiell erhöht. Ein siebenstelliges, alphabetisches Kennwort aus Kleinbuchstaben würde 267 (ungefähr 8 x 109 oder 8 Milliarden) mögliche Kombinationen aufweisen. Bei 1.000.000 Versuchen pro Sekunde (dies ist bei vielen Entschlüsselungsanwendungen möglich) würde es lediglich 133 Minuten dauern, das Kennwort zu knacken. Für ein alphabetisches Kennwort gibt es bei Beachtung der Groß-/Kleinschreibung 527 mögliche Kombinationen. Für ein Kennwort aus sieben Buchstaben ohne Interpunktionszeichen sind bei Beachtung der Groß-/Kleinschreibung 627 Kombinationen möglich. Für ein aus acht Zeichen bestehendes Kennwort sind 268 oder 2 x 1011 Kombinationen möglich. Dies scheint eine unvorstellbar große Zahl zu sein, doch bei 1.000.000 Versuchen pro Sekunde würde es lediglich 59 Stunden dauern, alle möglichen Kennwörter auszuprobieren. Beachten Sie, dass diese Zeiten sich bei Kennwörtern bedeutend erhöhen, die ALT-Zeichen oder andere Sonderzeichen wie ! oder @ verwenden. Die richtige Verwendung von Kennworteinstellungen kann es sehr schwierig, wenn nicht gar unmöglich machen, einen Brute-Force-Angriff durchzuführen. ### Kennwörter mit umkehrbarer Verschlüsselung für alle Benutzer der Domäne speichern Durch diese Richtlinieneinstellung wird festgelegt, ob das Betriebssystem Kennwörter mit umkehrbarer Verschlüsselung speichert. Durch diese Richtlinie werden Anwendungen mit Protokollen unterstützt, die zur Authentifizierung das Benutzerkennwort erfordern. Kennwörter, die mit umkehrbarer Verschlüsselung gespeichert sind, sind im Wesentlichen mit den Klartextversionen von Kennwörtern identisch. Aus diesem Grund sollte diese Richtlinieneinstellung niemals aktiviert werden, sofern die Anforderungen von Anwendungen nicht Vorrang vor der Notwendigkeit des Schutzes von Kennwortinformationen haben. Der Standardwert für diese Richtlinieneinstellung lautet **Deaktiviert**. Diese Richtlinieneinstellung ist bei Verwendung des Challenge-Handshake Authentication Protocol (CHAP) über Remotezugriff bzw. des Internetauthentifizierungsdienstes (IAS, Internet Authentication Service) erforderlich. Sie ist darüber hinaus Voraussetzung für das Verwenden der Digestauthentifizierung in Microsoft Internetinformationsdienste (IIS, Internet Information Services). Stellen Sie sicher, dass die Einstellung **Kennwörter mit umkehrbarer Verschlüsselung für alle Benutzer in der Domäne speichern** auf **Deaktiviert** gesetzt ist, denn so ist diese Einstellung im Standard-Gruppenrichtlinienobjekt der Domäne von Windows Server 2003 und in der lokalen Sicherheitsrichtlinie für Arbeitsstationen und Server konfiguriert. In den beiden in diesem Handbuch definierten Umgebungen ist diese Richtlinieneinstellung ebenfalls **Deaktiviert**. ### Verhindern, dass Benutzer Kennwörter ändern, sofern dies nicht erforderlich ist In einigen Organisationen ist über die weiter oben in diesem Kapitel beschriebenen Kennwortrichtlinien hinaus eine zentrale Kontrolle aller Benutzer erforderlich. In diesem Abschnitt wird beschrieben, wie Benutzer daran gehindert werden können, unaufgefordert ihr Kennwort zu ändern. Die zentrale Steuerung der Benutzerkennwörter ist ein Grundstein für ein gut gestaltetes Windows XP-Sicherheitsschema. Mithilfe von Gruppenrichtlinien können die oben beschriebenen minimalen und maximalen Kennwortalter festgelegt werden. Das Erzwingen häufiger Kennwortänderungen kann Benutzer jedoch in die Lage versetzen, die Einstellung **Kennwortchronik erzwingen** in Ihrer Umgebung zu umgehen. Auch kann die Forderung nach zu langen Kennwörtern vermehrte Anfragen beim IT-Helpdesk verursachen, da Benutzer häufiger ihr Kennwort vergessen. Benutzer können ihre Kennwörter innerhalb des durch die Einstellungen für das minimale und maximale Kennwortalter festgelegten Zeitraums ändern. Das Sicherheitssystem in einer Hochsicherheitsumgebung erfordert jedoch, dass Benutzer ihre Kennwörter nur dann ändern, wenn sie nach Ablauf von 42 Tagen vom Betriebssystem dazu aufgefordert werden. Um dieses Maß an Kontrolle zu erreichen, können Administratoren die Schaltfläche **Kennwort ändern...