Bedrohungen und Gegenmaßnahmen

Artikel
03/19/2009

Kapitel 9: Administrative Vorlagen für Windows XP und Windows Server 2003

Die administrativen Vorlagen der Gruppenrichtlinien enthalten registrierungsbasierte Einstellungen, mit denen das Verhalten und das Erscheinungsbild von Computern in einer Umgebung festgelegt wird. Diese Einstellungen betreffen auch das Verhalten von Betriebssystemkomponenten und Anwendungen. Sie können hunderte dieser Einstellungen konfigurieren und durch Importieren zusätzlicher ADM-Dateien weitere Einstellungen hinzufügen.

In diesem Kapitel werden die administrativen Vorlagen aufgeführt, die unter dem Knoten „Computerkonfiguration“ der in diesem Handbuch definierten Gruppenrichtlinien enthalten sind. Außerdem werden die administrativen Vorlagen aufgeführt, die sich unter dem Knoten „Benutzerkonfiguration“ befinden. In diesem Kapitel werden nicht alle Einstellungen beschrieben, die in den administrativen Vorlagen für Microsoft® Windows® XP und Microsoft Windows Server™ 2003 zur Verfügung stehen. Das Kapitel enthält jedoch Anleitungen zu allen Einstellungen, die für die Sicherheit von Computern mit den genannten Betriebssystemen relevant sind. Einige Einstellungen werden nicht erläutert und gelten speziell für Anwendungskompatibilität, Taskplaner, Windows Installer, Windows Messenger und Windows Media® Player.

Frühere Versionen dieses Handbuchs enthielten Informationen zu administrativen Vorlagen für Office XP. Microsoft Office 2003 verfügt über eine Vielzahl von neuen Funktionen und Änderungen in Bezug auf die im Lieferumfang des Produkts enthaltenen administrativen Vorlagen. Weitere Informationen zu diesen Änderungen finden Sie im Abschnitt „Weitere Informationen“ am Ende dieses Kapitels.

Auf dieser Seite

Computerkonfigurationseinstellungen
Benutzerkonfigurationseinstellungen
Weitere Informationen

Computerkonfigurationseinstellungen

Für Computer, die Mitglieder einer Active Directory®-Verzeichnisdienstdomäne sind, gelten die folgenden Konfigurationseinstellungen. Informationen zu Benutzerkonfigurationseinstellungen finden Sie weiter unten in diesem Kapitel.

NetMeeting

Mit Microsoft NetMeeting® können über das Netzwerk Ihrer Organisation virtuelle Besprechungen durchgeführt werden. Die Gruppenrichtlinieneinstellungen für NetMeeting können im Gruppenrichtlinienobjekt-Editor in folgendem Verzeichnis konfiguriert werden:

Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\
NetMeeting

Remotedesktop-Freigabe deaktivieren

Mit dieser Richtlinieneinstellung können Sie die Remotedesktop-Freigabefunktion von NetMeeting deaktivieren. Bei Aktivierung dieser Richtlinieneinstellung ist die Konfiguration von NetMeeting zur automatischen Beantwortung von eingehenden Aufrufen und zur Remotesteuerung des lokalen Desktops durch den Benutzer nicht möglich.

Für die Einstellung Remotedesktop-Freigabe deaktivieren sind folgende Werte möglich:

Aktiviert
Deaktiviert
Nicht konfiguriert

Sicherheitsanfälligkeit

Bei Aktivierung dieser Richtlinieneinstellung können Benutzer die Remotedesktop-Freigabefunktion von NetMeeting nicht verwenden.

Gegenmaßnahme

Setzen Sie die Einstellung Remotedesktop-Freigabe deaktivieren auf Aktiviert.

Mögliche Auswirkung

Benutzer können die Remotedesktop-Freigabe über NetMeeting nicht konfigurieren. Es ist jedoch möglich, dass sie weiterhin die Windows-Funktionen „Remoteunterstützung“ und „Remotedesktop“ verwenden können, falls diese Funktionen aktiviert sind.

Computereinstellungen für Internet Explorer

Microsoft Internet Explorer ist der in Windows XP und Windows Server 2003 enthaltene Webbrowser. Viele seiner Funktionen können durch Gruppenrichtlinien verwaltet werden. Die Computer-Gruppenrichtlinieneinstellungen für Internet Explorer können im Gruppenrichtlinienobjekt-Editor in folgendem Verzeichnis konfiguriert werden:

Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\
Internet Explorer

Automatische Installation von Internet Explorer-Komponenten deaktivieren

Mit dieser Richtlinieneinstellung können Sie verhindern, dass Internet Explorer beim Aufrufen einer Website durch die Benutzer die für diese Website erforderlichen Komponenten automatisch herunterlädt. Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, werden Benutzer bei jedem Besuch der entsprechenden Websites aufgefordert, die erforderlichen Komponenten herunterzuladen und zu installieren. Mit dieser Richtlinieneinstellung kann der Administrator festlegen, welche Komponenten von Benutzern installiert werden dürfen.

Für die Einstellung Automatische Installation von Internet Explorer-Komponenten deaktivieren sind folgende Werte möglich:

Aktiviert
Deaktiviert
Nicht konfiguriert

Sicherheitsanfälligkeit

Website-Operatoren können in böswilliger Absicht Komponenten mit schädlichem Code hosten. Dieser Code kann u. U. von Benutzern in Ihrer Organisation versehentlich heruntergeladen und auf den Computern in Ihrer Umgebung ausgeführt werden. Mögliche Folgen sind die Offenlegung vertraulicher Daten, Datenverlust und Instabilität.

Gegenmaßnahme

Setzen Sie die Einstellung Automatische Installation von Internet Explorer-Komponenten deaktivieren auf Aktiviert.

Mögliche Auswirkung

Von Internet Explorer können automatisch keine Komponenten heruntergeladen werden, wenn die Benutzer Websites besuchen, für die diese Komponenten benötigt werden.

Periodische Überprüfungen auf Softwareaktualisierungen von Internet Explorer deaktivieren

Bei Aktivierung dieser Richtlinieneinstellung kann Internet Explorer nicht mehr feststellen, ob eine neuere Browserversion verfügbar ist, und die entsprechende Benachrichtigung an die Benutzer entfällt. Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, überprüft Internet Explorer alle 30 Tage (Standardeinstellung), ob Updates vorhanden sind. Wenn eine neue Version verfügbar ist, werden die Benutzer benachrichtigt. Diese Richtlinieneinstellung hilft dem Administrator, die Kontrolle über die Internet Explorer-Version zu behalten, da Benutzer nicht mehr über neue verfügbare Browserversionen informiert werden.

Für die Einstellung Periodische Überprüfungen auf Softwareaktualisierungen von Internet Explorer deaktivieren sind folgende Werte möglich:

Aktiviert
Deaktiviert
Nicht konfiguriert

Sicherheitsanfälligkeit

Obwohl Microsoft alle Patches und Service Packs vor ihrer Veröffentlichung gründlich testet, möchten manche Organisationen die gesamte Software auf den verwalteten Computern genau überwachen. Durch Aktivierung der Einstellung Periodische Überprüfungen auf Softwareaktualisierungen von Internet Explorer deaktivieren können Sie sicherstellen, dass Updates für Internet Explorer nicht automatisch heruntergeladen und auf den Computern installiert werden.

Gegenmaßnahme

Setzen Sie die Einstellung Periodische Überprüfungen auf Softwareaktualisierungen von Internet Explorer deaktivieren auf Aktiviert.

Mögliche Auswirkung

Hotfixes und Service Packs können nicht automatisch von Internet Explorer heruntergeladen und installiert werden. Administratoren müssen daher ein anderes Verfahren verwenden, um Softwareupdates automatisch auf alle verwalteten Computer zu verteilen.

Softwareupdatebenachrichtigungen beim Programmstart deaktivieren

Diese Richtlinieneinstellung verhindert, dass Benutzer benachrichtigt werden, wenn Programme, die Microsoft Software Distribution Channel verwenden, neue Komponenten installieren. Software Distribution Channel ist eine Möglichkeit zur dynamischen Aktualisierung von Software mit OSD-Technologien (Open Software Distribution).

Wenn Sie diese Richtlinieneinstellung aktivieren, werden Benutzer nicht benachrichtigt, wenn ihre Programme über Software Distribution Channels aktualisiert werden. Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, erhalten Benutzer eine Benachrichtigung, bevor ihre Programme aktualisiert werden. Diese Richtlinieneinstellung ist für Administratoren vorgesehen, die die Programme der Benutzer ohne Benutzereingriff über Software Distribution Channels aktualisieren möchten.

Für die Einstellung Softwareupdatebenachrichtigungen beim Programmstart deaktivieren sind folgende Werte möglich:

Aktiviert
Deaktiviert
Nicht konfiguriert

Sicherheitsanfälligkeit

Organisationen, die OSD-Tools und -Technologien verwenden, ziehen es möglicherweise vor, dass die Benutzer nicht über die Installation von Patches und Service Packs auf ihren Computern benachrichtigt werden, damit diese den Installationsvorgang nicht vorzeitig abbrechen können.

Gegenmaßnahme

Setzen Sie die Einstellung Softwareupdatebenachrichtigungen beim Programmstart deaktivieren auf Aktiviert.

Mögliche Auswirkung

Die Benutzer werden nicht benachrichtigt, wenn Softwareupdates über OSD-Technologien bereitgestellt werden.

Proxyeinstellungen pro Computer vornehmen (anstelle von pro Benutzer)

Bei Aktivierung dieser Richtlinieneinstellung können benutzerspezifische Proxyeinstellungen nicht vom Benutzer geändert werden. Die Benutzer müssen die Zonen verwenden, die für alle Benutzer eines Computers erstellt wurden.

Für die Einstellung Proxyeinstellungen pro Computer vornehmen (anstelle von pro Benutzer) sind folgende Werte möglich:

Aktiviert
Deaktiviert
Nicht konfiguriert

Sicherheitsanfälligkeit

Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, können die Benutzer desselben Computers ihre eigenen Proxyeinstellungen festlegen. Mit dieser Richtlinieneinstellung soll sichergestellt werden, dass die Gültigkeit von Proxyeinstellungen auf einem Computer einheitlich bleibt und nicht je nach Benutzer variiert.

Gegenmaßnahme

Setzen Sie die Einstellung Proxyeinstellungen pro Computer vornehmen (anstelle von pro Benutzer) auf Aktiviert.

Mögliche Auswirkung

Alle Benutzer werden gezwungen, die für den Computer definierten Proxyeinstellungen zu verwenden.

Sicherheitszonen: Benutzer können keine Sites hinzufügen oder entfernen

Mit dieser Richtlinieneinstellung können Sie die Einstellungen für die Siteverwaltung von Sicherheitszonen deaktivieren. (Um die Einstellungen für die Siteverwaltung von Sicherheitszonen anzuzeigen, klicken Sie in Internet Explorer im Menü Extras auf Internetoptionen. Klicken Sie auf die Registerkarte Sicherheit und dann auf Sites). Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, können die Benutzer den Zonen „Vertrauenswürdige Sites“ und „Eingeschränkte Sites“ Websites hinzufügen oder aus diesen Zonen entfernen. Außerdem können sie die Einstellungen in der Zone „Lokales Intranet“ ändern.

Für die Einstellung Sicherheitszonen: Benutzer können keine Sites hinzufügen/entfernen sind folgende Werte möglich:

Aktiviert
Deaktiviert
Nicht konfiguriert

Hinweis: Bei Aktivierung der Einstellung Sicherheitsseite deaktivieren unter
\Benutzerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Internet Explorer\Internetsystemsteuerung
wird die Registerkarte Sicherheit aus der Benutzeroberfläche entfernt. Wenn diese Einstellung aktiviert ist, hat sie Vorrang vor der Einstellung Sicherheitszonen: Benutzer können keine Sites hinzufügen/entfernen.

