(0) exportieren Drucken
Alle erweitern

Serversicherheits-Richtlinienverwaltung in Windows Server 2008

Letzte Aktualisierung: Mai 2008

Betrifft: Windows Server 2008

Windows Server 2008 enthält zahlreiche Tools, mit deren Hilfe Sie Computer schützen können. In diesem Dokument werden die drei Tools behandelt, die Sie einzeln oder zusammen zum Verwalten der Sicherheitsrichtlinien auf den Servern verwenden können:

  • Sicherheitskonfigurations-Assistent und Befehlszeilentool "Scwcmd"

  • Sicherheitsvorlagen-Snap-In

  • Snap-In Sicherheitskonfiguration und -analyse

Diese Tools sind nicht neu, werden jedoch anders als bisher verwendet.

noteHinweis
Weitere Technologien und Tools zum Schützen von Netzwerken und Computern, wie beispielsweise der Netzwerkzugriffsschutz (Network Access Protection, NAP), die Active Directory-Domänendienste (Active Directory Domain Services, AD DS) und die Gruppenrichtlinien, sind in dieser Übersicht nicht enthalten.

Serversicherheits-Richtlinienverwaltung bedeutet, dass die Sicherheitseinstellungen auf dem neuesten Stand gehalten werden, wenn sich die verschiedenen Serverkonfigurationen im Lauf der Zeit ändern. Zum Schützen der Server durch Richtlinienverwaltung gehören folgende Aufgaben:

  • Analysieren der Serversicherheitseinstellungen, um sicherzustellen, dass die auf einen Server angewendete Richtlinie für die Serverrolle geeignet ist

  • Aktualisieren einer Serverrichtlinie, wenn die Serverkonfiguration geändert wird

  • Erstellen einer Richtlinie für eine neue Anwendung oder Serverrolle, die nicht im Server-Manager enthalten ist

  • Verwenden von Sicherheitsrichtlinien-Verwaltungstools zum Anwenden der für die Umgebung eindeutigen Serversicherheits-Richtlinieneinstellungen

In Windows Server 2008 sollen Server standardmäßig sicher sein. Dies bedeutet, dass beim Installieren von Rollen, Rollendiensten und Features über den Server-Manager die Sicherheitseinstellungen für die Konfiguration des jeweiligen Servers automatisch konfiguriert werden. Sie können den Server-Manager jedoch nicht für Änderungen an benutzerdefinierten Sicherheitseinstellungen verwenden. Zu diesem Zweck können Sicherheitsrichtlinien-Verwaltungstools verwendet werden. Wenn Sie beispielsweise Einstellungen für eine bestimmte Serverrolle ändern müssen, können Sie mithilfe des Sicherheitskonfigurations-Assistenten einfach die bereitgestellten Firewallregeln bearbeiten, um die Steuerung oder den Zugriff stärker einzuschränken. Möglicherweise müssen Sie eine Rolle oder ein Feature installieren, die bzw. das im Server-Manager nicht verfügbar ist, oder Sie möchten Richtlinienänderungen einfach auf zahlreichen Computern bereitstellen. Diese und andere Aufgaben für die Sicherheitsrichtlinienverwaltung können Sie mit diesen Tools ausführen.

Welche Tools Sie zum Schützen der Server verwenden, hängt ab von der Größe der Organisation, den Sicherheitsanforderungen und der Häufigkeit der Änderungen an den Serverkonfigurationen.

Schützen von Servern mit dem Sicherheitskonfigurations-Assistenten

Die Funktionalität des Sicherheitskonfigurations-Assistenten in Windows Server 2008 ist mit der Version des Assistenten in Windows Server 2003 Service Pack 1 (SP1) vergleichbar. Sie können nach wie vor mithilfe des Sicherheitskonfigurations-Assistenten Serversicherheitsrichtlinien erstellen und anwenden, aber Sie müssen den Sicherheitskonfigurations-Assistenten in den meisten Fällen nicht bei der Installation zum Schützen der Server verwenden.

Verwenden Sie nach der anfänglichen Serverrolleninstallation den Sicherheitskonfigurations-Assistenten, um die Server zu schützen, indem Sie sie auf Schwachstellen überprüfen, wenn sich die Serverkonfigurationen im Lauf der Zeit ändern, und nach Bedarf Aktualisierungen an Richtlinieneinstellungen vornehmen. Verwenden Sie den Sicherheitskonfigurations-Assistenten in folgenden Fällen zum Erstellen und Anwenden von Serversicherheitsrichtlinien:

  • Sie ändern die Konfiguration einer Standardkomponente eines Computers unter Windows Server 2008.

    Wenn Sie die Konfiguration einer nicht über den Server-Manager installierten Komponente ändern, müssen Sie die Sicherheitsrichtlinien des Servers mithilfe des Sicherheitskonfigurations-Assistenten aktualisieren.