** im Dialogfeld **Windows Security** deaktivieren. Dieses Dialogfeld wird angezeigt, wenn Sie STRG+ALT+ENTF drücken. Diese Konfiguration kann mithilfe einer Gruppenrichtlinie für eine ganze Domäne implementiert werden. Sie können die Konfiguration auch für spezifische Benutzer implementieren, indem Sie die Registrierung bearbeiten. Ausführlichere Informationen zu dieser Konfiguration finden Sie im Microsoft Knowledge Base-Artikel 324744, „[SO WIRD'S GEMACHT: Kennwortänderungen durch Benutzer nur zulassen, wenn dies in Windows Server 2003 erforderlich ist](https://support.microsoft.com/default.aspx?scid=324744)“, der unter https://support.microsoft.com/default.aspx?scid=324744 verfügbar ist. Wenn Sie eine Windows 2000-Domäne haben, lesen Sie den Microsoft Knowledge Base-Artikel 309799, „[SO WIRD'S GEMACHT: Sicherstellen, dass Kennwörter nur auf Anforderung von Benutzern geändert werden können](https://support.microsoft.com/default.aspx?scid=309799)“, unter https://support.microsoft.com/default.aspx?scid=309799. [](#mainsection)[Zum Seitenanfang](#mainsection) ### Einstellungen der Kontosperrungsrichtlinie Kontosperrungsrichtlinien sind eine Sicherheitsfunktion in Active Directory, durch die ein Benutzerkonto gesperrt wird, wenn in einem festgelegten Zeitraum eine bestimmte Anzahl fehlgeschlagener Anmeldeversuche auftritt. Anmeldeversuche werden von Domänencontrollern überwacht. Die Anzahl zulässiger Versuche und der Zeitraum basieren auf den Werten, die für die Kontosperrungseinstellungen konfiguriert sind. Die Sperrdauer kann ebenfalls festgelegt werden. Durch diese Richtlinieneinstellungen können Angreifer daran gehindert werden, Benutzerkennwörter zu erraten, und die Wahrscheinlichkeit von erfolgreichen Angriffen auf Ihre Netzwerkumgebung wird verringert. Wird eine Kontosperrungsrichtlinie aktiviert, kann dies jedoch zu vermehrten Supportanfragen durch Netzwerkbenutzer führen. Bevor Sie die folgenden Einstellungen aktivieren, sollten Sie sicherstellen, dass Ihre Organisation diesen zusätzlichen Verwaltungsaufwand auf sich nehmen will. Eine verbesserte und kostengünstigere Lösung für viele Organisationen ist das automatische Durchsuchen von Sicherheitsereignisprotokollen für Domänencontroller. Wenn es den Anschein hat, dass jemand Kennwörter für Benutzerkonten zu erraten versucht, werden administrative Warnmeldungen erzeugt. Die Kennwortrichtlinieneinstellungen können im Gruppenrichtlinienobjekt-Editor in folgendem Verzeichnis konfiguriert werden: **Computerkonfiguration\\Windows-Einstellungen\\Sicherheitseinstellungen\\Kontorichtlinien\\Kontosperrungsrichtlinien** Die folgende Tabelle enthält die Empfehlungen für die Einstellungen der Kontosperrungsrichtlinie für die beiden in diesem Handbuch definierten Sicherheitsumgebungen. Ausführlichere Informationen zu jeder Einstellung finden Sie in den folgenden Unterabschnitten. **Tabelle 2.2: Empfehlungen für die Einstellungen der Kontosperrungsrichtlinie**
Einstellung Standard für Domänencontroller Unternehmensclient Hochsicher
Kontosperrdauer Nicht definiert 15 Minuten 15 Minuten
Kontensperrungsschwelle 0 ungültige Anmeldeversuche 50 ungültige Anmeldeversuche 10 ungültige Anmeldeversuche
Zurücksetzungsdauer des Kontosperrungszählers Nicht definiert 15 Minuten 15 Minuten
### Kontosperrdauer Durch diese Richtlinieneinstellung wird der Zeitraum festgelegt, für den ein Konto gesperrt wird und sich ein Benutzer nicht anmelden kann. Durch diese Einstellung wird festgelegt, für wie viele Minuten ein gesperrtes Konto nicht zur Verfügung steht. Wenn der Wert für diese Richtlinieneinstellung auf 0 gesetzt wird, bleiben gesperrte Konten so lange gesperrt, bis die Sperre durch einen Administrator wieder aufgehoben wird. Der Standardwert für die Einstellung in Windows XP lautet **Nicht definiert**. Wenn Sie die Anzahl möglicher Anfragen beim IT-Helpdesk verringern und zugleich eine sichere Infrastruktur gewährleisten möchten, legen Sie in den beiden in diesem Handbuch definierten Sicherheitsumgebungen (Unternehmensclient- und die Hochsicherheitsumgebung) für die Einstellung **Kontosperrdauer** den Wert **15** Minuten fest. Auch wenn es eine gute Idee zu sein scheint, den Wert für diese Richtlinieneinstellung so zu konfigurieren, dass die Sperren für Konten nie automatisch aufgehoben werden, wird durch eine solche Konfiguration wahrscheinlich die Anzahl der beim Helpdesk eingehenden Anfragen zur Entsperrung von versehentlich gesperrten Konten erhöht. Als geeigneter Zeitraum, den Benutzer abwarten müssen, bevor sie sich wieder bei ihren Konten anmelden können, wurde der empfohlene Einstellungswert von 15 Minuten ermittelt. Benutzer sollten ebenfalls davon in Kenntnis gesetzt werden, wie diese Richtlinie konfiguriert