System

Mithilfe der Überwachungskategorie „System“ können Sie erfolgreiche oder fehlgeschlagene Systemereignisse überwachen und aufzeichnen. Anhand dieser Aufzeichnungen können Sie Fälle von Systemzugriffen durch Unbefugte leichter ermitteln. Zu Systemereignissen gehören das Starten und Herunterfahren von Computern in der Umgebung, zu große Ereignisprotokolldateien oder andere die Sicherheit betreffende Ereignisse mit Auswirkungen auf das gesamte System.

In Windows Vista enthält die Überwachungskategorie „System“ die in der folgenden Tabelle genannten Unterkategorien.

Tabelle A4. Empfehlungen für die Überwachungsrichtlinien-Unterkategorie „System“

§ - Dieses Symbol kennzeichnet neue Gruppenrichtlinieneinstellungen in Windows Vista

Anmeldung/Abmeldung

Diese Überwachungskategorie sorgt dafür, dass Ereignisse erzeugt werden, die die Erstellung und Zerstörung von Anmeldesitzungen aufzeichnen. Diese Ereignisse finden auf dem Computer statt, auf den zugegriffen wurde. Bei interaktiven Anmeldungen werden diese Ereignisse auf dem Computer generiert, auf dem die Anmeldung erfolgt. Bei einer Netzwerkanmeldung für den Zugriff auf eine Freigabe werden diese Ereignisse auf dem Computer generiert, der als Host der aufgerufenen Ressource fungiert.

Wenn Sie die Einstellung Anmeldeereignisse überwachen auf Keine Überwachung setzen, ist es schwierig oder unmöglich festzustellen, welcher Benutzer auf Computer in der Organisation zugegriffen bzw. zuzugreifen versucht hat.

In Windows Vista enthält die Ereignisüberwachungskategorie „An-/Abmeldung“ die in der folgenden Tabelle genannten Unterkategorien.

Tabelle A5. Empfehlungen für die Überwachungsrichtlinien-Unterkategorie „An-/Abmeldung“

§ - Dieses Symbol kennzeichnet neue Gruppenrichtlinieneinstellungen in Windows Vista

Objektzugriff

Diese Richtlinieneinstellung allein führt nicht zur Überwachung von Ereignissen. Sie bestimmt, ob überwacht wird, ob ein Benutzer auf ein Objekt zugreift (z. B. eine Datei, einen Ordner, einen Registrierungsschlüssel oder einen Drucker), für das eine Systemzugriffssteuerungsliste (SACL) festgelegt wurde. Dadurch wird die Überwachung tatsächlich aktiviert.

Eine SACL besteht aus Zugriffssteuerungseinträgen (Access Control Entries, ACEs). Jeder ACE enthält drei Informationen:

• Das zu überwachende Sicherheitsprinzipal (Benutzer, Computer oder Gruppe)

• Den zu überwachenden Zugriffstyp, die so genannte Zugriffsmaske

• Ein Flag, aus dem hervorgeht, ob fehlgeschlagene Zugriffsereignisse, erfolgreiche Zugriffsereignisse oder beides überwacht werden soll

Wenn Sie die Einstellung Objektzugriffsversuche überwachen auf Erfolg setzen, wird jedes Mal ein Überwachungseintrag erzeugt, wenn ein Benutzer erfolgreich auf ein Objekt mit definierter SACL zugreift. Wenn Sie diese Richtlinieneinstellung auf Fehler setzen, wird jedes Mal ein Überwachungseintrag erzeugt, wenn ein Benutzer erfolglos versucht, auf ein Objekt mit definierter SACL zuzugreifen.

Organisationen sollten beim Konfigurieren von SACLs nur jene Aktionen definieren, die aktiviert sein sollen. Es kann z. B. sein, dass Sie die Überwachungseinstellung Daten schreiben und Daten anhängen für ausführbare Dateien aktivieren möchten, um Ersetzungen oder Änderungen dieser Dateien zu überwachen, weil Viren, Würmer und Trojaner meist ausführbare Dateien angreifen. Ebenso können Sie Änderungen an wichtigen Dokumenten oder den Zugriff auf solche Dokumente überwachen.

Die Ereignisüberwachungskategorie „Objektzugriff“ enthält die in der folgenden Tabelle genannten Unterkategorien.

Tabelle A6. Empfehlungen für die Überwachungsrichtlinien-Unterkategorie „Objektzugriff“

§ - Dieses Symbol kennzeichnet neue Gruppenrichtlinieneinstellungen in Windows Vista

Im Folgenden wird die Konfiguration von Überwachungsregeln für eine Datei oder einen Ordner beschrieben. Anschließend wird erklärt, wie die Überwachungsregeln für jedes Objekt in der angegebenen Datei oder dem Ordner getestet werden können.

Hinweis:   Sie müssen mit Auditpol.exe die Unterkategorie „Dateisystem“ so konfigurieren, dass Erfolg- und Fehler-Ereignisse hinsichtlich der folgenden Schritte für das Protokollieren von Ereignissen im Sicherheitsereignisprotokoll überwacht werden.

So definieren Sie eine Überwachungsregel für eine Datei oder einen Ordner

1. Suchen Sie die Datei oder den Ordner in Windows Explorer, und klicken Sie darauf.

2. Klicken Sie im Menü Datei auf Eigenschaften.

3. Wechseln Sie zur Registerkarte Sicherheit, und klicken Sie auf die Schaltfläche Erweitert.

4. Klicken Sie auf die Registerkarte Überwachung.

5. Wenn Sie zur Eingabe von Administrator-Anmeldeinformationen aufgefordert werden, klicken Sie auf Weiter, geben Sie Ihren Benutzernamen und Ihr Kennwort ein, und drücken Sie die Eingabetaste.

6. Klicken Sie auf die Schaltfläche Hinzufügen. Das Dialogfeld Benutzer, Computeroder Gruppe wählen wird angezeigt.

7. Klicken Sie auf die Schaltfläche Objekttypen, und wählen Sie anschließend im Dialogfeld Objekttypen die zu suchenden Objekttypen aus.

   Hinweis:   Die Objekttypen Benutzer, Gruppe und Integriertes Sicherheitsprinzipal sind in der Standardeinstellung bereits ausgewählt.

8. Klicken Sie auf die Schaltfläche Pfade, und wählen Sie im Dialogfeld Pfad entweder Ihre Domäne oder Ihren lokalen Computer aus.

9. Geben Sie im Dialogfeld Benutzer oder Gruppe wählen den Namen der zu überwachenden Gruppe bzw. des Benutzers ein. Geben Sie anschließend im Feld Geben Sie die zu verwendenden Objektnamen ein den Text Authentifizierte Benutzer ein, um die Zugriffe aller authentifizierten Benutzer zu überwachen, und klicken Sie auf OK. Das Dialogfeld Überwachungseintrag wird angezeigt.

10. Geben Sie im Dialogfeld Überwachungseintrag an, welche Zugriffe auf die Datei oder den Ordner überwacht werden sollen.

    Hinweis   Beachten Sie, dass durch jeden Zugriff mehrere Ereignisse im Ereignisprotokoll erzeugt werden können und dass das Protokoll entsprechend schnell anwächst.

11. Wählen Sie im Dialogfeld Überwachungseintrag neben Ordner auflisten / Daten lesen die Option Erfolgreich und Fehlgeschlagen aus, und klicken Sie auf OK.

12. Die aktivierten Überwachungseinträge werden im Dialogfeld Erweiterte Sicherheitseinstellungen auf der Registerkarte Überwachung angezeigt.

13. Klicken Sie zum Schließen des Dialogfelds Eigenschaften auf OK.

So testen Sie eine Überwachungsregel für die Datei oder den Ordner

1. Öffnen Sie die Datei oder den Ordner.

2. Schließen Sie die Datei oder den Ordner.

3. Starten Sie die Ereignisanzeige. Im Sicherheitsereignisprotokoll werden mehrere Objektzugriffsereignisse mit Ereignis-ID 560 angezeigt.

4. Doppelklicken Sie auf ein Ereignis, um die zugehörigen Detailinformationen anzuzeigen.

Rechteverwendung

Durch die Überwachungskategorie „Rechteverwendung“ wird festgelegt, ob jede Ausübung eines Benutzerrechts durch Benutzer überwacht wird. Wenn Sie diesen Wert auf Erfolg einstellen, wird bei jeder erfolgreichen Ausübung eines Benutzerrechts ein Überwachungseintrag erzeugt. Wenn Sie diesen Wert auf Fehler einstellen, wird jedes Mal ein Überwachungseintrag erzeugt, wenn die Ausübung eines Benutzerrechts fehlschlägt. Diese Richtlinieneinstellung kann bewirken, dass eine sehr große Anzahl von Ereignisdatensätzen erzeugt wird.

Die Ereignisüberwachungskategorie Rechteverwendung enthält die in der folgenden Tabelle genannten Unterkategorien.

Tabelle A7. Empfehlungen für die Überwachungsrichtlinien-Unterkategorie „Rechteverwendung“

§ - Dieses Symbol kennzeichnet neue Gruppenrichtlinieneinstellungen in Windows Vista

Detaillierte Überwachung

Die Überwachungskategorie „Detaillierte Überwachung“ bestimmt, ob detaillierte Informationen zu Ereignissen wie Programmaktivierung, Prozessbeendigung, Handleduplizierung und indirekter Objektzugriff überwacht werden. Da bei Aktivierung von Prozessverfolgung überwachen eine große Anzahl von Ereignissen erzeugt wird, wird normalerweise die Einstellung Keine Überwachung verwendet. Diese Einstellung kann jedoch aufgrund des detaillierten Protokolls zu gestarteten Prozessen und zugehörigen Startzeiten von großem Vorteil sein, wenn auf Vorfälle reagiert werden muss.

Die Ereignisüberwachungskategorie „Detaillierte Überwachung“ enthält die in der folgenden Tabelle genannten Unterkategorien.

Tabelle A8. Empfehlungen für die Überwachungsrichtlinien-Unterkategorie „Detaillierte Überwachung“

§ - Dieses Symbol kennzeichnet neue Gruppenrichtlinieneinstellungen in Windows Vista

Richtlinienänderung

Durch die Überwachungskategorie „Richtlinienänderung“ wird festgelegt, ob sämtliche Änderungen in den Zuweisungsrichtlinien von Benutzerrechten, den Richtlinien der Windows-Firewall, den Vertrauensrichtlinien oder den Überwachungsrichtlinien selbst überwacht werden sollen. Die empfohlenen Einstellungen ermöglichen das Anzeigen aller Kontenberechtigungen, die ein Angreifer zu erhöhen versucht, indem er z. B. die Berechtigung Debuggen von Programmen oder Sichern von Dateien und Verzeichnissen hinzufügt.

Die Ereignisüberwachungskategorie Richtlinienänderung enthält die in der folgenden Tabelle genannten Unterkategorien.

Tabelle A9. Empfehlungen für die Überwachungsrichtlinien-Unterkategorie „Richtlinienänderung“

§ - Dieses Symbol kennzeichnet neue Gruppenrichtlinieneinstellungen in Windows Vista

Kontoverwaltung

Mit der Überwachungskategorie „Kontoverwaltung“ kann jeder Versuch überwacht werden, neue Benutzer oder Gruppen zu erstellen, Benutzer oder Gruppen umzubenennen, Benutzerkonten zu aktivieren oder zu deaktivieren, Kontokennwörter zu ändern oder die Überwachung der Kontenverwaltung zu aktivieren. Wenn Sie diese Einstellung für Überwachungsrichtlinien aktivieren, können Administratoren Ereignisse überwachen, um die böswillige, zufällige und autorisierte Erstellung von Benutzer- und Gruppenkonten zu erkennen.

Die Ereignisüberwachungskategorie Kontoverwaltung enthält die in der folgenden Tabelle genannten Unterkategorien.

Tabelle A10. Empfehlungen für die Überwachungsrichtlinien-Unterkategorie „Kontoverwaltung“

§ - Dieses Symbol kennzeichnet neue Gruppenrichtlinieneinstellungen in Windows Vista

DS-Zugriff

Die Überwachungskategorie „DS-Zugriff“ gilt nur für Domänencontroller. Aus diesem Grund wird für die Überwachungskategorie „DS-Zugriff“ und alle zugehörigen Unterkategorien für beide in diesem Handbuch behandelten Umgebungen der Wert Keine Überwachung konfiguriert.

Die Ereignisüberwachungskategorie „DS-Zugriff“ enthält die in der folgenden Tabelle genannten Unterkategorien.

Tabelle A11. Empfehlungen für die Überwachungsrichtlinien-Unterkategorie „DS-Zugriff“

§ - Dieses Symbol kennzeichnet neue Gruppenrichtlinieneinstellungen in Windows Vista

Kontoanmeldung

Die Überwachungskategorie „Kontoanmeldung“ generiert Ereignisse für die Überprüfung der Anmeldeinformationen. Diese Ereignisse finden auf dem Computer statt, der für die Anmeldeinformationen autorisierend ist. Für Domänenkonten ist der Domänencontroller autorisierend, für lokale Konten der lokale Computer. In Domänenumgebungen finden die meisten Kontoanmeldeereignisse im Sicherheitsprotokoll der Domänencontroller statt, die für die Domänenkonten autorisierend sind. Diese Ereignisse können jedoch auch auf anderen Computern in der Organisation stattfinden, wenn die Anmeldung über lokale Konten erfolgt.

Die Ereignisüberwachungskategorie Kontoanmeldung enthält die in der folgenden Tabelle genannten Unterkategorien.

Tabelle A12. Empfehlungen für die Überwachungsrichtlinien-Unterkategorie „Kontoanmeldung“

§ - Dieses Symbol kennzeichnet neue Gruppenrichtlinieneinstellungen in Windows Vista

Konten

Die folgende Tabelle bietet einen Überblick über die empfohlenen Einstellungen der Sicherheitsoptionen für Konten. Weitere Informationen finden Sie in den Unterabschnitten im Anschluss an die Tabelle.

Tabelle A16: Empfohlene Einstellungen für Sicherheitsoptionen – Konten

Konten: Administratorkontostatus
Durch diese Richtlinieneinstellung wird das Administratorkonto während des normalen Betriebs aktiviert oder deaktiviert. Wenn ein Computer im sicheren Modus gestartet wird, ist das Administratorkonto unabhängig von der Konfiguration dieser Einstellung immer aktiviert.

Die Einstellung Konten: Administratorkontostatus ist für die Unternehmensclient-Umgebung auf Nicht definiert und für die Hochsicherheitsumgebung auf Deaktiviert gesetzt.

Konten: Gastkontenstatus
Durch diese Richtlinieneinstellung wird festgelegt, ob das Gastkonto aktiviert oder deaktiviert ist. Das Gastkonto ermöglicht nicht authentifizierten Netzwerkbenutzern den Zugriff auf das System.

Die Sicherheitsoption Konten: Gastkontenstatus ist für die beiden in diesem Kapitel behandelten Umgebungen auf Deaktiviert gesetzt.

Konten: Lokale Kontenverwendung von leeren Kennwörtern auf Konsolenanmeldung beschränken
Durch diese Richtlinieneinstellung wird festgelegt, ob lokale Konten, die nicht durch ein Kennwort geschützt sind, sich von anderen Orten als der physischen Computerkonsole aus anmelden können. Wenn Sie diese Richtlinieneinstellung aktivieren, sind lokale Konten mit leeren Kennwörtern nicht in der Lage, sich von Remoteclientcomputern aus beim Netzwerk anzumelden. Solche Konten können sich nur über die Tastatur des Computers anmelden.

Die Einstellung Konten: Lokale Kontenverwendung von leeren Kennwörtern auf Konsolenanmeldung beschränken ist für die beiden in diesem Kapitel behandelten Umgebungen auf Aktiviert gesetzt.

Konten: Administrator umbenennen
Der vordefinierte Name des lokalen Administratorkontos ist ein bekannter Kontoname, auf den viele Angriffe abzielen. Microsoft empfiehlt, einen anderen Namen für dieses Konto zu wählen und Namen zu vermeiden, die auf administrative Konten oder erhöhte Zugriffsrechte hinweisen. Außerdem sollte die Standardbeschreibung für den lokalen Administrator geändert werden (über das Computerverwaltungs-Snap-In).

Die Empfehlung, die Einstellung Konten: Administrator umbenennen zu verwenden, gilt für beide Umgebungen, die in diesem Handbuch erörtert werden.

Hinweis:   Diese Richtlinieneinstellung ist in den Sicherheitsvorlagen nicht konfiguriert, und es wird in diesem Handbuch auch kein neuer Benutzername für das Konto vorgeschlagen. Auf Vorschläge für Benutzernamen wird verzichtet, um sicherzustellen, dass Organisationen, die diese Anleitungen umsetzen, in ihrer Umgebung nicht die gleichen Benutzernamen verwenden.

Konten: Gastkonto umbenennen
Der Name des vordefinierten lokalen Gastkontos ist Angreifern ebenfalls wohlbekannt. Microsoft empfiehlt, diesem Konto ebenfalls einen Namen zu geben, aus dem sich der Zweck des Kontos nicht erkennen lässt. Selbst wenn Sie dieses Konto deaktivieren (was empfohlen wird), sollten Sie es zur Erhöhung der Sicherheit umbenennen.

Die Empfehlung, die Einstellung Konten: Gastkonto umbenennen zu verwenden, gilt für beide Umgebungen, die in diesem Handbuch erörtert werden.

Hinweis:   Diese Richtlinieneinstellung ist in den Sicherheitsvorlagen nicht konfiguriert, und es wird hier auch kein neuer Benutzername für das Konto vorgeschlagen. Auf Vorschläge für Benutzernamen wird verzichtet, um sicherzustellen, dass Organisationen, die diese Anleitungen umsetzen, in ihrer Umgebung nicht die gleichen Benutzernamen verwenden.

Überwachung

Die folgende Tabelle bietet einen Überblick über die empfohlenen Überwachungseinstellungen. Weitere Informationen finden Sie in den Unterabschnitten im Anschluss an die Tabelle.

Tabelle A17: Empfohlene Einstellungen für Sicherheitsoptionen – Überwachung

§ - Dieses Symbol kennzeichnet neue Gruppenrichtlinieneinstellungen in Windows Vista

Überwachung: Zugriff auf globale Systemobjekte prüfen
Mit dieser Richtlinieneinstellung wird eine standardmäßige Systemzugriffssteuerungsliste (SACL) für Systemobjekte wie z. B. Mutexe (sich gegenseitig ausschließende Objekte), Ereignisse, Semaphore und MS-DOS®-Geräte erstellt. Der Zugriff auf diese Systemobjekte wird daraufhin überwacht.

Wenn die Einstellung Überwachung: Zugriff auf globale Systemobjekte prüfen aktiviert ist, könnte das Sicherheitsereignisprotokoll schnell mit einer sehr großen Anzahl von Sicherheitsereignissen gefüllt werden. Aus diesem Grund ist diese Richtlinieneinstellung für die Unternehmensclient-Umgebung auf Nicht definiert und für die Hochsicherheitsumgebung auf Deaktiviert gesetzt.

Überwachung: Die Verwendung des Sicherungs- und Wiederherstellungsrechts überprüfen
Durch diese Richtlinieneinstellung wird festgelegt, ob die Verwendung aller Benutzerrechte (einschließlich Sicherung und Wiederherstellung) überwacht wird, wenn die Einstellung Rechteverwendung überwachen aktiviert ist. Wenn Sie beide Richtlinien aktivieren, wird für jede gesicherte oder wiederhergestellte Datei ein Überwachungsereignis erzeugt.

Wenn die Einstellung Überwachung: Die Verwendung des Sicherungs- und Wiederherstellungsrechts überprüfen aktiviert ist, könnte das Sicherheitsereignisprotokoll schnell mit einer sehr großen Anzahl von Sicherheitsereignissen gefüllt werden. Aus diesem Grund ist diese Richtlinieneinstellung für die Unternehmensclient-Umgebung auf Nicht definiert und für die Hochsicherheitsumgebung auf Deaktiviert gesetzt.

Überwachung: Force audit policy subcategory settings (Windows Vista or later) to override audit policy category settings
Mit dieser Richtlinieneinstellung können Administratoren die präziseren Überwachungsfunktionen von Windows Vista aktivieren.

Die Überwachungsrichtlinieneinstellungen in Windows Server 2003 Active Directory enthalten noch keine Einstellungen für die Handhabung der neuen Überwachungsunterkategorien. Damit die in diesem Handbuch empfohlenen Überwachungsrichtlinien korrekt angewendet werden können, wird die Einstellung Überwachung: Force audit policy subcategory settings (Windows Vista or later) to override audit policy category settings für beide in diesem Handbuch behandelten Umgebungen auf Aktiviert gesetzt.

Überwachung: System sofort herunterfahren, wenn Sicherheitsüberprüfungen nicht protokolliert werden können
Durch diese Richtlinieneinstellung wird festgelegt, ob das System sofort heruntergefahren wird, wenn es Sicherheitsereignisse nicht protokollieren kann. Diese Einstellung ist für die TCSEC-C2-Zertifizierung (Trusted Computer System Evaluation Criteria) und die Common-Criteria-Zertifizierung erforderlich und verhindert, dass zu überwachende Ereignisse auftreten, wenn sie vom Überwachungssystem nicht protokolliert werden können. Microsoft erfüllt diese Anforderungen durch Anzeigen einer Abbruchmeldung und Herunterfahren des Systems, wenn das Überwachungssystem nicht ordnungsgemäß arbeitet. Wenn diese Richtlinieneinstellung aktiviert ist, wird das System heruntergefahren, wenn eine Sicherheitsüberwachung nicht protokolliert werden kann.