  • Sie erstellen Richtlinien für nicht über den Server-Manager installierte Serverrollen, beispielsweise SQL Server oder Exchange Server, und wenden sie an.

    Der Sicherheitskonfigurations-Assistent enthält viele Serverrollen und Features, die nicht über den Server-Manager installiert werden können.

  • Sie definieren neue Rollen für nicht von Microsoft stammende Anwendungen, erstellen Richtlinien für diese Rollen und wenden sie an.

    Der Sicherheitskonfigurations-Assistent verfügt über ein öffentliches Schema für Organisationen, das zum Erstellen neuer Rollen verwendet werden kann. Führen Sie den Sicherheitskonfigurations-Assistenten aus, wenn eine nicht von Microsoft stammende Anwendung hinzugefügt oder entfernt wird.

In kleinen und mittleren Organisationen können Sie mithilfe der Standardeinstellungen im Sicherheitskonfigurations-Assistenten schnell und einfach eine Richtlinie erstellen, um einen Server basierend auf seiner Rolle zu schützen und sicherzustellen, dass die Sicherheitseinstellungen auf dem neuesten Stand sind. Außerdem können Sie mit dem Sicherheitsvorlagen-Snap-In erstellte benutzerdefinierte Sicherheitsvorlagen in Richtlinien für den Sicherheitskonfigurations-Assistenten integrieren. Auf diese Weise können Sie zusätzliche Einstellungen zu den vom Sicherheitskonfigurations-Assistenten festgelegten einschließen. Dann können Sie die Richtlinien für den Sicherheitskonfigurations-Assistenten auf den lokalen Computer anwenden, indem Sie den Assistenten verwenden oder die Richtlinien mithilfe von Gruppenrichtlinien auf mehrere Computer anwenden.

Weitere Informationen zum Verwenden des Sicherheitskonfigurations-Assistenten finden Sie unter Sicherheitskonfigurations-Assistent.

Erstellen benutzerdefinierter Richtlinien mithilfe von Sicherheitsvorlagen

Beim Konfigurieren von Windows Server 2008 werden automatisch Richtlinien festgelegt, die den Sicherheitsanforderungen der meisten Organisationen entsprechen. In manchen Organisationen ist es jedoch möglicherweise notwendig, einige Berechtigungen oder lokale Richtlinien für das Netzwerk weiter einzuschränken. In diesem Fall können Sie mithilfe des Sicherheitsvorlagen-Snap-Ins eine benutzerdefinierte Sicherheitsrichtlinie erstellen.

noteHinweis
Windows Server 2008 enthält keine vordefinierten Sicherheitsvorlagen.

Mit dem Sicherheitsvorlagen-Snap-In können Sie eine Sicherheitsrichtlinie für einen Computer oder für das Netzwerk erstellen. Sicherheitsvorlagen können zum Definieren von Richtlinieneinstellungen für die folgenden Sicherheitsbereiche verwendet werden:

  • Kontorichtlinien: Kennwortrichtlinie, Kontosperrungsrichtlinie und Kerberos-Richtlinie

  • Lokale Richtlinien: Überwachungsrichtlinie, Zuweisen von Benutzerrechten und Sicherheitsoptionen

  • Ereignisprotokoll: Protokolleinstellungen für Anwendungs-, System- und Sicherheitsereignisse

  • Eingeschränkte Gruppen: Mitgliedschaft in sicherheitskritischen Gruppen

  • Systemdienste: Start und Berechtigungen für Systemdienste

  • Registrierung: Berechtigungen für Registrierungsschlüssel

  • Dateisystem: Berechtigungen für Ordner und Dateien

Wenn Sie die benutzerdefinierte Richtlinie in Form einer Vorlage erstellt haben, haben Sie verschiedene Möglichkeiten, sie anzuwenden. Beispiele:

  • Importieren der Vorlage in eine rollenbasierte Richtlinie für den Sicherheitskonfigurations-Assistenten und Anwenden auf einen oder mehrere Computer

  • Importieren der Vorlage in ein Gruppenrichtlinienobjekt (Group Policy Object, GPO) und Anwenden auf mehrere Computer über Gruppenrichtlinien

  • Anwenden der Vorlage auf den lokalen Computer mithilfe des Snap-Ins Sicherheitskonfiguration und -analyse

Weitere Informationen zum Verwenden des Sicherheitsvorlagen-Snap-Ins finden Sie unter Analysieren und Konfigurieren der Sicherheit.

Weitere Informationen zum Mindern der Bedrohungen für Servercomputer (und Clientcomputer) finden Sie im Handbuch Bedrohungen und Gegenmaßnahmen (http://go.microsoft.com/fwlink/?LinkId=106667, möglicherweise in englischer Sprache). Dieses Handbuch enthält alle Sicherheitseinstellungen, die Gegenmaßnahmen für spezifische Bedrohungen für Windows-Betriebssysteme bereitstellen.