ist. Ihnen soll bewusst sein, dass sie nur den Helpdesk anrufen müssen, wenn sie äußerst dringend wieder Zugriff auf ihren Computer erhalten müssen. ### Kontensperrungsschwelle Durch diese Richtlinieneinstellung wird die Anzahl der Anmeldeversuche festgelegt, die ein Benutzer durchführen kann, bevor ein Konto gesperrt wird. Autorisierte Benutzer können bei ihrem eigenen Konto eine Sperrung hervorrufen, wenn sie ihr Kennwort falsch eingeben oder falsch in Erinnerung haben oder wenn sie an einem Computer ihr Kennwort ändern, während sie an einem anderen Computer angemeldet sind. Der Computer mit dem falschen Kennwort versucht fortlaufend, den Benutzer zu authentifizieren, und weil das zum Authentifizieren verwendete Kennwort falsch ist, wird das Benutzerkonto schließlich gesperrt. Legen Sie für die Kontosperrungsschwelle einen hohen Wert fest, um die versehentliche Sperrung autorisierter Benutzer zu vermeiden. Die Standardeinstellung für diese Richtlinieneinstellung ist 0 ungültige Anmeldeversuche. Dadurch wird die Kontosperrung deaktiviert. Setzen Sie den Wert für die Einstellung **Kontosperrungsschwelle** in Unternehmensclient-Umgebungen auf **50** ungültige Anmeldeversuche und in Hochsicherheits-Umgebungen auf **10** Versuche. Einem Angreifer ist es möglich, diesen Sperrzustand als ein Denial-of-Service (DoS) auszunutzen, indem er bei einer großen Anzahl von Konten eine Sperrung auslöst. Ihre Organisation sollte daher im Hinblick auf identifizierte Bedrohungen und zu mindernde Risiken abwägen, ob diese Richtlinieneinstellung verwendet werden soll. Für diese Richtlinieneinstellung kommen zwei Optionen in Betracht. - Legen Sie für die **Kontosperrungsschwelle** den Wert **0** fest, um sicherzustellen, dass keine Konten gesperrt werden. Durch diesen Einstellungswert werden DoS-Angriffe verhindert, bei denen versucht wird, die Konten Ihrer Organisation zu sperren. Dadurch werden auch die Anzahl von Anfragen beim Helpdesk verringert, da die Benutzer ihre Konten nicht unabsichtlich sperren können. Durch diese Einstellungswert können jedoch keine Brute-Force-Angriffe verhindert werden. Die folgenden Verteidigungsmaßnahmen sollten ebenfalls berücksichtigt werden: - Eine Kennwortrichtlinie, durch die alle Benutzer gezwungen sind, komplexe Kennwörter mit acht oder mehr Zeichen zu verwenden. - Ein wirksamer Überwachungsmechanismus, damit Administratoren gewarnt werden, wenn in der Umgebung mehrere Kontosperrungen auftreten. Die Überwachungslösung sollte beispielsweise das Auftreten des Sicherheitsereignisses 539 (Anmeldungsfehler) überwachen. Durch dieses Ereignis wird angezeigt, dass ein Konto bei einem Anmeldeversuch gesperrt wurde. Die zweite Option ist folgende: - Legen Sie für die **Kontosperrungsschwelle** einen Wert fest, der es Benutzern erlaubt, sich beim Eingeben ihres Kennwortes mehrmals zu vertippen, und der dennoch zur Kontosperrung führt, wenn ein Brute-Force-Angriff stattfindet. Ein Einstellungswert von 50 ungültigen Anmeldeversuchen für Unternehmensclient-Umgebungen und 10 für Hochsicherheitsumgebungen sollte eine angemessene Sicherheit und akzeptable Benutzerfreundlichkeit gewährleisten. Durch diese Konfiguration werden zwar versehentliche Kontosperrungen verhindert und die Anzahl von Anfragen beim IT-Helpdesk verringert, ein DoS-Angriff wie der oben beschriebene kann dadurch jedoch nicht verhindert werden. #### Zurücksetzungsdauer des Kontosperrungszählers Durch diese Richtlinieneinstellung wird der Zeitraum festgelegt, nach dem die **Kontensperrungsschwelle** auf null zurückgesetzt wird. Der Standardwert für diese Richtlinieneinstellung lautet **Nicht definiert**. Wenn eine **Kontensperrungsschwelle** festgelegt wird, muss diese Zurücksetzungsdauer kleiner als oder gleich dem Wert für die Einstellung **Kontosperrdauer** sein. Setzen Sie den Wert für die Einstellung **Zurücksetzungsdauer des Kontosperrungszählers** in der Unternehmensclient- und der Hochsicherheitsumgebung, die in diesem Handbuch definiert sind, auf **15** Minuten. Wenn Sie für diese Richtlinieneinstellung den Standardwert verwenden oder den Wert auf ein zu langes Intervall setzen, könnte Ihre Umgebung anfällig für DoS-Angriffen sein. Ein Angreifer könnte bei allen Benutzern in der Organisation eine Reihe ungültiger Anmeldeversuche durchführen, wodurch die Konten wie weiter oben in diesem Kapitel beschrieben gesperrt werden. Steht dann keine Richtlinie zum