Wenn die Einstellung Überwachung: System sofort herunterfahren, wenn Sicherheitsüberprüfungen nicht protokolliert werden können aktiviert ist, können ungeplante Systemfehler auftreten. Aus diesem Grund ist diese Richtlinieneinstellung für die Unternehmensclient-Umgebung auf Nicht definiert und für die Hochsicherheitsumgebung auf Deaktiviert gesetzt.

Geräte

Die folgende Tabelle bietet einen Überblick über die empfohlenen Einstellungen der Sicherheitsoptionen für Geräte. Weitere Informationen finden Sie in den Unterabschnitten im Anschluss an die Tabelle.

Tabelle A18: Empfohlene Einstellungen für Sicherheitsoptionen – Geräte

Geräte: Entfernen ohne vorherige Anmeldung erlauben
Durch diese Richtlinieneinstellung wird festgelegt, ob ein tragbarer Computer durch einen nicht beim System angemeldeten Benutzer abgedockt werden kann. Wenn diese Einstellung aktiviert ist, entfällt die Anmeldeanforderung, und der Computer kann über eine Schaltfläche zum Trennen externer Hardware abgedockt werden. Wenn Sie diese Richtlinieneinstellung deaktivieren, kann ein Benutzer den Computer nur dann von der Dockingstation entfernen, wenn ihm das Benutzerrecht Entfernen des Computers von der Dockingstation zugewiesen wurde.

Die Einstellung Geräte: Entfernen ohne vorherige Anmeldung erlauben ist für die Unternehmensclient-Umgebung auf Nicht definiert und für die Hochsicherheitsumgebung auf Deaktiviert gesetzt.

Geräte: Formatieren und Auswerfen von Wechselmedien zulassen
Durch diese Richtlinieneinstellung wird festgelegt, wer Wechselmedien formatieren und auswerfen darf. Mit dieser Richtlinieneinstellung können Sie nicht autorisierte Benutzer davon abhalten, Daten von einem Computer zu entfernen und auf diese auf einem anderen Computer zuzugreifen, auf dem die Benutzer lokale Administratorrechte besitzen.

Die Einstellung Geräte: Formatieren und Auswerfen von Wechselmedien zulassen ist zur Erhöhung der Sicherheit in der Unternehmensclient-Umgebung auf die Gruppen Administratoren und Interaktive Benutzer und in der Hochsicherheitsumgebung auf die Gruppe Administratoren beschränkt.

Geräte: Anwendern das Installieren von Druckertreibern nicht erlauben
Angreifer verfügen über Möglichkeiten, einen Trojaner als Druckertreiber zu tarnen. Dadurch getäuschte Benutzer verwenden dieses Programm möglicherweise zum Drucken und führen damit schädlichen Code im Netzwerk aus. Zur Verringerung der Wahrscheinlichkeit eines solchen Ereignisses sollten nur Administratoren Druckertreiber installieren dürfen. Da Laptops mobile Geräte sind, kann es für Benutzer von Laptops jedoch notwendig sein, Druckertreiber aus einer Remotequelle zu installieren, um die Arbeit fortsetzen zu können. Diese Einstellung sollte für Laptopbenutzer deaktiviert, jedoch für Desktopbenutzer immer aktiviert werden.

Die Einstellung Geräte: Anwendern das Installieren von Druckertreibern nicht erlauben ist für die Desktopcomputer in den beiden in diesem Handbuch behandelten Umgebungen auf Aktiviert und für Laptopbenutzer in beiden Umgebungen auf Deaktiviert gesetzt.

Geräte: Zugriff auf CD-ROM-Laufwerke auf lokal angemeldete Benutzer beschränken
Durch diese Richtlinieneinstellung wird festgelegt, ob sowohl lokale Benutzer als auch Remotebenutzer gleichzeitig auf das CD-ROM-Laufwerk zugreifen können. Wenn Sie diese Richtlinieneinstellung aktivieren, können nur interaktiv angemeldete Benutzer auf Medien im CD-ROM-Laufwerk zugreifen. Wenn diese Richtlinieneinstellung aktiviert und niemand angemeldet ist, kann über das Netzwerk auf das CD-ROM-Laufwerk zugegriffen werden. Bei Aktivierung dieser Einstellung kann das Windows-Sicherungsprogramm nicht erfolgreich ausgeführt werden, wenn für den Sicherungsauftrag Volumeschattenkopien angegeben wurden. Auch Sicherungsprodukte von Drittanbietern, die mit Volumeschattenkopien arbeiten, können nicht erfolgreich ausgeführt werden.

Die Einstellung Geräte: Zugriff auf CD-ROM-Laufwerke auf lokal angemeldete Benutzer beschränken ist in der Unternehmensclient-Umgebung auf Nicht definiert und in der Hochsicherheitsumgebung auf Deaktiviert gesetzt.

Geräte: Zugriff auf Diskettenlaufwerke auf lokal angemeldete Benutzer beschränken
Durch diese Richtlinieneinstellung wird festgelegt, ob sowohl lokale Benutzer als auch Remotebenutzer gleichzeitig auf das Diskettenlaufwerk zugreifen können. Wenn Sie diese Richtlinieneinstellung aktivieren, können nur interaktiv angemeldete Benutzer auf Medien in Diskettenlaufwerken zugreifen. Wenn die Einstellung aktiviert und niemand angemeldet ist, kann über das Netzwerk auf Medien im Diskettenlaufwerk zugegriffen werden. Bei Aktivierung dieser Einstellung kann das Windows-Sicherungsprogramm nicht erfolgreich ausgeführt werden, wenn für den Sicherungsauftrag Volumeschattenkopien angegeben wurden. Auch Sicherungsprodukte von Drittanbietern, die mit Volumeschattenkopien arbeiten, können nicht erfolgreich ausgeführt werden.

Die Einstellung Geräte: Zugriff auf Diskettenlaufwerke auf lokal angemeldete Benutzer beschränken ist in der Unternehmensclient-Umgebung auf Nicht definiert und in der Hochsicherheitsumgebung auf Deaktiviert gesetzt.

Domänenmitglied

Die folgende Tabelle bietet einen Überblick über die empfohlenen Einstellungen der Sicherheitsoptionen für Domänenmitglieder. Weitere Informationen finden Sie in den Unterabschnitten im Anschluss an die Tabelle.

Tabelle A19: Empfohlene Einstellungen für Sicherheitsoptionen – Domänenmitglied

Domänenmitglied: Daten des sicheren Kanals digital verschlüsseln oder signieren (immer)
Durch diese Richtlinieneinstellung wird festgelegt, ob der gesamte Datenverkehr über den sicheren Kanal, der vom Domänenmitglied initiiert wird, signiert oder verschlüsselt werden muss. Wenn ein System so eingestellt ist, dass es Daten des sicheren Kanals immer verschlüsselt oder signiert, kann kein sicherer Kanal mit einem Domänencontroller hergestellt werden, der nicht in der Lage ist, den gesamten Datenverkehr über den sicheren Kanal zu signieren oder zu verschlüsseln, da der gesamte Datenverkehr über den sicheren Kanal signiert und verschlüsselt wird.

Die Einstellung Domänenmitglied: Daten des sicheren Kanals digital verschlüsseln oder signieren (immer) ist für die beiden in diesem Handbuch behandelten Umgebungen auf Aktiviert gesetzt.

Domänenmitglied: Daten des sicheren Kanals digital verschlüsseln (wenn möglich)
Durch diese Richtlinieneinstellung wird festgelegt, ob ein Domänenmitglied versuchen soll, für den gesamten von ihm initiierten Verkehr über den sicheren Kanal die Verschlüsselung auszuhandeln. Wenn Sie diese Richtlinieneinstellung aktivieren, fordert das Domänenmitglied für den gesamten Verkehr über den sicheren Kanal eine Verschlüsselung an. Wenn Sie diese Richtlinieneinstellung deaktivieren, kann das Domänenmitglied die Verschlüsselung für den sicheren Kanal nicht aushandeln.

Die Einstellung Domänenmitglied: Daten des sicheren Kanals digital verschlüsseln (wenn möglich) ist für die beiden in diesem Handbuch behandelten Umgebungen auf Aktiviert gesetzt.

Domänenmitglied: Daten des sicheren Kanals digital signieren (wenn möglich)
Durch diese Richtlinieneinstellung wird festgelegt, ob ein Domänenmitglied versuchen soll, für den gesamten von ihm initiierten Verkehr über den sicheren Kanal die Signierung auszuhandeln. Durch die Signierung wird verhindert, dass der Verkehr geändert wird, wenn er bei der Übertragung über das Netzwerk abgefangen wird.

Die Einstellung Domänenmitglied: Daten des sicheren Kanals digital signieren (wenn möglich) ist für die beiden in diesem Handbuch behandelten Umgebungen auf Aktiviert gesetzt.

Domänenmitglied: Änderungen von Computerkontenkennwörtern deaktivieren
Durch diese Richtlinieneinstellung wird festgelegt, ob ein Domänenmitglied sein Computerkontenkennwort regelmäßig ändern kann. Wenn Sie diese Richtlinieneinstellung aktivieren, kann das Domänenmitglied sein Computerkontenkennwort nicht ändern. Wenn Sie diese Richtlinieneinstellung deaktivieren, kann das Domänenmitglied sein Computerkontenkennwort entsprechend der Einstellung für Domänenmitglied: Maximalalter von Computerkontenkennwörtern ändern. Der Standardwert dieser Einstellung beträgt 30 Tage. Computer, die ihre Kontenkennwörter nicht automatisch ändern können, sind potenziell anfällig, weil ein Angreifer das Kennwort für das Domänenkonto des Systems ermitteln könnte.

Daher ist die Einstellung Domänenmitglied: Änderungen von Computerkontenkennwörtern deaktivieren für die beiden in diesem Kapitel behandelten Umgebungen auf Deaktiviert gesetzt.

Domänenmitglied: Maximalalter von Computerkontenkennwörtern
Durch diese Richtlinieneinstellung wird das maximal zulässige Alter für Computerkontenkennwörter festgelegt. Standardmäßig ändern Domänenmitglieder ihre Domänenkennwörter automatisch alle 30 Tage. Wenn Sie dieses Intervalls deutlich erhöhen oder auf 0 setzen, damit die Kennwörter von Computern nicht mehr geändert werden müssen, haben Angreifer mehr Zeit, um über Brute-Force-Angriffe das Kennwort von Computerkonten zu erraten.

Daher ist die Einstellung Domänenmitglied: Maximalalter von Computerkontenkennwörtern für die beiden in diesem Kapitel behandelten Umgebungen auf 30 Tage gesetzt.

Domänenmitglied: Starker Sitzungsschlüssel erforderlich (Windows 2000 oder höher)
Wenn diese Richtlinieneinstellung aktiviert ist, kann ein sicherer Kanal nur mit Domänencontrollern eingerichtet werden, die Daten des sicheren Kanals mit einem starken Sitzungsschlüssel (128-Bit) verschlüsseln können.

Für diese Einstellung ist es erforderlich, dass alle Domänencontroller der Domäne fähig sind, Daten des sicheren Kanals mit einem starken Schlüssel zu verschlüsseln. Dies bedeutet, dass alle Domänencontrollern über Windows 2000 oder höher verfügen müssen. Wenn die Kommunikation mit Domänen erforderlich ist, die nicht auf Windows 2000 basieren, sollte diese Richtlinieneinstellung deaktiviert werden.

Die Einstellung Domänenmitglied: Starker Sitzungsschlüssel erforderlich (Windows 2000 oder höher) ist für die beiden in diesem Handbuch behandelten Umgebungen auf Aktiviert gesetzt.

Interaktive Anmeldung

Die folgende Tabelle bietet einen Überblick über die empfohlenen Einstellungen der Sicherheitsoptionen für die interaktive Anmeldung. Weitere Informationen finden Sie in den Unterabschnitten im Anschluss an die Tabelle.

Tabelle A20: Empfohlene Einstellungen für Sicherheitsoptionen – Interaktive Anmeldung

Interaktive Anmeldung: Letzten Benutzernamen nicht anzeigen
Durch diese Richtlinieneinstellung wird festgelegt, ob der Kontoname des zuletzt auf den Clientcomputern in Ihrer Organisation angemeldeten Benutzers auf dem Windows-Anmeldebildschirm jedes Computers angezeigt wird. Durch Aktivieren dieser Richtlinieneinstellung können Sie verhindern, dass Eindringlinge Kontonamen von den Bildschirmen der Desktop- oder Laptopcomputer in Ihrer Organisation ablesen können.

Die Einstellung Interaktive Anmeldung: Letzten Benutzernamen nicht anzeigen ist für die beiden in diesem Handbuch behandelten Umgebungen auf Aktiviert gesetzt.

Interaktive Anmeldung: Kein STRG+ALT+ENTF erforderlich
Mit der Tastenkombination STRG+ALT+ENTF wird ein vertrauenswürdiger Pfad zum Betriebssystem hergestellt, wenn ein Benutzer einen Benutzernamen und ein Kennwort eingibt. Wenn diese Richtlinieneinstellung aktiviert ist, ist diese Tastenkombination nicht erforderlich, um sich im Netzwerk anzumelden. Diese Konfiguration stellt jedoch ein Sicherheitsrisiko dar, da sich Benutzer mit geringeren Anmeldeinformationen bei dem Client anmelden können.

Die Einstellung Interaktive Anmeldung: Kein STRG+ALT+ENTF erforderlich ist für die beiden in diesem Handbuch behandelten Umgebungen auf Deaktiviert gesetzt.

Interaktive Anmeldung: Nachricht für Benutzer, die sich anmelden wollen
Durch diese Richtlinieneinstellung wird eine Textmeldung festgelegt, die bei der Anmeldung eines Benutzers angezeigt wird. Dieser Text wird häufig aus rechtlichen Gründen verwendet, z. B. um Benutzer auf die Auswirkungen eines Missbrauchs von Firmeninformationen hinzuweisen, oder um sie davor zu warnen, dass ihre Aktionen überwacht werden.

Hinweis:   Alle Warnmeldungen, die Sie anzeigen lassen, sollten vorher von den juristischen Vertretern und der Personalabteilung der Organisation genehmigt werden. Außerdem müssen die Einstellungen Interaktive Anmeldung: Nachricht für Benutzer, die sich anmelden wollen und Interaktive Anmeldung: Nachrichtentitel für Benutzer, die sich anmelden möchtenbeide aktiviert sein, damit jede von ihnen richtig funktioniert.

Interaktive Anmeldung: Nachrichtentitel für Benutzer, die sich anmelden möchten
Diese Richtlinieneinstellung ermöglicht das Festlegen von Text für die Titelleiste des Fensters, das Benutzer bei der Anmeldung beim System sehen. Der Grund für diese Richtlinieneinstellung ist derselbe wie für die vorangegangene Meldungstexteinstellung. Organisationen, die auf die Verwendung dieser Einstellung verzichten, sind rechtlich nicht gegen Unbefugte abgesichert, die das System angreifen.

Hinweis:   Alle Warnmeldungen, die Sie anzeigen lassen, sollten vorher von den juristischen Vertretern und der Personalabteilung der Organisation genehmigt werden. Außerdem müssen die Einstellungen Interaktive Anmeldung: Nachricht für Benutzer, die sich anmelden wollen und Interaktive Anmeldung: Nachrichtentitel für Benutzer, die sich anmelden möchten beide aktiviert sein, damit jede von ihnen richtig funktioniert.

Interaktive Anmeldung: Anzahl zwischenzuspeichernder vorheriger Anmeldungen (für den Fall, dass der Domänencontroller nicht verfügbar ist)
Durch diese Richtlinieneinstellung wird festgelegt, ob ein Benutzer sich mit zwischengespeicherten Kontoinformationen bei einer Windows-Domäne anmelden kann. Anmeldeinformationen für Domänenkonten können lokal zwischengespeichert werden, um Benutzern selbst dann die Anmeldung zu ermöglichen, wenn kein Domänencontroller erreichbar ist. Durch diese Einstellung wird die Anzahl von eindeutigen Benutzern festgelegt, für die Anmeldeinformationen lokal zwischengespeichert werden. Der Standardwert für diese Richtlinieneinstellung lautet 10. Wenn dieser Wert auf 0 gesetzt wird, wird der Anmeldecache deaktiviert. Ein Angreifer mit Zugriff auf das Dateisystem des Servers kann nach den zwischengespeicherten Informationen suchen und die Benutzerkennwörter mit einem Brute-Force-Angriff ermitteln.

Die Einstellung Interaktive Anmeldung: Anzahl zwischenzuspeichernder vorheriger Anmeldungen (für den Fall, dass der Domänencontroller nicht verfügbar ist) ist in der Unternehmensclient-Umgebung sowohl für Desktop- als auch Laptopcomputer und in der Hochsicherheitsumgebung für Laptopcomputer auf 2 gesetzt. Für Desktops in der Hochsicherheitsumgebung ist diese Richtlinieneinstellung jedoch auf 0 gesetzt, da diese Computer immer eine sichere Verbindung zum Netzwerk der Organisation haben sollten.

Interaktive Anmeldung: Anwender vor Ablauf des Kennworts zum Ändern des Kennworts auffordern
Durch diese Richtlinieneinstellung wird die Zeitspanne festgelegt, die Benutzer im Voraus auf den Ablauf ihrer Kennwörter hingewiesen werden. Microsoft empfiehlt, bei dieser Richtlinieneinstellung eine Frist von 14 Tagen einzugeben, damit Benutzer rechtzeitig über das Ablaufen des Kennworts informiert werden.

Die Einstellung Interaktive Anmeldung: Anwender vor Ablauf des Kennworts zum Ändern des Kennworts auffordern ist für die beiden in diesem Handbuch behandelten Umgebungen auf 14 Tage gesetzt.

Interaktive Anmeldung: Domänencontrollerauthentifizierung zum Aufheben der Sperrung der Arbeitsstation erforderlich
Bei Aktivierung dieser Einstellung muss ein Domänencontroller das zum Entsperren des Computers verwendete Domänenkonto authentifizieren. Ist diese Richtlinieneinstellung deaktiviert, können zwischengespeicherte Anmeldeinformationen zum Aufheben der Sperrung des Computers verwendet werden. Microsoft empfiehlt, diese Richtlinieneinstellung für Laptopbenutzer in beiden Umgebungen zu deaktivieren, da mobile Benutzer keinen Netzwerkzugriff auf Domänencontrollern haben.

Die Einstellung Interaktive Anmeldung: Domänencontrollerauthentifizierung zum Aufheben der Sperrung der Arbeitsstation erforderlich ist für Desktopcomputer sowohl in der Unternehmensclient-Umgebung als auch in der Hochsicherheitsumgebung auf Aktiviert gesetzt. Diese Richtlinieneinstellung ist jedoch für Laptops in beiden Umgebungen auf Deaktiviert gesetzt, damit diese Benutzer auch außerhalb des Büros arbeiten können.

Interaktive Anmeldung: Verhalten beim Entfernen von Smartcards
Durch diese Richtlinieneinstellung wird festgelegt, was geschehen soll, wenn die Smartcard für einen angemeldeten Benutzer aus dem Smartcard-Leser entfernt wird. Wenn diese Richtlinieneinstellung auf Arbeitsstation sperren gesetzt ist, wird die Arbeitsstation beim Entfernen der Smartcard gesperrt. Auf diese Weise können Benutzer beim Verlassen des Arbeitsplatzes ihre Smartcards mitnehmen und ihre Arbeitsstationen automatisch sperren lassen. Wenn Sie diese Richtlinieneinstellung auf Abmeldung erzwingen einstellen, werden Benutzer bei der Entnahme der Smartcard automatisch abgemeldet.

Die Einstellung Interaktive Anmeldung: Verhalten beim Entfernen von Smartcards ist für die beiden in diesem Handbuch behandelten Umgebungen auf Arbeitsstation sperren gesetzt.

Microsoft-Netzwerk (Client)

Die folgende Tabelle bietet einen Überblick über die empfohlenen Einstellungen der Sicherheitsoptionen für Clientcomputer im Microsoft-Netzwerk. Weitere Informationen finden Sie in den Unterabschnitten im Anschluss an die Tabelle.

Tabelle A21: Empfohlene Einstellungen für Sicherheitsoptionen – Microsoft-Netzwerk (Client)

Microsoft-Netzwerk (Client): Kommunikation digital signieren (immer)
Durch diese Richtlinieneinstellung wird festgelegt, ob die SMB-Clientkomponente die Signierung von Paketen erfordert. Wenn Sie diese Richtlinieneinstellung aktivieren, kann der Microsoft-Netzwerkclient nur dann mit einem Microsoft-Netzwerkserver kommunizieren, wenn der Server der SMB-Paketsignierung zustimmt. In gemischten Umgebungen mit älteren Clients sollte diese Option auf Deaktiviert gesetzt werden, da diese Computer sich nicht authentifizieren und nicht auf Domänencontroller zugreifen können. In Umgebungen mit Windows 2000 oder höher kann diese Richtlinieneinstellung jedoch verwendet werden.

Die Einstellung Microsoft-Netzwerk (Client): Kommunikation digital signieren (immer) ist für Computer in beiden in diesem Handbuch behandelten Umgebungen auf Aktiviert gesetzt.

Hinweis:   Wenn diese Richtlinieneinstellung auf Windows Vista-basierten Computern aktiviert ist und diese eine Verbindung zu Datei- oder Druckerfreigaben auf Remoteservern herstellen, muss die Einstellung unbedingt mit ihrer begleitenden Einstellung, Microsoft-Netzwerk (Server): Kommunikation digital signieren (immer), auf diesen Servern synchronisiert werden. Weitere Informationen zu diesen Einstellungen finden Sie im Abschnitt „Microsoft-Netzwerk (Client und Server): Kommunikation digital signieren (vier in Zusammenhang stehende Einstellungen)“ von Kapitel 5 des Handbuchs Bedrohungen und Gegenmaßnahmen.

