:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8d/74/8d744322f5404e58e35ede9a656bd8f6/0111572445.jpeg "Der API Protection Report befasst sich mit den größten Bedrohungen für Programmierschnittstellen. (Bild: Cequence Security)")
:quality(80)/p7i.vogel.de/wcms/16/70/1670e0b2f524899b0af813ce4105f882/0111866524.jpeg "Die Forscher des 32Guards-Research-Teams registrierten besonders im Juli 2022 und Ende Oktober 2022 ein erhöhtes Spam-Aufkommen. Besonders ruhig war es dagegen – wie auch in den Vorjahren – in den ersten beiden Januarwochen. (Bild: chinnarach - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/59/66/5966e482c8ce497f3ce78aac4e0f9200/0112150345.jpeg "Abwägungssache – unsere OSINT-Tipps bleiben online. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/c1/87/c187643f818e4cb0ac1204bd3695e8c0/0111925819.jpeg "Die praktische Umsetzung der Orientierungshilfe für die Implementierung von Systemen zu Angriffserkennung des BSI offenbart an vielen Stellen schnell große Herausforderungen. (Bild: natali_mis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/eb/b7/ebb733db7b47d492e23de27663d5d722/0111892587.jpeg "Wie gehen Angreifer vor, um Unternehmen in Microsoft 365 zu attackieren und was sollten Unternehmen als Schutz dagegen tun? (Bild: Amgun - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/cd/23cd04136e527ec8ac226206f27f54f1/0112178275.jpeg "Der 365 Permission Manager ermöglicht Unternehmen die einfache Überwachung interner und externer Richtlinien für die Freigabe von Sites, Dateien und Ordnern. (Bild: Terablete - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/30/44/3044359115a16f7460b28117e9a3604a/0112178091.jpeg "GitLab 16 bringt eine breite Palette neuer Funktionen in den Bereichen Sicherheit, Compliance, KI/ML und Wertstromanalyse, um Software schneller bereitzustellen. (Bild: Murrstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f4/f9/f4f9e3c1460bf363f97d92be0d5a4b7a/0111847742.jpeg "Kriminelle suchen generell nach den schwächsten Zielen. Es nützt also wenig, wenn das TK-Unternehmen bestens aufgestellt ist, Cyberkriminelle aber über junge Zielgruppen, Endgeräte hacken. (Bild: sitthiphong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/eb/0b/eb0bb7ab7ff77490e91062e1b52f86f9/0111572670.jpeg "Apps können anomales Verhalten annehmen, auch wenn sie vertrauenswürdig scheinen. Bitdefender bietet nun einen Zusatzschutz, der helfen soll, bösartige Verhaltensmerkmle schnell zu erfassen. (Bild: SergeyBitos - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/53/c5/53c5fc5c6538b26c4a0cdd08c7ed66d5/0111572686.jpeg "Beyond-Identity-Studie zeigt: Das Vertrauen in Passwörter ist trotz Sicherheitsrisiken und Nutzerfrustration ungebrochen vorhanden. (Bild: FAMILY STOCK - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0b/6b/0b6bf208569e3cc4cc80ea59da56d22a/0111697439.jpeg "Mit Passage von 1Password können Unternehmen Passkey-Funktionen mit wenigen Zeilen Code in ihre Apps implementieren (Bild: Hein - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/15/2b15a08e13f7973b6a2ced3f57867735/0111274612.jpeg "Das Unternehmen Grammarly beschloss den Wechsel von OTP- zu FIDO2-Authentifizierung. Was waren die Gründe für die Umstellung, die technische Anforderungen und welche zentralen Key-Learnings gab es? (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a9/4a/a94a6bb011745090ce53140a6ed498eb/0111343516.jpeg "Die EU will im Kampf gegen Kindesmissbrauch digitale Datenaustauschdienste lückenlos überwachen – und verstößt damit nach Expertenmeinung gegen das deutsche Recht auf informationelle Selbstbestimmung. (Bild: rolffimages - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e8/d0/e8d089e2fef18a46c1dba398f3895447/0111885922.jpeg "Warum die Kombination von Cyber-Sicherheit und Cyber-Versicherung unerlässlich ist, erklären Vincent Weafer, CTO und Oliver Delvos, Head of International, bei Corvus Insurance. (Bild: Андрей Яланский - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/62/3f/623fb0e26fafb675966311f8f170b3fd/0111189652.jpeg "Unter Security-as-a-Service (SECaaS) versteht man die Verlagerung von Sicherheitsprozessen in die Cloud mit Sicherheitslösungen als Service einer Cloud-Plattform. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/bc/27/bc276af26a560cace6721af0a0e60fab/0111322090.jpeg "Observability erweitert und ergänzt das klassische Monitoring um Bigdata und KI – und erlaubt somit einen umfassend datengestützen Blick auf Detailfragen. (Bild: © lexiconimages - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/2b/2b2b99a6d3d8e6ea3cc8f88382fb19fb/0111189707.jpeg "Ransomware-as-a-Service (RaaS) ist eine Form von Cybercrime-as-a-Service bei der Teile von Ransomware-Kampagnen als Dienstleistung eingekauft werden können. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Neue Security-Funktionen unter der Oberfläche Gruppenrichtlinien unter Windows Vista einrichten und anwenden
Zu den wichtigsten Instrumenten für die zentrale Administration von Einstellungen für Benutzer und Computer in Unternehmensnetzwerken gehören Gruppenrichtlinien. Auf den ersten Blick ändert sich mit Windows Vista hinsichtlich der Verwaltung von Gruppenrichtlinien nicht allzu viel. Unter der Oberfläche aber ist einiges Neues zu entdecken.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/5e/af/5eaffc9135b35/se-insider-logo-2019.png "SE_Insider-Logo_2019.png (Vogel IT-Medien)"){kind=logo}
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/107300/107370/65.png "pressebox_600x600_v2.png ()")
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087e22313077/fujitsu-300dpi--002-.jpg "Fujitsu 300dpi (002).jpg (Fujitsu)")
:fill(fff,0)/p7i.vogel.de/companies/63/21/6321c5a61e622/09-spec-color-white-space-mne-logo.jpeg "09-spec-color-white-space-mne-logo (Specops Software GmbH)"){kind=logo}
Mit der Einführung von Windows 2000 entwickelten sich die ehemaligen Systemrichtlichtlinien, die unter Windows NT eher ein Schattendasein führten, als Gruppenrichtlinien zu einem der wichtigsten Administrationswerkzeuge. Umso mehr ist zu bedauern, dass immer noch viele Administratoren nur rudimentär damit arbeiten, was sicherlich auch auf deren Komplexität zurückzuführen ist. Eine genauere Beschäftigung aber lohnt sich, denn Gruppenrichtlinien bieten eine Fülle von Möglichkeiten.
Bereits ein Blick in den Gruppenrichtlinieneditor eines Windows-XP-Rechners vermittelt einen Eindruck von der Vielschichtigkeit der Gruppenrichtlinien. Möchte man sich die Mühe machen, kann man hier über 1.700 Richtlinien zählen, mit denen unter anderem lokale Benutzerrechte, Konten- und Kennworteinstellungen sowie Zugriffsmöglichkeiten auf die lokalen Systemkomponenten gesteuert werden können.
Gespeichert werden die Gruppenrichtlinieneinstellungen in den so genannten „Gruppenrichtlinienobjekten“ (Group Policy Objects – GPO). Jeder Computer unter Windows XP und Windows 2000 verfügt über genau einen Satz lokal gespeicherter Richtlinieneinstellungen, der als „Lokales Gruppenrichtlinienobjekt“ bezeichnet wird und für jeden gilt, der sich lokal am Computer anmeldet.
Zentrale Gruppenrichtlinien
In einer Active-Directory-Umgebung stehen zusätzlich „Nichtlokale Gruppenrichtlinienobjekte“ zur Verfügung, die in Active Directory bzw. auf den Domänencontrollern gespeichert werden. Diese ermöglichen es, Richtlinien zentral auf Standorte, Domänen und Organisationseinheiten anzuwenden.
Dabei ist zu beachten, dass sich Gruppenrichtlinien trotz ihres Namens nicht auf Gruppen, sondern immer nur auf Computer- und Benutzerkonten beziehen. Dies ist ein häufiges Missverständnis. Was aber verändert sich in Bezug auf die Gruppenrichtlinienverwaltung, wenn die ersten Windows-Vista-Clients Einzug in das Unternehmensnetzwerk halten?
Mehr Flexibilität
Solange Clientrechner in einem Unternehmensnetzwerk ins Active Directory eingebunden sind, spielen die lokalen Gruppenrichtlinien für diese im Normalfall keine Rolle. Werden hingegen spezielle Systeme, wie beispielsweise allein stehende Kioskrechner eingesetzt, sind die lokalen Gruppenrichtlinien nützlich. Bislang aber stellte die Einschränkung auf ein Gruppenrichtlinienobjekt eine entscheidende Hürde dar, denn eine differenzierte Verwaltung von Einstellungen für unterschiedliche Benutzer ist damit nicht möglich.