Zurücksetzen der Kontosperrungen zur Verfügung, müssen die Sperrungen aller Konten durch Administratoren manuell wieder aufgehoben werden. Entsprechend kann durch Festlegen eines sinnvollen Zeitwertes für diese Richtlinieneinstellung erreicht werden, dass die Benutzerkonten nur für einen festgelegten Zeitraum gesperrt sind und die Sperrung anschließend automatisch wieder aufgehoben wird. Der empfohlene Einstellungswert von 15 Minuten wurde als geeigneter Zeitraum bestimmt, den Benutzer am ehesten akzeptieren. Dadurch sollte die Anzahl der Anrufe beim Helpdesk verringert werden. Benutzer sollten ebenfalls davon in Kenntnis gesetzt werden, wie diese Richtlinie konfiguriert ist. Ihnen soll bewusst sein, dass sie nur den Helpdesk anrufen müssen, wenn sie äußerst dringend wieder Zugriff auf ihren Computer erhalten müssen. [](#mainsection)[Zum Seitenanfang](#mainsection) ### Einstellungen zum Zuweisen von Benutzerrechten Benutzerrechte sind ausführlich in Kapitel 3, „Sicherheitseinstellungen für Windows XP Clients“, beschrieben. Das Benutzerrecht **Hinzufügen von Arbeitsstationen zur Domäne** sollte jedoch allen Domänencontrollern zugewiesen werden und wird deshalb in diesem Kapitel beschrieben. Weitere Informationen zu Einstellungen für Mitgliedsserver und Domänencontroller finden Sie in den Kapiteln 4 und 5 des *Windows* *Server 2003* *Sicherheitshandbuchs*. #### Hinzufügen von Arbeitsstationen zur Domäne Diese Richtlinieneinstellung ermöglicht es Benutzern, einer bestimmten Domäne einen Computer hinzuzufügen. **Tabelle 2.3: Einstellungen zum Zuweisen von Benutzerrechten**
Einstellung Standard für Domänencontroller Unternehmensclient Hochsicher
Hinzufügen von Arbeitsstationen zur Domäne Authentifizierte Benutzer Administratoren Administratoren
Damit die Einstellung **Hinzufügen von Arbeitsstationen zur Domäne** wirksam wird, muss sie dem Benutzer in einem Gruppenrichtlinienobjekt zugeordnet werden, das auf alle Domänencontroller für die Domäne angewendet wird. Ein Benutzer mit dieser Berechtigung kann der Domäne bis zu zehn Arbeitsstationen hinzufügen. Benutzer, die für eine Organisationseinheit oder einen Container Computer in Active Directory über die Berechtigung **Computerobjekte erstellen** verfügen, können einer Domäne eine unbegrenzte Anzahl an Computern hinzufügen, unabhängig davon, ob ihnen die Benutzerberechtigung **Hinzufügen von Arbeitsstationen zur Domäne** gewährt wurde. Standardmäßig können alle Benutzer der Gruppe **Authentifizierte Benutzer** einer Active Directory-Domäne bis zu zehn Computer hinzufügen. Diese neuen Computerkonten werden im Container „Computer“ erstellt. Innerhalb einer Active Directory-Domäne stellt jedes Computerkonto ein vollständiges Sicherheitsprinzipal dar, das Domänenressourcen authentifizieren und auf diese zugreifen kann. Eine Organisation kann die Anzahl der Computer in einer Active Directory-Umgebung begrenzen, um diese dadurch einheitlich überwachen, einrichten und verwalten zu können. Solche Managementmaßnahmen können behindert werden, wenn Benutzern erlaubt wird, der Domäne Arbeitsstationen hinzuzufügen. Außerdem erhalten Benutzer durch dieses Benutzerrecht eine Möglichkeit, Aktivitäten durchzuführen, die schwieriger nachzuverfolgen sind, weil zusätzliche, nicht autorisierte Domänencomputer erstellt werden können. Aus diesen Gründen wird in den beiden in diesem Handbuch definierten Umgebungen die Benutzerberechtigung **Hinzufügen von Arbeitsstationen zur Domäne** auf die Gruppe **Administratoren** beschränkt. [](#mainsection)[Zum Seitenanfang](#mainsection) ### Einstellungen der Sicherheitsoptionen Die Kontorichtlinie muss in einem Gruppenrichtlinienobjekt definiert werden, das auf Domänenebene verknüpft ist, wie z. B. Richtlinieneinstellungen in der Standarddomänenrichtlinie. Domänencontroller erhalten Kontorichtlinien stets von den Gruppenrichtlinienobjekten auf Domänenebene. Dies gilt auch dann, wenn in einem Gruppenrichtlinienobjekt, das auf eine Organisationseinheit angewendet wird, die den Domänencontroller enthält, eine andere Kontorichtlinie festgelegt ist. Auf Domänenebene sollten drei den Kontorichtlinien ähnelnde Einstellungen der Sicherheitsoptionen berücksichtigt werden. Diese Einstellungen der Sicherheitsoptionen können im Gruppenrichtlinienobjekt-Editor in folgendem Verzeichnis konfiguriert werden: **Computerkonfiguration\\Windows-Einstellungen\\Sicherheitseinstellungen\\Lokale Richtlinien\\Sicherheitsoptionen** In der folgenden Tabelle werden die Empfehlungen zu den Einstellungen der Sicherheitsoptionen für die beiden in diesem Handbuch definierten Sicherheitsumgebungen zusammengefasst. Ausführlichere Informationen zu jeder Einstellung finden Sie in den folgenden Unterabschnitten. **Tabelle 2.4: Empfehlungen für die Einstellungen der Sicherheitsoptionen**