Microsoft-Netzwerk (Client): Kommunikation digital signieren (wenn Client zustimmt)
Durch diese Richtlinieneinstellung wird festgelegt, ob der SMB-Client versucht, die SMB-Paketsignierung auszuhandeln. Die Implementierung einer digitalen Signierung in Windows-basierten Netzwerken trägt dazu bei, Sitzungsübernahmen zu verhindern. Wenn Sie diese Richtlinieneinstellung aktivieren, verwendet der Microsoft-Netzwerkclient die Signierung nur dann, wenn der Server, mit dem er kommuniziert, digital signierte Kommunikation akzeptiert.

Die Einstellung Microsoft-Netzwerk (Client): Kommunikationen digital signieren (wenn Server zustimmt) ist für die beiden in diesem Handbuch behandelten Umgebungen auf Aktiviert gesetzt.

Hinweis:   Aktivieren Sie diese Richtlinieneinstellung auf SMB-Clients in Ihrem Netzwerk, damit sie bei der Paketsignierung mit allen Clients und Servern in Ihrer Umgebung kompatibel sind.

Microsoft-Netzwerk (Client): Unverschlüsseltes Kennwort an SMB-Server von Drittanbietern senden
Deaktivieren Sie diese Richtlinieneinstellung, um den SMB-Redirector davon abzuhalten, während der Authentifizierung Klartextkennwörter an SMB-Server von Drittanbietern zu senden, die die Kennwortverschlüsselung nicht unterstützen. Microsoft empfiehlt, diese Richtlinieneinstellung zu deaktivieren, wenn keine wichtigen geschäftlichen Anforderungen dagegen sprechen. Wenn diese Richtlinieneinstellung aktiviert ist, sind im gesamten Netzwerk unverschlüsselte Kennwörter zugelassen.

Die Einstellung Microsoft-Netzwerk (Client): Unverschlüsseltes Kennwort an SMB-Server von Drittanbietern senden ist für die beiden in diesem Handbuch behandelten Umgebungen auf Deaktiviert gesetzt.

Microsoft-Netzwerk (Server)

Die folgende Tabelle bietet einen Überblick über die empfohlenen Einstellungen der Sicherheitsoptionen für Microsoft-Netzwerkserver. Weitere Informationen finden Sie in den Unterabschnitten im Anschluss an die Tabelle.

Tabelle A22: Empfohlene Einstellungen für Sicherheitsoptionen – Microsoft-Netzwerk (Server)

Microsoft-Netzwerk (Server): Leerlaufzeitspanne bis zum Anhalten der Sitzung
Mit dieser Richtlinieneinstellung können Sie die Leerlaufzeitspanne in einer SMB-Sitzung festlegen, nach der die Sitzung aufgrund von Inaktivität angehalten wird. Administratoren können mit dieser Richtlinieneinstellung steuern, zu welchem Zeitpunkt eine nicht aktive Sitzung vom Computer angehalten wird. Wenn der Client seine Aktivität wieder aufnimmt, wird die Sitzung automatisch wiederhergestellt.

Die Einstellung Microsoft-Netzwerk (Server): Leerlaufzeitspanne bis zum Anhalten der Sitzung ist für die beiden in diesem Handbuch behandelten Umgebungen auf eine Zeitspanne von 15 Minuten gesetzt.

Microsoft-Netzwerk (Server): Kommunikation digital signieren (immer)
Durch diese Richtlinieneinstellung wird festgelegt, ob SMB-Pakete vom SMB-Server signiert werden müssen. Aktivieren Sie diese Richtlinieneinstellung in einer gemischten Umgebung, damit Downstream-Clients Arbeitsstationen nicht als Netzwerkserver verwenden können.

Die Einstellung Microsoft-Netzwerk (Server): Kommunikation digital signieren (immer) ist für die beiden in diesem Handbuch behandelten Umgebungen auf Aktiviert gesetzt.

Microsoft-Netzwerk (Server): Kommunikation digital signieren (wenn Server zustimmt)
Durch diese Richtlinieneinstellung wird festgelegt, ob der serverseitige SMB-Dienst SMB-Pakete signieren kann, wenn dies von einem Client angefordert wird, der eine Verbindung herzustellen versucht. Wenn vom Client keine Signaturanforderung kommt, wird eine Verbindung ohne Signatur zugelassen, wenn die Einstellung Microsoft-Netzwerk (Server): Kommunikation digital signieren (immer) nicht aktiviert ist.

Die Einstellung Microsoft-Netzwerk (Server): Kommunikationen digital signieren (wenn Client zustimmt) ist für die beiden in diesem Handbuch behandelten Umgebungen auf Aktiviert gesetzt.

Hinweis:   Aktivieren Sie diese Richtlinieneinstellung auf SMB-Clients in Ihrem Netzwerk, damit sie bei der Paketsignierung mit allen Clients und Servern in Ihrer Umgebung kompatibel sind.

Microsoft-Netzwerk (Server): Clientverbindungen aufheben, wenn die Anmeldezeit überschritten wird
Durch diese Richtlinieneinstellung wird festgelegt, ob Verbindungen zu Benutzern getrennt werden, wenn diese außerhalb der für ihr Konto gültigen Anmeldezeiten mit dem lokalen Computer verbunden sind. Diese Richtlinieneinstellung betrifft die SMB-Komponente. Wenn Sie diese Richtlinieneinstellung aktivieren, werden Clientsitzungen mit dem SMB-Dienst nach Ablauf der Anmeldezeit des Clients beendet. Wenn Sie diese Richtlinieneinstellung deaktivieren, werden bestehende Clientsitzungen nach Ablauf der Anmeldezeit des Clients aufrechterhalten. Wenn Sie diese Richtlinieneinstellung aktivieren, sollte auch die Einstellung Netzwerksicherheit: Abmeldung nach Ablauf der Anmeldezeit erzwingen aktiviert werden.

Die Aktivierung dieser Richtlinieneinstellung ist sinnvoll, wenn in Ihrer Organisation Anmeldezeiten für Benutzer festgelegt wurden.

Die Einstellung Microsoft-Netzwerk (Client): Clientverbindungen aufheben, wenn die Anmeldezeit überschritten wird ist für die beiden in diesem Handbuch behandelten Umgebungen auf Aktiviert gesetzt.

MSS-Einstellungen

Die folgenden Einstellungen enthalten Registrierungswerteinträge, die nicht standardmäßig im Sicherheitskonfigurations-Editor (SCE) angezeigt werden. Diese Einstellungen, die alle das Präfix MSS: aufweisen, wurden von der „Microsoft Solutions for Security“-Gruppe für frühere Sicherheitsanleitungen entwickelt. Durch das in Kapitel 1, „Implementieren der Sicherheitsbasis“, behandelte Skript GPOAccelerator.wsf wird der Sicherheitskonfigurations-Editor so verändert, dass er die MSS-Einstellungen korrekt anzeigt.

Die folgende Tabelle bietet einen Überblick über die MSS-Einstellungen, die für die einzelnen in diesem Handbuch behandelten Umgebungen empfohlen werden. Im Anschluss an die Tabelle werden weitere Informationen zu den einzelnen Einstellungen bereitgestellt.

Tabelle A23: Empfohlene Einstellungen für Sicherheitsoptionen – MSS-Einstellungen

MSS: (AutoAdminLogon) Enable Automatic Logon
Der Registrierungswert AutoAdminLogon wurde der Vorlagendatei im Registrierungsschlüssel HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\ hinzugefügt. Im Sicherheitskonfigurations-Editor wird der Eintrag als MSS: (AutoAdminLogon) Enable Automatic Logon (not recommended) angezeigt.

Diese Einstellung ist vom Begrüßungsbildschirm in Windows XP und Windows Vista getrennt. Wenn dieser deaktiviert ist, ist diese Einstellung nicht deaktiviert. Wenn Sie einen Computer für die automatische Anmeldung konfigurieren, kann jeder, der physischen Zugriff auf den Computer erlangen kann, außerdem Zugriff auf alle auf dem Computer befindlichen Daten erhalten. Dazu gehören auch alle Netzwerke, mit denen der Computer verbunden ist. Wenn Sie die automatische Anmeldung aktivieren, wird das Kennwort in Klartext in der Registrierung gespeichert. Der Registrierungsschlüssel, in dem dieser Wert gespeichert wird, kann von der Gruppe „Authentifizierte Benutzer“ von einem Remotestandort aus gelesen werden. Aus diesen Gründen ist die Einstellung für die Unternehmensclient-Umgebung auf Nicht definiert gesetzt, und in der Hochsicherheitsumgebung wird ausdrücklich die Standardeinstellung Deaktiviert erzwungen.

Zusätzliche Informationen finden Sie im Knowledge Base-Artikel 315231, Aktivieren der automatischen Anmeldung in Windows XP.

MSS: (DisableIPSourceRouting) IP source routing protection level
Der Registrierungswert DisableIPSourceRouting wurde der Vorlagendatei im Registrierungsschlüssel HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\ hinzugefügt. Im Sicherheitskonfigurations-Editor wird der Eintrag als MSS: (DisableIPSourceRouting) IP source routing protection level (protects against packet spoofing) angezeigt.

Über das IP-Quellrouting kann ein Sender die IP-Route eines Datagramms im Netzwerk festlegen. Diese Einstellung ist für die Unternehmensclient-Umgebung auf Nicht definiert und für die Hochsicherheitsumgebung auf Höchste Schutzebene, Quellrouting vollständig deaktiviert gesetzt.

MSS: (EnableDeadGWDetect) Allow automatic detection of dead network gateways
Der Registrierungswert EnableDeadGWDetect wurde der Vorlagendatei im Registrierungsschlüssel HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\ hinzugefügt. Im Sicherheitskonfigurations-Editor wird der Eintrag als MSS: (EnableDeadGWDetect) Allow automatic detection of dead network gateways (could lead to DoS) angezeigt.

Wenn die Funktion zur Identifizierung deaktivierter Gateways („Dead Gateway Detection“) aktiviert ist, kann das IP-Protokoll zu einem Sicherungsgateway wechseln, wenn bei mehreren Verbindungen Fehler auftreten. Diese Richtlinieneinstellung ist für die Unternehmensclient-Umgebung auf Nicht definiert und für die Hochsicherheitsumgebung auf Deaktiviert gesetzt.

MSS: (EnableICMPRedirect) Allow ICMP redirects to override OSPF generated routes
Der Registrierungswert EnableICMPRedirect wurde der Vorlagendatei im Registrierungsschlüssel HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\ hinzugefügt. Im Sicherheitskonfigurations-Editor wird der Eintrag als MSS: (EnableICMPRedirect) Allow ICMP redirects to override OSPF generated routes angezeigt.

ICMP-Umleitungen (Internet Control Message Protocol-Umleitungen) bewirken, dass der Stapel Hostrouten einrichtet. Diese Routen setzen die über OSPF (Open Shortest Path First) erstellten Routen außer Kraft. Diese Richtlinieneinstellung ist für die Unternehmensclient-Umgebung auf Nicht definiert und für die Hochsicherheitsumgebung auf Deaktiviert gesetzt.

MSS: (Hidden) Hide Computer From the Browse List
Der Registrierungswert Hidden wurde der Vorlagendatei im Registrierungsschlüssel HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Lanmanserver\Parameters\ hinzugefügt. Im Sicherheitskonfigurations-Editor wird der Eintrag als MSS: (Hidden) Hide Computer From the Browse List (not recommended except for highly secure environments) angezeigt.

Sie können einen Computer so konfigurieren, dass er den Browsern in der Domäne keine Ankündigungen sendet. Wenn Sie dies tun, blenden Sie den Computer aus der Suchliste aus. Das bedeutet, dass der Computer seine Anwesenheit vor anderen Computern im gleichen Netzwerk verbirgt. Ein Angreifer, der den Namen eines Computers kennt, kann viel leichter zusätzliche Informationen über das System sammeln. Sie können diese Einstellung aktivieren, um eine Methode zu eliminieren, mit der ein Angreifer Informationen über Computer im Netzwerk erfassen könnte. Außerdem kann die Aktivierung dieser Einstellung zur Verringerung des Netzwerkverkehrs beitragen. Die Sicherheitsvorteile dieser Einstellung sind jedoch gering, da Angreifer alternative Methoden verwenden können, um potenzielle Ziele zu identifizieren und zu finden. Aus diesem Grund empfiehlt Microsoft, diese Einstellung nur in Hochsicherheitsumgebungen zu aktivieren.

Diese Richtlinieneinstellung ist für die Unternehmensclient-Umgebung auf Nicht definiert und für die Hochsicherheitsumgebung auf Aktiviert gesetzt.

Zusätzliche Informationen finden Sie im Knowledge Base-Artikel 321710 HOW TO: Hide a Windows 2000-Based Computer from the Browser List (engl.).

MSS: (KeepAliveTime) How often keep-alive packets are sent in milliseconds
Der Registrierungswert KeepAliveTime wurde der Vorlagendatei im Registrierungsschlüssel HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\ hinzugefügt. Im Sicherheitskonfigurations-Editor wird der Eintrag als MSS: (KeepAliveTime) How often keep-alive packets are sent in milliseconds (300,000 is recommended) angezeigt.

Mit diesem Wert wird die Anzahl der TCP-Versuche festgelegt, bei denen durch Senden von Keep Alive-Paketen überprüft wird, ob eine Leerlaufverbindung immer noch hergestellt ist. Wenn die Verbindung mit dem Remotecomputer noch besteht, bestätigt dieser die Keep Alive-Pakete. Diese Richtlinieneinstellung ist für die Unternehmensclient-Umgebung auf Nicht definiert und für die Hochsicherheitsumgebung auf 300.000 bzw. 5 Minuten gesetzt.

MSS: (NoDefaultExempt) Configure IPSec exemptions for various types of network traffic
Der Registrierungswert NoDefaultExempt wurde der Vorlagendatei im Registrierungsschlüssel HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\IPSEC\ hinzugefügt. Im Sicherheitskonfigurations-Editor wird der Eintrag als MSS: (NoDefaultExempt) Configure IPSec exemptions for various types of network traffic angezeigt.

Die Standardausnahmen bei IPsec-Richtlinienfiltern werden in der Onlinehilfe für das jeweilige Betriebssystem dokumentiert. Diese Filter ermöglichen die Funktion des gegenseitigen Schlüsselaustausches (Internet Key Exchange, IKE) und des Kerberos-Authentifizierungsprotokolls. Mit den Filtern kann außerdem das Netzwerk-QoS (Quality of Service) signalisiert werden (RSVP), und zwar sowohl durch IPSec gesicherten Datenverkehr als auch bei nicht durch IPSec gesichertem Datenverkehr (z. B. bei Multicast- und Broadcastverkehr).

IPSec wird zunehmend für die grundlegende Hostfirewall-Paketfilterung verwendet, insbesondere in Szenarien mit einer Gefährdung durch Internetverbindungen. Die Auswirkungen dieser Standardausnahmen werden jedoch nicht immer richtig verstanden. Einige IPSec-Administratoren erstellen daher u. U. vermeintlich sichere IPSec-Richtlinien, die jedoch nicht vor eingehenden Angriffen schützen, bei denen die Standardausnahmen verwendet werden. Microsoft empfiehlt, für die beiden in diesem Handbuch behandelten Umgebungen die Standardeinstellung in Windows XP mit SP2, Multicast, Broadcastund ISAKMP sind ausgenommen, zu verwenden.

Zusätzliche Informationen finden Sie im Knowledge Base-Artikel 811832, IPSec Default Exemptions Can Be Used to Bypass IPsec Protection in Some Scenarios (engl.).

MSS: (NoDriveTypeAutoRun) Disable Autorun for all drives
Der Registrierungswert NoDriveTypeAutoRun wurde der Vorlagendatei im Registrierungsschlüssel HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Policies\Explorer\ hinzugefügt. Im Sicherheitskonfigurations-Editor wird der Eintrag als MSS: (NoDriveTypeAutoRun) Disable Autorun for all drives (recommended) angezeigt.

Bei Aktivierung von Autorun (AutoAusführen) werden Daten unmittelbar nach dem Einlegen von Medien in ein Laufwerk gelesen. Dies hat zur Folge, dass die Setup-Dateien von Programmen und die Klangwiedergabe von Audiomedien sofort gestartet werden. Diese Einstellung ist für die beiden in diesem Handbuch behandelten Umgebungen auf 255, Autorun für alle Laufwerke deaktivieren gesetzt.

MSS: (NoNameReleaseOnDemand) Allow the computer to ignore NetBIOS name release requests except from WINS servers
Der Registrierungswert NoNameReleaseOnDemand wurde der Vorlagendatei im Registrierungsschlüssel HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Netbt\
Parameters\ hinzugefügt. Im Sicherheitskonfigurations-Editor wird der Eintrag als MSS: (NoNameReleaseOnDemand) Allow the computer to ignore NetBIOS name release requests except from WINS servers angezeigt.

„NetBIOS über TCP/IP“ ist ein Netzwerkprotokoll, das u. a. eine Möglichkeit zur einfachen Auflösung der in Windows-basierten Systemen registrierten NetBIOS-Namen in auf diesen Systemen konfigurierte IP-Adressen bereitstellt. Durch diese Einstellung wird festgelegt, ob der NetBIOS-Name des Computers beim Empfang einer Namensfreigabeanforderung freigegeben wird. Der Wert ist für die Unternehmensclient-Umgebung auf Nicht definiert und für die Hochsicherheitsumgebung auf Aktiviert gesetzt.

MSS: (NtfsDisable8dot3NameCreation) Enable the computer to stop generating 8.3 style filenames
Der Registrierungswert NtfsDisable8dot3NameCreation wurde der Vorlagendatei im Registrierungsschlüssel HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\FileSystem\ hinzugefügt. Im Sicherheitskonfigurations-Editor wird der Eintrag als MSS: (NtfsDisable8dot3NameCreation) Enable the computer to stop generating 8.3 style filenames (recommended) angezeigt.

Windows Server 2003 unterstützt 8.3-Dateinamensformate zur Gewährleistung der Abwärtskompatibilität mit 16-Bit-Anwendungen. Bei der 8.3-Dateinamenskonvention handelt es sich um ein Namensformat, bei dem Dateinamen mit maximal acht Zeichen zulässig sind. Diese Richtlinieneinstellung ist für die Unternehmensclient-Umgebung auf Nicht definiert und für die Hochsicherheitsumgebung auf Aktiviert gesetzt.

MSS: (PerformRouterDiscovery) Allow IRDP to detect and configure Default Gateway addresses
Der Registrierungswert PerformRouterDiscovery wurde der Vorlagendatei im Registrierungsschlüssel HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\ hinzugefügt. Im Sicherheitskonfigurations-Editor wird der Eintrag als MSS: (PerformRouterDiscovery) Allow IRDP to detect and configure Default Gateway addresses (could lead to DoS) angezeigt.

Über diese Einstellung wird IRDP (Internet Router Discovery Protocol) aktiviert oder deaktiviert. Dies ermöglicht dem System, wie in RFC 1256 beschrieben Standardgatewayadressen automatisch pro Schnittstelle zu erkennen und zu konfigurieren. Diese Richtlinieneinstellung ist für die Unternehmensclient-Umgebung auf Nicht definiert und für die Hochsicherheitsumgebung auf Deaktiviert gesetzt.

MSS: (SafeDllSearchMode) Enable Safe DLL Search Order
Der Registrierungswert SafeDllSearchMode wurde der Vorlagendatei im Registrierungsschlüssel HKEY_LOCAL_MACHINE\ SYSTEM\CurrentControlSet\Control\Session Manager\ hinzugefügt. Im Sicherheitskonfigurations-Editor wird der Eintrag als MSS: (SafeDllSearchMode) Enable Safe DLL search mode (recommended) angezeigt.

Zum Konfigurieren der DLL-Suchreihenfolge für die Suche nach DLLs, die von laufenden Prozessen angefordert werden, stehen zwei Methoden zur Auswahl:

• Zuerst die im Systempfad angegebenen Ordner und dann den aktuellen Arbeitsordner durchsuchen.

• Zuerst den aktuellen Arbeitsordner und dann die im Systempfad angegebenen Ordner durchsuchen.

Bei Aktivierung wird der Registrierungswert auf 1 gesetzt. Bei einer Einstellung von 1 werden zuerst die im Systempfad angegebenen Ordner und anschließend der aktuelle Arbeitsordner durchsucht. Bei Deaktivierung wird der Registrierungswert auf 0 gesetzt. Bei dieser Einstellung werden zuerst der aktuelle Arbeitsordner und anschließend die im Systempfad angegebenen Ordner durchsucht. Diese Einstellung ist für beide in diesem Handbuch behandelten Umgebungen auf Aktiviert gesetzt.

MSS: (ScreenSaverGracePeriod) The time in seconds before the screen saver grace period expires
Der Registrierungswert ScreenSaverGracePeriod wurde der Vorlagendatei im Registrierungsschlüssel HKEY_LOCAL_MACHINE\SYSTEM\Software\Microsoft\
Windows NT\CurrentVersion\Winlogon\ hinzugefügt. Im Sicherheitskonfigurations-Editor wird der Eintrag als MSS: (ScreenSaverGracePeriod) The time in seconds before the screen saver grace period expires (0 recommended) angezeigt.

Windows bietet einen Kulanzzeitraum zwischen dem Starten des Bildschirmschoners und der tatsächlichen automatischen Sperrung der Konsole, wenn die Bildschirmschonersperre aktiviert ist. Diese Einstellung ist für die beiden in diesem Handbuch behandelten Umgebungen auf 0 Sekunden gesetzt.