Sicherheitsanfälligkeit

Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, können Benutzer nach Belieben Websites zu den Zonen „Vertrauenswürdige Sites“ und „Eingeschränkte Sites“ hinzufügen oder aus diesen Zonen entfernen und Einstellungen in der Zone „Lokales Intranet“ ändern. Diese Konfiguration kann es ermöglichen, dass diesen Zonen Sites hinzugefügt werden, die schädlichen mobilen Code hosten, der von den Benutzern ausgeführt werden kann.

Gegenmaßnahme

Setzen Sie die Einstellung Sicherheitszonen: Benutzer können keine Sites hinzufügen/entfernen auf Aktiviert.

Mögliche Auswirkung

Die Benutzer können die vom Administrator vorgenommenen Einstellungen für die Siteverwaltung von Sicherheitszonen nicht ändern. Wenn die Benutzer Sites zu diesen Sicherheitszonen von Internet Explorer hinzufügen oder aus diesen Zonen entfernen müssen, müssen sie von einem Administrator konfiguriert werden.

Sicherheitszonen: Benutzer können keine Einstellungen ändern

Mit dieser Richtlinieneinstellung können Sie die Schaltfläche Stufe anpassen und den Zonenschieberegler „Sicherheitsstufe“ auf der Registerkarte Sicherheit im Dialogfeld Internetoptionen deaktivieren. Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, können Benutzer die Sicherheitszoneneinstellungen ändern. Mit dieser Richtlinieneinstellung kann verhindert werden, dass die vom Administrator vorgenommenen Richtlinieneinstellungen für Sicherheitszonen geändert werden.

Für die Einstellung Sicherheitszonen: Benutzer können keine Einstellungen ändern sind folgende Werte möglich:

Aktiviert
Deaktiviert
Nicht konfiguriert

Sicherheitsanfälligkeit

Benutzer, die die Internet Explorer-Sicherheitseinstellungen ändern, ermöglichen dadurch u. U. die Ausführung von gefährlichen Codetypen aus dem Internet und den Websites, die im Browser in der Zone für eingeschränkte Sites aufgeführt werden.

Gegenmaßnahme

Setzen Sie die Einstellung Sicherheitszonen: Benutzer können keine Einstellungen ändern auf Aktiviert.

Mögliche Auswirkung

Die Benutzer können für Internet Explorer-Zonen keine Sicherheitseinstellungen konfigurieren.

Sicherheitszonen: Die Einstellungen für Sicherheitszonen statisch festlegen

Durch diese Richtlinieneinstellung wird Benutzern erlaubt, Änderungen an einer Sicherheitszone vornehmen, die für alle Benutzer des betreffenden Computers gültig sind. Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, können die Benutzer desselben Computers ihre eigenen Sicherheitseinstellungen festlegen. Mit dieser Richtlinieneinstellung wird sichergestellt, dass die Gültigkeit von Sicherheitszoneneinstellungen auf demselben Computer einheitlich bleibt und nicht je nach Benutzer variiert.

Für die Einstellung Sicherheitszonen:Die Einstellungen für Sicherheitszonen statisch festlegen sind folgende Werte möglich:

Aktiviert
Deaktiviert
Nicht konfiguriert

Sicherheitsanfälligkeit

Gegenmaßnahme

Setzen Sie die Einstellung Sicherheitszonen: Die Einstellungen für Sicherheitszonen statisch festlegen auf Aktiviert.

Mögliche Auswirkung

Die Benutzer können für Internet Explorer-Zonen keine Sicherheitseinstellungen konfigurieren.

Absturzerkennung deaktivieren

Mit dieser Richtlinieneinstellung können Sie die Absturzerkennung in der Add-On-Verwaltung in Internet Explorer verwalten. Bei Aktivierung dieser Richtlinieneinstellung hat ein Absturz in Internet Explorer ähnliche Auswirkungen wie ein Absturz auf einem Computer, auf dem Windows XP Professional mit Service Pack 1 (SP1) oder eine frühere Version ausgeführt wird: Die Windows-Fehlerberichterstattung wird aufgerufen. Wenn Sie diese Richtlinieneinstellung deaktivieren, ist die Absturzerkennung in der Add-On-Verwaltung aktiviert.

Für die Einstellung Systemabsturzermittlung deaktivieren sind folgende Werte möglich:

Aktiviert
Deaktiviert
Nicht konfiguriert

Sicherheitsanfälligkeit

In einem Absturzbericht können vertrauliche Informationen aus dem Computerspeicher enthalten sein.

Gegenmaßnahme

Setzen Sie die Einstellung Systemabsturzermittlung deaktivieren auf Aktiviert.

Mögliche Auswirkung

Informationen zu den durch Internet Explorer-Add-Ons verursachten Abstürzen werden nicht an Microsoft gesendet. Wenn Abstürze häufig und wiederholt auftreten und Sie sich zur Problembehandlung an den Support wenden müssen, sollte die Einstellung vorübergehend auf Deaktiviert gesetzt werden.

Benutzern nicht erlauben, Add-Ons zu aktivieren oder zu deaktivieren

Durch diese Richtlinieneinstellung wird festgelegt, ob Benutzer die Möglichkeit haben, Add-Ons mithilfe des Befehls „Add-Ons verwalten“ zuzulassen oder zu verweigern. Wenn Sie diese Richtlinieneinstellung auf Aktiviert einstellen, können Benutzer Add-Ons nicht über den Befehl „Add-Ons verwalten“ aktivieren oder deaktivieren. Einzige Ausnahme ist der Fall, wenn ein Add-On ausdrücklich so in der Richtlinieneinstellung Add-On-Liste eingegeben wurde, dass Benutzer das Add-On weiterhin über den Befehl „Add-Ons verwalten“ verwalten können. Wenn Sie diese Richtlinieneinstellung auf Deaktiviert setzen, kann der Benutzer Add-Ons aktivieren bzw. deaktivieren.

Hinweis: Weitere Informationen zur Verwaltung von Internet Explorer-Add-Ons in Windows XP SP2 finden Sie im Knowledge Base-Artikel 883256, „Verwalten von Internet Explorer-Add-Ons in Windows XP Service Pack 2“, unter https://support.microsoft.com/?kbid=883256.

Für die Einstellung Aktivierung bzw. Deaktivierung von Add-Ons für Benutzer nicht zulassen sind folgende Werte möglich:

Aktiviert
Deaktiviert
Nicht konfiguriert

Sicherheitsanfälligkeit

Benutzer installieren häufig Add-Ons, die von der Sicherheitsrichtlinie einer Organisation nicht zugelassen sind. Solche Add-Ons können ein Sicherheits- und Vertraulichkeitsrisiko für Ihr Netzwerk darstellen.

Gegenmaßnahme

Setzen Sie die Einstellung Aktivierung bzw. Deaktivierung von Add-Ons für Benutzer nicht zulassen auf Aktiviert.

Mögliche Auswirkung

Bei Aktivierung der Einstellung Aktivierung bzw. Deaktivierung von Add-Ons für Benutzer nicht zulassen können Benutzer ihre eigenen Internet Explorer-Add-Ons nicht aktivieren bzw. deaktivieren. Wenn in Ihrer Organisation Add-Ons verwendet werden, kann diese Konfiguration u. U. Auswirkungen auf die Arbeitsfähigkeit der Mitarbeiter haben.

Internet Explorer\Internetsystemsteuerung\Sicherheitsseite

Die Gruppenrichtlinieneinstellungen für die Internet Explorer-Sicherheitsseite können im Gruppenrichtlinienobjekt-Editor in folgendem Verzeichnis konfiguriert werden:

Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\
Internet Explorer\Internetsystemsteuerung\Sicherheitsseite

Die einzelnen Richtlinieneinstellungen für die Sicherheitsseite werden ausführlich in den Windows XP- und Windows Server 2003-Hilfesystemen sowie auf der Microsoft-Website dokumentiert. Diese Informationen werden daher in diesem Handbuch nicht wiederholt. Sie sollten die folgenden allgemeinen Richtlinien berücksichtigen.

Sicherheitsanfälligkeit

Wenn Sie Benutzern erlauben, ihre eigenen Sicherheitseinstellungen in Internet Explorer zu konfigurieren, können die Computer anfälliger für schädliche Software (Malware) werden. Darüber hinaus können die Benutzer alle für das Unternehmen eingerichteten Standardsicherheitsrichtlinien umgehen.

Gegenmaßnahme

Verwenden Sie die Einstellungen im Gruppenrichtlinienknoten Internet Explorer\Internetsystemsteuerung\Sicherheitsseite, um angemessene Werte für Sicherheitszonen und sicherheitszonenspezifisches Verhalten festzulegen.

Mögliche Auswirkung

Unter Windows XP SP2 und Windows Server 2003 SP1 werden mehrere neue Richtlinieneinstellungen zur Sicherung der Internet Explorer-Zonenkonfiguration in der gesamten Umgebung eingeführt. Die Standardwerte für diese Richtlinieneinstellungen bieten eine höhere Sicherheit als früheren Windows-Versionen. Sie müssen diese Richtlinieneinstellungen jedoch u. U. an Ihre lokale Umgebung anpassen. Möglicherweise möchten Sie z. B. der Zone „Vertrauenswürdige Sites“ Ihre Geschäftspartner oder Lieferanten hinzufügen und Änderungen an den Zonenlisten durch die Benutzern verhindern.

Internet Explorer\Internetsystemsteuerung\Seite "Erweitert"

Die Einstellungen in diesem Abschnitt der administrativen Vorlage entsprechen den Einstellungen, die in Internet Explorer im Dialogfeld Internetoptionen auf der Registerkarte Erweitert verfügbar sind.

Die folgenden zwei Richtlinieneinstellungen sind sowohl unter Windows Server 2003 mit SP1 als auch unter Windows XP mit SP2 verfügbar.

Ausführen oder Installieren von Software zulassen, selbst wenn die Signatur ungültig ist

Mit dieser Richtlinieneinstellung können Sie festlegen, ob heruntergeladene Software durch Benutzer installiert oder ausgeführt werden kann, wenn die Signatur ungültig ist. Eine ungültige Signatur kann darauf hinweisen, dass die Datei manipuliert wurde. Wenn Sie diese Richtlinieneinstellung aktivieren, werden Benutzer aufgefordert, Dateien mit einer ungültigen Signatur zu installieren oder auszuführen. Wenn Sie diese Richtlinieneinstellung deaktivieren, können Benutzer Dateien mit einer ungültigen Signatur nicht ausführen oder installieren.

Für die Einstellung Installation bzw. Ausführung von Software zulassen, auch wenn die Signatur ungültig ist sind folgende Werte möglich:

Aktiviert
Deaktiviert
Nicht konfiguriert

Sicherheitsanfälligkeit

Microsoft ActiveX®-Steuerelemente und Dateidownloads verfügen häufig über digitale Signaturen, die sowohl für die Integrität der Datei als auch die Identität des Signaturgebers (Erstellers) der Software bürgen. Mit solchen Signaturen wird sichergestellt, dass Software unverändert heruntergeladen wird und dass Sie den Signaturgeber eindeutig identifizieren können. So können Sie entscheiden, ob Sie genügend Vertrauen in die Software haben, um sie auszuführen. Die Gültigkeit von nicht signiertem Code kann nicht überprüft werden.

Gegenmaßnahme

Setzen Sie die Einstellung Installation bzw. Ausführung von Software zulassen, auch wenn die Signatur ungültig ist auf Deaktiviert, damit Benutzer keine nicht signierten ActiveX-Komponenten ausführen können.

Mögliche Auswirkung

Legitimierte Software und Steuerelemente können u. U. über eine ungültige Signatur verfügen. Solche Software sollte sorgfältig in einer isolierten Umgebung getestet werden, bevor Sie deren Verwendung im Netzwerk Ihrer Organisation zulassen.