Einstellung Standard für Domänenmitglieder Unternehmensclient Hochsicher
Microsoft-Netzwerk (Server): Clientverbindungen aufheben, wenn die Anmeldezeit überschritten wird Nicht definiert Aktiviert Aktiviert
Netzwerkzugriff: Anonyme SID-/Namensübersetzung zulassen Nicht definiert Deaktiviert Deaktiviert
Netzwerksicherheit: Abmeldung nach Ablauf der Anmeldezeit erzwingen Deaktiviert Aktiviert Aktiviert
### Microsoft-Netzwerk (Server): Clientverbindungen aufheben, wenn die Anmeldezeit überschritten wird Durch diese Richtlinieneinstellung wird festgelegt, ob Verbindungen zu Benutzern getrennt werden, wenn diese außerhalb der für ihr Konto gültigen Anmeldezeiten mit einem lokalen Computer verbunden sind. Diese Richtlinieneinstellung betrifft die SMB-Komponente (Server Message Block). Wenn diese Richtlinieneinstellung aktiviert wird, werden die Clientcomputersitzungen mit dem SMB-Dienst bei Überschreiten der Anmeldezeit des Clients abgebrochen. Wenn diese Einstellung deaktiviert wird, wird eine bestehende Clientcomputersitzung nach Ablauf der Anmeldezeit des Clients aufrechterhalten. Wenn Sie diese Richtlinieneinstellung aktivieren, stellen Sie sicher, dass die Einstellung **Netzwerksicherheit: Abmeldung nach Ablauf der Anmeldezeit erzwingen** ebenfalls aktiviert ist. **Hinweis**: SMB ist die Grundlage für freigegebene Ressourcen in Windows-Netzwerken. Daher wirken sich Einstellungen, die SMB beeinflussen, auch auf freigegebene Ressourcen wie z. B. Ordner und Drucker aus. Wenn in Ihrer Organisation Anmeldezeiten für Benutzer festgelegt wurden, ist es sinnvoll, die Einstellung **Microsoft-Netzwerk (Server): Clientverbindungen aufheben, wenn die Anmeldezeit überschritten wird** zu aktivieren. Andernfalls können Benutzer, die außerhalb ihrer Anmeldezeiten normalerweise nicht in der Lage sind, auf das Netzwerk zuzugreifen, die Ressourcen in Sitzungen weiterverwenden, die während der genehmigten Zeiten eingerichtet wurden. Wenn in Ihrer Organisation keine Anmeldezeiten verwendet werden, hat diese Richtlinieneinstellung keine Auswirkungen, selbst wenn sie aktiviert ist. Bei Verwendung von Anmeldezeiten werden Benutzersitzungen nach Ablauf der Anmeldezeiten beendet. ### Netzwerkzugriff: Anonyme SID-/Namensübersetzung zulassen Durch die Einstellung **Netzwerkzugriff: Anonyme SID-/Namensübersetzung zulassen** wird festgelegt, ob ein anonymer Benutzer die SID für einen anderen Benutzer anfordern kann. Wenn diese Richtlinieneinstellung auf einem Domänencontroller aktiviert wird, könnte ein Benutzer mit Kenntnis der SID-Attribute eines Administrators eine Verbindung mit einem Computer herstellen, auf dem diese Richtlinieneinstellung ebenfalls aktiviert ist, und die SID dann verwenden, um an die Kontoinformationen des Administrators zu gelangen. Diese Person könnte mithilfe des Kontos das Kennwort erraten. Die Standardeinstellung auf *Mitgliedscomputern* ist **Deaktiviert**. Die Standardeinstellung für *Domänencontroller* ist jedoch **Aktiviert**. Wenn diese Richtlinieneinstellung deaktiviert ist, können die folgenden Systeme möglicherweise nicht mit Domänen kommunizieren, die auf Windows Server 2003 basieren: - Microsoft Windows NT® 4.0-basierte RAS-Server. - RAS-Server auf Windows 2000-basierten Computern in Windows NT 3.*x*-Domänen bzw. Windows NT 4.0-Domänen. - Microsoft SQL Server auf Windows NT 3.*x*- oder Windows NT 4.0-basierten Computern. - SQL Server auf Windows 2000-basierten Computern in Windows NT 3.