MSS: (SynAttackProtect) Syn attack protection level
Der Registrierungswert SynAttackProtect wurde der Vorlagendatei im Registrierungsschlüssel HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\ hinzugefügt. Im Sicherheitskonfigurations-Editor wird der Eintrag als MSS: (SynAttackProtect) Syn attack protection level (protects against DoS) angezeigt.

Diese Einstellung zwingt das TCP-Protokoll zur Anpassung der Umleitung von SYN-ACKs. Wenn Sie diesen Wert konfigurieren, wird die Verbindungsantwort bei Feststellung eines Verbindungsanforderungsangriffs (SYN-Angriff) schneller beendet. Diese Einstellung ist für die Unternehmensclient-Umgebung auf Nicht definiert und für die Hochsicherheitsumgebung auf Verbindungen werden bei einem SYN-Angriff schneller beendet gesetzt.

MSS: (TCPMaxConnectResponseRetransmissions) SYN-ACK retransmissions when a connection request is not acknowledged
Der Registrierungswert TCPMaxConnectResponseRetransmissions wurde der Vorlagendatei im Registrierungsschlüssel HKEY_LOCAL_MACHINE\System\CurrentControlSet\
Services\Tcpip\Parameters\ hinzugefügt. Im Sicherheitskonfigurations-Editor wird der Eintrag als MSS: (TcpMaxConnectResponseRetransmissions) SYN-ACK retransmissions when a connection request is not acknowledged angezeigt.

Durch diese Einstellung wird die Anzahl der erneuten Übertragungen von SYN-Paketen über TCP vor dem Abbruch der Verbindung festgelegt. Das Zeitlimlit für erneute Übertragungen verdoppelt sich im Rahmen eines Verbindungsversuchs mit jeder nachfolgenden erneuten Übertragung. Der Standardwert beträgt 3 Sekunden. Diese Einstellung ist für die Unternehmensclient-Umgebung auf Nicht definiert und für die Hochsicherheitsumgebung auf 3 und 6 Sekunden, halb offene Verbindungen nach 21 Sekunden beendet gesetzt.

MSS: (TCPMaxDataRetransmissions) How many times unacknowledged data is retransmitted
Der Registrierungswert TCPMaxDataRetransmissions wurde der Vorlagendatei im Registrierungsschlüssel HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip
\Parameters\ hinzugefügt. Im Sicherheitskonfigurations-Editor wird der Eintrag als MSS: (TcpMaxDataRetransmissions) How many times unacknowledged data is retransmitted (3 recommended, 5 is default) angezeigt.

Mit diesem Eintrag wird die Anzahl der Versuche zur Übertragung einzelner Datensegmente vor einem Verbindungsabbruch festgelegt. Das Zeitlimlit für erneute Übertragungen verdoppelt sich bei einer Verbindung mit jeder nachfolgenden erneuten Übertragung. Es wird zurückgesetzt, wenn erneut Antworten eingehen. Der Basiswert für das Zeitlimit wird dynamisch anhand der gemessenen Roundtrip-Zeit bestimmt. Diese Richtlinieneinstellung ist für die Unternehmensclient-Umgebung auf Nicht definiert und für die Hochsicherheitsumgebung auf 3 gesetzt.

MSS: (WarningLevel) Percentage threshold for the security event log at which the system will generate a warning
Der Registrierungswert WarningLevel wurde der Vorlagendatei im Registrierungsschlüssel HKEY_LOCAL_MACHINE\ SYSTEM\CurrentControlSet\Services\Eventlog\Security\ hinzugefügt. Im Sicherheitskonfigurations-Editor wird der Eintrag als MSS: (WarningLevel) Percentage threshold for the security event log at which the system will generate a warning angezeigt.

Durch diese Einstellung kann beim Überschreiten eines benutzerdefinierten Schwellenwerts eine Sicherheitsüberwachung im Sicherheitsereignisprotokoll erzeugt werden. Diese Richtlinieneinstellung ist für die Unternehmensclient-Umgebung auf Nicht definiert und für die Hochsicherheitsumgebung auf 90 gesetzt.

Hinweis:   Wenn Protokolleinstellungen auf Ereignisse bei Bedarf überschreiben oder Ereignisse überschreiben, die älter sind als x Tage gesetzt sind, wird dieses Ereignis nicht erzeugt.

Netzwerkzugriff

Die folgende Tabelle bietet einen Überblick über die empfohlenen Einstellungen der Sicherheitsoptionen für den Netzwerkzugriff. Weitere Informationen finden Sie in den Unterabschnitten im Anschluss an die Tabelle.

Tabelle A24: Empfohlene Einstellungen für Sicherheitsoptionen – Netzwerkzugriff

§ - Dieses Symbol kennzeichnet neue Gruppenrichtlinieneinstellungen in Windows Vista

Netzwerkzugriff: Anonyme SID-/Namensübersetzung zulassen
Durch diese Richtlinieneinstellung wird festgelegt, ob anonyme Benutzer Sicherheits-ID-Attribute anderer Benutzer anfordern können oder eine Sicherheits-ID (SID) verwenden können, um den zugehörigen Benutzernamen zu erhalten. Deaktivieren Sie diese Richtlinieneinstellung, um zu verhindern, dass nicht autorisierte Benutzer Benutzernamen über die zugehörigen Sicherheits-IDs in Erfahrung bringen.

Die Einstellung Netzwerkzugriff: Anonyme SID-/Namensübersetzung zulassen ist für die beiden in diesem Handbuch behandelten Umgebungen auf Deaktiviert gesetzt.

Netzwerkzugriff: Anonyme Aufzählung von SAM-Konten nicht erlauben
Durch diese Richtlinieneinstellung wird festgelegt, ob anonyme Benutzer die Konten in der Sicherheitskontenverwaltung (SAM, Security Accounts Manager) anzeigen lassen können. Wenn Sie diese Richtlinieneinstellung aktivieren, sind Benutzer mit anonymen Verbindungen nicht in der Lage, Domänenkontonamen an einer Arbeitsstation in Ihrer Umgebung anzuzeigen. Durch diese Richtlinieneinstellung werden weitere Einschränkungen für anonyme Verbindungen ermöglicht.

Die Einstellung Netzwerkzugriff: Anonyme Aufzählung von SAM-Konten nicht erlauben ist für die beiden in diesem Handbuch behandelten Umgebungen auf Aktiviert gesetzt.

Netzwerkzugriff: Anonyme Aufzählung von SAM-Konten und Freigaben nicht erlauben
Durch diese Richtlinieneinstellung wird festgelegt, ob anonyme Benutzer SAM-Konten und -Freigaben anzeigen lassen können. Wenn Sie diese Richtlinieneinstellung aktivieren, sind anonyme Benutzer nicht in der Lage, Domänenkontonamen und Namen für Netzwerkfreigaben an einer Arbeitsstation in Ihrer Umgebung anzuzeigen.

Die Einstellung Netzwerkzugriff: Anonyme Aufzählung von SAM-Konten und Freigaben nicht erlauben ist für die beiden in diesem Handbuch behandelten Umgebungen auf Aktiviert gesetzt.

Netzwerkzugriff: Speicherung von Anmeldeinformationen oder .NET-Passports für die Netzwerkauthentifikation nicht erlauben
Diese Richtlinieneinstellung steuert die Speicherung der Anmeldeinformationen und der Kennwörter auf dem lokalen System.

Die Einstellung Netzwerkzugriff: Speicherung von Anmeldeinformationen oder .NET-Passports für die Netzwerkauthentifikation nicht erlauben ist für die beiden in diesem Handbuch behandelten Umgebungen auf Aktiviert gesetzt.

Netzwerkzugriff: Die Verwendung von 'Jeder'-Berechtigungen für anonyme Benutzer ermöglichen
Durch diese Richtlinieneinstellung wird festgelegt, welche zusätzlichen Berechtigungen anonymen Verbindungen mit dem Computer gewährt werden. Wenn Sie diese Richtlinieneinstellung aktivieren, können anonyme Windows-Benutzer bestimmte Aktivitäten ausführen, z. B. Auflisten der Namen von Domänenkonten und Netzwerkfreigaben. Ein nicht autorisierter Benutzer könnte Kontennamen und freigegebene Ressourcen anonym auflisten und anhand dieser Informationen Kennwörter erraten oder Social Engineering-Angriffe durchführen.

Deshalb ist die Einstellung Netzwerkzugriff: Die Verwendung von 'Jeder'-Berechtigungen für anonyme Benutzer ermöglichen für die beiden in diesem Handbuch behandelten Umgebungen auf Deaktiviert gesetzt.

Netzwerkzugriff: Named Pipes, auf die anonym zugegriffen werden kann
Durch diese Richtlinieneinstellung wird festgelegt, welche Kommunikationssitzungen oder Pipes über Attribute und Berechtigungen verfügen, die anonymen Zugriff zulassen.

Für die Unternehmensclient-Umgebung ist die Einstellung Netzwerkzugriff: Named Pipes, auf die anonym zugegriffen werden kann auf Nicht definiert gesetzt. Für die Hochsicherheitsumgebung werden jedoch folgende Standardwerte verwendet:

• Netlogon

• Isarpc

• Samr

• Browser

Netzwerkzugriff: Registrierungspfade, auf die von anderen Computern aus zugegriffen werden kann
Durch diese Richtlinieneinstellung wird festgelegt, auf welche Registrierungspfade zugegriffen werden kann, nachdem der Schlüssel WinReg zur Feststellung der Zugriffsberechtigungen für diese Pfade ausgewertet wurde.

Für die Unternehmensclient-Umgebung ist die Einstellung Netzwerkzugriff: Registrierungspfade, auf die von anderen Computern aus zugegriffen werden kann auf Nicht definiert gesetzt. Für die Hochsicherheitsumgebung werden jedoch folgende Standardwerte verwendet:

• System\CurrentControlSet\Control\ProductOptions

• System\CurrentControlSet\Control\Server Applications

• Software\Microsoft\Windows NT\CurrentVersion

Netzwerkzugriff: Registrierungspfade und -unterpfade, auf die von anderen Computern aus zugegriffen werden kann
Durch diese Richtlinieneinstellung wird festgelegt, auf welche Registrierungspfade und -unterpfade zugegriffen werden kann, wenn eine Anwendung oder ein Prozess den Schlüssel WinReg zur Feststellung der Zugriffsberechtigungen auswertet.

Die Einstellung Netzwerkzugriff: Registrierungspfade und -unterpfade, auf die von anderen Computern aus zugegriffen werden kann ist für die Unternehmensclient-Umgebung auf Nicht definiert gesetzt. Für die Hochsicherheitsumgebung ist die Einstellung wie folgt konfiguriert:

• System\CurrentControlSet\Control\Print\Printers

• System\CurrentControlSet\Services\Eventlog

• Software\Microsoft\OLAP Server

• Software\Microsoft\Windows NT\CurrentVersion\Print

• Software\Microsoft\Windows NT\CurrentVersion\Windows

• System\CurrentControlSet\ContentIndex

• System\CurrentControlSet\Control\Terminal Server

• System\CurrentControlSet\Control\Terminal Server\User Config

• System\CurrentControlSet\Control\Terminal Server\Default User Config

• Software\Microsoft\Windows NT\CurrentVersion\perflib

• System\CurrentControlSet\Services\SysmonLog

Netzwerkzugriff: Anonymen Zugriff auf Named Pipes und Freigaben einschränken
Wenn diese Richtlinieneinstellung aktiviert ist, wird der anonyme Zugriff auf die Freigaben und Pipes begrenzt, die in den Einstellungen Netzwerkzugriff: Named Pipes, auf die anonym zugegriffen werden kann und Netzwerkzugriff: Freigaben, auf die anonym zugegriffen werden kann genannt werden. Durch diese Richtlinieneinstellung wird der Nullsitzungszugriff auf Computerfreigaben gesteuert, indem RestrictNullSessAccess mit dem Wert 1 im Registrierungsschlüssel HKLM\System
\CurrentControlSet\Services\LanManServer\Parameters hinzugefügt wird. Mit diesem Registrierungswert können Nullsitzungsfreigaben aktiviert bzw. deaktiviert werden. Dadurch wird festgelegt, ob der Serverdienst den nicht authentifizierten Clientzugriff auf die genannten Ressourcen begrenzt. Nullsitzungen sind ein Sicherheitsrisiko, das über die einzelnen Freigaben (einschließlich der Standardfreigaben) auf den Computern in Ihrer Umgebung ausgenutzt werden kann.

Die Einstellung Netzwerkzugriff: Anonymen Zugriff auf Named Pipes und Freigaben einschränken ist für die Unternehmensclient-Umgebung auf Nicht definiert und für die Hochsicherheitsumgebung auf Aktiviert gesetzt.

Netzwerkzugriff: Freigaben, auf die anonym zugegriffen werden kann
Durch diese Richtlinieneinstellung werden die Netzwerkfreigaben festgelegt, auf die anonyme Benutzer zugreifen können. Die Standardeinstellung für diese Richtlinieneinstellung hat geringe Auswirkungen, da alle Benutzer authentifiziert werden müssen, bevor sie auf freigegebene Ressourcen auf dem Server zugreifen können.

Die Einstellung Netzwerkzugriff: Freigaben, auf die anonym zugegriffen werden kann ist für die Unternehmensclient-Umgebung auf Nicht definiert gesetzt. Sie sollten jedoch sicherstellen, dass diese Einstellung für die Hochsicherheitsumgebung auf Keine gesetzt ist.

Hinweis:   Es kann sehr gefährlich sein, dieser Gruppenrichtlinieneinstellung weitere Freigaben hinzuzufügen. Jeder Netzwerkbenutzer kann auf alle aufgelisteten Freigaben zugreifen, wodurch vertrauliche Daten preisgegeben oder beschädigt werden könnten.

Netzwerkzugriff: Modell für gemeinsame Nutzung und Sicherheitsmodell für lokale Konten
Durch diese Richtlinieneinstellung wird festgelegt, wie Netzwerkanmeldungen über lokale Konten authentifiziert werden. Die Option Klassisch ermöglicht eine präzise Steuerung des Zugriffs auf Ressourcen, einschließlich der Möglichkeit, verschiedenen Benutzern unterschiedliche Zugriffstypen für dieselbe Ressource zuzuweisen. Die Option Nur Gast ermöglicht Ihnen, alle Benutzer gleich zu behandeln. In diesem Fall werden alle Benutzer als Nur Gast authentifiziert und haben dieselben Zugriffsrechte auf die jeweilige Ressource.

Daher verwendet die Einstellung Modell für gemeinsame Nutzung und Sicherheitsmodell für lokale Konten für die beiden in diesem Handbuch behandelten Umgebungen die standardmäßige Option Klassisch.

Netzwerksicherheit

Die folgende Tabelle bietet einen Überblick über die empfohlenen Einstellungen der Sicherheitsoptionen für die Netzwerksicherheit. Weitere Informationen finden Sie in den Unterabschnitten im Anschluss an die Tabelle.

Tabelle A25: Empfohlene Einstellungen für Sicherheitsoptionen – Netzwerksicherheit

Netzwerksicherheit: Keine LAN Manager-Hashwerte für nächste Kennwortänderung speichern
Durch diese Richtlinieneinstellung wird festgelegt, ob die bei der Änderung von Kennwörtern vom LAN Manager (LM) erzeugten Hashwerte für das neue Kennwort gespeichert werden. LM-Hashwerte sind anfälliger für Angriffe, weil für ihre Erzeugung im Vergleich zu Microsoft Windows NT®-Hashwerten ein schwächerer kryptografischer Algorithmus verwendet wird.

Aus diesem Grund ist die Einstellung Netzwerksicherheit: Keine LAN Manager-Hashwerte für nächste Kennwortänderung speichern für die beiden in diesem Handbuch behandelten Umgebungen auf Aktiviert gesetzt.

Hinweis:   Ältere Betriebssysteme und einige Anwendungen von Drittanbietern fallen möglicherweise aus, wenn diese Einstellung aktiviert ist. Außerdem müssen Sie nach dem Aktivieren dieser Einstellung die Kennwörter sämtlicher Konten ändern.

Netzwerksicherheit: Abmeldung nach Ablauf der Anmeldezeit erzwingen
Diese Richtlinieneinstellung bestimmt, ob Verbindungen zu Benutzern getrennt werden, wenn diese außerhalb der für ihr Konto gültigen Anmeldezeiten mit dem lokalen Computer verbunden sind. Sie betrifft die SMB-Komponente. Wenn Sie diese Richtlinieneinstellung aktivieren, werden Clientsitzungen mit dem SMB-Server nach Ablauf der Anmeldezeit des Clients beendet. Wenn Sie diese Richtlinieneinstellung deaktivieren, werden bestehende Clientsitzungen nach Ablauf der Anmeldezeit des Benutzers aufrechterhalten.

Die Einstellung Netzwerksicherheit: Abmeldung nach Ablauf der Anmeldezeit erzwingen ist für beide in diesem Anhang behandelten Umgebungen auf Nicht definiert gesetzt.

Netzwerksicherheit: LAN Manager-Authentifizierungsebene
Durch diese Richtlinieneinstellung wird die Art der Anfrage/Antwort-Authentifizierung für Netzwerkanmeldungen festgelegt. Die Authentifizierung über LAN Manager (LM) ist die unsicherste Methode, da verschlüsselte Kennwörter leicht über das Netzwerk abgefangen und entschlüsselt werden können. NT LAN Manager (NTLM) ist etwas sicherer. NTLMv2 ist robuster als NTLM und kann unter Windows Vista, Windows XP Professional, Windows Server 2003, Windows 2000 und Windows NT 4.0 Service Pack 4 oder höher verwendet werden. NTLMv2 ist zusammen mit dem optionalen Client für Verzeichnisdienste auch unter Windows 95 und Windows 98 verfügbar.

Microsoft empfiehlt, für diese Richtlinieneinstellung in Ihrer Umgebung die höchste Authentifizierungsebene auszuwählen. Bei Verwendung von Windows 2000 Server oder Windows Server 2003 mit auf Windows Vista oder Windows XP Professional basierenden Arbeitsstationen wird empfohlen, für diese Richtlinieneinstellung die Option Nur NTLMv2-Antworten senden. LM und NTLM verweigern zu wählen, um maximale Sicherheit zu gewährleisten.

Die Einstellung Netzwerksicherheit: LAN Manager-Authentifizierungsebene ist für die Unternehmensclient-Umgebung auf Nur NTLMv2-Antworten senden. LM verweigern gesetzt. Für die Hochsicherheitsumgebung ist diese Richtlinieneinstellung jedoch auf das stärker einschränkende Nur NTLMv2-Antworten senden. LM und NTLM verweigern gesetzt.

Netzwerksicherheit: Signaturanforderungen für LDAP-Clients
Durch diese Richtlinieneinstellung wird die Datensignaturebene festgelegt, die im Auftrag von Clients angefordert wird, wenn diese LDAP-BIND-Anforderungen ausgeben. Nicht signierter Netzwerkverkehr ist für Man-in-the-Middle-Angriffe anfällig. Ein Angreifer könnte einen Server veranlassen, Entscheidungen zu treffen, die auf falschen Anfragen vom LDAP-Client basieren.

Daher wird der Wert für die Einstellung Netzwerksicherheit: Signaturanforderungen für LDAP-Clients für die beiden in diesem Handbuch behandelten Umgebungen auf Signatur aushandeln gesetzt.

Netzwerksicherheit: Minimale Sitzungssicherheit für NTLM-SSP-basierte Clients (einschließlich sicherer RPC-Clients)
Durch diese Richtlinieneinstellung werden die minimalen Sicherheitsstandards für die Kommunikation zwischen Anwendungen auf Clients festgelegt. Die Optionen für diese Richtlinieneinstellung lauten:

• NTLMv2-Sitzungssicherheit erfordern

• 128-Bit-Verschlüsselung erfordern

Wenn alle Computer in Ihrem Netzwerk NTLMv2- und 128-Bit-Verschlüsselung unterstützen (z. B. Windows Vista, Windows XP Professional SP2 und Windows Server 2003 SP1), können für maximale Sicherheit alle vier Einstellungsoptionen ausgewählt werden.

Die Optionen NTLMv2-Sitzungssicherheit erfordern und 128-Bit-Verschlüsselung erfordern sind für die Einstellung Netzwerksicherheit: Minimale Sitzungssicherheit für NTLM-SSP-basierte Clients (einschließlich sicherer RPC-Clients) in beiden in diesem Handbuch behandelten Umgebungen aktiviert.

Netzwerksicherheit: Minimale Sitzungssicherheit für NTLM-SSP-basierte Server (einschließlich sicherer RPC-Server)
Diese Richtlinieneinstellung ähnelt der vorherigen Einstellung, wirkt sich aber auf die serverseitige Kommunikation mit Anwendungen aus. Die Optionen für die Einstellung sind dieselben:

• NTLMv2-Sitzungssicherheit erfordern

• 128-Bit-Verschlüsselung erfordern

Wenn alle Computer in Ihrem Netzwerk NTLMv2- und 128-Bit-Verschlüsselung unterstützen (z. B. Windows Vista, Windows XP Professional SP2 und Windows Server 2003 SP1), können für maximale Sicherheit alle vier Optionen ausgewählt werden.

Die Optionen NTLMv2-Sitzungssicherheit erfordern und 128-Bit-Verschlüsselung erfordern sind für die Einstellung Netzwerksicherheit: Minimale Sitzungssicherheit für NTLM-SSP-basierte Server (einschließlich sicherer RPC-Server) in beiden in diesem Handbuch behandelten Umgebungen aktiviert.