Änderungen an den Einstellungen wirken sich immer auf alle lokalen Konten (Benutzer und Administratoren) aus, die diesen Computer verwenden. Genau dieses Problem adressiert Windows Vista. Mit dem neuen Betriebssystem hat Microsoft das Konzept der Multiple Local Group Policy Objects (MLGPO) eingeführt. Mit Hilfe dreier unterschiedlicher Gruppenrichtlinien-Objekttypen ist es möglich, differenzierte Gruppenrichtlinienobjekte für unterschiedliche Benutzer einzurichten.
- Lokale Gruppenrichtlinie: Das lokale Gruppenrichtlinienobjekt wird auf alle am Computer angemeldeten Benutzer angewendet und entspricht damit dem früherer Versionen.
- Lokale Gruppenrichtlinie Administratoren/Nichtadministratoren: Die Einstellungen dieser beiden Gruppenrichtlinienobjekte überschreiben die der lokalen Gruppenrichtlinie und gelten jeweils ausschließlich für die administrativen beziehungsweise die nicht administrativen Mitglieder. Per Definition kann sich ein Benutzerkonto nicht in beiden Gruppen befinden.
- Benutzerspezifische lokale Gruppenrichtlinie: Die höchste Priorität innerhalb der lokalen Gruppenrichtlinien schließlich haben die benutzerspezifischen Einstellungen, die in separaten Gruppenrichtlinienobjekten definiert werden können.
Ist der Rechner Mitglied einer Active-Directory-Domäne, dann werden die lokalen Gruppenrichtlinien wie auch bei den Vorgängerversionen vor den zentralen Einstellungen verarbeitet und haben somit eine geringere Priorität als diese (die zuletzt angewendete Richtlinie gilt). Neu bei Vista ist, dass die Verarbeitung lokaler Gruppenrichtlinien auch vollständig deaktiviert werden kann.
Aus ADM wird ADMX
Seit der Einführung der Gruppenrichtlinien mit Windows 2000 nehmen die administrativen Vorlagen eine Sonderstellung ein. Diese dienen zur Konfiguration von Registry-Einstellungen, was sie von allen anderen Richtlinien unterscheidet. Die Basis hierfür bilden Vorlagendateien (als ADM-Dateien bezeichnete Textdateien) die festlegen, welche Einstellungen in der Registry mithilfe des Gruppenrichtlinienobjekt-Editors geändert werden können. Sie ermöglichen es, die Funktionalitäten von Gruppenrichtlinien um fast jeden beliebigen Registrykey zu erweitern.
Mit Windows Vista führt Microsoft die ADMX-Dateien und damit ein neues Format für die registrierungsbasierten Richtlinien ein. Zum Lieferumfang von Windows Vista gehören ca. 130 ADMX-Dateien. Diese basieren auf XML und ersetzen die bisherigen ADM-Dateien. ADMX-Dateien bieten vor allem den Vorteil, dass sie im Gegensatz zu den ADM-Dateien sprachneutral sind. Sie müssen zwar noch mit einer sprachspezifischen ADML-Datei verbunden werden, können damit aber auf beliebige Sprachversionen angewendet werden.
Außerdem müssen ADMX-Dateien anders als ADM-Dateien nicht mehr einzeln in jedes Gruppenrichtlinienobjekt geladen werden, was bei Verwendung vieler ADM-Dateien zu einem nicht unerheblichen Speicher-Overhead führt. Stattdessen verwaltet Vista ADMX-Dateien in einem zentralen Speicher. Das Management registrierungsbasierter Richtlinien wird damit wesentlich vereinfacht. So genügt es beispielsweise zur Aktualisierung einer ADMX-Datei, die aktualisierte Datei im zentralen Speicher zu sichern.
In einer Domäne muss der zentrale Speicherort im Ordner SYSVOL auf einem Domänencontroller einmalig für jede Active-Directory-Domäne manuell eingerichtet werden. Hierbei spielt es keine Rolle, ob es sich um einen Windows-2000-, Windows-Server-2003- oder Longhorn-Server handelt. Die Vorteile können also bereits jetzt genutzt werden.
Jedoch können nur Computer mit Windows Vista und nur diejenigen, die einer Active-Directory-Domäne angehören, das Vorhandensein eines zentralen Speichers überprüfen und die dort gespeicherten Dateien verwenden. Wenn der zentrale Speicherort nicht verfügbar ist, werden die lokal gespeicherten Dateien verwendet, die sich im Ordner \Windows\PolicyDefinitions befinden. Die zugehörigen ADML-Dateien sind in sprachspezifischen Unterverzeichnissen gespeichert (beispielsweise de-DE oder en-US).