*x*- bzw. Windows NT 4.0-Domänen. - Benutzer in der Windows NT 4.0-Ressourcendomäne, die den Benutzerkonten von Kontendomänen, welche Windows Server 2003-Domänencontroller enthalten, Berechtigungen für den Zugriff auf Dateien, freigegebene Ordner und Registrierungsobjekte erteilen möchten. ### Netzwerksicherheit: Abmeldung nach Ablauf der Anmeldezeit erzwingen Durch die Einstellung **Netzwerksicherheit: Abmeldung nach Ablauf der Anmeldezeit erzwingen** wird festgelegt, ob Verbindungen zu Benutzern getrennt werden, wenn diese außerhalb der für ihr Konto gültigen Anmeldezeiten mit einem lokalen Netzwerk verbunden sind. Diese Richtlinieneinstellung betrifft die SMB-Komponente. Wenn Sie diese Richtlinieneinstellung aktivieren, werden Clientcomputersitzungen vom SMB-Server getrennt, wenn die Anmeldezeit des Benutzers abläuft. Der Benutzer kann sich erst wieder zu der für ihn zulässigen Zugriffszeit anmelden. Wenn Sie diese Richtlinieneinstellung deaktivieren, werden bestehende Clientcomputersitzungen nach Ablauf der Anmeldezeit des Benutzers aufrechterhalten. Damit sich diese Richtlinieneinstellung auf Domänenkonten auswirkt, muss sie in einem Gruppenrichtlinienobjekt definiert werden, das mit dem Domänenstamm verknüpft ist. [](#mainsection)[Zum Seitenanfang](#mainsection) ### Kerberos-Richtlinie Die Richtlinie für das Authentifizierungsprotokoll Kerberos, Version 5, wird auf Domänencontrollern und nicht auf den Mitgliedscomputern der Domäne konfiguriert. Durch diese Richtlinie werden Einstellungen festgelegt, die mit dem Kerberos-Protokoll zusammenhängen, wie z. B. Gültigkeitsdauer und Durchsetzung von Tickets. In der Richtlinie für den lokalen Computer werden keine Kerberos-Einstellungen verwendet. In den meisten Umgebungen sollten die Standardwerte für die Einstellungen nicht geändert werden. In diesem Handbuch werden keine Änderungen für die standardmäßigen Kerberos-Richtlinien vorgeschlagen. Weitere Informationen zu diesen Einstellungen finden Sie im Begleithandbuch [*Bedrohungen und Gegenmaßnahmen: Sicherheitseinstellungen unter Windows Server 2003 und Windows XP*](https://technet.microsoft.com/de-de/library/fb31fa9b-58c8-4b6c-aa93-f49128e79916(v=TechNet.10)), das unter https://www.microsoft.com/germany/technet/sicherheit/topics/serversecurity/tcg/tcgch00.mspx verfügbar ist. [](#mainsection)[Zum Seitenanfang](#mainsection) ### Gruppenrichtlinie auf Ebene der Organisationseinheiten In der Gruppenrichtlinie auf Ebene der Organisationseinheiten enthaltene Sicherheitseinstellungen sollten für die Organisationseinheit spezifisch sein. Diese Einstellungen betreffen sowohl Computer- als auch Benutzereinstellungen. Zur Vereinfachung der Verwaltung und zur Erhöhung der Sicherheit wird der Abschnitt zu den Richtlinien für Softwareeinschränkungen gesondert von den anderen Sicherheitseinstellungen in diesem Handbuch behandelt. Kapitel 6, „Richtlinie für Softwareeinschränkungen auf Windows XP-Clients“, bietet ausführliche Informationen zu Richtlinien für Softwareeinschränkungen. ### Gruppenrichtlinien-Sicherheitseinstellungen Sie müssen für jede Kategorie von Windows XP-Computern in Ihrer Umgebung ein Gruppenrichtlinienobjekt erstellen. Laptops und Desktops werden in dieser Anleitung in separate Organisationseinheiten aufgeteilt, damit Gruppenrichtlinienobjekte angewendet werden können, die an diese Computerkategorien angepasst sind. ### Einstellungen für Richtlinien zur Softwareeinschränkung Erstellen Sie zum Konfigurieren der Einstellungen für Richtlinien zur Softwareeinschränkung (SRP, Software Restriction Policies) in Ihrer Umgebung dedizierte Gruppenrichtlinienobjekte. Es gibt überzeugende Gründe, warum die Einstellungen für Richtlinien zur Softwareeinschränkung von den übrigen Gruppenrichtlinieneinstellungen getrennt behandelt werden sollten. Ein Grund besteht darin, dass die Richtlinien zur Softwareeinschränkung sich konzeptuell von den anderen Gruppenrichtlinieneinstellungen unterscheiden. Optionen sind weder aktiviert noch deaktiviert, und es sind keine Werte konfiguriert. Statt dessen fordern die Richtlinien zur Softwareeinschränkung von den Administratoren, den Satz der unterstützten Anwendungen zu identifizieren, ebenso wie die anzuwendenden Einschränkungen und die Handhabung von Ausnahmen. Ein weiterer Grund ist die Erleichterung einer schnellen Wiederherstellung, falls bei der Implementierung von Richtlinien zur Softwareeinschränkung in der Produktionsumgebung ein schwerwiegender Fehler unterläuft: Administratoren können Gruppenrichtlinienobjekte vorübergehend deaktivieren, wenn Richtlinien zur Softwareeinschränkung definiert und keine anderen Sicherheitseinstellungen betroffen sind. [](#mainsection)[Zum Seitenanfang](#mainsection) ### Gruppenrichtlinientools Im Lieferumfang von Windows XP sind einige Tools enthalten, die die Arbeit mit Gruppenrichtlinienobjekten erleichtern. Dieser Abschnitt enthält eine kurze Übersicht über einige dieser Tools. Weitere Informationen zu diesen