Wiederherstellungskonsole

Die folgende Tabelle bietet einen Überblick über die empfohlenen Einstellungen der Sicherheitsoptionen für die Wiederherstellungskonsole. Weitere Informationen finden Sie in den darauf folgenden Unterabschnitten.

Tabelle A26: Empfohlene Einstellungen für Sicherheitsoptionen – Wiederherstellungskonsole

Wiederherstellungskonsole: Automatische administrative Anmeldungen zulassen
Die Wiederherstellungskonsole ist eine Befehlszeilenumgebung, mit der nach Systemproblemen eine Wiederherstellung vorgenommen werden kann. Wenn Sie diese Richtlinieneinstellung aktivieren, wird das Administratorkonto automatisch bei der Wiederherstellungskonsole angemeldet, wenn diese beim Start aufgerufen wird. Microsoft empfiehlt, diese Richtlinieneinstellung zu deaktivieren, so dass Administratoren ein Kennwort eingeben müssen, um auf die Wiederherstellungskonsole zugreifen zu können.

Die Einstellung Wiederherstellungskonsole: Automatische administrative Anmeldungen zulassen ist für die beiden in diesem Handbuch behandelten Umgebungen auf Deaktiviert gesetzt.

Wiederherstellungskonsole: Kopieren von Disketten und Zugriff auf alle Laufwerke und alle Ordner zulassen
Durch diese Richtlinieneinstellung wird in der Wiederherstellungskonsole der Befehl SET verfügbar, mit dem Sie die folgenden Umgebungsvariablen für die Wiederherstellungskonsole einstellen können:

• AllowWildCards. Aktiviert die Platzhalterunterstützung für einige Befehle (z. B. für den Befehl DEL).

• AllowAllPaths. Ermöglicht den Zugriff auf alle Dateien und Ordner auf dem Computer.

• AllowRemovableMedia. Ermöglicht das Kopieren von Dateien auf Wechseldatenträger, z. B. auf Disketten.

• NoCopyPrompt. Zeigt beim Überschreiben einer vorhandenen Datei keine Bestätigungsaufforderung an.

Die Einstellung Wiederherstellungskonsole: Kopieren von Disketten und Zugriff auf alle Laufwerke und alle Ordner zulassen ist für die Unternehmensclient-Umgebung auf Nicht definiert gesetzt. Zum Gewährleisten maximaler Sicherheit wird diese Einstellung in der Hochsicherheitsumgebung auf Deaktiviert gesetzt.

Herunterfahren

Die folgende Tabelle bietet einen Überblick über die empfohlenen Einstellungen der Sicherheitsoptionen beim Herunterfahren. Weitere Informationen finden Sie in den Unterabschnitten im Anschluss an die Tabelle.

Tabelle A27: Empfohlene Einstellungen für Sicherheitsoptionen – Herunterfahren

Herunterfahren: Herunterfahren des Systems ohne Anmeldung zulassen
Durch diese Richtlinieneinstellung wird festgelegt, ob ein Computer heruntergefahren werden kann, wenn ein Benutzer nicht angemeldet ist. Wenn diese Richtlinieneinstellung aktiviert ist, steht im Windows-Anmeldebildschirm der Befehl „Herunterfahren“ zur Verfügung. Microsoft empfiehlt, diese Richtlinieneinstellung zu deaktivieren, um nur denjenigen Benutzern das Herunterfahren von Computern zu ermöglichen, die über Anmeldeinformationen im System verfügen.

Die Einstellung Herunterfahren: Herunterfahren des Systems ohne Anmeldung zulassen ist in der Unternehmensclient-Umgebung auf Nicht definiert und in der Hochsicherheitsumgebung auf Deaktiviert gesetzt.

Herunterfahren: Auslagerungsdatei des virtuellen Arbeitsspeichers löschen
Durch diese Richtlinieneinstellung wird festgelegt, ob die Auslagerungsdatei des virtuellen Arbeitsspeichers beim Herunterfahren des Systems gelöscht wird. Wenn diese Richtlinieneinstellung aktiviert ist, wird die Auslagerungsdatei des Systems bei jedem ordnungsgemäßen Herunterfahren des Systems gelöscht. Bei Aktivierung dieser Sicherheitseinstellung wird die Ruhezustanddatei (hiberfil.sys) gelöscht, wenn die Ruhezustandfunktion auf einem tragbaren Computer deaktiviert ist. Das Herunterfahren und Neustarten des Computers dauert länger, insbesondere auf Computern mit großen Auslagerungsdateien.

Aus diesen Gründen ist die Einstellung Herunterfahren: Auslagerungsdatei des virtuellen Arbeitsspeichers löschen für Laptopcomputer in der Hochsicherheitsumgebung auf Aktiviert und für alle anderen Computer in den in diesem Handbuch behandelten Umgebungen auf Deaktiviert gesetzt.

Systemkryptografie

Die folgende Tabelle bietet einen Überblick über die empfohlenen Einstellungen der Sicherheitsoptionen für Systemkryptografie. Im Anschluss an die Tabelle werden weitere Informationen bereitgestellt.

Tabelle A28: Empfohlene Einstellungen für Sicherheitsoptionen – Systemkryptografie

Systemkryptografie: FIPS-konformen Algorithmus für Verschlüsselung, Hashing und Signatur verwenden
Durch diese Richtlinieneinstellung wird festgelegt, ob der Sicherheitsanbieter für TLS/SSL (Transport Layer Security/Secure Sockets Layer) nur die Verschlüsselungssammlung TLS_RSA_WITH_3DES_EDE_CBC_SHA unterstützt. Obwohl durch diese Richtlinieneinstellung die Sicherheit erhöht wird, werden diese Algorithmen von den meisten öffentlichen Websites, die mit TLS oder SSL gesichert sind, nicht unterstützt. Clientcomputer, für die diese Richtlinieneinstellung aktiviert ist, können auch keine Verbindung zu Terminaldiensten auf Servern herstellen, die nicht für die Verwendung der FIPS-konformen Algorithmen konfiguriert sind.

Die Einstellung Systemkryptografie: FIPS-konformen Algorithmus für Verschlüsselung, Hashingund Signatur verwenden ist für die Unternehmensclient-Umgebung auf Nicht definiert und für die Hochsicherheitsumgebung auf Deaktiviert gesetzt.

Hinweis:   Wenn Sie diese Richtlinieneinstellung aktivieren, verlangsamt sich die Systemleistung des Computers, da durch den Dreifach-DES-Prozess die Verschlüsselung für jeden einzelnen Datenblock in der betreffenden Datei dreimal ausgeführt wird. Diese Richtlinieneinstellung sollte nur aktiviert werden, wenn für Ihre Organisation FIPS-Konformität erforderlich ist.

Systemobjekte

Die folgende Tabelle bietet einen Überblick über die empfohlenen Einstellungen der Sicherheitsoptionen für Systemobjekte. Weitere Informationen finden Sie in den Unterabschnitten im Anschluss an die Tabelle.

Tabelle A29: Empfohlene Einstellungen für Sicherheitsoptionen – Systemobjekte

Systemobjekte: Groß-/Kleinschreibung für Nicht-Windows-Subsysteme ignorieren
Durch diese Richtlinieneinstellung wird festgelegt, ob für alle Subsysteme das Ignorieren der Groß-/Kleinschreibung erzwungen wird. Für das Microsoft Win32®-Subsystem wird die Groß-/Kleinschreibung ignoriert. Der Kernel unterstützt jedoch die Beachtung der Groß-/Kleinschreibung für andere Subsysteme, z. B. POSIX (Portable Operating System Interface für UNIX). Da unter Windows die Groß-/Kleinschreibung ignoriert wird (das POSIX-Subsystem jedoch die Beachtung der Groß-/Kleinschreibung unterstützt), kann ein Benutzer dieses Subsystems durch Mischen von Groß- und Kleinbuchstaben eine Datei mit einem bereits vorhandenen Namen erstellen, wenn diese Richtlinieneinstellung deaktiviert ist. In einer solchen Situation kann der Zugriff auf diese Dateien durch einen anderen Benutzer blockiert werden, der typische Win32-Tools verwendet, da nur eine der Dateien zur Verfügung steht.

Zum Gewährleisten der Konsistenz von Dateinamen ist die Einstellung Systemobjekte: Groß-/Kleinschreibung für Nicht-Windows-Subsysteme ignorieren in der Unternehmensclient-Umgebung auf Nicht definiert und in der Hochsicherheitsumgebung auf Aktiviert gesetzt.

Systemobjekte: Standardberechtigungen interner Systemobjekte verstärken
Durch diese Richtlinieneinstellung wird die Stärke der standardmäßigen freigegebenen Zugriffssteuerungsliste (DACL) für Objekte festgelegt. Diese Einstellung trägt zur Absicherung von Objekten bei, die zwischen Prozessen gesucht und freigegeben werden können. Die Standardkonfiguration der Einstellung stärkt die Sicherheit der DACL, da sie Benutzern ohne Administratorrechte das Lesen von freigegebenen Objekten ermöglicht, diese jedoch nur die von ihnen selbst erstellten Objekte ändern können.

Daher ist die Einstellung Systemobjekte: Standardberechtigungen interner Systemobjekte verstärken (z. B. symbolische Verknüpfungen) für die beiden in diesem Handbuch behandelten Umgebungen auf Aktiviert gesetzt.

Benutzerkontensteuerung

Die Benutzerkontensteuerung (UAC) verringert die Gefährdung und die Angriffsfläche des Betriebssystems, indem sie verlangt, dass alle Benutzer im Standardbenutzermodus ausgeführt werden, auch wenn sie sich mit administrativen Anmeldeinformationen angemeldet haben. Diese Einschränkung hilft zu verhindern, dass Benutzer Änderungen vornehmen, die ihren Computer destabilisieren oder das Netzwerk versehentlich durch Viren gefährden, die den Computer über unerkannte Malware befallen könnten.

Wenn ein Benutzer versucht, eine Verwaltungsaufgabe auszuführen, muss das Betriebssystem die Sicherheitsstufe dieses Benutzers erhöhen, damit die Aufgabe ausgeführt werden kann. Die Einstellungen für die Benutzerkontensteuerung in Gruppenrichtlinienobjekten bestimmen, wie das Betriebssystem auf eine Anfrage bezüglich einer Erhöhung der Sicherheitsrechte reagiert.

Die folgende Tabelle bietet einen Überblick über die empfohlenen Einstellungen der Sicherheitsoptionen für die Benutzerkontensteuerung. Weitere Informationen finden Sie in den Unterabschnitten im Anschluss an die Tabelle.

Tabelle A30: Empfohlene Einstellungen für Sicherheitsoptionen – Benutzerkontensteuerung

§ - Dieses Symbol kennzeichnet neue Gruppenrichtlinieneinstellungen in Windows Vista

Benutzerkontensteuerung: Administratorbestätigungsmodus für das integrierte Administratorkonto
Diese Richtlinieneinstellung bestimmt, ob das integrierte Administratorkonto im Administratorbestätigungsmodus ausgeführt wird. Für diese Einstellung können verschiedene Standardverhalten vorhanden sein, da Windows Vista das integrierte Administratorkonto nach spezifischen Installationskriterien konfiguriert.

Bei Neuinstallationen und Aktualisierungen setzt Windows Vista die Einstellung standardmäßig auf Deaktiviert, wenn der vordefinierte Administrator nicht der einzige aktive lokale Administrator für den Computer ist. Bei Installationen und Aktualisierungen auf Computern, die einer Domäne angehören, deaktiviert Windows Vista standardmäßig das vordefinierte Administratorkonto.

Bei Aktualisierungen setzt Windows Vista die Einstellung standardmäßig auf Aktiviert, wenn es feststellt, dass es sich bei dem vordefinierten Administratorkonto um den einzigen aktiven lokalen Administrator auf dem Computer handelt. Ist dies der Fall, aktiviert Windows Vista das vordefinierte Administratorkonto im Anschluss an die Aktualisierung.

Die Einstellung Benutzerkontensteuerung: Administratorbestätigungsmodus für das integrierte Administratorkonto ist für in diesem Handbuch behandelten Umgebungen auf Deaktiviert gesetzt.

Benutzerkontensteuerung: Verhalten der Benutzeraufforderung mit erhöhten Rechten für Administratoren im Administratorbestätigungsmodus
Diese Einstellung bestimmt das Verhalten von Windows Vista, wenn ein angemeldeter Administrator eine Aufgabe auszuführen versucht, für die erhöhte Rechte erforderlich sind. Diese Einstellung kann drei verschiedene Werte annehmen:

• Keine Aufforderung. Mit diesem Wert werden die Rechte automatisch im Hintergrund erhöht.

• Aufforderung zur Eingabe der Zustimmung. Dieser Wert bewirkt, dass die Benutzerkontensteuerung zur Zustimmung auffordert, bevor sie die Rechte erhöht, ohne jedoch Anmeldeinformationen zu verlangen.

• Aufforderung zur Eingabe der Anmeldeinformationen. Dieser Wert bewirkt, dass die Benutzerkontensteuerung einen Administrator dazu auffordert, gültige Administrator-Anmeldeinformationen einzugeben, bevor sie die Rechte erhöht.

Die Einstellung Benutzerkontensteuerung: Verhalten der Benutzeraufforderung mit erhöhten Rechten für Administratoren im Administratorbestätigungsmodus ist für in diesem Handbuch behandelten Umgebungen auf Aufforderung zur Eingabe der Anmeldeinformationen gesetzt.

Benutzerkontensteuerung: Verhalten der Anhebungsaufforderung für Standardbenutzer
Diese Einstellung bestimmt das Verhalten von Windows Vista, wenn ein angemeldeter Benutzer eine Aufgabe auszuführen versucht, für die erhöhte Rechte erforderlich sind. Diese Einstellung kann zwei verschiedene Werte annehmen:

• Anforderungen für erhöhte Rechte automatisch ablehnen. Mit diesem Wert wird verhindert, dass eine Rechteanhebungsaufforderung angezeigt wird. Der Benutzer kann keine Verwaltungsaufgaben ausführen, ohne als Administrator den Befehl Ausführen zu verwenden oder sich mit einem Administratorkonto anzumelden.

• Aufforderung zur Eingabe der Anmeldeinformationen. Dieser Wert bewirkt, dass die Benutzerkontensteuerung einen Administrator dazu auffordert, gültige Administrator-Anmeldeinformationen einzugeben, bevor die Einstellung erhöht werden kann.

Die Einstellung Benutzerkontensteuerung: Verhalten der Anhebungsaufforderung für Standardbenutzer ist für beide in diesem Handbuch behandelten Umgebungen auf Anforderungen für erhöhte Rechte automatisch ablehnen gesetzt.

Diese Einstellung verhindert, dass Standardbenutzer ihre Rechte erhöhen. Ein Standardbenutzer kann also keine Administratorkonto-Anmeldeinformationen eingeben, um eine Verwaltungsaufgabe auszuführen. Standardbenutzer haben nicht die Möglichkeit, mit der rechten Maustaste auf eine Programmdatei zu klicken und Als Administrator ausführen zu wählen. Standardbenutzer, die Verwaltungsaufgaben ausführen möchten, müssen sich hierfür erst abmelden und mit ihrem Administratorkonto wieder anmelden. Wenngleich diese Vorgehensweise etwas unbequem ist, sorgt sie für mehr Sicherheit in Ihrer Umgebung.

Benutzerkontensteuerung: Anwendungsinstallationen erkennen und erhöhte Rechte anfordern
Diese Einstellung bestimmt, wie Windows Vista auf Anforderungen bezüglich Anwendungsinstallationen reagiert. Für eine Anwendungsinstallation ist eine Erhöhung der Rechte erforderlich. Diese Einstellung kann zwei verschiedene Werte annehmen:

• Aktiviert. Mit diesem Wert fordert Windows Vista bei Erkennung eines Installationsprogramms den Benutzer auf, seine Zustimmung zu erklären oder seine Anmeldeinformationen einzugeben, je nachdem, welche Konfiguration für das Verhalten der Rechteanhebungsaufforderung gewählt wurde.

• Deaktiviert. Dieser Wert bewirkt, dass Anwendungsinstallationen automatisch oder auf nicht deterministische Weise unterbunden werden.

Die Einstellung Benutzerkontensteuerung: Anwendungsinstallationen erkennen und erhöhte Rechte anfordern ist für beide in diesem Handbuch behandelten Umgebungen auf Aktiviert gesetzt.

Benutzerkontensteuerung: Nur ausführbare Dateien heraufstufen, die signiert und validiert sind
Mit dieser Einstellung wird der Schutz vor unsignierten oder ungültigen Anwendungen aktiviert. Vor einer Aktivierung dieser Einstellung müssen sich Administratoren vergewissern, dass alle erforderlichen Anwendungen signiert und gültig sind. Diese Einstellung kann zwei verschiedene Werte annehmen:

• Aktiviert. Dieser Wert bewirkt, dass nur signierte ausführbare Dateien gestartet werden dürfen. Damit wird verhindert, dass unsignierte Anwendungen ausgeführt werden.

• Deaktiviert. Dieser Wert bewirkt, dass signierte und unsignierte ausführbare Dateien gestartet werden dürfen.

Die Einstellung Benutzerkontensteuerung: Nur ausführbare Dateien heraufstufen, die signiert und validiert sind ist für beide in diesem Handbuch behandelten Umgebungen auf Deaktiviert gesetzt.

Benutzerkontensteuerung: Nur erhöhte Rechte für UIAccess-Anwendungen, die an sicheren Orten installiert sind
Diese Einstellung trägt zum Schutz eines Windows Vista-basierten Computers bei, indem sie das Ausführen mit erhöhten Rechten nur bei Anwendungen zulässt, die an einem sicheren Speicherort im Dateisystem installiert sind, beispielsweise im Ordner „Programme“ oder „Windows\System32“.

Die Einstellung Benutzerkontensteuerung: Nur erhöhte Rechte für UIAccess-Anwendungen, die an sicheren Orten installiert sind ist für beide in diesem Handbuch behandelten Umgebungen auf Aktiviert gesetzt.

Benutzerkontensteuerung: Alle Administratoren im Administratorbestätigungsmodus ausführen
Durch diese Einstellung wird die Benutzerkontensteuerung praktisch deaktiviert. Diese Einstellung kann zwei verschiedene Werte annehmen:

• Aktiviert. Mit diesem Wert werden sowohl Administratoren als auch Standardbenutzer zu einer Bestätigung aufgefordert, wenn sie versuchen, Verwaltungsaufgaben auszuführen. Die Art der Eingabeaufforderung hängt von der jeweiligen Richtlinie ab.

• Deaktiviert. Mit diesem Wert werden der Benutzertyp „Administratorbestätigungsmodus“ und alle zugehörigen Richtlinien für die Benutzerkontensteuerung deaktiviert. Bei dieser Einstellung zeigt das Sicherheitscenter an, dass die Gesamtsicherheit des Betriebssystems verringert wurde.

Die Einstellung Benutzerkontensteuerung: Alle Administratoren im Administratorbestätigungsmodus ausführen ist für beide in diesem Handbuch behandelten Umgebungen auf Aktiviert gesetzt.

Benutzerkontensteuerung: Bei Benutzeraufforderung nach erhöhten Rechten zum sicheren Desktop wechseln
Diese Einstellung hilft zu vermeiden, dass die Rechteanhebungsaufforderung zu bösartigen Zwecken missbraucht wird. Der Windows Vista-Sicherheitsdesktop kann nur SYSTEM-Prozesse ausführen, wodurch Nachrichten aus bösartiger Software im Allgemeinen unterbunden werden. Somit können keine manipulierten Zustimmungen und Anmeldeinformationen in die Eingabeaufforderungen auf dem sicheren Desktop eingegeben werden. Darüber hinaus ist die Zustimmungseingabeaufforderung vor Manipulationen der Ausgabe geschützt. Bei der Verwendung der Eingabeaufforderung für die Anmeldeinformationen besteht jedoch immer noch ein Risiko, da sie durch Malware gefälscht werden könnte. Für diese Einstellung stehen zwei Werte zur Auswahl:

• Aktiviert. Mit diesem Wert wird die Rechteanhebungsaufforderung der Benutzerkontensteuerung auf dem sicheren Desktop angezeigt.

• Deaktiviert. Dieser Wert bewirkt, dass die Rechteanhebungsaufforderung der Benutzerkontensteuerung auf dem Benutzerdesktop angezeigt wird.

Die Einstellung Benutzerkontensteuerung: Bei Benutzeraufforderung nach erhöhten Rechten zum sicheren Desktop wechseln ist für beide in diesem Handbuch behandelten Umgebungen auf Aktiviert gesetzt.

Benutzerkontensteuerung: Datei- und Registrierungsschreibfehler an Einzelbenutzerstandorte virtualisieren
Anwendungen, die keinen Eintrag in der Kompatibilitätsdatenbank oder keine Kennzeichnung der angeforderten Ausführungsebene im Anwendungsmanifest aufweisen, sind mit der Benutzerkontensteuerung nicht kompatibel. Anwendungen, die nicht mit der Benutzerkontensteuerung kompatibel sind, versuchen Daten in geschützte Bereiche zu schreiben, darunter auch in „Programme“ und in „%systemroot%“. Das Ausführen solcher Anwendungen wird automatisch unterbunden, wenn der Schreibvorgang nicht durchgeführt werden kann. Wenn Sie diese Einstellung aktivieren, gestatten Sie Windows Vista das Virtualisieren von Datei- und Registrierungsschreibvorgängen an Benutzerspeicherorten, so dass die Anwendung ausgeführt werden kann.

Mit der Benutzerkontensteuerung kompatible Anwendungen sollten keine Schreibvorgänge in geschützten Bereichen durchführen und keine Schreibfehler verursachen. Deshalb sollte diese Einstellung in Umgebungen deaktiviert werden, in denen nur mit der Benutzerkontensteuerung kompatible Anwendungen genutzt werden.

