Mehr Sicherheit in Microsoft-Netzwerken Einführung in die Gruppenrichtlinien von Windows

Autor / Redakteur: Jan Schulze / Ulrich Roderer

Für das Fein-Tuning der Windows-Sicherheitseinstellungen stehen die Gruppenrichtlinien bereit. Im ersten Teil unserer Reihe erklären wir die grundlegenden Möglichkeiten der lokalen Richtlinien.

Firmen zum Thema

Ein Editor erlaubt die komfortable Verwaltung der lokalen Gruppenrichtlinien
Ein Editor erlaubt die komfortable Verwaltung der lokalen Gruppenrichtlinien
( Archiv: Vogel Business Media )

Ein Zuviel an Sicherheit steht der Produktivität entgegen - etwa bei dem neuen Vista-Feature UAC (User Account Control). Mit den Gruppenrichtlinien kann die Sicherheit des Systems an den Bedarf des jeweiligen Arbeitsplatzes angepasst werden: Etwas mehr Sicherheit für einfache Anforderungen wie etwa im Sekretariat, etwas mehr Freiraum an hochqualifizierten Plätzen wie in der Entwicklung oder Konstruktion.

Gruppenrichtlinien dienen dazu, einen Satz von Konfigurationseinstellungen auf eine Gruppe von Objekten anzuwenden. Normalerweise werden bei Windows diese Gruppenrichtlinien über den Verzeichnisdienst „Active Directory“ an die PCs weitergereicht. Kleinere Unternehmen werden den Aufwand scheuen, der mit einer Active-Directory-Implementierung verbunden ist. Dennoch müssen sie in Sachen Sicherheit nicht auf die Funktion der Gruppenrichtlinien verzichten, diese können auch lokal an den PCs definiert werden.

Bildergalerie

Lokale Gruppenrichtlinien gelten für alle Benutzer eines PCs - auch für den Administrator. Deswegen sollte diese Vorgaben nicht allzu restriktiv gehandhabt werden. Falsche Gruppenrichtlinien können unter Umständen den Zugang des Administrators sperren.

Komfortable Verwaltung

Das Kernstück der Gruppenrichtlinien ist seit Windows 2000 der Gruppenrichtlinienobjekt-Editor“ gpedit.msc im Verzeichnis c:\windows\system32\. Für die Sicherheit sind vor allem die Gruppenrichtlinien wichtig, die die Windows-eigenen Sicherheitsmechanismen betreffen. Diese finden sich im Editor unter Computerkonfiguration/Windows-Einstellungen/Sicherheitseinstellungen. Hier kann der Administrator sehr genau festlegen, was ein normaler Benutzer darf, wie komplex die Passwörter sein müssen oder welche Regeln für den ein- und ausgehenden Datenverkehr an der Windows-Firewall gelten.

Fein-Tuning der Sicherheit

Von zentraler Bedeutung sind die Gruppenrichtlinienbereiche im Untermenü „Lokale Richtlinien“. Hier gibt der Administrator vor, welche Funktionen überwacht werden sollen, welche Dienste von welchen Benutzergruppen gestartet werden dürfen und welche Sicherheitsfunktionen des Betriebssystems aktiv sind.

Fast alle Richtlinien lassen sich einfach durch das Setzen eines Häkchens in den jeweiligen Dialogen steuern, etwa beim Überwachen des Anmeldevorgangs: Ein Doppelklick auf die Policy „Anmeldeereignisse überwachen“ öffnet den Dialog. Hier kann nun ausgewählt werden, ob erfolgreiche oder fehlgeschlagene Anmeldeversuche an dem PC protokolliert werden sollen. Ein Klick auf die Schaltfläche „OK“ übernimmt die Änderung und aktiviert diese neue Gruppenrichtlinie. Auf diese Art lassen sich fast alle Sicherheitsmerkmale von Windows an den Bedarf im Unternehmen anpassen.

Gezieltes Blockieren

Die Arbeitsweise der lokalen Gruppenrichtlinien zeigt sich deutlich am Beispiel der „Richtlinien für Softwareeinschränkungen“. Diese dienen dazu, das Ausführen unerwünschter Programme zu verbieten - auch, wenn der Benutzer eigentlich die erforderlichen Rechte besitzt. Die Richtlinie kennt drei Sicherheitsstufen: „Nicht erlaubt“, „Standardbenutzer“ (nur Windows Vista) und „Nicht eingeschränkt“. „Nicht erlaubt“ blockiert die Anwendung pauschal für alle User. „Standardbenutzer“ erlaubt die Ausführung einer Software für normale Anwender. Bei „Nicht eingeschränkt“ - dem Standard unter Windows - hängt die Ausführung eines Programms von den Zugriffsrechten des Benutzers ab.

Um ein Programm für alle Anwender zu sperren, wird unter Richtlinien für Softwareeinschränkungen/Zusätzliche Regeln einfach eine entsprechende Regel erstellt: Ein Klick mit der rechten Maustaste auf zusätzliche Regeln in der linken Fensterhälfte öffnet das Kontextmenü. Hier muss der Eintrag „Neue Pfadregel“ ausgewählt und dann der Pfad zur zu blockierenden Anwendung mit der entsprechenden Dateiextension - zum Beispiel *.exe - eingegeben werden. Wie alle lokalen Gruppenrichtlinien wird auch diese sofort aktiv, die Anwendung kann nun nicht mehr ausgeführt werden.

Durch den Einsatz der Gruppenrichtlinien kann auch in kleinen Netzwerken ein deutlicher Zuwachs an Sicherheit erreicht werden. Die Einstellungen müssen nicht einmal an jedem Rechner neu vorgenommen werden: Sollen alle PCs mit den selben Richtlinien arbeiten, kann die Konfigurationsdatei einfach vom einem auf den anderen Client übertragen werden. Die erstellten Regeln werden im Verzeichnis c:\windows\system32\grouppolicy gespeichert. Dieses Verzeichnis kann einfach auf andere Rechner kopiert werden.

(ID:2014518)