Ausführung aktiver Inhalte von CDs auf Computern zulassen

Mit dieser Richtlinieneinstellung können Sie festlegen, ob aktive Inhalte von CDs auf den Benutzercomputern ausgeführt werden können. Organisationen mit hohen Sicherheitsanforderungen können dadurch die Ausführung von ActiveX-Steuerelementen oder anderen aktiven Inhalten, die auf einer CD bereitgestellt werden, verhindern.

Für die Einstellung Ausführung aktiver Inhalte von CDs auf Computern zulassen sind folgende Werte möglich:

Aktiviert
Deaktiviert
Nicht konfiguriert

Sicherheitsanfälligkeit

Benutzer können die Sicherheitsrichtlinien der Organisation versehentlich umgehen, wenn sie Inhalte ausführen, die auf einer CD und nicht über das Netzwerk bereitgestellt wurden.

Gegenmaßnahme

Setzen Sie die Einstellung Ausführung aktiver Inhalte von CDs auf Computern zulassen auf Deaktiviert. Durch diese Konfiguration wird die Ausführung von aktiven Inhalten, die auf CDs gespeichert sind, verhindert.

Mögliche Auswirkung

Bei Aktivierung dieser Richtlinieneinstellung funktionieren Anwendungen, die von einer CD installiert werden sollten, möglicherweise nicht einwandfrei.

Browsererweiterungen von Drittanbietern zulassen

(Diese Richtlinieneinstellung ist nur unter Windows Server 2003 verfügbar.)

Benutzer können Browsererweiterungen von Drittanbietern installieren, die als Browserhilfsobjekte (BHOs) bezeichnet werden. Durch die Einstellung Browsererweiterungen von Drittanbietern zulassen wird festgelegt, ob installierte BHOs beim Starten von Internet Explorer geladen werden.

Für die Einstellung Browsererweiterungen von Drittanbietern zulassen sind folgende Werte möglich:

Aktiviert
Deaktiviert
Nicht konfiguriert

Sicherheitsanfälligkeit

Browsererweiterungen von Drittanbietern stellen ein Sicherheitsrisiko dar, da sie u. U. Sicherheitsanfälligkeiten oder sogar schädlichen Code enthalten. Außerdem kann ihre Installation gegen die Sicherheitsrichtlinien der Organisation verstoßen.

Gegenmaßnahme

Setzen Sie die Einstellung Browsererweiterungen von Drittanbietern zulassen auf Deaktiviert.

Mögliche Auswirkung

Wenn Sie die Einstellung Browsererweiterungen von Drittanbietern zulassen auf Deaktiviert setzen, können von Benutzern Browsererweiterungen von Drittanbietern installiert werden. Diese werden jedoch nicht beim Starten von Internet Explorer geladen. Diese Konfiguration kann den Arbeitsablauf für Benutzer beeinträchtigen oder zu Anfragen beim Helpdesk führen.

Auf gesperrte Serverzertifikate überprüfen

(Diese Richtlinieneinstellung ist nur unter Windows Server 2003 verfügbar.)

Wenn eine SSL-Verbindung (Secure Sockets Layer) zwischen dem Browser und einem Remoteserver hergestellt wurde, übergibt der Server dem Clientcomputer ein Zertifikat, das in der anfänglichen Sicherheitsaushandlung verwendet werden soll. Bei Aktivierung der Einstellung Auf gesperrte Serverzertifikate überprüfen prüft Internet Explorer, ob das übergebene Zertifikat in der Zertifikatsperrliste des Ausstellers enthalten ist.

Für die Einstellung Auf gesperrte Serverzertifikate überprüfen sind folgende Werte möglich:

Aktiviert
Deaktiviert
Nicht konfiguriert

Sicherheitsanfälligkeit

Benutzer können versehentlich mit einem Server kommunizieren, dessen Zertifikat abgelaufen ist oder durch den Aussteller gesperrt wurde. Eine solche Situation kann zur Offenlegung von Informationen oder sogar zu Angriffen führen, wenn der Remoteserver beeinträchtigt wurde.

Gegenmaßnahme

Setzen Sie die Einstellung Auf gesperrte Serverzertifikate überprüfen auf Aktiviert.

Mögliche Auswirkung

Bei Aktivierung der Einstellung Auf gesperrte Serverzertifikate überprüfen erhalten Benutzer u. U. eine Warnmeldung für Websites, die sie zuvor als vertrauenswürdig eingestuft haben. Stellen Sie den Benutzern alle notwendigen Informationen zur Verfügung, damit sie beim Surfen im Internet fundierte Vertrauensentscheidungen treffen können.

Signaturen von übertragenen Programmen überprüfen

(Diese Richtlinieneinstellung ist nur unter Windows Server 2003 verfügbar.)

Heruntergeladene Programme können mit Microsoft Authenticode®-Technologie signiert werden, wodurch an ausführbare Objekte (z. B. Programme und ActiveX-Steuerelemente) eine digitale Signatur gebunden wird. Bei Aktivierung der Einstellung Signaturen von übertragenen Programmen überprüfen ermittelt Internet Explorer die digitale Signatur der ausführbaren Programme und zeigt deren Identitäten an, bevor sie heruntergeladen werden.

Für die Einstellung Signaturen von übertragenen Programmen überprüfen sind folgende Werte möglich:

Aktiviert
Deaktiviert
Nicht konfiguriert

Sicherheitsanfälligkeit

Benutzer können versehentlich ungeeignete oder schädliche Inhalte herunterladen.

Gegenmaßnahme

Setzen Sie die Einstellung Signaturen von übertragenen Programmen überprüfen auf Aktiviert.

Mögliche Auswirkung

Bei Aktivierung der Einstellung Signaturen von übertragenen Programmen überprüfen werden Benutzern die Identitätsinformationen zu ausführbaren und signierten Programmen angezeigt.

Verschlüsselte Seiten nicht auf der Festplatte speichern

(Diese Richtlinieneinstellung ist nur unter Windows Server 2003 verfügbar.)

Wenn Internet Explorer Seiten von einem Remoteserver abruft, werden die Seiten als temporären Dateien im Cache von Internet Explorer gespeichert. Diese Funktion verbessert die Leistung und ermöglicht das Vorwärts- und Zurückblättern in der Verlaufsliste des Browsers, ohne dass eine erneute Verbindung zum Host hergestellt werden muss.

Für die Einstellung Verschlüsselte Seiten nicht auf der Festplatte speichern sind folgende Werte möglich:

Aktiviert
Deaktiviert
Nicht konfiguriert

Sicherheitsanfälligkeit

Zwischengespeicherte Seiten von SSL-gesicherten Verbindungen können vertrauliche Informationen (z. B. Kennwörter oder Kreditkartennummern) enthalten.

Gegenmaßnahme

Setzen Sie die Einstellung Verschlüsselte Seiten nicht auf der Festplatte speichern auf Aktiviert.

Mögliche Auswirkung

Die über SSL-Verbindungen abgerufenen Seiten werden nicht zwischengespeichert. Diese Konfiguration kann dazu führen, dass eine erhöhte Netzwerkbandbreite in Anspruch genommen wird, da die bei Deaktivierung dieser Richtlinieneinstellung zwischengespeicherten Seiten nun von den Benutzerbrowsern erneut heruntergeladen werden müssen.

Leeren des Ordners "Temporary Internet Files" beim Schließen des Browsers

(Diese Richtlinieneinstellung ist nur unter Windows Server 2003 verfügbar.)

Die von Internet Explorer abgerufenen Seiten werden als temporäre Dateien im Cache von Internet Explorer gespeichert. Internet Explorer verwaltet diesen Cache gemäß der Einstellungen im Dialogfeld Einstellungen für temporäre Internetdateien. Nach dem Herunterladen einer Datei oder eines Objekts wird es im Cache gespeichert, bis es von Internet Explorer entfernt wird.

Für die Einstellung Leeren des Ordners "Temporary Internet Files" beim Schließen des Browsers sind folgende Werte möglich:

Aktiviert
Deaktiviert
Nicht konfiguriert

Sicherheitsanfälligkeit

Vertrauliche Informationen können im Ordner \Temporary Internet Files aufbewahrt werden, nachdem ein Benutzer Internet Explorer beendet und sich abgemeldet hat. Ein anderer Benutzer kann auf diese Dateien zugreifen, wenn er denselben Computer verwendet.

Gegenmaßnahme

Setzen Sie die Einstellung Leeren des Ordners "Temporary Internet Files" beim Schließen des Browsers auf Aktiviert.

Mögliche Auswirkung

Internet Explorer verwendet den Ordner \Temporary Internet Files als Cache, um die Browserleistung zu verbessern. Bei Deaktivierung dieser Funktion wird von den Benutzern möglicherweise mehr Zeit und Bandbreite beim Surfen im Internet in Anspruch genommen.

Internet Explorer\Sicherheitsfunktionen

Der Abschnitt Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Internet Explorer\Sicherheitsfunktionen der administrativen Vorlagen von Windows enthält mehrere Richtlinieneinstellungen, die verschiedene Sicherheitsfunktionen steuern, die Internet Explorer 6.0 unter Windows Server 2003 SP1 und Windows XP SP2 hinzugefügt wurden. Jede dieser Richtlinieneinstellungen enthält drei untergeordnete Einstellungen:

Internet Explorer-Prozesse. Für diese Einstellung sind folgende drei Werte möglich: Aktiviert, Deaktiviert und Nicht konfiguriert. Wird diese Einstellung auf Aktiviert gesetzt, wird das festgelegte Verhalten für Internet Explorer- und Windows Explorer-Prozesse ausgeschaltet. Wird diese Einstellung auf Deaktiviert oder Nicht konfiguriert gesetzt, wird das (für jede Einstellung separat beschriebene) Standardverhalten beibehalten.
Prozessliste. Mit dieser Einstellung können Sie einzelne Prozesse angeben, für die die Sicherheitsfunktion aktiviert bzw. deaktiviert werden soll. Durch die Prozessliste wird festgelegt, für welche Prozesse die Funktionssteuerung gültig ist. Die Funktion für diese Prozesse wird bei einem Einstellungswert von 1 deaktiviert und bei einem Einstellungswert von 0 aktiviert.
Alle Prozesse. Für diese Einstellung sind folgende drei Werte möglich: Aktiviert, Deaktiviert und Nicht konfiguriert. Wird diese Einstellung auf Aktiviert gesetzt, wird das festgelegte Verhalten für Internet Explorer- und Windows Explorer-Prozesse ausgeschaltet. Wird diese Einstellung auf Deaktiviert oder Nicht konfiguriert gesetzt, wird das (für jede Einstellung separat beschriebene) Standardverhalten beibehalten.

Sicherheitseinschränkung für Binärverhalten

Internet Explorer enthält dynamische binäre Verhaltensweisen. Hierbei handelt es sich um Komponenten, die spezifische Funktionalität für die HTML-Elemente einkapseln, an die sie angefügt wurden. Das Binärverhalten wird nicht durch Sicherheitseinstellungen von Internet Explorer gesteuert und funktioniert daher auf Webseiten in der Zone „Eingeschränkte Sites“.

Windows XP SP2 und Windows Server 2003 SP1 verfügen über eine neue Internet Explorer-Sicherheitseinstellung für Binärverhalten. Durch die neue Sicherheitseinstellung wird das Binärverhalten in der Zone „Eingeschränkte Sites“ standardmäßig deaktiviert. Darüber hinaus bietet sie eine allgemeine Vorbeugung gegen Sicherheitsanfälligkeiten im Binärverhalten von Internet Explorer.

Neben den oben beschriebenen Einstellungen Internet Explorer-Prozesse, Prozessliste und Alle Prozesse ermöglicht die Einstellung Sicherheitseinschränkung für Binärverhalten, individuelle Verhaltensweisen mithilfe der Einstellung Vom Administrator zugelassenes Verhalten zuzulassen. Zur Steuerung dieses Binär- und Skriptverhaltens können Sie nun für die entsprechenden Zonen die Einstellung Vom Administrator zugelassenes Verhalten wählen und anschließend mit dieser Einstellung die individuellen Verhaltensweisen festlegen, die in jeder Zone ausgeführt werden können.