Diese Einstellung kann zwei verschiedene Werte annehmen:

• Aktiviert. Für Umgebungen, in denen auch Software genutzt wird, die nicht mit der Benutzerkontensteuerung kompatibel ist, sollte diese Einstellung auf Aktiviert gesetzt werden.

• Deaktiviert. Für Umgebungen, in denen nur Software genutzt wird, die mit der Benutzerkontensteuerung kompatibel ist, sollte diese Einstellung auf Deaktiviert gesetzt werden.

Wenn Sie sich nicht sicher sind, ob alle in Ihrer Umgebung genutzten Anwendungen mit der Benutzerkontensteuerung kompatibel sind, sollten Sie die Einstellung auf Aktiviert setzen.

Aus diesem Grund ist die Einstellung Benutzerkontensteuerung: Datei- und Registrierungsschreibfehler an Einzelbenutzerstandorte virtualisieren für beide in diesem Handbuch behandelten Umgebungen auf Aktiviert gesetzt.

Anmeldung

Diese empfohlenen Computereinstellungen können im Gruppenrichtlinienobjekt-Editor in folgendem Verzeichnis konfiguriert werden:

Computerkonfiguration\Administrative Vorlagen\System\Anmeldung

Die folgende Tabelle bietet einen Überblick über die empfohlenen Einstellungen für die Anmeldung. Weitere Informationen zu jeder Einstellung finden Sie in den Unterabschnitten im Anschluss an die Tabelle.

Tabelle A37: Empfohlene Einstellungen für die Anmeldung

Herkömmliche Ausführungsliste nicht verarbeiten
Durch diese Richtlinieneinstellung wird festgelegt, dass die Ausführungsliste mit allen beim Start von Windows Vista automatisch auszuführenden Programmen ignoriert werden soll. Die benutzerdefinierten Ausführungslisten für Windows Vista werden in der Registrierung in folgenden Verzeichnissen gespeichert:

• HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

Durch Aktivieren der Einstellung Herkömmliche Ausführungsliste nicht verarbeiten wird weitgehend verhindert, dass ein böswilliger Benutzer bei jedem Start von Windows Vista ein Programm ausführen lässt, das Daten beeinträchtigt oder in anderer Weise Schaden anrichtet. Wenn diese Richtlinieneinstellung aktiviert ist, wird die Ausführung bestimmter Systemprogramme verhindert, z. B. die Ausführung von Antivirensoftware oder von Programmen für Softwareverteilung und -überwachung. Schätzen Sie die Bedrohung für Ihre Umgebung ab, bevor Sie entscheiden, diese Richtlinieneinstellung für Ihre Organisation zu verwenden.

Die Einstellung Herkömmliche Ausführungsliste nicht verarbeiten ist für die Unternehmensclient-Umgebung Nicht konfiguriert und für die Hochsicherheitsumgebung Aktiviert.

Einmalige Ausführungsliste nicht verarbeiten
Diese Richtlinieneinstellung sorgt dafür, dass die einmalige Ausführungsliste mit allen beim Start von Windows Vista automatisch auszuführenden Programmen ignoriert wird. Diese Richtlinieneinstellung unterscheidet sich von der Einstellung Herkömmliche Ausführungsliste nicht verarbeiten, da Programme in dieser Liste beim nächsten Neustart des Clientcomputers einmalig ausgeführt werden. Dieser Liste werden z. B. Setup- und Installationsprogramme hinzugefügt, um Installationen nach einem Neustart des Clientcomputers abzuschließen. Indem Sie diese Richtlinieneinstellung aktivieren, verhindern Sie im Allgemeinen, dass Angreifer über die Liste der einmalig auszuführenden Programme unzulässige Anwendungen starten, was früher eine beliebte Angriffsmethode war. Ein böswilliger Benutzer kann die einmalige Ausführungsliste missbrauchen, um ein Programm zu installieren, mit dem möglicherweise die Sicherheit von Windows Vista-basierten Clientcomputern gefährdet wird.

Hinweis:   Benutzerdefinierte Listen mit einmalig auszuführenden Programmen werden in der Registrierung in folgendem Verzeichnis gespeichert: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce.

Die Einstellung Einmalige Ausführungsliste nicht verarbeiten sollte für die Benutzer in Ihrer Umgebung lediglich einen minimalen Funktionalitätsverlust verursachen, insbesondere wenn die Clientcomputer mit der gesamten Standardsoftware Ihrer Organisation konfiguriert wurden, bevor diese Richtlinieneinstellung durch Gruppenrichtlinien angewendet wird. Die Einstellung Einmalige Ausführungsliste nicht verarbeiten ist für die Unternehmensclient-Umgebung Nicht konfiguriert und für die Hochsicherheitsumgebung Aktiviert.

Gruppenrichtlinie

Die empfohlene System-Computereinstellung kann im Gruppenrichtlinienobjekt-Editor in folgendem Verzeichnis konfiguriert werden:

Computerkonfiguration\Administrative Vorlagen\System\Gruppenrichtlinie

Tabelle A38: Empfohlene Gruppenrichtlinieneinstellungen

Registrierungsrichtlinienverarbeitung
Durch diese Richtlinieneinstellung wird festgelegt, wann Registrierungsrichtlinien aktualisiert werden. Sie betrifft alle Richtlinien im Ordner „Administrative Vorlagen“ sowie alle Richtlinien, mit denen Werte in der Registrierung gespeichert werden. Wenn diese Richtlinieneinstellung aktiviert ist, stehen folgende Optionen zur Verfügung:

• Während regelmäßiger Hintergrundverarbeitung nicht übernehmen.

• Gruppenrichtlinienobjekte auch ohne Änderungen bearbeiten.

Einige der in den administrativen Vorlagen konfigurierten Einstellungen werden in der Registrierung in Bereichen gespeichert, auf die Benutzer Zugriff haben. Änderungen von Benutzern an diesen Einstellungen werden überschrieben, wenn diese Richtlinieneinstellung aktiviert wird.

Für die beiden in diesem Handbuch behandelten Umgebungen ist die Einstellung Registrierungsrichtlinienverarbeitung auf Aktiviert gesetzt.

Remoteunterstützung

Diese empfohlenen Computereinstellungen können im Gruppenrichtlinienobjekt-Editor in folgendem Verzeichnis konfiguriert werden:

Computerkonfiguration\Administrative Vorlagen\System\Remoteunterstützung

In der folgenden Tabelle sind die empfohlenen Einstellungen für die Remoteunterstützung zusammengefasst. Weitere Informationen zu den einzelnen Einstellungen finden Sie in den Unterabschnitten im Anschluss.

Tabelle A39: Empfohlene Einstellungen für die Remoteunterstützung

Remoteunterstützung anbieten
Durch diese Richtlinieneinstellung wird festgelegt, ob ein Supportmitarbeiter oder ein versierterIT-Administrator Remoteunterstützung für Computer in Ihrer Umgebung anbieten kann, ohne dass ein Benutzer zuvor explizit Unterstützung über Kanäle, z. B. über E-Mail oder Instant Messenger, angefordert hat.

Hinweis:   Der Experte kann nicht unangekündigt eine Verbindung zum Computer herstellen oder diesen ohne Erlaubnis des Benutzers steuern. Wenn ein Verbindungsversuch erfolgt, kann der Benutzer die Verbindung immer noch verweigern (und damit dem Experten nur Anzeigeberechtigungen gewähren). Der Benutzer muss auf die Schaltfläche Ja klicken, um die Remotesteuerung der Arbeitsstation zuzulassen, wenn für die Einstellung Remoteunterstützung anbieten die Option Aktiviert angegeben wurde.

Wenn diese Richtlinieneinstellung aktiviert ist, stehen folgende Optionen zur Verfügung:

• Helfer dürfen den Computer nur ansehen

• Helfer dürfen den Computer remote steuern

Beim Konfigurieren dieser Richtlinieneinstellung können Sie eine Liste mit Benutzern oder Benutzergruppen angeben, die als „Helfer“ Remoteunterstützung anbieten können.

So konfigurieren Sie die Liste der Helfer

1. Klicken Sie im Einstellungsfenster Remoteunterstützung anbieten auf Anzeigen. Im daraufhin geöffneten neuen Fenster können Sie die Namen der Helfer eingeben.

2. Verwenden Sie beim Hinzufügen von Benutzern oder Gruppen zur Liste Helfer eines der folgenden Formate:

   • <Domänenname>\<Benutzername>

   • <Domänenname>\<Gruppenname>

Wenn diese Richtlinieneinstellung deaktiviert oder nicht konfiguriert ist, können Benutzer oder Gruppen Computerbenutzern in Ihrer Umgebung keine unangeforderte Remoteunterstützung anbieten.

Die Einstellung Remoteunterstützung anbieten ist für die Unternehmensclient-Umgebung auf Nicht konfiguriert gesetzt. Für die Hochsicherheitsumgebung ist diese Richtlinieneinstellung jedoch auf Deaktiviert gesetzt, um den Zugriff auf Windows Vista-Clientcomputer über das Netzwerk zu verhindern.

Angeforderte Remoteunterstützung
Durch diese Richtlinieneinstellung wird festgelegt, ob von den Windows Vista-Computern in Ihrer Umgebung Remoteunterstützung angefordert werden kann. Sie können diese Richtlinieneinstellung aktivieren, damit Benutzer Remoteunterstützung von versierten IT-Administratoren anfordern können.

Hinweis:   Experten können nicht unangekündigt eine Verbindung zum Computer herstellen oder diesen ohne Erlaubnis des Benutzers steuern. Wenn ein Verbindungsversuch erfolgt, kann der Benutzer die Verbindung immer noch verweigern (und damit dem Experten nur Anzeigeberechtigungen gewähren). Der Benutzer muss ausdrücklich auf die Schaltfläche Ja klicken, um die Remotesteuerung der Arbeitsstation zuzulassen.

Wenn die Einstellung Angeforderte Remoteunterstützung aktiviert ist, stehen folgende Optionen zur Verfügung:

• Helfer dürfen den Computer remote steuern

• Helfer dürfen den Computer nur ansehen

Zusätzlich sind folgende Optionen verfügbar, um die Zeitdauer zu konfigurieren, für die die Hilfeanforderung eines Benutzers Gültigkeit behält:

• Maximale Gültigkeitsdauer der Einladung (Wert):

• Maximale Gültigkeitsdauer der Einladung (Einheiten): Stunden , Minuten oder Tage

Wenn ein Ticket (Hilfeanforderung) abgelaufen ist, muss der Benutzer eine neue Anforderung senden, damit der Experte eine Verbindung mit dem Computer herstellen kann. Wenn Sie die Einstellung Angeforderte Remoteunterstützung deaktivieren, können Benutzer keine Hilfeanforderungen senden, und ein Experte kann keine Verbindung zum Computer des Benutzers herstellen.

Wenn die Einstellung Angeforderte Remoteunterstützung nicht konfiguriert ist, können Benutzer angeforderte Remoteunterstützung über die Systemsteuerung konfigurieren. Die folgenden Einstellungen sind standardmäßig in der Systemsteuerung aktiviert: Angeforderte Remoteunterstützung, Benutzerunterstützung und Remotesteuerung. Als Wert für die Maximale Gültigkeitsdauer der Einladung sind 30 Tage festgelegt. Wenn diese Richtlinieneinstellung deaktiviert ist, kann niemand über das Netzwerk auf Windows Vista-Clientcomputer zugreifen.

Die Einstellung Angeforderte Remoteunterstützung ist für die Unternehmensclient-Umgebung auf Nicht konfiguriert und für die Hochsicherheitsumgebung auf Deaktiviert gesetzt.

Remoteprozeduraufruf

Diese empfohlenen Computereinstellungen können im Gruppenrichtlinienobjekt-Editor in folgendem Verzeichnis konfiguriert werden:

Administrative Vorlagen\System\Remoteprozeduraufruf

Die folgende Tabelle bietet einen Überblick über die empfohlenen Einstellungen für den Remoteprozeduraufruf. Weitere Informationen zu jeder Einstellung finden Sie in den Unterabschnitten im Anschluss an die Tabelle.

Tabelle A40: Empfohlene Einstellungen für den Remoteprozeduraufruf

Einschränkungen für nicht authentifizierte RPC-Clients
Diese Richtlinieneinstellung sorgt dafür, dass die RPC-Laufzeit auf einem RPC-Server nicht authentifizierte RPC-Clients daran hindert, eine Verbindung zu RPC-Servern herzustellen Ein Client gilt als authentifizierter Client, wenn er über eine Named Pipe mit dem Server kommuniziert oder wenn er RPC-Sicherheit verwendet. RPC-Schnittstellen, die speziell um Zugriff durch nicht authentifizierte Clients angesucht haben, sind von dieser Einschränkung möglicherweise ausgenommen, je nachdem, welchen Wert Sie für diese Richtlinie gewählt haben. Wenn Sie diese Richtlinieneinstellung aktivieren, sind folgende Werte verfügbar:

• Keine. Erlaubt allen RPC-Clients, eine Verbindung zu RPC-Servern herzustellen. Diese wiederum müssen auf dem Computer ausgeführt werden, für den die Richtlinie gilt.

• Authentifiziert. Erlaubt nur authentifizierten RPC-Clients, eine Verbindung zu RPC-Servern herzustellen. Diese wiederum müssen auf dem Computer ausgeführt werden, für den die Richtlinie gilt. Den Schnittstellen, die um eine Ausnahme von dieser Einschränkung angesucht haben, wird eine Ausnahme gewährt.

• Authentifiziert ohne Ausnahmen. Erlaubt nur authentifizierten RPC-Clients, eine Verbindung zu RPC-Servern herzustellen. Diese wiederum müssen auf dem Computer ausgeführt werden, für den die Richtlinie gilt. Es sind keine Ausnahmen zulässig.

Da nicht authentifizierte RPC-Kommunikation eine Sicherheitsanfälligkeit verursachen kann, ist für die beiden in diesem Handbuch behandelten Umgebungen die Einstellung Einschränkungen für nicht authentifizierte RPC-Clients auf Aktiviert und der Wert RPC-Laufzeit: Einschränkungen für nicht authentifizierte Clients anwenden auf Authentifiziert gesetzt.

Hinweis:   RPC-basierte Anwendungen, die unerwünscht eingehende Verbindungsanforderungen nicht authentifizieren, funktionieren möglicherweise nicht richtig, wenn diese Konfiguration angewendet wird. Testen Sie die Anwendungen unbedingt, bevor Sie diese Richtlinieneinstellung für Ihre gesamte Umgebung bereitstellen. Obwohl der Wert „Authentifiziert“ für diese Richtlinieneinstellung nicht vollständig sicher ist, kann er für die Bereitstellung von Anwendungskompatibilität in Ihrer Umgebung nützlich sein.

RPC-Endpunktzuordnungs-Clientauthentifizierung
Wenn Sie diese Richtlinieneinstellung aktivieren, werden mit diesem Computer kommunizierende Clientcomputer zur Authentifizierung gezwungen, bevor eine RPC-Kommunikation eingerichtet wird. Standardmäßig verwenden RPC-Clients keine Authentifizierung, um mit der RPC-Endpunktzuordnung zu kommunizieren, wenn sie den Endpunkt von einem Server anfordern. Dieser Standard wurde jedoch für die Hochsicherheitsumgebung geändert, um von Clientcomputern eine Authentifizierung zu fordern, bevor eine RPC-Kommunikation zugelassen wird.

Internetkommunikationsverwaltung\Internetkommunikationseinstellungen

In der Gruppe „Internetkommunikationseinstellungen“ sind mehrere Konfigurationseinstellungen verfügbar. Es wird empfohlen, viele dieser Einstellungen einzuschränken, in erster Linie um die Sicherheit der Daten auf Ihren Computersystemen zu erhöhen. Wenn diese Einstellungen nicht eingeschränkt werden, könnten Informationen durch Angreifer abgefangen und missbraucht werden. Obwohl diese Art von Angriff heutzutage selten ist, können Sie Ihre Umgebung durch die richtige Konfiguration dieser Einstellungen vor zukünftigen Angriffen schützen.

Diese empfohlenen Computereinstellungen können im Gruppenrichtlinienobjekt-Editor in folgendem Verzeichnis konfiguriert werden:

Administrative Vorlagen\System\Internetkommunikationsverwaltung\Internetkommunikationseinstellungen

Die folgende Tabelle bietet einen Überblick über die empfohlenen Einstellungen für die Internetkommunikation. Weitere Informationen zu jeder Einstellung finden Sie in den Unterabschnitten im Anschluss an die Tabelle.

Tabelle A41: Empfohlene Einstellungen für die Internetkommunikation

Aufgabe „Im Web veröffentlichen“ für Dateien und Ordner deaktivieren
Durch diese Einstellung wird festgelegt, ob die Aufgaben Datei im Web veröffentlichen, Ordner im Web veröffentlichen und Ausgewählte Elemente im Web veröffentlichen in den Datei- und Ordneraufgaben in Windows-Ordnern zur Verfügung stehen. Mit dem Webpublishing-Assistenten wird eine Liste von Anbietern heruntergeladen, und Benutzer können Inhalte im Internet veröffentlichen.

Wenn Sie die Einstellung Aufgabe „Im Web veröffentlichen“ für Dateien und Ordner deaktivieren auf Aktiviert setzen, werden diese Optionen aus den Datei- und Ordneraufgaben in Windows-Ordnern entfernt. Die Option zur Veröffentlichung im Internet ist standardmäßig verfügbar. Da diese Funktion dazu genutzt werden könnte, gesicherten Inhalt gegenüber einem nicht authentifizierten Webclientcomputer offen zu legen, ist diese Richtlinieneinstellung sowohl für die Unternehmensclient- als auch für die Hochsicherheitsumgebung auf Aktiviert gesetzt.

Internet-Download für die Assistenten „Webpublishing“ und „Onlinebestellung von Abzügen“ deaktivieren
Durch diese Richtlinieneinstellung wird festgelegt, ob Windows eine Liste von Anbietern für das Webpublishing und Assistenten für Onlinebestellungen herunterlädt. Wenn diese Richtlinieneinstellung aktiviert ist, wird Windows daran gehindert, Anbieter herunterzuladen. Es werden nur die Dienstanbieter angezeigt, die in der lokalen Registrierung zwischengespeichert sind.

Da die Einstellung Aufgabe„Im Web veröffentlichen“ für Dateien und Ordner deaktivieren sowohl für die Unternehmensclient- als auch für die Hochsicherheitsumgebung aktiviert wurde (siehe vorherige Einstellung), ist diese Option nicht erforderlich. Die Einstellung Internet-Download für die Assistenten „Webpublishing“ und „Onlinebestellung von Abzügen“ deaktivieren ist auf Aktiviert gesetzt, um die Angriffsfläche von Clientcomputern zu minimieren und sicherzustellen, dass diese Funktion nicht auf andere Weise ausgenutzt werden kann.

Programm zur Verbesserung der Benutzerfreundlichkeit deaktivieren
Durch diese Richtlinieneinstellung wird festgelegt, ob Windows Messenger anonyme Informationen darüber sammelt, wie Software und Dienste von Windows Messenger verwendet werden. Sie können diese Richtlinieneinstellung aktivieren, um sicherzustellen, dass Windows Messenger keine Nutzungsdaten sammelt. Außerdem wird die Benutzereinstellung, mit der das Sammeln von Nutzungsdaten aktiviert werden kann, nicht angezeigt.

In großen Unternehmensumgebungen ist es häufig unerwünscht, dass Informationen von verwalteten Clientcomputern gesammelt werden. Für die beiden in diesem Handbuch behandelten Umgebungen ist die Einstellung Programm zur Verbesserung der Benutzerfreundlichkeit deaktivieren auf Aktiviert gesetzt, um das Sammeln von Informationen zu verhindern.

Inhaltdateiupdates des Such-Assistenten deaktivieren
Durch diese Richtlinieneinstellung wird festgelegt, ob der Such-Assistent bei lokalen Suchen und Internetsuchen automatisch Inhaltsaktualisierungen herunterladen soll. Wenn Sie diese Richtlinieneinstellung auf Aktiviert setzen, hindern Sie den Such-Assistenten daran, im Verlauf von Suchen Inhaltsaktualisierungen herunterzuladen.

Die Einstellung Inhaltdateiupdates des Such-Assistenten deaktivieren ist sowohl für die Unternehmensclient- als auch für die Hochsicherheitsumgebung auf Aktiviert gesetzt, um unnötige Netzwerkkommunikation von den verwalteten Clientcomputern zu kontrollieren.

Hinweis:   Internetsuchen senden den Suchtext und Informationen zur Suche weiterhin an Microsoft und den ausgewählten Suchprovider. Wenn Sie „Klassische Suche“ auswählen, ist die Funktion Such-Assistent nicht verfügbar. Sie können „Klassische Suche“ auswählen, indem Sie auf Start, Suchen, Bevorzugte Einstellungen ändern und schließlich auf Internetsuchverhalten ändern klicken.

Drucken über HTTP deaktivieren
Mit dieser Richtlinieneinstellung können Sie verhindern, dass der Clientcomputer über HTTP und damit auf Druckern im Intranet sowie im Internet drucken kann. Wenn Sie diese Richtlinieneinstellung aktivieren, kann der Clientcomputer nicht über HTTP auf Internetdruckern drucken.

Informationen, die mithilfe dieser Funktion über HTTP übertragen werden, sind nicht geschützt und können von unbefugten Benutzern abgefangen werden. Aus diesem Grund wird sie nicht oft in Unternehmensumgebungen verwendet. Die Einstellung Drucken über HTTP deaktivieren ist sowohl für die Unternehmensclient-Umgebung als auch für die Hochsicherheitsumgebung auf Aktiviert gesetzt, um eine potenzielle Sicherheitsverletzung durch einen unsicheren Druckauftrag zu verhindern.