Anwenden von Sicherheitsrichtlinien mithilfe von Gruppenrichtlinienobjekten

Wie in Windows Server 2003 können Sie mit dem Sicherheitsvorlagen-Snap-In oder mit dem Sicherheitskonfigurations-Assistenten erstellte Sicherheitsvorlagen auf mehrere Computer anwenden, indem Sie eine Vorlage oder Richtlinie in ein Gruppenrichtlinienobjekt importieren. Wenn Sie das Gruppenrichtlinienobjekt erstellt haben, können Sie es mithilfe der Gruppenrichtlinien-Verwaltungskonsole (Group Policy Management Console, GPMC) mit einer Zielorganisationseinheit verknüpfen. Weitere Informationen zum Verwenden der Gruppenrichtlinien-Verwaltungskonsole finden Sie im Artikel zur Gruppenrichtlinien-Verwaltungskonsole (http://go.microsoft.com/fwlink/?LinkId=105933, möglicherweise in englischer Sprache).

Weitere Informationen zum Anwenden von Sicherheitsrichtlinien mithilfe von Gruppenrichtlinienobjekten in Windows Server 2008 finden Sie im Windows Server 2008-Sicherheitshandbuch (http://go.microsoft.com/fwlink/?LinkId=105788, möglicherweise in englischer Sprache).

Analysieren der Serversicherheit

Sie können auch die Tools für die Serversicherheits-Richtlinienverwaltung verwenden, um die Sicherheitseinstellungen auf lokalen Computern oder Remotecomputern zu analysieren. Durch regelmäßige Analysen können Sie im Rahmen eines Risikomanagementprogramms des Unternehmens eine angemessene Sicherheitsstufe auf den einzelnen Computern sicherstellen. Sie können die Sicherheitsstufen ändern und vor allem Sicherheitsrisiken erkennen, die im Lauf der Zeit im System auftreten können.

Sie können Sicherheitsrichtlinieneinstellungen mithilfe des Snap-Ins Sicherheitskonfiguration und -analyse oder des Sicherheitskonfigurations-Assistenten analysieren.

Sicherheitskonfiguration und -analyse

Die Verwendung des Snap-Ins Sicherheitskonfiguration und -analyse hat sich in Windows Server 2008 nicht geändert. Sie können nach wie vor mithilfe dieses Snap-Ins die Sicherheit lokaler Computer analysieren und konfigurieren. Verwenden Sie das Snap-In, um die lokale Computerrichtlinie mit einer Analysedatenbank zu vergleichen und zu ermitteln, ob Abweichungen zwischen den gewünschten Einstellungen in der Datenbank und der lokalen Richtlinie vorhanden sind. Sie verwenden eine vorhandene Datenbank oder importieren eine oder mehrere mit dem Sicherheitsvorlagen-Snap-In erstellte Vorlagen, um eine neue Datenbank mit aktualisierten Einstellungen zu erstellen. In der Analyse werden neben den aktuellen Systemeinstellungen Empfehlungen angegeben. Außerdem werden visuelle Kennzeichnungen und Hinweise zum Hervorheben der Bereiche verwendet, in denen die aktuellen Einstellungen nicht der vorgeschlagenen Sicherheitsstufe entsprechen. Sie können durch eine Analyse offengelegte Abweichungen auflösen und die lokale Systemsicherheit direkt konfigurieren, indem Sie die importierten Vorlagen verwenden.

Weitere Informationen zum Verwenden des Snap-Ins Sicherheitskonfiguration und -analyse finden Sie unter Analysieren und Konfigurieren der Sicherheit.

Zum Analysieren mehrerer Remotecomputer können Sie den Sicherheitskonfigurations-Assistenten verwenden.

Sicherheitskonfigurations-Assistent

Sie können auch das Befehlszeilentool Scwcmd verwenden, um die Sicherheitsrichtlinieneinstellungen für einen lokalen Computer oder mehrere Remotecomputer zu analysieren. Sie können die aktuellen Sicherheitseinstellungen eines Servers mit den neuesten Einstellungen für die Konfiguration dieses Servers vergleichen. Verwenden Sie scwcmd analyze, um zu ermitteln, ob ein Computer mit einer angegebenen Richtlinie, die mithilfe des Assistenten erstellt wurde, kompatibel ist. Zum Analysieren mehrerer Computer geben Sie eine für die Analyse zu verwendende Richtliniendatei und eine Liste der zu analysierenden Computer an. Anschließend zeigen Sie die Ergebnisse der Analyse mithilfe des Befehls scwcmd view an.

Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.

Community-Beiträge

HINZUFÜGEN
Anzeigen:
© 2014 Microsoft