Sicherheitsanfälligkeit

Webseiten können fehlerhafte oder schädliche Verhaltensweisen aufrufen, die Instabilität und Beeinträchtigungen verursachen.

Gegenmaßnahme

Deaktivieren Sie jegliche Möglichkeit zur Verwendung von Binärverhalten. Wahlweise können Sie in der Einstellung Vom Administrator zugelassenes Verhalten mehrere zulässige Verhaltensweisen angeben.

Mögliche Auswirkung

Anwendungen, die auf Binärverhalten beruhen, funktionieren u. U. nicht einwandfrei, wenn die für diese Anwendungen erforderlichen Verhaltenweisen deaktiviert wurden.

Sicherheitseinschränkung für MK-Protokoll

Durch diese Richtlinieneinstellung wird das selten verwendete MK-Protokoll blockiert, um die Angriffsfläche des Computer zu verringern. Einige ältere Webanwendungen rufen mithilfe des MK-Protokolls Informationen aus komprimierten Dateien ab.

Sicherheitsanfälligkeit

Im MK-Protokollhandler oder in Anwendungen, die diesen Handler aufrufen, liegen möglicherweise Sicherheitsanfälligkeiten vor.

Gegenmaßnahme

Da das MK-Protokoll selten verwendet wird, sollte es blockiert werden, sofern es nicht erforderlich ist. Deaktivieren Sie den Zugriff auf das MK-Protokoll für alle Prozesse.

Mögliche Auswirkung

Wenn Sie diese Einstellung vornehmen, können die Ressourcen, die das MK-Protokoll verwenden, nicht ausgeführt werden. Sie sollten deshalb sicherstellen, dass keine Ihrer Anwendungen das MK-Protokoll verwendet.

Sperrung der Zone des lokalen Computers

Beim Öffnen einer Webseite in Internet Explorer wird das Seitenverhalten entsprechend der Internet Explorer-Sicherheitszone, zu der die Seite gehört, eingeschränkt. Es sind mehrere mögliche Sicherheitszonen vorhanden, wobei zu jeder Zone andere Einschränkungen gehören. Die Sicherheitszone für eine Seite wird durch den Seitenstandort bestimmt. Seiten, die sich z. B. im Internet befinden, werden normalerweise der Internetsicherheitszone zugewiesen, die strengen Einschränkungen unterliegt. Möglicherweise sind für diese Seiten bestimmte Vorgänge (z. B. der Zugriff auf die lokale Festplatte) nicht zulässig. Seiten, die sich im Netzwerk der Organisation befinden, werden normalerweise der Intranetsicherheitszone zugewiesen, die weniger strengen Einschränkungen unterliegt. Die genauen Einschränkungen, die mit den meisten dieser Zonen verbunden sind, können vom Benutzer in Internet Explorer im Menü Extras über die Option Internetoptionen festgelegt werden.

Fehlerfreie Anwendungen sollten nicht auf domänenübergreifendem Objektzugriff beruhen. Andernfalls können solche Anwendungen bei Aktivierung dieser Richtlinieneinstellung nicht ausgeführt werden.

Sicherheitseinschränkungen für Skriptfenster

Internet Explorer ermöglicht Skripts, verschiedene Arten von Fenstern per Programm zu öffnen, in der Größe anzupassen und neu zu positionieren. Die Einstellung Sicherheitseinschränkungen für Skriptfenster schränkt Popupfenster ein und verhindert die Anzeige von Fenstern, deren Titel- und Statusleisten für den Benutzer nicht sichtbar sind oder in denen die Titel- und Statusleisten von anderen Fenstern ausgeblendet sind. Wenn Sie diese Richtlinieneinstellung aktivieren, wendet Windows diese Einschränkungen auf Windows Explorer- und Internet Explorer-Prozesse an. Wenn Sie diese Richtlinieneinstellung nicht konfigurieren bzw. deaktivieren, können Skripts weiterhin Popupfenster sowie Fenster, die andere Fenster verbergen, erstellen.

Es gibt viele Tools von Drittanbietern, mit denen Popupfenster in Internet Explorer gesteuert werden können. Die Einschränkung von Popupfenstern durch diese Tools funktioniert auf ähnliche Wiese wie diese Einstellung. Popupblocker von Drittanbietern beeinflussen diese Einstellung normalerweise nicht. Umgekehrt hat die Einstellung auch keine Auswirkungen auf solche Blocker.

Sicherheitsanfälligkeit

Websites von zweifelhaftem Ruf passen die Größe von Fenstern an, um andere Fenster zu verbergen oder um Benutzer zur Interaktion mit einem Fenster zu veranlassen, das schädlichen Code enthält.

Gegenmaßnahme

Setzen Sie die Einstellung Sicherheitseinschränkungen für Skriptfenster für Internet Explorer-Prozesse auf Aktiviert.

Mögliche Auswirkung

Bei Aktivierung dieser Einstellung werden Webanwendungen, die das Ändern der Größe oder Position von Fenstern erfordern, u. U. nicht ordnungsgemäß ausgeführt.

Schutz vor Zonenanhebung

Internet Explorer versieht jede Webseite, die geöffnet wird, mit Einschränkungen. Diese Einschränkungen hängen vom Standort der Webseite ab (z. B. Internetzone, Intranetzone oder Zone des lokalen Computers). Webseiten auf einem lokalen Computer haben die wenigsten Sicherheitsbeschränkungen und befinden sich in der Zone des lokalen Computers. Dadurch wird die Sicherheitszone des lokalen Computers zum vorrangigen Ziel für Angreifer.

Die Ausführung von Anwendungen oder die Verwendung von Seiten mit aktivem Inhalt ist für Benutzer u. U. nicht möglich, wenn zonenspezifische Einschränkungen festgelegt werden. Sie müssen die Anwendungen in jeder Zone gründlich testen, um deren ordnungsgemäße Funktionsweise bei Aktivierung der Protokollsperrung sicherzustellen.

Internetinformationsdienste

Microsoft Internet Information Services (IIS) 6.0, der integrierte Webserver von Windows Server 2003, erleichtert die Freigabe von Dokumenten und Daten in einem unternehmenseigenen Intranet und im Internet. Die IIS-Einstellung kann im Gruppenrichtlinienobjekt-Editor in folgendem Verzeichnis konfiguriert werden:

Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\
Internetinformationsdienste

IIS-Installation verhindern

IIS 6.0 wird unter Windows Server 2003 nicht standardmäßig installiert. Sie können die Einstellung IIS-Installation verhindern aktivieren, um die Installation von IIS auf Computern in Ihrer Umgebung zu verhindern.

Für die Einstellung IIS-Installation verhindern sind folgende Werte möglich:

Aktiviert
Deaktiviert
Nicht konfiguriert

Sicherheitsanfälligkeit

Frühere Versionen von IIS und Anwendungen, die IIS für den Zugriff auf das Netzwerk benötigten, hatten einige schwerwiegende Sicherheitsanfälligkeiten, die von Remotebenutzern ausgenutzt werden konnten. Zwar ist IIS 6.0 wesentlich sicherer als seine Vorläufer, doch gibt es möglicherweise neue Sicherheitsanfälligkeiten, die noch entdeckt und veröffentlicht werden müssen. Unternehmen sollten daher eventuell sicherstellen, dass IIS nur auf den als Webserver vorgesehenen Computern installiert werden kann.

Gegenmaßnahme

Setzen Sie die Einstellung IIS-Installation verhindern auf Aktiviert.

Mögliche Auswirkung

Sie können keine Windows-Komponenten oder Anwendungen installieren, die IIS benötigen. Aufgrund dieser Gruppenrichtlinieneinstellung wird Benutzern, die Windows-Komponenten oder Anwendungen installieren, die IIS erfordern, eventuell keine Fehlermeldung oder Warnung angezeigt, die besagt, dass IIS nicht installiert werden kann. Diese Richtlinieneinstellung hat keine Auswirkungen auf einem Computer, auf dem IIS bereits installiert ist.

Terminaldienste

Die Windows Server 2003-Komponente „Terminaldienste“ beruht auf der soliden Grundlage des Anwendungsservermodus der Windows 2000-Terminaldienste und umfasst nun die neuen Client- und Protokollfunktionen von Windows XP. Mit den Terminaldiensten können Sie Windows-basierte Anwendungen bzw. den Windows-Desktop selbst auf praktisch jeden Computer übertragen, sogar auf Computer, auf denen Windows nicht ausgeführt werden kann.

Durch die Terminaldienste von Windows Server 2003 können die Softwarebereitstellungsfunktionen eines Unternehmens für verschiedene Szenarien erweitert werden, da sie eine sehr flexible Anwendungs- und Verwaltungsinfrastruktur ermöglichen. Wenn ein Benutzer eine Anwendung unter Terminalserver ausführt, erfolgt die Ausführung auf dem Server, und nur die für Tastatur, Maus und Bildschirm benötigten Daten werden über das Netzwerk übertragen. Jedem Benutzer wird nur die eigene individuelle Sitzung angezeigt, die vom Betriebssystem des Servers transparent verwaltet wird. Darüber hinaus wird jede Sitzung unabhängig von den anderen Clientsitzungen ausgeführt.

Die Gruppenrichtlinieneinstellungen für Terminalserver können im Gruppenrichtlinienobjekt-Editor in folgendem Verzeichnis Eintrag konfiguriert werden:

Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\
Terminaldienste

Abmelden von Administratoren in Konsolensitzung verweigern

Diese Richtlinieneinstellung gibt an, ob ein Administrator, der eine Verbindung mit der Konsole eines Servers herstellen möchte, einen derzeit bei der Konsole angemeldeten Administrator abmelden kann. Die Konsolensitzung wird auch als Sitzung 0 bezeichnet. Der Zugriff auf die Konsole kann erfolgen, wenn Sie den Parameter „/console“ im Dialogfeld „Remotedesktopverbindung“ des Feldes für den Computernamen oder über die Befehlszeile eingeben.

Für die Einstellung Abmelden von Administratoren in Konsolensitzung verweigern sind folgende Werte möglich:

Aktiviert
Deaktiviert
Nicht konfiguriert

Bei Aktivierung der Einstellung Abmelden von Administratoren in Konsolensitzung verweigern kann ein Administrator, der eine Verbindung zum Computer hergestellt hat, von keinem Benutzer abgemeldet werden. Bei Deaktivierung dieser Richtlinieneinstellung kann ein Administrator von einem anderen Administrator abgemeldet werden. Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, kann ein Administrator von einem anderen Administrator abgemeldet werden. Die Berechtigung kann jedoch auf der Richtlinienebene für den lokalen Computer gesperrt werden.

Diese Richtlinie ist hilfreich, wenn der derzeit verbundene Administrator nicht von einem anderen Administrator abgemeldet werden möchte. Wenn ein Administrator bei hergestellter Verbindung abgemeldet wird, gehen alle nicht gespeicherten Daten verloren.

Sicherheitsanfälligkeit

Ein Angreifer, der eine Terminalserversitzung einrichten konnte und Administratorrechte erworben hat, kann das Zurückgewinnen der Kontrolle über den Computer erschweren, indem er die Abmeldung eines Administrators erzwingt, der sich über die Konsolensitzung 0 beim Server anzumelden versucht. Der Wert dieser Gegenmaßnahme wird dadurch verringert, dass ein Angreifer, der genügend Rechte zum Abmelden anderer Benutzer erlangt hat, praktisch bereits die vollständige Kontrolle über den Computer besitzt.

Gegenmaßnahme

Setzen Sie die Einstellung Abmelden von Administratoren in Konsolensitzung verweigern auf Aktiviert.

Mögliche Auswirkung

Ein Administrator ist nicht in der Lage, andere Administratoren zwangsweise aus der Konsolensitzung 0 abzumelden.

