Microsoft Server 2003 Domänen mit Gruppenrichtlinien absichern Server-Sicherheit mit Gruppenrichtlinien verbessern

Autor / Redakteur: Frank Castro Lieberwirth / Peter Schmitz

Gruppenrichtlinien sind ein mächtiges Tool zur zentralen Server-Administration, da die Einstellungen alle laufenden Server automatisch aktualisieren und sich ohne Probleme an das Sicherheitsbedürfnis des Unternehmens anpassen lassen. Security-Insider zeigt wie sich Server so einfach absichern lassen und was bei Sicherheitsvorfällen zu tun ist, um Gruppenrichtlinienänderungen auf laufenden Server schnell zu aktualisieren.

Firma zum Thema

Mit Gruppenrichtlinien können Standorte, Domänen und Organisationseinheiten verwaltet werden.
Mit Gruppenrichtlinien können Standorte, Domänen und Organisationseinheiten verwaltet werden.
( Archiv: Vogel Business Media )

Gruppenrichtlinien definieren eine Reihe von Einstellungen, die Computergeräte und Benutzer betreffen. Sie werden in Gruppenrichtlinienobjekten (GPO) gespeichert und mit dem Gruppenrichtlinien-Editor bearbeitet. Hierbei gibt es lokale und nichtlokale GPOs, die gleich aufgebaut sind, da sie gleichgeartete Vorlagen verwenden. Beide sind aber letztendlich bei der Computer- und Benutzerkonfiguration involviert. Lokale GPOs betreffen nur das jeweilige Computergerät.

Falls lokale und nichtlokale GPOs im Konflikt zueinander stehen, werden voreingestellt die lokalen überschrieben. Die administrativen Vorlagen der nichtlokalen (Domäne) Gruppenrichtlinien werden im Verzeichnis %Systemroot%\Sysvol\domain\Policies\\Adm auf Domänencontrollern der Domäne gespeichert. Ein GPO, das neu von der Vorlagensammlung erstellt wird, hat keine überschreibende Wirkung auf bisherige Einstellungen.

Bildergalerie

Lokale und nichtlokale Gruppenrichtlinien können einfach erweitert werden, indem lokale Gruppenrichtlinienvorlagen (*.adm-Dateien) aus dem Systemordner %windir%\Inf importiert werden. Diese Vorlagen heißen zum Beispiel wmplayer.adm für den Windows Media-Player. Über das Internet sind weitere Vorlagen erhältlich, wie beispielsweise wuau.adm für die Windows Update Services. Eigene Vorlagen können mit dem ADM File Parser aus dem Windows Server Ressource Kit erstellt werden. Die Verwendung lokaler Gruppenrichtlinienvorlagen ist eine Empfehlung von Microsoft (siehe Literatur) und Standardeinstellung.

Tipp zur Verwaltung

Für die Verwaltung von Gruppenrichtlinienobjekten ist die „Group Policy Managementkonsole“ zu empfehlen, da diese GPOs übersichtlich dargestellt und somit Bearbeitungsfehler vermeiden lässt. Zur Kontrolle von Einstellungen kann mit dem Tool auch ein Richtlinienergebnissatz (RSoP, Resultant Set of Policy) erstellt werden.

Forcieren der Gruppenrichtlinien-Aktualisierung

Gruppenrichtlinien werden beim Anmeldevorgang auf allen Computern aktualisiert. Wird der Rechner nicht neu gestartet, gibt es eine voreingestellte Aktualisierung von 90 Minuten bei Domänenmitgliedern und 5 Minuten bei Domänencontrollern. Normalerweise reicht dieses Intervall aus. Bei sicherheitskritischen Einstellungen ist allerdings eine schnellere Aktualisierung notwendig.

Da man Server im laufenden Betrieb nicht so einfach neu starten kann, kann die Aktualisierung mit dem Kommandozeilen-Tool gpupdate.exe manuell forciert werden. Ein Administrator kann sich über eine Remotekonsole verbinden, sich lokal am Ziel-Computer anmelden oder er verwendet „seine“ Administrator-Workstation.

gpupdate [/target:{computer|user}] [/force] [/wait:value] [/logoff] [/boot]

Ist eine permanente Einstellung gewünscht, kann über eine Gruppenrichtlinie das Aktualisierungsintervall für Computer oder Domänencontroller verringert werden (siehe Abbildung 1).