ADM und ADMX gemeinsam im Einsatz
ADMX-Dateien können derzeit nur von Windows Vista verarbeitet werden. Der Gruppenrichtlinienobjekt-Editor zeigt die Einstellungen aus den ADMX-Dateien automatisch wie bisher im Container „Administrative Vorlagen“ an – egal, ob diese lokal oder im Netzwerk gespeichert sind. Zusätzlich ist es problemlos möglich, auch weiterhin eigene ADM-Dateien zu verwenden. Diese werden im Unterordner „Klassische Administrative Vorlagen“ (ADM) aufgelistet.
Zu beachten ist jedoch, dass die vom System gelieferten und durch ADMX-Dateien ersetzten ADM-Dateien nicht mehr angezeigt werden. Hierbei handelt es sich um die Dateien System.adm, Inetres.adm, Conf.adm, Wmplayer.adm und Wuau.adm. Auch Anpassungen in diesen Dateien werden ignoriert.
Die Verbesserungen liegen im Detail
Wie bei den meisten Komponenten von Windows Vista wurden auch bei den Gruppenrichtlinien viele kleine Details neu hinzugefügt oder verbessert. Dazu gehört beispielsweise, dass die Gruppenrichtlinien-Verwaltungskonsole (GPMC), die bei Windows XP und Windows Server 2003 noch als zusätzlicher Download zur Verfügung stand, nun direkt in Windows Vista integriert ist.
Neu sind auch die etwa 800 Richtlinieneinstellungen. Diese befinden sich verstreut sowohl in den altbekannten Kategorien als auch in einigen neuen, die mit Vista eingeführt wurden.
Zu letzteren gehört beispielsweise die Kategorie „Geräteinstallation“. Diese enthält Richtlinien, mit denen differenziert gesteuert werden kann, welche USB-Geräte bzw. -Typen zugelassen werden. Zudem befinden sich bei den neuen Vista-Funktionen – wie beispielsweise der Benutzerkontensteuerung (User Access Control – UAC) und der erweiterten Firewall – neue Kategorien und eine Reihe von Richtlinien.
Fazit
Zu den wichtigsten Neuerungen gehört sicherlich die Bereitstellung mehrerer lokaler Gruppenrichtlinienobjekte. Allerdings muss die Konfiguration einzeln für jeden Computer erfolgen, was einen erheblichen Verwaltungsaufwand bedeuten kann. Zur Absicherung einzelner spezieller Systeme steht damit aber endlich eine funktionale Lösung zur Verfügung.
Neu und richtungweisend ist die Einführung der XML-basierten ADMX-Dateien. Da sowohl Windows Vista als auch der zukünftige Longhorn Server aber auch die konventionellen ADM-Dateien unterstützen, ist ein gemischter Einsatz in heterogenen Umgebungen problemlos möglich.
Dass die Vista-spezifischen Gruppenrichtlinien nur auf Computern unter Windows Vista bearbeitet und verwendet werden können, ist nachvollziehbar, aber bedauerlich. Hier bleibt nur das Warten auf den Longhorn Server, der eine zentrale Anwendung der neuen Richtlinien innerhalb von Active Directory ermöglichen wird.
Dieser Artikel stammt aus der März/April-Ausgabe unserer Fachzeitschrift INFORMATION SECURITY. Wenn Sie Beiträge wie diesen und weitere hochklassige Analysen und Interviews in Zukunft regelmäßig und kostenlos nach Hause geliefert bekommen möchten, registrieren Sie sich jetzt bei Security-Insider.de (Link unten). Mit dem Experten-Know-how von INFORMATION SECURITY finden Sie dann künftig mehr Zeit für die wichtigen Dinge Ihres Jobs!
Artikelfiles und Artikellinks
(ID:2005907)
:quality(80)/images.vogel.de/vogelonline/bdb/1944800/1944859/original.jpg "Microsoft hilft Admins mit dem Microsoft Security Compliance Toolkit dabei, Sicherheitseinstellungen für Windows Server 2022 und Windows 11 im Netzwerk über Gruppenrichtlinien zu verteilen. (Gorodenkoff - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1964600/1964605/original.jpg "Admins können mit Windows 11 Pro/Enterprise Updates über Gruppenrichtlinien steuern. Dazu ist kein Active Directory notwendig. (Gorodenkoff - stock.adobe.com)")