Berechtigungsanpassung für lokale Administratoren nicht zulassen

Mit dieser Richtlinieneinstellung können Sie die Rechte von Administratoren in Bezug auf die Anpassung der Sicherheitsberechtigungen im Terminaldienste-Konfigurationsprogramm festlegen. Bei Aktivierung dieser Richtlinieneinstellung können Administratoren keine Änderungen an den Sicherheitsbeschreibungen für Benutzergruppen auf der Registerkarte Berechtigungen im Terminaldienste-Konfigurationsprogramm vornehmen. In der Standardkonfiguration können Administratoren solche Änderungen vornehmen.

Bei Aktivierung der Einstellung Berechtigungsanpassung für lokale Administratoren nicht zulassen kann die Registerkarte Berechtigungen im Terminaldienste-Konfigurationsprogramm nicht zur Anpassung der Sicherheitsbeschreibungen pro Verbindung oder zur Änderung der Standardsicherheitsbeschreibungen für eine vorhandene Gruppe verwendet werden. Alle Sicherheitsbeschreibungen sind dann schreibgeschützt. Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, erhalten Serveradministratoren über die Registerkarte Berechtigungen im Terminaldienste-Konfigurationsprogramm die vollen Lese-/Schreibzugriff auf die Sicherheitsbeschreibungen für Benutzer.

Für die Einstellung Berechtigungsanpassung für lokale Administratoren nicht zulassen sind folgende Werte möglich:

Aktiviert
Deaktiviert
Nicht konfiguriert

Hinweis: Die beste Methode zur Verwaltung des Benutzerzugriffs besteht darin, Benutzer der Gruppe „Remotedesktopbenutzer“ hinzuzufügen.

Sicherheitsanfälligkeit

Ein Angreifer, der auf einem Server, auf dem die Terminaldienste ausgeführt werden, administrative Berechtigungen erlangt hat, kann Berechtigungen mit dem Terminaldienste-Konfigurationsprogramm ändern. Auf diese Weise kann er andere Benutzer an der Herstellung einer Serververbindung hindern und einen Denial-of-Service herbeiführen.

Der Wert dieser Gegenmaßnahme wird dadurch verringert, dass ein Angreifer, der Administratorrechte erlangt hat, bereits vollständige Kontrolle über den Computer übernommen hat.

Gegenmaßnahme

Setzen Sie die Einstellung Berechtigungsanpassung für lokale Administratoren nicht zulassen auf Aktiviert.

Mögliche Auswirkung

Die Registerkarte Berechtigungen im Terminaldienste-Konfigurationsprogramm kann nicht zur Anpassung von Sicherheitsbeschreibungen pro Verbindung oder zur Änderung der Standardsicherheitsbeschreibungen für eine vorhandene Gruppe verwendet werden.

Regeln für Remoteüberwachung von Terminaldienste-Benutzersitzungen festlegen

Diese Richtlinieneinstellung gibt die zulässige Remoteüberwachungsstufe für eine Terminalserversitzung an. Die Remoteüberwachung kann mit oder ohne Erlaubnis des Benutzers der Sitzung eingerichtet werden. Mit dieser Einstellung können Sie eine von zwei Remoteüberwachungsstufen auswählen: Bei Sitzung anzeigen kann der Remoteüberwachungsbenutzer eine Sitzung beobachten. Bei Vollzugriff kann der Remoteüberwachungsbenutzer in die Sitzung eingreifen.

Wenn Sie die Einstellung Regeln für Remoteüberwachung von Terminaldienste-Benutzersitzungen festlegen aktivieren, können Administratoren entsprechend den festgelegten Regeln von einem Remotestandort aus in die Terminaldienstesitzung eines Benutzers eingreifen. Wählen Sie in der Liste „Optionen“ die gewünschte Überwachungs- und Berechtigungsstufe aus, um diese Regeln festzulegen. Wählen Sie Keine Remoteüberwachung zulassen, um die Remoteüberwachung zu deaktivieren. Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, kann der Serveradministrator die Remoteüberwachungsregeln mit dem Terminaldienste-Konfigurationsprogramm festlegen. Standardmäßig erhalten die Remoteüberwachungsbenutzer mit Erlaubnis des Sitzungsbenutzers Vollzugriff.

Für die Einstellung Regeln für Remoteüberwachung von Terminaldienste-Benutzersitzungen festlegen sind folgende Werte möglich:

Aktiviert mit folgenden Optionen:
- Keine Remoteüberwachung zulassen
- Vollzugriff mit Erlaubnis des Benutzers
- Vollzugriff ohne Erlaubnis des Benutzers
- Sitzung mit Erlaubnis des Benutzers anzeigen
- Sitzung ohne Erlaubnis des Benutzers anzeigen
Deaktiviert
Nicht konfiguriert

Hinweis: Diese Einstellung ist sowohl im Knoten „Computerkonfiguration“ als auch im Knoten „Benutzerkonfiguration“ vorhanden. Wenn diese Einstellung an beiden Stellen konfiguriert ist, hat die Einstellung unter „Computerkonfiguration“ Vorrang vor derselben Einstellung unter „Benutzerkonfiguration“.

Sicherheitsanfälligkeit

Ein Angreifer, der Administratorrechte auf dem Server erlangt, kann mithilfe der Remoteüberwachungsfunktion der Terminaldienste die Aktionen anderer Benutzer beobachten. In einer solchen Situation können vertrauliche Daten offen gelegt werden. Der Wert dieser Gegenmaßnahme wird dadurch verringert, dass ein Angreifer, der Administratorrechte erlangt, bereits vollständige Kontrolle über den Computer übernommen hat.

Gegenmaßnahme

Setzen Sie die Einstellung Regeln für Remoteüberwachung von Terminaldienste-Benutzersitzungen festlegen auf Aktiviert, und wählen Sie die Option Keine Remoteüberwachung zulassen.

Mögliche Auswirkung

Administratoren können die Remoteüberwachungsfunktion nicht zur Unterstützung anderer Terminaldienstebenutzer verwenden.

Client/Server-Datenumleitung

Terminaldienste ermöglichen, dass Daten und Ressourcen vom Client und Server umgeleitet werden können. Die von einer Serveranwendung gedruckten Daten können z. B. an den Client umgeleitet werden, oder die Zwischenablage des Clients kann in Serveranwendungen verwendet werden. Mit den Einstellungen im Gruppenrichtlinienabschnitt „Client/Server-Datenumleitung“ können Sie festlegen, welche Umleitungstypen zulässig sind.

Die Einstellungen für Terminalserver-Datenumleitung können im Gruppenrichtlinienobjekt-Editor in folgendem Verzeichnis konfiguriert werden:

Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\
Terminaldienste\Client\Server-Datenumleitung

Zeitzonenumleitung zulassen

Durch diese Richtlinieneinstellung wird festgelegt, ob der Clientcomputer seine Zeitzoneneinstellungen an die Terminalserversitzung umleiten kann. In der Standardeinstellung ist die Zeitzone der Sitzung mit der Zeitzone des Servers identisch, und der Clientcomputer kann seine Zeitzoneninformationen nicht umleiten.

Bei Aktivierung der Einstellung Zeitzonenumleitung zulassen können Clients, die zur Zeitzonenumleitung in der Lage sind, ihre Zeitzoneninformationen an den Server senden. Die aktuelle Sitzungszeit wird dann auf Grundlage der Serverbasiszeit berechnet. Die aktuelle Sitzungszeit ist die Serverbasiszeit plus Clientzeitzone. Derzeit sind Remotedesktopverbindung und Windows CE 5.1 die einzigen Clients, die die Zeitzonenumleitung durchführen können. Sitzung 0, die Konsolensitzung, hat stets die Zeitzone und Einstellungen des Servers. Stellen Sie eine Verbindung mit der Sitzung 0 her, um die Uhrzeit und Zeitzone des Computers zu ändern.

Bei Deaktivierung der Einstellung Zeitzonenumleitung zulassen findet keine Zeitzonenumleitung statt. Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, wird auf Gruppenrichtlinienebene keine Zeitzonenumleitung festgelegt, und die Zeitzonenumleitung ist in der Standardkonfiguration ausgeschaltet. Wenn ein Administrator diese Richtlinieneinstellung ändert, wird das durch die neue Einstellung festgelegte Verhalten nur bei neuen Verbindungen angezeigt. Sitzungen, die schon vor der Änderung begonnen wurden, müssen beendet werden und eine neue Verbindung herstellen, damit die neue Einstellung wirksam wird. Microsoft empfiehlt, dass sich alle Benutzer nach dem Ändern dieser Richtlinieneinstellung vom Server abmelden.

Für die Einstellung Zeitzonenumleitung zulassen sind folgende Werte möglich:

Aktiviert
Deaktiviert
Nicht konfiguriert

Aktiviert
Deaktiviert
Nicht konfiguriert

Sicherheitsanfälligkeit

Daten können ohne direktes Eingreifen des Benutzers von der Terminalserversitzung des Benutzers zum lokalen Computer des Benutzers umgeleitet werden.

Gegenmaßnahme

Setzen Sie diese Einstellung auf Aktiviert.

Mögliche Auswirkung

Während der Terminalserversitzung wird der Standarddrucker eines Clientcomputers nicht als Standarddrucker verwendet.

Verschlüsselung und Sicherheit

Die Einstellungen für Verschlüsselung und Sicherheit von Terminalserver können im Gruppenrichtlinienobjekt-Editor in folgendem Verzeichnis konfiguriert werden:

Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\
Terminaldienste\Verschlüsselung und Sicherheit

Verschlüsselungsstufe der Clientverbindung festlegen

Durch diese Richtlinieneinstellung wird festgelegt, ob für alle zwischen dem Client und dem Remotecomputer während einer Terminalserversitzung gesendeten Daten eine Verschlüsselungsstufe erzwungen wird.

Wenn Sie die Einstellung Verschlüsselungsstufe der Clientverbindung festlegen aktivieren, können Sie die Verschlüsselungsstufe für alle Verbindungen zum Server festlegen. In der Standardeinstellung ist die Verschlüsselung auf „Höchste Stufe“ eingestellt. Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, wird über die Gruppenrichtlinie keine Verschlüsselungsstufe erzwungen. Administratoren können die Verschlüsselungsstufe auf dem Server jedoch mit dem Terminaldienste-Konfigurationsprogramm festlegen.

Für die Einstellung Verschlüsselungsstufe der Clientverbindung festlegen sind folgende Werte möglich:

Aktiviert mit folgenden Verschlüsselungsoptionen:
- Clientkompatibel. Mit diesem Wert werden die zwischen Client und Server gesendeten Daten mit der höchsten vom Client unterstützten Schlüsselstufe verschlüsselt. Verwenden Sie diese Stufe, wenn der Remotecomputer in einer Umgebung ausgeführt wird, die unterschiedliche bzw. ältere Clients enthält.
- Höchste Stufe. Mit diesem Wert werden die zwischen Client und Server gesendeten Daten mit einer starken 128-Bit-Verschlüsselung verschlüsselt. Verwenden Sie diese Stufe, wenn der Remotecomputer in einer Umgebung ausgeführt wird, die ausschließlich 128-Bit-Clients enthält, z. B. Clients mit Remotedesktopverbindung. Mit Clients, die diese Verschlüsselungsstufe nicht unterstützen, wird bei dieser Einstellung keine Verbindung hergestellt.
- Niedrige Stufe. Mit diesem Wert werden die vom Client an den Server gesendeten Daten mit einer 56-Bit-Verschlüsselung verschlüsselt. Bei der Einstellung „Niedrige Stufe“ werden die vom Server an den Client gesendeten Daten nicht verschlüsselt.
Deaktiviert
Nicht konfiguriert

Wichtig: Wenn die FIPS-Konformität bereits durch die Gruppenrichtlinie Systemkryptografie: FIPS-konformen Algorithmus für Verschlüsselung, Hashingund Signatur verwenden aktiviert wurde, können Sie die Verschlüsselungsstufe weder mit dieser Richtlinieneinstellung noch mit dem Terminaldienste-Konfigurationsprogramm ändern.