Hinweis:   Diese Richtlinieneinstellung beim Internetdrucken wirkt sich nur auf den Client aus. Ungeachtet der Konfiguration könnte ein Computer als Internetdruckserver agieren und seine freigegebenen Drucker über HTTP zur Verfügung stellen.

Download von Druckertreibern über HTTP deaktivieren
Durch diese Richtlinieneinstellung wird festgelegt, ob der Computer Drucktreiberpakete über HTTP herunterladen kann. Für das Einrichten der Druckausgabe über HTTP müssen möglicherweise Druckertreiber über HTTP heruntergeladen werden, die nicht in der Standard-Betriebssysteminstallation enthalten sind.

Die Einstellung Download von Druckertreibern über HTTP deaktivieren ist auf Aktiviert gesetzt, damit keine Druckertreiber über HTTP heruntergeladen werden können.

Hinweis:   Diese Richtlinieneinstellung hindert den Clientcomputer nicht daran, über HTTP auf Druckern im Intranet oder Internet zu drucken. Sie unterbindet lediglich das Herunterladen von Treibern, die nicht bereits lokal installiert sind.

Suche nach Gerätetreibern auf Windows Update deaktivieren
Durch diese Richtlinieneinstellung wird festgelegt, ob Windows in Windows Update nach Gerätetreibern sucht, wenn lokal keine Treiber für ein Gerät vorhanden sind.

Das Herunterladen von Gerätetreibern aus dem Internet birgt gewisse Risiken. Deshalb wird empfohlen, die Einstellung Suche nach Gerätetreibern auf Windows Update deaktivieren für Hochsicherheitsumgebungen auf Aktiviert und für Unternehmensclient-Umgebungen auf Deaktiviert zu setzen. Der Grund für diese Konfiguration ist, dass den Angriffsarten, die einen Treiberdownload ausnutzen, in der Regel durch eine korrekte Verwaltung von Unternehmensanwendungen und Konfigurationen begegnet werden kann. Dies trägt auch zur Kompatibilität und Stabilität der Computer in Ihrer Umgebung bei.

Hinweis:   Befassen Sie sich außerdem mit Suchbefehl für Gerätetreiber in Windows Update deaktivieren in Administrative Vorlagen/System. Durch diese Einstellung wird festgelegt, ob ein Administrator um Zustimmung gebeten wird, bevor Windows Update nach einem Gerätetreiber durchsucht wird, der lokal nicht vorhanden ist.

Richtlinien für automatische Wiedergabe

Automatische Wiedergabe (Autoplay) ist eine Funktion von Windows, mit der Mediendateien oder Installationsprogramme automatisch geöffnet oder gestartet werden, sobald sie vom Computer erkannt werden. Die folgenden empfohlenen Computereinstellungen können im Gruppenrichtlinienobjekt-Editor in folgendem Verzeichnis konfiguriert werden:

Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\
AutoPlay Policies

Tabelle A42: Empfohlene Einstellungen für die automatische Wiedergabe

Autoplay deaktivieren
Die automatische Wiedergabe sorgt dafür, dass der Lesevorgang von einem Laufwerk unmittelbar nach dem Einlegen eines Mediums gestartet wird. Auf dem Medium gespeicherte Setupdateien oder Audiodaten werden dann automatisch ausgeführt bzw. abgespielt. Ein Angreifer kann diese Funktion ausnutzen, um ein Programm zu starten, das einen Computer oder die Daten auf dem Computer beschädigen könnte. Sie können die Einstellung Autoplay deaktivieren aktivieren, um die Funktion zur automatischen Wiedergabe zu deaktivieren. Die automatische Wiedergabe ist bei austauschbaren Datenträgern, wie z. B. Disketten- oder Netzlaufwerken, bereits in der Standardeinstellung deaktiviert, aber nicht bei CD-ROM-Laufwerken.

Die Einstellung Autoplay deaktivieren ist für die Unternehmensclient-Umgebung auf Nicht konfiguriert und für die Hochsicherheitsumgebung auf Aktiviert – Alle Laufwerke gesetzt.

Hinweis:   Sie können diese Einstellung nicht verwenden, um die automatische Wiedergabe für Computerlaufwerke zu aktivieren, bei denen diese Funktion in der Standardeinstellung deaktiviert ist, z. B. bei Disketten- oder Netzlaufwerken.

Benutzeroberfläche für Anmeldeinformationen

Die Einstellungen der Benutzeroberfläche für Anmeldeinformationen bestimmen, wie sich die Benutzeroberfläche den Benutzern darstellt, wenn sie zur Eingabe ihres Kontonamens und Kennworts aufgefordert werden, um höhere Aufgaben zu autorisieren, die eine Genehmigung durch den sicheren Desktop erfordern. Die folgenden empfohlenen Computereinstellungen können im Gruppenrichtlinienobjekt-Editor in folgendem Verzeichnis konfiguriert werden:

Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Credential User Interface

Tabelle A43: Empfohlene Einstellungen für die Benutzeroberfläche der Benutzerkontensteuerung-Anmeldeinformationen

§ - Dieses Symbol kennzeichnet neue Gruppenrichtlinieneinstellungen in Windows Vista

Enumerate administrator accounts on elevation (Administratorkonten bei Heraufstufung auflisten)
Standardmäßig werden alle Administratorkonten angezeigt, wenn Sie versuchen, die Rechte bei einer laufenden Anwendung zu erhöhen. Wenn Sie diese Richtlinie aktivieren, müssen die Benutzer immer einen Benutzernamen und ein Kennwort eingeben, um eine Erhöhung durchzuführen. Wenn Sie diese Richtlinie deaktivieren, werden alle lokalen Administratorkonten auf dem Computer angezeigt, so dass der Benutzer eines davon auswählen und das richtige Kennwort eingeben kann.

Die Einstellung Enumerate administrator accounts on elevation ist für die Unternehmensclient-Umgebung auf Nicht konfiguriert und für die Hochsicherheitsumgebung auf Deaktiviert gesetzt.

Require trusted path for credential entry (Vertrauenswürdigen Pfad für die Eingabe von Anmeldeinformationen erfordern)
Wenn Sie diese Richtlinieneinstellung deaktivieren, müssen Benutzer mithilfe des vertrauenswürdigen Pfads Windows-Anmeldeeinformationen auf dem sicheren Desktop eingeben. Dies bedeutet, dass Benutzer erst STRG+ALT+ENTF drücken müssen, bevor sie ihren Kontonamen und ihr Kennwort eingeben, um eine Anforderung für erhöhte Rechte zu autorisieren. Das Verlangen eines vertrauenswürdigen Pfads hilft zu verhindern, dass ein Trojaner oder andere Arten von bösartigem Code die Windows-Anmeldeinformationen des Benutzers ausspionieren.

Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, geben Benutzer während ihrer Desktopsitzung Windows-Anmeldeinformationen ein und ermöglichen dadurch u. U. bösartigem Code den Zugriff auf ihre Windows-Anmeldeinformationen.

Die Einstellung Require trusted path for credential entry ist für die Unternehmensclient-Umgebung auf Nicht konfiguriert und für die Hochsicherheitsumgebung auf Aktiviert gesetzt.

Internet Explorer

Mithilfe der Gruppenrichtlinie für Microsoft Internet Explorer® können Sie die Sicherheitsanforderungen für Windows Vista-Computern umsetzen. Darüber hinaus wird dadurch der Austausch unerwünschter Inhalte über Internet Explorer verhindert. Sichern Sie Internet Explorer nach folgenden Kriterien auf Ihren Arbeitsstationen ab:

• Stellen Sie sicher, dass Anforderungen an das Internet lediglich als direkte Reaktion auf Benutzeraktionen erfolgen.

• Stellen Sie sicher, dass Informationen, die an spezifische Websites gesendet werden, nur zu diesen Sites gelangen, es sei denn, es sind spezielle Benutzeraktionen zugelassen, durch die Informationen an andere Ziele übertragen werden.

• Stellen Sie sicher, dass vertrauenswürdige Kanäle zu Servern/Websites sowie die Besitzer der jeweiligen Server/Websites eindeutig identifiziert werden.

• Stellen Sie sicher, dass alle mit Internet Explorer gestarteten Skripts oder Programme in einer eingeschränkten Umgebung ausgeführt werden. Die über vertrauenswürdige Kanäle übermittelten Programme können so konfiguriert werden, dass sie außerhalb der eingeschränkten Umgebung ausgeführt werden.

Wichtig:   Bevor Sie die Gruppenrichtlinienobjekte anwenden, die diesem Handbuch beigefügt sind, muss Internet Explorer ordnungsgemäß für den Internetzugriff konfiguriert sein. In vielen Umgebungen sind für einen ordnungsgemäßen Internetzugriff spezielle Proxyeinstellungen erforderlich. Die in diesem Handbuch empfohlenen Einstellungen verhindern, dass Benutzer die Konfiguration von Internet Explorer-Proxyeinstellungen ändern können.

Die empfohlenen Computereinstellungen für Internet Explorer können im Gruppenrichtlinienobjekt-Editor in folgendem Verzeichnis konfiguriert werden:

Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Internet Explorer

Die folgende Tabelle bietet einen Überblick über zahlreiche empfohlene Einstellungen für Internet Explorer. Weitere Informationen zu jeder Einstellung finden Sie in den Unterabschnitten im Anschluss an die Tabelle.

Tabelle A44: Empfohlene Einstellungen für Internet Explorer

Automatische Installation von Internet Explorer-Komponenten deaktivieren
Wenn Sie diese Richtlinieneinstellung aktivieren, kann Internet Explorer keine Komponenten herunterladen, wenn die Benutzer Websites ansteuern, die für ein vollständiges Funktionieren diese Komponenten erfordern. Wenn diese Richtlinieneinstellung deaktiviert oder nicht konfiguriert ist, werden die Benutzer bei jedem Besuch der entsprechenden Websites aufgefordert, die Komponenten herunterzuladen oder zu installieren.

Für die beiden in diesem Handbuch behandelten Umgebungen ist die Einstellung ist die Einstellung Automatische Installation von Internet Explorer-Komponenten deaktivieren auf Aktiviert gesetzt.

Hinweis: Microsoft empfiehlt, vor dem Aktivieren dieser Richtlinieneinstellung mit Microsoft Update oder einem ähnlichen Dienst eine alternative Möglichkeit zum Aktualisieren von Internet Explorer einzurichten.

Periodische Überprüfungen auf Internet Explorer-Softwareupdates deaktivieren
Wenn Sie diese Richtlinieneinstellung aktivieren, kann durch Internet Explorer nicht mehr festgestellt werden, ob eine neuere Browserversion verfügbar ist, und die Benutzer erhalten keine entsprechende Benachrichtigung mehr. Wenn diese Richtlinieneinstellung deaktiviert oder nicht konfiguriert ist, wird von Internet Explorer standardmäßig alle 30 Tage geprüft, ob Aktualisierungen vorhanden sind. Ist eine neue Version verfügbar, werden die Benutzer benachrichtigt.

Für die beiden in diesem Handbuch behandelten Umgebungen ist die Einstellung ist die Einstellung Periodische Überprüfungen auf Internet Explorer-Softwareupdates deaktivieren auf Aktiviert gesetzt.

Hinweis: Microsoft empfiehlt, vor dem Aktivieren dieser Richtlinieneinstellung eine alternative Strategie für die Administratoren Ihrer Organisation einzurichten, um sicherzustellen, dass auf den Clients Ihrer Umgebung regelmäßig neue Updates für Internet Explorer ausgeführt werden.

Softwareupdatebenachrichtigungen beim Programmstart deaktivieren
Durch diese Richtlinieneinstellung wird festgelegt, dass Programme, die Microsoft Software Distribution Channels verwenden, Benutzer nicht informieren, wenn neue Komponenten installiert werden. Software Distribution Channels werden für die dynamische Aktualisierung von Software auf Benutzercomputern verwendet und basieren auf Open Software Distribution-Technologie (.osd).

Für die beiden in diesem Handbuch behandelten Umgebungen ist die Einstellung Softwareupdatebenachrichtigungen beim Programmstart deaktivieren auf Aktiviert gesetzt.

Aktivierung bzw. Deaktivierung von Add-Ons für Benutzer nicht zulassen
Durch diese Richtlinieneinstellung wird festgelegt, ob Benutzer die Möglichkeit haben, Add-Ons mithilfe des Befehls „Add-Ons verwalten“ zuzulassen oder zu verweigern. Wenn Sie diese Richtlinieneinstellung auf Aktiviert einstellen, können Benutzer Add-Ons nicht über den Befehl „Add-Ons verwalten“ aktivieren oder deaktivieren. Eine Ausnahme ist lediglich dann gegeben, wenn ein Add-On ausdrücklich so in der Richtlinieneinstellung Add-On-Liste eingegeben wurde, dass Benutzer das Add-On weiterhin verwalten können. In einem solchen Fall kann der Benutzer das Add-On immer noch über „Add-Ons verwalten“ verwalten. Wenn Sie diese Richtlinieneinstellung auf Deaktiviert setzen, kann der Benutzer Add-Ons aktivieren bzw. deaktivieren.

Benutzer installieren häufig Add-Ons, die gemäß der Sicherheitsrichtlinien der Organisation nicht zulässig sind. Solche Add-Ons können beträchtliche Sicherheits- und Datenschutzrisiken für Ihr Netzwerk darstellen. Für die beiden in diesem Kapitel behandelten Umgebungen ist diese Richtlinieneinstellung deshalb auf Aktiviert gesetzt.

Hinweis: Sie sollten die Gruppenrichtlinienobjekt-Einstellungen in Internet Explorer\Sicherheitsfunktionen\Add-On-Verwaltung überprüfen, um sicherzustellen, dass entsprechend autorisierte Add-Ons weiterhin in Ihrer Umgebung ausgeführt werden können. Lesen Sie gegebenenfalls den Knowledge Base-Artikel 555235, Outlook Web Access and Small Business Server Remote Web Workplace do not function if XP Service Pack 2 Add-on Blocking is enabled via group policy (engl.).

Proxyeinstellungen pro Computer vornehmen (anstelle von pro Benutzer)
Wenn Sie diese Richtlinieneinstellung aktivieren, ist es Benutzern nicht erlaubt, benutzerspezifische Proxyeinstellungen zu ändern. Die Benutzer müssen die Zonen verwenden, die für alle Benutzer eines Computers erstellt wurden.

Für Desktopclientcomputer in den beiden in diesem Handbuch behandelten Umgebungen ist die Einstellung Proxyeinstellungen pro Computer vornehmen (anstelle von pro Benutzer) auf Aktiviert gesetzt. Für Laptopclientcomputer ist die Richtlinieneinstellung jedoch auf Deaktiviert gesetzt, da mobile Benutzer auf Reisen die Proxyeinstellungen u. U. ändern müssen.

Sicherheitszonen: Benutzer können keine Sites hinzufügen/entfernen
Aktivieren Sie diese Richtlinieneinstellung, um die Einstellungen für die Siteverwaltung von Sicherheitszonen zu deaktivieren. (Zum Anzeigen der Siteverwaltungseinstellungen für Sicherheitszonen öffnen Sie Internet Explorer, wählen Sie Extras und Internetoptionen, klicken Sie auf die Registerkarte Sicherheit und anschließend auf Sites.) Wenn diese Richtlinieneinstellung deaktiviert oder nicht konfiguriert ist, sind Benutzer in der Lage, Websites in den Zonen Vertrauenswürdige und Eingeschränkte Sites hinzuzufügen und zu entfernen und Einstellungen in der Zone Lokales Intranet zu ändern.

Die Einstellung Sicherheitszonen: Benutzer können Sites nicht hinzufügen oder entfernen ist für die beiden in diesem Handbuch behandelten Umgebungen auf Aktiviert gesetzt.

Hinweis:   Wenn Sie die Einstellung Sicherheitsseite deaktivieren (unter \Benutzerkonfiguration\
Administrative Vorlagen\Windows-Komponenten\Internet Explorer\Internetsystemsteuerung), wird die Registerkarte Sicherheit aus der Benutzeroberfläche entfernt, und die Einstellung Deaktivieren erhält Vorrang vor dieser Sicherheitszonen -Einstellung.

Sicherheitszonen: Benutzer können keine Einstellungen ändern
Wenn Sie diese Richtlinieneinstellung aktivieren, werden die Schaltfläche Stufe anpassen und der Schieberegler Sicherheitsstufe dieser Zone auf der Registerkarte Sicherheit im Dialogfeld Internetoptionen deaktiviert. Wenn diese Richtlinieneinstellung deaktiviert oder nicht konfiguriert ist, können Benutzer die Einstellungen für Sicherheitszonen ändern. Dadurch wird verhindert, dass die Benutzer die vom Administrator vorgegebenen Einstellungen der Sicherheitszonenrichtlinie ändern.

Die Einstellung Sicherheitszonen: Benutzer können Einstellungen nicht ändern ist für die beiden in diesem Handbuch behandelten Umgebungen auf Aktiviert gesetzt.

Hinweis:   Wenn Sie die Einstellung Sicherheitsseite deaktivieren (unter \Benutzerkonfiguration\
Administrative Vorlagen\Windows-Komponenten\Internet Explorer\Internetsystemsteuerung), wird die Registerkarte Sicherheit aus Internet Explorer in der Systemsteuerung entfernt, und die Einstellung Deaktivieren erhält Vorrang vor dieser Sicherheitszonen-Einstellung.

Sicherheitszonen: Nur Computereinstellungen verwenden
Durch diese Richtlinieneinstellung wird festgelegt, wie sich Änderungen der Sicherheitszonen auf verschiedene Benutzer auswirken. Dadurch soll sichergestellt werden, dass die Sicherheitszoneneinstellungen auf dem gleichen Computer einheitlich bleiben und sich nicht von Benutzer zu Benutzer ändern. Wenn Sie diese Richtlinieneinstellung aktivieren, werden Änderungen, die der Benutzer an einer Sicherheitszone vornimmt, auf alle Benutzer des betreffenden Computers angewendet. Wenn diese Richtlinieneinstellung deaktiviert oder nicht konfiguriert ist, können die Benutzer eines Computers ihre eigenen Sicherheitszoneneinstellungen festlegen.

Die Einstellung Sicherheitszonen: Nur Computereinstellungen verwenden ist für die beiden in diesem Handbuch behandelten Umgebungen auf Aktiviert gesetzt.

Systemabsturzermittlung deaktivieren
Mit dieser Richtlinieneinstellung können Sie die Absturzerkennung in der Add-On-Verwaltung in Internet Explorer verwalten. Wenn Sie diese Richtlinieneinstellung aktivieren, hat ein Absturz in Internet Explorer ähnliche Auswirkungen wie ein Absturz auf einem Computer, auf dem Windows XP Professional Service Pack 1 oder eine frühere Version ausgeführt wird: Die Windows-Fehlerberichterstattung wird aufgerufen. Wenn Sie diese Richtlinieneinstellung deaktivieren, ist die Absturzerkennung in der Add-On-Verwaltung aktiviert.

Da der Absturzbericht von Internet Explorer vertrauliche Informationen aus dem Speicher des Computers enthalten kann, ist die Einstellung Absturzerkennung deaktivieren für die beiden in diesem Handbuch behandelten Umgebungen auf Aktiviert gesetzt. Wenn es häufig zu wiederholten Abstürzen kommt, über die Sie für die nachfolgende Problembehandlung Bericht erstatten müssen, können Sie die Richtlinieneinstellung vorübergehend auf Deaktiviert setzen.

In Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Internet Explorer können zusätzlich folgende Einstellungen konfiguriert werden:

• Internetsystemsteuerung\Seite „Erweitert“

• Sicherheitsfunktionen\MK-Protokoll-Sicherheitsbeschränkung

• Sicherheitsfunktionen\Konsistente MIME-Verarbeitung

• Sicherheitsfunktionen\Sicherheitsfunktion für MIME-Sniffing

• Sicherheitsfunktionen\Sicherheitseinschränkungen für Skriptfenster

• Sicherheitsfunktionen\Schutz vor Zonenerhöhung

• Sicherheitsfunktionen\ActiveX-Installation einschränken

• Sicherheitsfunktionen\Dateidownload einschränken

• Sicherheitsfunktionen\Add-On-Verwaltung

• Einstellung der Add-On-Liste von Internet Explorer

Die Standardwerte für diese Einstellungen bieten im Vergleich zu früheren Windows-Versionen eine höhere Sicherheit. Sie haben die Möglichkeit, diese Einstellungen zu überprüfen und zu entscheiden, ob Sie sie in Ihrer Umgebung benötigen oder aus Gründen der Benutzerfreundlichkeit oder Anwendungskompatibilität lockern möchten.

Beispielsweise können Sie Internet Explorer so konfigurieren, dass Popups standardmäßig für alle Internetzonen blockiert werden. Möglicherweise möchten Sie sicherstellen, dass diese Einstellung auf allen Computern in Ihrer Umgebung durchgesetzt wird, um störende Popupfenster weitgehend zu blockieren und die Möglichkeit der Installation schädlicher Software und Spyware durch Websites zu verringern. Ihre Umgebung könnte aber auch Anwendungen enthalten, bei denen Popupfenster für eine ordnungsgemäße Funktion erforderlich sind. In diesem Fall können Sie diese Richtlinie so konfigurieren, dass Popups für Websites innerhalb Ihres Intranets zugelassen werden.