Überblick über die Sicherungsmöglichkeiten

Über den Gruppenrichtlinien-Editor wird für jedes GPO die gewünschten Einstellungen vorgenommen. Vorteilhaft ist es, neue GPOs bei der Neuerstellung oder Bearbeitung zunächst zu deaktivieren, damit sie nicht versehentlich sofort ihre Einstellungen an das Objekt oder die verlinkten Objekte weitergeben.

Die folgende To-Do-Liste soll Anregungen geben, wo bei den Standardvorlagen von Windows Server 2003 R2 sicherheitsrelevante Schalter liegen:

Unter Computerkonfiguration/Windows-Einstellungen/Sicherheitseinstellungen:

  • Sicherheitseinstellungen (Kennwortrichtlinien, usw.) nach Sicherheitsbedürfnis anpassen. Es können auch Vorlagen importiert werden.

Unter Computerkonfiguration/Administrative Vorlagen/Windows-Komponenten:

  • IE6 oder IE 7 absichern (bei IE 7 Vorlage importieren). Vorlagen verwenden
  • Terminal-Dienste, falls diese verwendet werden, absichern (z. B. Verschlüsselung)
  • Windows Update einstellen, um aktuelle Patches von Microsoft zu beziehen. Windows Update Services werden ebenfalls unterstützt.

Unter Computerkonfiguration/Administrative Vorlagen/System:

  • Benutzerprofile absichern
  • Gruppenrichtlinien über Gruppenrichtlinien absichern (siehe auch Abbildung 1)
  • Internetkommunikationsverwaltung absichern

Unter Computerkonfiguration/Administrative Vorlagen/Netzwerk:

  • Optional DNS-Client absichern
  • Optionale Windows-Firewall aktivieren und konfigurieren
  • SNMP konfigurieren

Unter Benutzerkonfiguration/Windows-Einstellungen/Sicherheitseinstellungen:

  • Richtlinien für öffentliche Schlüssel (Betrifft Public Key Infrastructure)
  • Richtlinien zur Softwareeinschränkung

Unter Benutzerkonfiguration/Administrative Vorlagen/Windows Komponenten:

  • Windows Komponenten absichern, sofern installiert
  • Sicherheitsfunktionen des IE (bei IE 7 Vorlage importieren)
  • Terminaldienste (Kennwörter, etc.), sofern verwendet
  • Veröffentlichung freigegebener Ordner zulassen/sperren

Sicherheitsvorlagen verwalten

Zur Sicherung des Servers kann der Administrator voreingestellte und angepasste Sicherheitsvorlagen mit einer benutzerdefinierten Managementkonsole einrichten. Hierfür werden die Snap-Ins „Sicherheitsvorlagen“ und „Sicherheitskonfiguration und –analyse“ verwendet (siehe Abbildung 2). Die Einstellungen können nach gewohnter Art vorgenommen werden. Die Änderungen werden allerdings nur wirksam, wenn die Vorlage in ein GPO importiert wird (Lokale Vorlage in ein nichtlokales GPO, siehe Abbildung 3).

Alternativ können die Einstellungen auch direkt im Gruppenrichtlinien-Editor vorgenommen werden, hat doch die separate Vorlage den Vorteil, dass sie über die Sicherheitsanalyse einem Soll-Ist-Vergleich unterzogen werden kann.

Für alle Freunde von Kommandozeilenprogrammen bietet das Tool secedit.exe einen zum o. g. Analyse-Snap-In adäquaten Leistungsumfang. Die Syntax lautet wie Folgt:

Secedit /analyse /db [/cfg ] [/overwirte] [/log ] [/quiet]

Beispiel einer Analyse:

secedit /analyse /db hisecdc.sdb /cfg hisecdc.inf

Fazit

Server können über Gruppenrichtlinien- und Sicherheitsvorlagen administriert werden. Zu unterscheiden sind lokale und nichtlokale Gruppenrichtlinienvorlagen von den eigentlichen anwendbaren Gruppenrichtlinien im Gruppenrichtlinienobjekt (GPO), wo es wiederum lokale und nichtlokale GPOs gibt.

Als Tool zur Bearbeitung von Sicherheitsvorlagen eignet sich das Snap-In „Sicherheitsvorlagen“, das zum Bordwerkzeug von Windows Server 2003 gehört. Hiermit werden Sicherheitseinstellungen, wie Kennwortrichtlinien oder Richtlinien für Benutzerrechte bestimmt. Zum Testen der Vorlage kann anschließend das Snap-In „Sicherheitskonfiguration und –analyse“ verwendet werden.

Artikelfiles und Artikellinks

(ID:2010160)