Tools finden Sie in der Onlinehilfe zu Windows XP. ### Erzwingen einer Gruppenrichtlinienaktualisierung Gruppenrichtlinien werden durch Active Directory regelmäßig aktualisiert. Mithilfe des in Windows XP Professional enthaltenen Befehlzeilenprogramms GpUpdate kann auf dem Clientcomputer eine Aktualisierung der Version erzwungen werden. Dieses Tool muss auf Clientcomputern lokal ausgeführt werden. Wenn Sie einen lokalen Computer mit diesem Tool aktualisieren möchten, geben Sie an einer Eingabeaufforderung Folgendes ein: gpupdate /force Nach dem Ausführen von GpUpdate wird die folgende Bestätigungsinformation angezeigt: C:\Documents and Settings\administrator.MSSLAB>gpupdate /force Refreshing Policy... User Policy Refresh has completed. Computer Policy Refresh has completed. To check for errors in policy processing, review the event log. C:\Documents and Settings\administrator.MSSLAB> Bei benutzerbasierten Gruppenrichtlinien müssen Sie sich an dem zum Überprüfen der Richtlinien verwendeten Computer ab- und wieder anmelden. Computerrichtlinien sollten immer unverzüglich aktualisiert werden. Geben Sie an einer Eingabeaufforderung Folgendes ein, um weitere Optionen für Gpupdate anzuzeigen: gpupdate /? ### Anzeigen des Richtlinienergebnissatzes Mithilfe zweier in Windows XP enthaltener Tools kann überprüft werden, welche Richtlinien auf Computern in Ihrer Umgebung angewendet wurden und wann sowie in welcher Reihenfolge dies erfolgte. - **Snap-In „Richtlinienergebnissatz“**. Bei diesem Tool (RSoP.msc) handelt es sich um ein MMC-Snap-In, das die Einstellungen aller Richtlinien anzeigt, die auf einen Computer angewendet wurden. Dieses Tool kann lokal oder auf einem Remotecomputer ausgeführt werden. Im RSoP-Tool werden die Computereinstellungen und das Quellgruppen-Richtlinienobjekt angezeigt. - **Gpresult**. Dieses Befehlszeilenprogramm zeigt an, wann zuletzt Gruppenrichtlinien auf einen Computer angewendet wurden und welche Gruppenrichtlinienobjekte in welcher Reihenfolge auf den Computer angewendet wurden. Durch dieses Tool werden darüber hinaus Informationen zu allen durch Filtern angewendeten Gruppenrichtlinienobjekten angezeigt. Das Gpresult-Tool kann von einem Remotestandort aus oder lokal auf Clientcomputern verwendet werden. ### Gruppenrichtlinien-Verwaltungskonsole Bei der Gruppenrichtlinien-Verwaltungskonsole (Group Policy Management Console, GPMC) handelt es sich um ein MMC-Snap-In, das in Windows Server 2003 Service Pack 1 als optionale Komponente zur Verfügung steht. Damit werden alle Aufgaben verwaltet, die mit Gruppenrichtlinien in Zusammenhang stehen. GPMC hilft beim Planen, Vorbereiten und Bereitstellen von Gruppenrichtlinienobjekten sowie bei der Berichterstattung, Skripterstellung und Fehlerbehebung bezüglich deren Anwendung. Weitere Informationen finden Sie auf der [GPMC](https://www.microsoft.com/windowsserver2003/gpmc/default.mspx)-Website (in englischer Sprache) unter www.microsoft.com/windowsserver2003/gpmc/default.mspx. [](#mainsection)[Zum Seitenanfang](#mainsection) ### Zusammenfassung Gruppenrichtlinien bilden innerhalb von Active Directory eine Funktion, mit der Sie Benutzer- und Computerumgebungen in Windows Server 2003- und Windows 2000-Domänen steuern können. Bevor Gruppenrichtlinien auf die Windows XP-Desktopcomputer in Ihrer Umgebung angewendet werden können, müssen in Ihrer Domäne einige vorbereitende Maßnahmen getroffen werden. Die in Gruppenrichtlinienobjekten auf den Domänencontrollern Ihrer Umgebung gespeicherten Einstellungen für Gruppenrichtlinien werden mit in der Active Directory-Struktur gespeicherten Websites, Domänen und Organisationseinheiten verknüpft. Zum Implementieren der Gruppenrichtlinien ist ein grundlegendes Verständnis der Active Directory-Struktur sowie der Sicherheitsaspekte beim Konfigurieren der darin enthaltenen unterschiedlichen Erstellungsoptionen erforderlich. Gruppenrichtlinien sind ein wesentliches Hilfsmittel für den Schutz von Windows XP. In diesem Kapitel wird ausführlich beschrieben, wie Sie mithilfe von Gruppenrichtlinien von einem zentralen Standort aus in Ihrem gesamten Netzwerk einheitliche Sicherheitsrichtlinien anwenden und verwalten können. Das Kapitel enthält außerdem Informationen zu den verschiedenen Ebenen von Gruppenrichtlinien und zu besonderen Tools, mit denen die Gruppenrichtlinien in Ihrer Umgebung aktualisiert werden können. ### Weitere Informationen