Sicherheitsanfälligkeit

Wenn Terminalserver-Clientverbindungen mit einer niedrigen Verschlüsselungsstufe zugelassen werden, ist die Wahrscheinlichkeit größer, dass ein Angreifer den abgefangenen Terminaldienste-Netzwerkverkehr entschlüsseln kann.

Gegenmaßnahme

Legen Sie für die Einstellung Verschlüsselungsstufe der Clientverbindung festlegen den Wert Höchste Stufe fest.

Mögliche Auswirkung

Clients, die keine 128-Bit-Verschlüsselung unterstützen, können keine Terminalserversitzungen einrichten.

Clients bei der Verbindungsherstellung immer zur Kennworteingabe auffordern

Durch diese Richtlinieneinstellung wird festgelegt, ob die Terminaldienste den Client immer zur Eingabe eines Kennworts auffordern, wenn eine Verbindung hergestellt werden soll. Mithilfe dieser Richtlinieneinstellung können sie für Benutzer, die sich bei Terminaldiensten anmelden, eine Aufforderung zur Kennworteingabe erzwingen, auch wenn die Benutzer das Kennwort bereits im Remotedesktopverbindungsclient eingegeben haben. Standardmäßig lassen die Terminaldienste die automatische Benutzeranmeldung zu, wenn das Benutzerkennwort im Remotedesktopverbindungsclient eingegeben wurde.

Bei Aktivierung der Einstellung Clients bei der Verbindungsherstellung immer zur Kennworteingabe auffordern können sich Benutzer nicht automatisch bei den Terminaldiensten anmelden, auch wenn sie das Kennwort im Remotedesktopverbindungsclient eingegeben haben. Sie werden aufgefordert, ein Kennwort einzugeben, um sich anzumelden. Bei Deaktivierung dieser Richtlinieneinstellung können sich Benutzer immer automatisch bei den Terminaldiensten anmelden, wenn sie das Kennwort im Remotedesktopverbindungsclient eingegeben haben. Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, wird auf Gruppenrichtlinienebene keine automatische Anmeldung definiert. Administratoren können die Aufforderung zur Eingabe eines Kennworts jedoch weiterhin mit dem Terminaldienste-Konfigurationsprogramm erzwingen.

Für die Einstellung Clients bei der Verbindungsherstellung immer zur Kennworteingabe auffordern sind folgende Werte möglich:

Aktiviert
Deaktiviert
Nicht konfiguriert

Sicherheitsanfälligkeit

Die Benutzer können sowohl ihren Benutzernamen als auch ihr Kennwort speichern, wenn sie eine neue Verknüpfung für eine Remotedesktopverbindung erstellen. Der Server, auf dem die Terminaldienste ausgeführt werden, gestattet u. U. den Benutzern, die diese Funktion verwendet haben, sich ohne Eingabe des Kennworts anzumelden. In diesem Fall kann ein Angreifer, der physischen Zugriff auf den Computer des Benutzers erlangt hat, über die Verknüpfung für die Remotedesktopverbindung eine Verbindung mit einem Terminalserver herstellen, obwohl er das Kennwort des Benutzers nicht kennt.

Gegenmaßnahme

Setzen Sie die Einstellung Clients bei der Verbindungsherstellung immer zur Kennworteingabe auffordern auf Aktiviert.

Mögliche Auswirkung

Benutzer müssen beim Einrichten von neuen Terminalserversitzungen immer ihr Kennwort eingeben.

RPC-Sicherheitsrichtlinie

Die Einstellung für die RPC-Sicherheit von Terminalserver kann im Gruppenrichtlinienobjekt-Editor in folgendem Verzeichnis konfiguriert werden:

Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Terminaldienste\Verschlüsselung und Sicherheit\RPC-Sicherheitsrichtlinie

Sicherer Server (Sicherheit erforderlich)

Durch diese Richtlinieneinstellung wird festgelegt, ob für einen Terminalserver eine sichere RPC-Kommunikation (Remote Procedure Call, Remoteprozeduraufruf) mit allen Clients erforderlich ist oder ob eine ungesicherte Kommunikation möglich ist. Mit dieser Einstellung können Sie die Sicherheit der RPC-Kommunikation mit Clients erhöhen, da nur authentifizierte und verschlüsselte Anforderungen zugelassen werden.

Bei Aktivierung der Einstellung Sicherer Server (Sicherheit erforderlich) werden vom Terminalserver nur Anforderungen von RPC-Clients akzeptiert, die sichere Anforderungen unterstützen. Eine ungesicherte Kommunikation mit nicht vertrauenswürdigen Clients wird nicht zugelassen. Bei Deaktivierung dieser Richtlinieneinstellung werden vom Terminalserver alle Anforderungen unabhängig von der Sicherheitsstufe für den gesamten RPC-Datenverkehr akzeptiert. Allerdings wird bei RPC-Clients, die nicht auf die Anforderung antworten, eine ungesicherte Kommunikation zugelassen. Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, ist die ungesicherte Kommunikation zulässig.

Für die Einstellung Sicherer Server (Sicherheit erforderlich) sind folgende Werte möglich:

Aktiviert
Deaktiviert
Nicht konfiguriert

Hinweis: Verwenden Sie die RPC-Schnittstelle für die Verwaltung und Konfiguration der Terminaldienste.

Sicherheitsanfälligkeit

Durch ungesicherte RPC-Kommunikation wird der Server Man-in-the-Middle-Angriffen und Datenoffenlegungsangriffen ausgesetzt. Ein Man-in-the-Middle-Angriff findet statt, wenn ein Eindringling Pakete zwischen einem Client und Server abfängt und sie vor dem Austausch ändert. In der Regel ändert der Angreifer die Informationen in den Paketen, damit entweder der Client oder der Server empfindliche Daten offenlegt.

Gegenmaßnahme

Setzen Sie die Einstellung Sicherer Server (Sicherheit erforderlich) auf Aktiviert.

Mögliche Auswirkung

Clients, die sicheren RPC nicht unterstützen, können den Server nicht remote verwalten.

Sitzungen

Zusätzliche Einstellungen für RPC-Sicherheit von Terminalserver können im Gruppenrichtlinienobjekt-Editor in folgendem Verzeichnis konfiguriert werden:

Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Terminaldienste\Verschlüsselung und Sicherheit\Sitzungen

Zeitlimit für getrennte Sitzungen festlegen

Durch diese Richtlinieneinstellung wird ein Zeitlimit für getrennte Terminalserversitzungen festgelegt. Mit dieser Einstellung wird angegeben, wie lange eine getrennte Sitzung auf dem Server maximal aktiv bleibt. Standardmäßig können die bei Terminaldienste angemeldeten Benutzer die Verbindung mit einer Remotesitzung ohne Abmeldung und Beenden der Sitzung trennen. Wenn die Verbindung einer Sitzung getrennt ist, können weiterhin Programme ausgeführt werden, obwohl der Benutzer nicht mehr aktiv verbunden ist. Standardmäßig bleiben diese getrennten Sitzungen für eine unbegrenzte Zeit auf dem Server bestehen.

Sie können die Einstellung Zeitlimit für getrennte Sitzungen festlegen aktivieren, um nach Ablauf eines bestimmten Zeitraums getrennte Sitzungen auf dem Server zu löschen. Wählen Sie Nie, um das Standardverhalten zu erzwingen und getrennte Sitzungen für eine unbegrenzte Zeit bestehen zu lassen. Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, wird auf Gruppenrichtlinienebene kein Zeitlimit für getrennte Sitzungen definiert.

Für die Einstellung Zeitlimit für getrennte Sitzungen festlegen sind folgende Werte möglich:

Aktiviert mit folgenden Optionen für die Angabe des Zeitraums:
- Nie
- 1 Minute
- 5 Minuten
- 10 Minuten
- 15 Minuten
- 30 Minuten
- 1 Stunde
- 2 Stunden
- 3 Stunden
- 1 Tag
- 2 Tage
Deaktiviert
Nicht konfiguriert

Hinweis: Diese Richtlinieneinstellung gilt nicht für Konsolensitzungen, z. B. Remotedesktopsitzungen mit Computern, auf denen Windows XP Professional ausgeführt wird. Diese Richtlinieneinstellung ist sowohl im Knoten „Computerkonfiguration“ als auch im Knoten „Benutzerkonfiguration“ vorhanden. Wenn diese Einstellung an beiden Stellen konfiguriert ist, hat die Einstellung unter „Computerkonfiguration“ Vorrang vor derselben Einstellung unter „Benutzerkonfiguration“.

Sicherheitsanfälligkeit

Jede Terminalserversitzung beansprucht die Systemressourcen. Wenn über einen längeren Zeitraum getrennte Sitzungen nicht zwangsweise beendet werden, können die Ressourcen des Servers knapp werden.

Gegenmaßnahme

Setzen Sie die Einstellung Zeitlimit für getrennte Sitzungen festlegen auf Aktiviert, und wählen Sie im Listenfeld Getrennte Sitzung beenden die Option 1 Tag.

Mögliche Auswirkung

Die Sitzungen von Benutzern, die es vergessen, sich von Terminalserversitzungen abzumelden, werden nach 24 Stunden Inaktivität zwangsweise beendet.

Erneute Verbindung nur vom ursprünglichen Client zulassen

Mit dieser Richtlinieneinstellung können Sie verhindern, dass Benutzer der Terminaldienste über einen anderen Computer als den ursprünglichen Clientcomputer, auf dem die Sitzung eingerichtet wurde, neue Verbindungen zu getrennten Sitzungen herstellen. Standardmäßig können die Benutzer mithilfe der Terminaldienste auf beliebigen Clientcomputern eine neue Verbindung mit getrennten Sitzungen herstellen.

Bei Aktivierung der Einstellung Erneute Verbindung nur vom ursprünglichen Client zulassen können Benutzer nur über den ursprünglichen Clientcomputer eine neue Verbindung zu getrennten Sitzungen herstellen. Wenn ein Benutzer versucht, auf einem anderen Computer eine Verbindung mit der getrennten Sitzung herzustellen, wird stattdessen eine neue Sitzung erstellt. Bei Deaktivierung dieser Einstellung können Benutzer über einen beliebigen Computer eine Verbindung zu einer getrennten Sitzung herstellen. Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, werden auf Gruppenrichtlinienebene keine Sitzungsregeln für erneue Verbindungen definiert.

Für die Einstellung Erneute Verbindung nur vom ursprünglichen Client zulassen sind folgende Werte möglich:

Aktiviert
Deaktiviert
Nicht konfiguriert

Wichtig: Diese Einstellung wird nur bei Citrix ICA-Clients unterstützt, die bei Verbindungsherstellung eine Seriennummer angeben. Die Einstellung wird ignoriert, wenn der Benutzer die Verbindung über einen Windows-Client herstellt. Diese Einstellung ist sowohl im Knoten „Computerkonfiguration“ als auch im Knoten „Benutzerkonfiguration“ vorhanden. Wenn diese Einstellung an beiden Stellen konfiguriert ist, hat die Einstellung unter „Computerkonfiguration“ Vorrang vor derselben Einstellung unter „Benutzerkonfiguration“.

Sicherheitsanfälligkeit

Standardmäßig können Benutzer die Verbindung zu getrennten Terminalserversitzungen über einen beliebigen Computer wiederherstellen. Bei Aktivierung dieser Einstellung wird sichergestellt, dass Benutzer die Verbindung nur über den Computer wiederherstellen können, mit dem die Verbindung ursprünglich eingerichtet wurde. Der Wert dieser Gegenmaßnahme wird dadurch verringert, dass sie nur für Benutzer erzwungen wird, die über Citrix ICA-Clients eine Verbindung herstellen.