Internet Explorer\Internetsystemsteuerung\Seite „Erweitert“

Die empfohlene System-Computereinstellung kann im Gruppenrichtlinienobjekt-Editor in folgendem Verzeichnis konfiguriert werden:

Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Internet Explorer\Internetsystemsteuerung\Seite „Erweitert“

Tabelle A45. Empfohlene Einstellungen für die Seite „Erweitert“

Installation bzw. Ausführung von Software zulassen, auch wenn die Signatur ungültig ist
Microsoft ActiveX®-Steuerelemente und Dateidownloads verfügen häufig über digitale Signaturen, die ein relativ sicherer Nachweis für die Integrität der Datei und die Identität des Signaturgebers (Erstellers) der Software sind. Solche Signaturen helfen sicherzustellen, dass unmodifizierte Software heruntergeladen wird, und dass Sie aktive Signaturgeber erkennen können. Sie können dann entscheiden, ob Sie dem Signaturgeber genügend vertrauen, um seine Software auszuführen.

Durch die Einstellung Installation bzw. Ausführung von Software zulassen, auch wenn die Signatur ungültig ist wird festgelegt, ob heruntergeladene Software durch Benutzer installiert oder ausgeführt werden kann, selbst wenn die Signatur ungültig ist. Eine ungültige Signatur kann darauf hinweisen, dass die Datei manipuliert wurde. Wenn Sie diese Richtlinieneinstellung aktivieren, werden Benutzer zu einer Bestätigung aufgefordert, dass sie Dateien mit einer ungültigen Signatur installieren oder ausführen möchten. Wenn Sie diese Richtlinieneinstellung deaktivieren, können Benutzer keine Dateien mit einer ungültigen Signatur installieren oder ausführen.

Da nicht signierte Software eine Sicherheitsanfälligkeit verursachen kann, ist diese Richtlinieneinstellung für die beiden in diesem Handbuch behandelten Umgebungen auf Deaktiviert gesetzt.

Hinweis:   Einige zugelassene Softwareprogramme und Steuerelemente können eine ungültige Signatur haben und dennoch in Ordnung sein. Solche Software sollte sorgfältig in einer isolierten Umgebung geprüft werden, bevor Sie deren Verwendung im Netzwerk Ihrer Organisation zulassen.

Internet Explorer\Sicherheitsfunktionen\MK-Protokoll-Sicherheitsbeschränkung

Die empfohlene System-Computereinstellung kann im Gruppenrichtlinienobjekt-Editor in folgendem Verzeichnis konfiguriert werden:

Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten
\Internet Explorer\Sicherheitsfunktionen\MK-Protokoll-Sicherheitsbeschränkung

Tabelle A46: Empfohlene Einstellungen für das MK-Protokoll

Internet Explorer-Prozesse (MK-Protokoll)
Durch diese Richtlinieneinstellung wird die Angriffsfläche verringert, weil das selten verwendete MK-Protokoll blockiert wird. Einige ältere Webanwendungen rufen mithilfe des MK-Protokolls Informationen aus komprimierten Dateien ab. Wenn Sie diese Richtlinieneinstellung auf Aktiviert setzen, wird das MK-Protokoll für Windows Explorer und Internet Explorer blockiert. Ressourcen, die das MK-Protokoll verwenden, können dann nicht ausgeführt werden. Wenn Sie diese Richtlinieneinstellung deaktivieren, können Anwendungen die MK-Protokoll-API verwenden.

Da das MK-Protokoll nicht sehr weit verbreitet ist, sollte es überall, wo es nicht gebraucht wird, blockiert werden. Für die beiden in diesem Handbuch behandelten Umgebungen ist diese Richtlinieneinstellung auf Aktiviert gesetzt. Microsoft empfiehlt, das MK-Protokoll zu blockieren, sofern es nicht wirklich in Ihrer Umgebung benötigt wird.

Hinweis:   Wenn Sie diese Einstellung vornehmen, können Ressourcen, die das MK-Protokoll verwenden, nicht ausgeführt werden. Daher sollten Sie sicherstellen, dass keine Ihrer Anwendungen das MK-Protokoll verwendet.

Internet Explorer\Sicherheitsfunktionen\Konsistente MIME-Verarbeitung

Die empfohlene System-Computereinstellung kann im Gruppenrichtlinienobjekt-Editor in folgendem Verzeichnis konfiguriert werden:

Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten
\Internet Explorer\Sicherheitsfunktionen\Konsistente MIME-Verarbeitung

Tabelle A47: Empfohlene Einstellungen für die konsistente MIME-Verarbeitung

Internet Explorer-Prozesse (Konsistente MIME-Verarbeitung)
Internet Explorer verwendet MIME-Daten (Multipurpose Internet Mail Extensions), um Vorgehensweisen für die Verarbeitung von Dateien zu ermitteln, die über einen Webserver empfangen werden. Durch die Einstellung Konsistente Mime-Verarbeitung wird festgelegt, ob Internet Explorer erfordert, dass alle von Webservern bereitgestellten Dateitypinformationen konsistent sind. Weist eine Datei beispielsweise den MIME-Typ „text/plain“ auf, doch die MIME-Daten signalisieren, dass die Datei eigentlich eine ausführbare Datei ist, ändert Internet Explorer ihre Erweiterung entsprechend. Durch diese Möglichkeit wird sichergestellt, dass sich ausführbarer Code nicht als anderer, vertrauenswürdiger Datentyp ausgeben kann.

Wenn Sie diese Richtlinieneinstellung aktivieren, untersucht Internet Explorer alle empfangenen Dateien und setzt eine konsistente MIME-Verarbeitung durch. Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, erfordert Internet Explorer für keine der empfangenen Dateien konsistente MIME-Daten und verwendet die von der Datei bereitgestellten MIME-Daten.

Die Nachahmung von MIME-Dateitypen stellt eine potenzielle Bedrohung für Ihre Organisation dar. Sie sollten sicherstellen, dass diese Dateien konsistent und korrekt bezeichnet sind, um zu verhindern, dass schädliche Dateidownloads Ihr Netzwerk infizieren. Für die beiden in diesem Handbuch behandelten Umgebungen ist diese Richtlinieneinstellung auf Aktiviert gesetzt.

Hinweis:   Diese Richtlinieneinstellung steht mit den Einstellungen für Sicherheitsfunktion für MIME-Sniffing in Verbindung, ohne diese jedoch zu ersetzen.

Internet Explorer\Sicherheitsfunktionen\Sicherheitsfunktion für MIME-Sniffing

Die empfohlene System-Computereinstellung kann im Gruppenrichtlinienobjekt-Editor in folgendem Verzeichnis konfiguriert werden:

Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten
\Internet Explorer\Sicherheitsfunktionen\Sicherheitsfunktion für MIME-Sniffing

Tabelle A48: Empfohlene Einstellungen für MIME-Sniffing

Internet Explorer-Prozesse (MIME-Sniffing)
Beim MIME-Sniffing wird der Inhalt einer MIME-Datei untersucht, um deren Kontext zu ermitteln, also ob es sich um eine Datendatei, eine ausführbare Datei oder eine andere Art von Datei handelt. Durch diese Richtlinieneinstellung wird festgelegt, ob MIME-Sniffing in Internet Explorer verhindert, dass eine Datei eines Typs zu einem gefährlicheren Dateityp heraufgestuft wird. Wenn diese Richtlinieneinstellung auf Aktiviert gesetzt ist, wird durch MIME-Sniffing keine Heraufstufung einer Datei eines bestimmten Typs zu einem gefährlicheren Dateityp durchgeführt. Wenn Sie diese Richtlinieneinstellung deaktivieren, werden die Internet Explorer-Prozesse so konfiguriert, dass sie MIME-Sniffing zulassen, durch das eine Datei eines bestimmten Typs zu einem gefährlicheren Dateityp heraufgestuft wird. Eine Textdatei kann z. B. zu einer ausführbaren Datei heraufgestuft werden. Dies ist gefährlich, da sämtlicher Code in der vermeintlichen Textdatei ausgeführt werden würde.

Die Nachahmung von MIME-Dateitypen stellt eine potenzielle Bedrohung für Ihre Organisation dar. Microsoft empfiehlt, diese Dateien konsistent zu behandeln. Dadurch wird verhindert, dass schädliche Dateidownloads Ihr Netzwerk infizieren.

Für die beiden in diesem Handbuch behandelten Umgebungen ist die Einstellung Internet Explorer-Prozesse (MIME-Sniffing) auf Aktiviert gesetzt.

Hinweis:   Diese Richtlinieneinstellung steht mit den Einstellungen für Konsistente MIME-Verarbeitung in Verbindung, ohne diese jedoch zu ersetzen.

Internet Explorer\Internet Explorer\Sicherheitsfunktionen\Sicherheitseinschränkungen für Skriptfenster

Die empfohlene System-Computereinstellung kann im Gruppenrichtlinienobjekt-Editor in folgendem Verzeichnis konfiguriert werden:

Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten
\Internet Explorer\Internet Explorer\Sicherheitsfunktionen\Sicherheitseinschränkungen für Skriptfenster

Tabelle A49: Empfohlene Sicherheitsbeschränkungen für Skriptfenster

Internet Explorer-Prozesse (Sicherheitseinschränkungen für Skriptfenster)
Internet Explorer ermöglicht Skripts, verschiedene Arten von Fenstern per Programm zu öffnen, in der Größe anzupassen und neu zu positionieren. Oftmals passen Websites von zweifelhaftem Ruf die Größe von Fenstern an, um andere Fenster zu verbergen oder um Sie zur Interaktion mit einem Fenster zu veranlassen, das schädlichen Code enthält.

Durch die Einstellung Internet Explorer-Prozesse (Sicherheitseinschränkungen für Skriptfenster) werden Popupfenster eingeschränkt, und es wird verhindert, dass Skripts Fenster anzeigen, deren Titel- und Statusleisten für den Benutzer nicht sichtbar sind oder die die Titel- und Statusleisten anderer Fenster ausblenden. Wenn Sie diese Richtlinieneinstellung aktivieren, werden in Windows  Explorer- und Internet Explorer-Prozessen keine Popupfenster angezeigt. Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, können Skripts weiterhin Popupfenster sowie Fenster, die andere Fenster verbergen, erstellen.

Für die beiden in diesem Handbuch behandelten Umgebungen ist die Einstellung Internet Explorer-Prozesse (Sicherheitseinschränkungen für Skriptfenster) auf Aktiviert gesetzt. Wenn diese Richtlinieneinstellung aktiviert ist, wird es schädlichen Websites erschwert, Ihre Internet Explorer-Fenster zu steuern oder Benutzer dazu zu verleiten, in das falsche Fenster zu klicken.

Internet Explorer\Internet Explorer\Sicherheitsfunktionen\Schutz vor Zonenerhöhung

Die folgenden empfohlenen Computereinstellungen können im Gruppenrichtlinienobjekt-Editor in folgendem Verzeichnis konfiguriert werden:

Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten
\Internet Explorer\Internet Explorer\Sicherheitsfunktionen\Schutz vor Zonenerhöhung

Tabelle A50: Empfohlene Einstellungen für den Schutz vor Zonenerhöhungen

Internet Explorer-Prozesse (Zonenerhöhungsschutz)
Internet Explorer versieht jede Webseite, die geöffnet wird, mit Einschränkungen. Diese Einschränkungen hängen vom Standort der Webseite ab, z. B. Internetzone, Intranetzone oder Zone des lokalen Computers. Webseiten auf einem lokalen Computer haben die wenigsten Sicherheitsbeschränkungen und befinden sich in der Zone des lokalen Computers. Dadurch wird diese Zone zum vorrangigen Ziel für Angreifer.

Wenn Sie die Einstellung Internet Explorer-Prozesse (Zonenerhöhungsschutz) aktivieren, kann jede Zone vor einer Zonenanhebung durch Internet Explorer-Prozesse geschützt werden. Durch diese Vorgehensweise wird weitgehend verhindert, dass in einer Zone ausgeführter Inhalt die erhöhten Berechtigungen einer anderen Zone erlangt. Wenn Sie diese Richtlinieneinstellung ändern, erhält keine Zone einen solchen Schutz für Internet Explorer-Prozesse.

Aufgrund des Schweregrads und der relativen Häufigkeit von Zonenerhöhungsangriffen ist die Einstellung Internet Explorer-Prozesse (Zonenerhöhungsschutz) für die beiden in diesem Handbuch behandelten Umgebungen auf Aktiviert gesetzt.

Internet Explorer\Internet Explorer\Sicherheitsfunktionen\ActiveX-Installation einschränken

Die folgenden empfohlenen Computereinstellungen können im Gruppenrichtlinienobjekt-Editor in folgendem Verzeichnis konfiguriert werden:

Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten
\Internet Explorer\Internet Explorer\Sicherheitsfunktionen\ActiveX-Installation einschränken

Tabelle A51: Einstellungen für das Einschränken der Installation von ActiveX

Internet Explorer-Prozesse (ActiveX-Installation einschränken)
Diese Richtlinieneinstellung bietet die Möglichkeit, Installationsaufforderungen von ActiveX-Steuerelementen für Internet Explorer-Prozesse zu blockieren. Wenn Sie diese Richtlinieneinstellung aktivieren, werden die Aufforderungen zum Installieren von ActiveX-Steuerelementen für Internet Explorer-Prozesse blockiert. Wenn Sie diese Richtlinieneinstellung deaktivieren, werden die Aufforderungen zum Installieren von ActiveX-Steuerelementen für Internet Explorer-Prozesse nicht blockiert, sondern den Benutzern angezeigt.

Benutzer installieren häufig Software wie z. B. ActiveX-Steuerelemente, die von den Sicherheitsrichtlinien ihrer Organisation nicht zugelassen sind. Solche Software kann für Netzwerke ein beträchtliches Sicherheits- und Datenschutzrisiko darstellen. Für die beiden in diesem Handbuch behandelten Umgebungen ist die Einstellung Internet Explorer-Prozesse (ActiveX-Installation einschränken) deshalb auf Aktiviert gesetzt.

Hinweis:   Durch diese Einstellung werden Benutzer außerdem daran gehindert, autorisierte, legitime ActiveX-Steuerelemente zu installieren, wodurch wiederum wichtige Systemkomponenten wie Windows Update behindert werden. Wenn Sie diese Richtlinieneinstellung aktivieren, stellen Sie sicher, dass Sicherheitsupdates (z. B. WSUS, Windows Server Update Services) auf andere Weise bereitgestellt werden können. Weitere Informationen über WSUS finden Sie auf der Windows Server Update Services-Produkthomepage.

Internet Explorer\Sicherheitsfunktionen\Dateidownload einschränken

Die folgenden empfohlenen Computereinstellungen können im Gruppenrichtlinienobjekt-Editor in folgendem Verzeichnis konfiguriert werden:

Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten
\Internet Explorer\Sicherheitsfunktionen\Dateidownload einschränken

Tabelle A52: Empfohlene Einstellungen für das Einschränken von Dateidownloads

Internet Explorer-Prozesse (Dateidownload einschränken)
Unter bestimmten Umständen können Websites ohne Benutzereingriff Aufforderungen zum Herunterladen von Dateien einleiten. Dieses Verfahren kann es Websites ermöglichen, nicht autorisierte Dateien auf den Festplatten von Benutzern zu speichern, wenn sie auf die falsche Schaltfläche klicken und das Herunterladen akzeptieren.

Wenn Sie die Richtlinieneinstellung Internet Explorer-Prozesse (Dateidownload einschränken) auf Aktiviert setzen, werden nicht vom Benutzer initiierte Aufforderungen zum Herunterladen von Dateien für Internet Explorer-Prozesse blockiert. Wenn Sie diese Richtlinieneinstellung auf Deaktiviert setzen, können ohne Zustimmung des Benutzers Dateidownloads für Internet Explorer-Prozesse initiiert werden.

Für die beiden in diesem Handbuch behandelten Umgebungen ist die Einstellung Internet Explorer-Prozesse (Dateidownload einschränken) auf Aktiviert gesetzt, um Angreifer davon abzuhalten, beliebigen Code auf den Computern von Benutzern abzulegen.

Internet Explorer\Internet Explorer\Sicherheitsfunktionen\Add-On-Verwaltung

Diese empfohlenen Computereinstellungen können im Gruppenrichtlinienobjekt-Editor in folgendem Verzeichnis konfiguriert werden:

Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten
\Internet Explorer\Internet Explorer\Sicherheitsfunktionen\Add-On-Verwaltung

Tabelle A53: Einstellungen für die Add-On-Verwaltung

Alle Add-Ons sperren, soweit diese nicht explizit in der Add-On-Liste aufgeführt sind
Diese Richtlinieneinstellung ermöglicht Ihnen zusammen mit der Richtlinie Add-On-Liste, Internet Explorer-Add-Ons zu steuern. Mit der Einstellung Add-On-Liste wird standardmäßig eine Liste der Add-Ons definiert, die über Gruppenrichtlinien zugelassen oder gesperrt werden. Die Einstellung Alle Add-Ons sperren, soweit diese nicht explizit in der Add-On-Liste aufgeführt sind gewährleistet, dass alle Add-Ons von vornherein gesperrt werden, wenn sie nicht eigens in der Add-On-Liste aufgeführt sind.

Wenn Sie diese Richtlinieneinstellung aktivieren, lässt Internet Explorer nur Add-Ons zu, die explizit in der Richtlinieneinstellung Add-On-Liste aufgeführt und zugelassen sind. Wenn Sie diese Richtlinieneinstellung deaktivieren, können Benutzer über die Add-On-Verwaltung beliebige Add-Ons zulassen oder verweigern.

Sie sollten erwägen, sowohl Alle Add-Ons sperren, soweit diese nicht explizit in der Add-On-Liste aufgeführt sind als auch die Add-On-Liste zu verwenden, um zu steuern, welche Add-Ons in Ihrer Umgebung verwendet werden können. Dieser Ansatz sorgt dafür, dass nur autorisierte Add-Ons verwendet werden.

Wenn Sie die Einstellung Add-On-Liste aktivieren, müssen Sie eine Liste von Add-Ons eingeben, die von Internet Explorer zugelassen oder verweigert werden sollen. Da die spezifische Liste der Add-Ons, die in dieser Liste enthalten sein sollten, je nach Organisation unterschiedlich ist, wird in diesem Handbuch keine ausführliche Liste bereitgestellt. Für jeden Eintrag, den Sie der Liste hinzufügen, müssen Sie folgende Informationen bereitstellen:

• Name des Wertes. Die CLSID (Klassen-ID) für das Add-On, das der Liste hinzugefügt werden soll. Die CLSID sollte in Klammern stehen, z. B. {000000000-0000-0000-0000-0000000000000}. Die CLSID für ein Add-On lässt sich aus dem OBJECT-Tag einer Webseite ablesen, auf der auf das Add-On verwiesen wird.

• Wert. Eine Zahl, die anzeigt, ob Internet Explorer das Laden des Add-Ons verweigern oder zulassen soll. Folgende Werte sind gültig:

  • 0 Dieses Add-On verweigern

  • 1 Dieses Add-On zulassen

  • 2 Dieses Add-On zulassen und dem Benutzer erlauben, es mithilfe des Befehls „Add-Ons verwalten“ zu verwalten

Wenn Sie die Einstellung Add-On-Liste deaktivieren, wird die Liste gelöscht. Sie sollten erwägen, sowohl Alle Add-Ons sperren, soweit diese nicht explizit in der Add-On-Liste aufgeführt sind als auch die Add-On-Liste zu verwenden, um zu steuern, welche Add-Ons in Ihrer Umgebung verwendet werden können. Dieser Ansatz sorgt dafür, dass nur autorisierte Add-Ons verwendet werden.

NetMeeting

Mit Microsoft NetMeeting® können über das Netzwerk Ihrer Organisation virtuelle Besprechungen durchgeführt werden. Die folgenden empfohlenen Computereinstellungen können im Gruppenrichtlinienobjekt-Editor in folgendem Verzeichnis konfiguriert werden:

Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\
NetMeeting

Tabelle A54: Empfohlene NetMeeting-Einstellungen

Remotedesktop-Freigabe deaktivieren
Durch diese Richtlinieneinstellung wird die Remotedesktop-Freigabe von NetMeeting deaktiviert. Wenn Sie diese Richtlinieneinstellung aktivieren, können Benutzer NetMeeting nicht konfigurieren, um eine Remotesteuerung des lokalen Desktops zuzulassen.

Die Einstellung Remotedesktop-Freigabe deaktivieren ist für die Unternehmensclient-Umgebung Nicht konfiguriert. Für die Hochsicherheitsumgebung ist sie jedoch auf Aktiviert gesetzt, um Benutzer von der Remotedesktop-Freigabe über NetMeeting abzuhalten.

Terminaldienste

Durch die Terminaldienste werden Optionen für die Umleitung von Clientressourcen auf Servern bereitgestellt, auf die über die Terminaldienste zugegriffen wird. In diesem Abschnitt finden Sie Einstellungen für Folgendes:

• Remotedesktopverbindungsclient

• Terminalserver\Verbindungen

• Terminaldienste\Geräte- und Ressourcenumleitung

• Terminalserver\Sicherheit

Die folgenden empfohlenen Computereinstellungen können im Gruppenrichtlinienobjekt-Editor in folgendem Verzeichnis konfiguriert werden:

Administrative Vorlagen\Windows-Komponenten\Terminaldienste
\Remotedesktopverbindungsclient

Tabelle A55: Empfohlene Einstellung für „Speichern von Kennwörtern nicht zulassen“

Speichern von Kennwörtern nicht zulassen
Diese Richtlinieneinstellung hilft zu verhindern, dass Terminaldienstclients Kennwörter auf einem Computer speichern. Wenn Sie diese Richtlinieneinstellung aktivieren, wird das Kontrollkästchen zum Speichern von Kennwört