Die folgenden Links bieten weitere Informationen zu sicherheitsbezogenen Themen hinsichtlich Windows XP Professional. - Weitere Informationen zu Gruppenrichtlinien finden Sie im Whitepaper „[Handbuch zu den Gruppenrichtlinienfunktionen](https://www.microsoft.com/technet/prodtechnol/windowsserver2003/technologies/directory/activedirectory/stepbystep/gpfeat.mspx)“ (in englischer Sprache) unter www.microsoft.com/technet/prodtechnol/windowsserver2003/technologies/directory/activedirectory/stepbystep/gpfeat.mspx. Besuchen Sie außerdem die Homepage für Windows Server 2003-[Gruppenrichtlinien](https://www.microsoft.com/windowsserver2003/technologies/management/grouppolicy/default.mspx) unter www.microsoft.com/windowsserver2003/technologies/management/grouppolicy/default.mspx. - Weitere Informationen zur Windows XP-Sicherheit finden Sie in der „[Dokumentation zum Microsoft Windows XP Professional Ressource Kit](https://www.microsoft.com/windowsxp/pro/techinfo/productdoc/resourcekit.asp)“ (in englischer Sprache) unter www.microsoft.com/WindowsXP/pro/techinfo/productdoc/resourcekit.asp. - Einen Überblick über die Sicherheitsfunktionen für Windows XP finden Sie im Whitepaper „[Neuerungen bei der Sicherheit für Windows XP Professional und Windows XP Home Edition](https://www.microsoft.com/technet/prodtechnol/winxppro/evaluate/xpsec.mspx)“ (in englischer Sprache) unter www.microsoft.com/technet/prodtechnol/winxppro/evaluate/xpsec.asp. - Weitere Informationen zu administrativen Vorlagen finden Sie im Whitepaper „[Implementieren registrierungsbasierter Gruppenrichtlinien](https://www.microsoft.com/windows2000/techinfo/howitworks/management/rbppaper.asp)“ (in englischer Sprache) unter www.microsoft.com/windows2000/techinfo/howitworks/management/rbppaper.asp. - Weitere Informationen zur Gruppenrichtlinien-Verwaltungskonsole (Group Policy Management Console, GPMC) finden Sie (in englischer Sprache) auf der [GPMC](https://www.microsoft.com/windowsserver2003/gpmc/default.mspx)-Website unter www.microsoft.com/windowsserver2003/gpmc/default.mspx. - Weitere Informationen zum Delegieren von Autoritäten in Active Directory finden Sie im Abschnitt „[Planning Distributed Security](https://www.microsoft.com/resources/documentation/windows/2000/server/reskit/en-us/distrib/dsca_pt3_stbp.asp)“ im *Windows 2000 Ressource Kit* (in englischer Sprache) unter www.microsoft.com/resources/documentation/Windows/2000/server/reskit/en-us/distrib/dsca\_pt3\_stbp.asp. ### In diesem Beitrag - [Überblick](https://technet.microsoft.com/de-de/library/fb31fa9b-58c8-4b6c-aa93-f49128e79916(v=TechNet.10)) - [Kapitel 1: Einführung zum Sicherheitshandbuch für Windows XP](https://www.microsoft.com/germany/technet/sicherheit/prodtech/windowsxp/secwinxp/xpsgch01.mspx) - Kapitel 2: Konfigurieren der Domäneninfrastruktur von Active Directory - [Kapitel 3: Sicherheitseinstellungen für Windows XP-Clients](https://technet.microsoft.com/de-de/library/bca34b8d-a1ca-42e4-b743-aa3ca12fd8f9(v=TechNet.10)) - [Kapitel 4: Administrative Vorlagen für Windows XP](https://www.microsoft.com/germany/technet/sicherheit/prodtech/windowsxp/secwinxp/xpsgch04.mspx) - [Kapitel 5: Schützen eigenständiger Windows XP-Clients](https://technet.microsoft.com/de-de/library/a134d1cb-2ad1-4549-99c8-2a5e0128f2dc(v=TechNet.10)) - [Kapitel 6: Richtlinie für Softwareeinschränkungen auf Windows XP-Clients](https://www.microsoft.com/germany/technet/sicherheit/prodtech/windowsxp/secwinxp/xpsgch06.mspx) - [Kapitel 7: Zusammenfassung](https://technet.microsoft.com/de-de/library/8001f9fb-f330-4ab4-a134-ff756091ea0d(v=TechNet.10)) - [Anhang A: Weitere Anleitungen für Windows XP Service Pack 2](https://www.microsoft.com/germany/technet/sicherheit/prodtech/windowsxp/secwinxp/xpsgapa.mspx) - [Anhang A: Zu berücksichtigende Schlüsseleinstellungen](https://technet.microsoft.com/de-de/library/6b4fdfca-4c2c-47f6-8c92-de33a663ea03(v=TechNet.10)) - [Anhang B: Testen des Sicherheitshandbuchs für Windows XP](https://www.microsoft.com/germany/technet/sicherheit/prodtech/windowsxp/secwinxp/xpsgapxb.mspx) - [Danksagungen](https://technet.microsoft.com/de-de/library/7e874ad0-7c5a-4f64-9349-760666ab3e61(v=TechNet.10)) ### Download ![](images/Cc163071.icon_exe(de-de,TechNet.10).gif)[Windows XP-Sicherheitshandbuch herunterladen (engl.)](https://go.microsoft.com/fwlink/?linkid=14840&clcid=0x409) [](#mainsection)[Zum Seitenanfang](#mainsection)