Gegenmaßnahme

Setzen Sie die Einstellung Erneute Verbindung nur vom ursprünglichen Client zulassen auf Aktiviert.

Mögliche Auswirkung

Benutzer, die über Citrix ICA-Clients eine Verbindung herstellen, können getrennte Sitzungen nur über den Computer wiederherstellen, mit dem sie die Sitzung eingerichtet haben.

Windows Explorer

Die Windows Explorer-Einstellung kann im Gruppenrichtlinienobjekt-Editor in folgendem Verzeichnis konfiguriert werden:

Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\
Windows Explorer

Geschützten Modus für Shellprotokoll deaktivieren

Mit dieser Richtlinieneinstellung können Sie den Funktionsumfang für das Shellprotokoll festlegen. Bei voller Protokollfunktionalität können Anwendungen Ordner öffnen und Dateien starten. Durch den geschützten Modus wird die Funktionalität eingeschränkt, und Anwendungen können nur eine begrenzte Anzahl von Ordnern öffnen. Wenn dieses Protokoll im geschützten Modus ausgeführt wird, können Anwendungen keine Dateien öffnen.

Microsoft empfiehlt, dass dieses Protokoll zur Erhöhung der Sicherheit von Windows im geschützten Modus ausgeführt wird. Bei Aktivierung der Einstellung Geschützten Modus für Shellprotokoll deaktivieren ermöglicht das Protokoll, dass beliebige Anwendungen alle Ordner oder Dateien öffnen können. Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, wird das Protokoll im geschützten Modus ausgeführt, und Anwendungen können nur eine begrenzte Anzahl von Ordnern öffnen.

Für die Einstellung Geschützten Modus für Shellprotokoll deaktivieren sind folgende Werte möglich:

Aktiviert
Deaktiviert
Nicht konfiguriert

Sicherheitsanfälligkeit

Bei voller Shellprotokollfunktionalität können Anwendungen Dateien und Ordner öffnen. Dadurch kann versehentlich schädliche Software aufgerufen werden, und Informationen können unerlaubt offen gelegt werden. Möglicherweise wird auch ein Denial-of-Service ausgelöst.

Gegenmaßnahme

Setzen Sie die Einstellung Geschützten Modus für Shellprotokoll deaktivieren auf Aktiviert.

Mögliche Auswirkung

Bei Aktivierung der Einstellung Geschützten Modus für Shellprotokoll deaktivieren können Webseiten, für die die Verwendung des Shellprotokolls erforderlich ist, nicht ordnungsgemäß ausgeführt werden.

Windows Messenger

Mit Windows Messenger können Sofortnachrichten an andere Benutzer in einem Computernetzwerk gesendet werden. Den Nachrichten können Dateien und andere Anlagen hinzugefügt werden.

Die empfohlene Windows Messenger-Einstellung kann im Gruppenrichtlinienobjekt-Editor in folgendem Verzeichnis konfiguriert werden:

Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\
Windows Messenger

Ausführung von Windows Messenger nicht zulassen

Mit der Einstellung Ausführung von Windows Messenger nicht zulassen kann Windows Messenger deaktiviert werden. Sie können diese Einstellung auf Aktiviert setzen, um die Verwendung von Windows Messenger zu verhindern.

Hinweis: Wenn Sie diese Einstellung auf „Aktiviert“ setzen, ist die Verwendung von Windows Messenger durch Remoteunterstützung und die Verwendung von MSN® Messenger durch Benutzer nicht möglich.

Windows Update

Windows Update wird für das Herunterladen von Sicherheitsfixes, wichtigen Updates, aktuellen Hilfedateien, Treibern und Internetprodukten verwendet. Die Windows Update-Einstellungen können im Gruppenrichtlinienobjekt-Editor in folgendem Verzeichnis konfiguriert werden:

Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\

Automatische Updates konfigurieren

Durch diese Richtlinieneinstellung wird festgelegt, ob Computer in Ihrer Umgebung Sicherheitsupdates und andere wichtige Downloads über den automatischen Updatedienst von Windows empfangen sollen.

Bei Aktivierung der Einstellung Automatische Updates konfigurieren kann von Windows erkannt werden, wann die Computer online sind. Daraufhin wird über die bestehende Internetverbindung die Windows Update-Website nach Updates für die Computer durchsucht. Bei Deaktivierung dieser Richtlinieneinstellung müssen die Updates manuell von der Windows Update-Website (unter https://windowsupdate.microsoft.com) heruntergeladen und installiert werden. Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, wird auf Gruppenrichtlinienebene keine Verwendung von automatischen Updates definiert. Administratoren können Automatische Updates allerdings weiterhin über die Systemsteuerung konfigurieren.

Für die Einstellung Automatische Updates konfigurieren sind folgende Werte möglich:

Aktiviert mit den folgenden Optionen im Listenfeld Automatische Updates konfigurieren:
- 2.Vor dem Download von Updates benachrichtigen und vor deren Installation erneut benachrichtigen.
  
  Wenn Windows Updates findet, die für Computer in Ihrer Umgebung gültig sind, wird im Statusbereich ein Symbol mit einer Meldung angezeigt, in der auf zum Herunterladen bereitstehende Updates hingewiesen wird. Klicken Sie auf das Symbol oder die Meldung, um bestimmte Updates auszuwählen. Die ausgewählten Updates werden von Windows daraufhin im Hintergrund heruntergeladen. Sobald das Herunterladen abgeschlossen ist, werden im Statusbereich wiederum das Symbol und eine Benachrichtigung darüber angezeigt, dass neue Updates installiert werden können. Klicken Sie auf das Symbol oder die Meldung, um die zu installierenden Updates auszuwählen.
- 3.Updates automatisch downloaden und über installierbare Updates benachrichtigen.
  
  Hierbei handelt es sich um die Standardkonfiguration. Windows sucht nach gültigen Updates für die Computer in der Umgebung und lädt die Updates im Hintergrund herunter. Der Benutzer wird während dieses Vorgangs nicht benachrichtigt oder gestört. Sobald das Herunterladen abgeschlossen ist, werden im Statusbereich das Symbol und eine Benachrichtigung darüber angezeigt, dass die Updates installiert werden können. Klicken Sie auf das Symbol oder die Meldung, um die zu installierenden Updates auszuwählen.
- 4.Updates automatisch downloaden und laut angegebenem Zeitplan installieren.
  
  Legen Sie den Zeitplan mit den Optionen in der Gruppenrichtlinieneinstellung fest. Wenn kein Zeitplan angegeben ist, werden alle Installationen laut Standardzeitplan täglich um 3 Uhr morgens ausgeführt. Windows startet die betreffenden Computer automatisch neu, wenn eines der Updates zum Abschließen der Installation einen Neustart erfordert. Wenn ein Benutzer zu der Zeit an einem Computer angemeldet ist, zu der Windows einen Neustart erfordert, wird der Benutzer darauf hingewiesen. Der Benutzer kann den Neustart dann verzögern.
Deaktiviert
Nicht konfiguriert

Klicken Sie auf Aktiviert, um diese Einstellung zu aktivieren, und wählen Sie dann eine der Optionen (2, 3 oder 4). Wenn Sie Option 4 auswählen, können Sie einen regelmäßigen Zeitplan setzen. Wenn kein Zeitplan angegeben ist, werden alle Installationen täglich um 3 Uhr morgens ausgeführt.

Sicherheitsanfälligkeit

Obwohl Windows Server 2003 und Windows XP vor der Veröffentlichung gründlich getestet wurden, ist es möglich, dass erst nach der Auslieferung der Produkte Probleme entdeckt werden. Mit der Einstellung Automatische Updates konfigurieren können Sie sicherstellen, dass auf den Computern in Ihrer Umgebung immer die neuesten wichtigen Betriebssystemupdates und Service Packs installiert sind.

Gegenmaßnahme

Setzen Sie die Einstellung Automatische Updates konfigurieren auf Aktiviert, und wählen Sie im Listenfeld Automatische Updates konfigurieren den Wert 4. Updates automatisch downloaden und laut angegebenem Zeitplan installieren.

Mögliche Auswirkung

Wichtige Betriebssystemupdates und Service Packs werden automatisch heruntergeladen und täglich um 3 Uhr morgens installiert.

Kein automatischer Neustart für geplante Installationen automatischer Updates

Diese Richtlinieneinstellung sorgt dafür, dass der Dienst „Automatische Updates“ zum Abschluss einer geplanten Installation darauf wartet, dass die Computer von den angemeldeten Benutzern neu gestartet werden.

Wenn Sie die Einstellung Kein automatischer Neustart für geplante Installationen automatischer Updates aktivieren, erfolgt im Rahmen von geplanten Installationen kein automatischer Computerneustart durch den Dienst „Automatische Updates“. Stattdessen werden die Benutzer vom Dienst „Automatische Updates“ benachrichtigt, dass die Computer zum Abschluss der Installation neu gestartet werden müssen. Automatische Updates kann bis zum Neustart der betreffenden Computer keine weiteren Updates ermitteln. Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, werden Benutzer vom Dienst „Automatische Updates“ benachrichtigt, dass der Computer zum Abschluss einer Installation in 5 Minuten automatisch neu gestartet wird.

Für die Einstellung Kein automatischer Neustart für geplante Installationen automatischer Updates sind folgende Werte möglich:

Aktiviert
Deaktiviert
Nicht konfiguriert

Hinweis: Diese Einstellung ist nur wirksam, wenn Sie „Automatische Updates“ für die Durchführung von automatischen Updateinstallationen konfiguriert haben. Wenn Sie die Einstellung Automatische Updates konfigurieren auf Deaktiviert gesetzt haben, ist diese Einstellung wirkungslos.

Sicherheitsanfälligkeit

Einige Updates erfordern, das die aktualisierten Computer zum Abschluss einer Installation neu gestartet werden. Wenn der Computer nicht automatisch neu gestartet werden kann, wird das letzte Update nicht vollständig installiert. Weitere Updates können in diesem Fall erst nach dem Neustart auf den Computer heruntergeladen werden.

Gegenmaßnahme

Setzen Sie die Einstellung Kein automatischer Neustart für geplante Installationen automatischer Updates auf Deaktiviert.

Mögliche Auswirkung

Bei Aktivierung dieser Richtlinieneinstellung werden die Betriebssysteme auf den Servern in der Umgebung automatisch neu gestartet. Bei wichtigen Servern kann dies zu einem zwar vorübergehenden, jedoch unerwarteten Denial-of-Service führen.

Geplante Installationen automatischer Updates erneut planen

Durch diese Richtlinieneinstellung wird festgelegt, wie lange Automatische Updates (nach dem Start) wartet, bevor eine geplante Installation ausgeführt wird, die zuvor übersprungen wurde. Wenn Sie diese Richtlinieneinstellung aktivieren, wird die zuvor übersprungene Installation eine bestimmte Anzahl von Minuten nach dem nächsten Start des Computers ausgeführt. Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, werden geplante und zuvor übersprungene Installationen zusammen mit der nächsten geplanten Installation ausgeführt.

Für die Einstellung Geplante Installationen automatischer Updates erneut planen sind folgende Werte möglich:

Aktiviert mit der Option einer Zeitangabe zwischen 1 und 60 Minuten.
Deaktiviert
Nicht konfiguriert

Sicherheitsanfälligkeit

Wenn für Automatische Updates nicht eine Wartezeit von einigen Minuten nach dem Neustart erzwungen wird, haben die Computer in der Umgebung möglicherweise nicht genügend Zeit, um alle auf ihnen ausgeführten Anwendungen und Dienste zu starten. Durch Angeben einer ausreichend langen Wartezeit nach dem Neustart kann verhindert werden, dass bei Installationen von Updates Konflikte mit der Startprozeduren des Computers auftreten.

Gegenmaßnahme

Setzen Sie die Einstellung Geplante Installationen automatischer Updates erneut planen auf Aktiviert, und wählen Sie den Wert „10 Minuten“.

Mögliche Auswirkung

Automatische Updates wird erst zehn Minuten nach dem Neustart des Computers ausgeführt.

Internen Pfad für den Microsoft Updatedienst angeben

Mit dieser Richtlinieneinstellung können Sie einen Intranetserver angeben, um Updates von der Microsoft Update-Website zu hosten. Anschließend kann dieses Updatedienstverzeichnis verwendet werden, um automatische Updates der Computer in Ihrem Netzwerk durchzuführen. Der Client für Automatische Updates durchsucht diesen Dienst auf gültige Updates für die Computer im Netzwerk.

Zur Verwendung der Einstellung Internen Pfad für den Microsoft Updatedienst angeben müssen Sie zwei Servernamen angeben: den Server, auf dem der Client für Automatische Updates die Updates ermittelt und herunterlädt, und den Server, auf den aktualisierte Arbeitsstationen ihre Statistiken hochladen. Sie können in beiden Fällen den gleichen Server verwenden.

Bei Aktivierung der Einstellung Internen Pfad für den Microsoft Updatedienst angeben wird der Client für Automatische Updates angewiesen, zum Suchen und Herunterladen von Updates anstelle einer Verbindung mit Windows Update eine Verbindung zum angegeben Microsoft-Updatedienstserver im Intranet herzustellen. Mit dieser Konfiguration können Endbenutzer potenzielle Probleme mit der Firewall vermeiden. Darüber hinaus bietet sie die Möglichkeit, Updates vor der Bereitstellung zu testen. Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, stellt der Client für Automatische Updates eine direkte Verbindung mit der Windows Update-Website her (sofern Automatische Updates nicht durch die Gruppenrichtlinie oder durch eine Benutzereinstellung deaktiviert wurde).

Für die Einstellung Internen Pfad für den Microsoft Updatedienst angeben sind folgende Werte möglich:

Aktiviert. Geben Sie nach Auswahl dieses Wertes im Dialogfeld Eigenschaften den Namen des internen Updateservers und den Namen des Statistikservers an.
Deaktiviert
Nicht konfiguriert

Hinweis: Wenn Sie die Einstellung Automatische Updates konfigurieren auf Deaktiviert gesetzt haben, ist diese Einstellung wirkungslos.

Sicherheitsanfälligkeit

Standardmäßig wird von Automatische Updates versucht, Updates von der Microsoft Windows Update-Website zu herunterzuladen. Manche Unternehmen möchten vor der Bereitstellung der Updates überprüfen, ob alle neuen Updates mit ihrer jeweiligen Umgebung kompatibel sind. Darüber hinaus werden durch die Konfiguration eines internen Software Update Services-Servers (SUS oder Softwareaktualisierungsdienste) Perimeterkomponenten wie Firewalls, Router und Proxyserver sowie externe Netzwerkverbindungen entlastet.

Gegenmaßnahme

Setzen Sie die Einstellung Internen Pfad für den Microsoft Updatedienst angeben auf Aktiviert. Geben Sie anschließend im Dialogfeld Eigenschaften den Namen des internen Updateservers und den Namen des Statistikservers an.

Mögliche Auswirkung

Wichtige Updates und Service Packs müssen vom IT-Personal der Organisation vorausschauend verwaltet werden.

System

Die empfohlene System-Computereinstellung kann im Gruppenrichtlinienobjekt-Editor in folgendem Verzeichnis konfiguriert werden:

Computerkonfiguration\Administrative Vorlagen\System

Autoplay deaktivieren

Mit Autoplay wird der Lesevorgang von einem Laufwerk unmittelbar nach dem Einlegen eines Mediums gestartet. Auf dem Medium gespeicherte Setupdateien oder Audiodaten werden dann automatisch ausgeführt bzw. abgespielt. Bei Aktivierung der Einstellung Autoplay deaktivieren wird die Autoplay-Funktion unterdrückt. Autoplay ist für einige Wechseldatenträger (z. B. Disketten- oder Netzlaufwerke) bereits in der Standardeinstellung deaktiviert. Für CD-ROM-Laufwerke ist die Funktion jedoch standardmäßig aktiviert.

Hinweis: Autoplay kann mit dieser Einstellung nicht für Computerlaufwerke aktiviert werden, für die diese Funktion bereits in der Standardeinstellung deaktiviert ist (z. B. Disketten- oder Netzlaufwerke).

Sicherheitsanfälligkeit

Ein Angreifer kann diese Funktion ausnutzen, um ein Programm zu starten, mit dem ein Clientcomputer oder Daten auf dem Computer beschädigt werden können.

Gegenmaßnahme

Setzen Sie die Einstellung Autoplay deaktivieren auf Aktiviert.

Mögliche Auswirkung

Benutzer müssen die auf Wechselmedien bereitgestellten Setup- oder Installationsprogramme manuell starten.

Anmeldung

Die empfohlenen Anmeldungs-Computereinstellungen können im Gruppenrichtlinienobjekt-Editor in folgendem Verzeichnis konfiguriert werden:

Computerkonfiguration\Administrative Vorlagen\System\Anmeldung

Willkommenseite für "Erste Schritte" bei der Anmeldung nicht anzeigen

Mit dieser Richtlinieneinstellung wird der Begrüßungsbildschirm ausgeblendet, der von Microsoft Windows 2000 Professional und Windows XP Professional bei jeder Anmeldung des Benutzers angezeigt wird. Benutzer können den Begrüßungsbildschirm weiterhin über das Startmenü anzeigen.

Die Einstellung Willkommenseite für "Erste Schritte" bei der Anmeldung nicht anzeigen gilt nur für Windows 2000 Professional und Windows XP Professional. Sie hat keinen Einfluss auf die Einstellung Konfiguration des Servers unter Windows 2000 Server oder Windows Server 2003.

Für die Einstellung Willkommenseite für "Erste Schritte" bei der Anmeldung nicht anzeigen sind folgende Werte möglich:

Aktiviert
Deaktiviert
Nicht konfiguriert

Sicherheitsanfälligkeit

Auf der Willkommenseite für „Erste Schritte“ werden die Benutzer aufgefordert, den Windows XP-Desktop zu erkunden. Bestimmte Organisationen möchten die Benutzer speziell für ihre jeweiligen Aufgaben schulen und von anderen Informationsquellen fernhalten.

Gegenmaßnahme

Setzen Sie die Einstellung Willkommenseite für "Erste Schritte" bei der Anmeldung nicht anzeigen auf Aktiviert.

Mögliche Auswirkung

Wenn Benutzer sich an ihren Computern anmelden, wird die Willkommenseite für „Erste Schritte“ nicht angezeigt.

Herkömmliche Ausführungsliste nicht verarbeiten

Durch die Einstellung Herkömmliche Ausführungsliste nicht verarbeiten wird festgelegt, dass die Ausführungsliste mit allen beim Start von Windows XP automatisch auszuführenden Programmen ignoriert werden soll. Die benutzerdefinierten Ausführungslisten für Windows XP werden in der Registrierung in folgenden Verzeichnissen gespeichert:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

Für die Einstellung Herkömmliche Ausführungsliste nicht verarbeiten sind folgende Werte möglich:

Aktiviert
Deaktiviert
Nicht konfiguriert

Sicherheitsanfälligkeit

Ein unbefugter Benutzer kann ein Programm konfigurieren, das bei jedem Start von Windows ausgeführt wird und das Daten manipuliert oder den Computer auf andere Weise beeinträchtigt.

Gegenmaßnahme

Setzen Sie die Einstellung Herkömmliche Ausführungsliste nicht verarbeiten auf Aktiviert.

Mögliche Auswirkung

Bei Aktivierung dieser Einstellung wird auch die Ausführung von bestimmten Computerprogrammen (z. B. Antivirensoftware, Softwareverteilungsprogramme und Überwachungssoftware) verhindert. Schätzen Sie die Bedrohung für Ihre Umgebung ab, gegen die diese Einstellung schützen soll, bevor Sie eine Strategie für die Verwendung dieser Einstellung in Ihrer Organisation festlegen.

Einmalige Ausführungsliste nicht verarbeiten

Durch diese Richtlinieneinstellung wird festgelegt, dass die Liste mit einmalig auszuführenden Programmen, die alle beim Start von Windows XP automatisch auszuführenden Programmen enthält, ignoriert werden soll. Sie unterscheidet sich von der Einstellung Herkömmliche Ausführungsliste nicht verarbeiten, da Programme in der ersten Liste beim nächsten Neustart des Clients nur einmalig ausgeführt werden. Dieser Liste werden beispielsweise Setup- und Installationsprogramme hinzugefügt, um Installationen nach einem Neustart des Clients abzuschließen. Bei Aktivierung dieser Richtlinieneinstellung können Angreifer die Liste mit einmalig auszuführenden Programmen nicht missbrauchen, um unzulässige Anwendungen starten, was früher eine beliebte Angriffsmethode war.

Hinweis: Benutzerdefinierte Listen mit einmalig auszuführenden Programmen werden in der Registrierung in folgendem Verzeichnis gespeichert: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce.

Für die Einstellung Einmalige Ausführungsliste nicht verarbeiten sind folgende Werte möglich:

Aktiviert
Deaktiviert
Nicht konfiguriert

Sicherheitsanfälligkeit

Ein unbefugter Benutzer kann die Liste mit einmalig auszuführenden Programmen missbrauchen, um ein Programm zu installieren, mit dem die Sicherheit von Windows XP-Clients beeinträchtigt werden kann.

Gegenmaßnahme

Setzen Sie die Einstellung EinmaligeAusführungsliste nicht verarbeiten auf Aktiviert.

Mögliche Auswirkung

Die Aktivierung der Einstellung Einmalige Ausführungsliste nicht verarbeiten hat normalerweise nur einen minimalen Funktionalitätsverlust für die Benutzer in der Umgebung zur Folge, insbesondere wenn vor der Anwendung dieser Einstellung über die Gruppenrichtlinie bereits alle in Ihrer Organisation erforderlichen Anwendungen auf den Clients installiert wurden. Möglicherweise werden jedoch einige Setup- und Installationsprogramme (z. B. Internet Explorer) aufgrund dieser Konfiguration nicht ordnungsgemäß ausgeführt.

Gruppenrichtlinien

Die Verarbeitungseinstellungen für Gruppenrichtlinien können im Gruppenrichtlinienobjekt-Editor in folgendem Verzeichnis konfiguriert werden:

Computerkonfiguration\Administrative Vorlagen\System\Gruppenrichtlinie

Verarbeitung der Richtlinie für die Internet Explorer-Wartung

Durch diese Richtlinieneinstellung wird der Aktualisierungszeitpunkt für Internet Explorer-Wartungsrichtlinien festgelegt. Sie betrifft alle Richtlinien, die die Internet Explorer-Wartungskomponente der Gruppenrichtlinie verwenden, z. B. die Richtlinien unter Windows-Einstellungen\Internet Explorer-Wartung. Diese Einstellung hat Vorrang vor den benutzerdefinierten Einstellungen, die bei der Installation des Programms für die Internet Explorer-Wartung implementiert wurden.

Wenn Sie die Einstellung Verarbeitung der Richtlinie für die Internet Explorer-Wartung aktivieren, können Sie die Optionen mithilfe der verfügbaren Kontrollkästchen ändern. Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, hat das keine Auswirkungen auf den Computer.

Für die Einstellung Verarbeitung der Richtlinie für die Internet Explorer-Wartung sind folgende Werte möglich:

Aktiviert mit folgenden Optionen:
- Verarbeitung über eine langsame Verbindung zulassen. Bei dieser Option werden die Richtlinien auch dann aktualisiert, wenn das Update über eine langsame Netzwerkverbindung gesendet wird, z. B. über eine Telefonleitung. Aktualisierungen über langsame Netzwerkverbindungen können deutliche Verzögerungen zur Folge haben.
- Während regelmäßiger Hintergrundverarbeitung nicht übernehmen. Diese Option verhindert, dass die entsprechenden Richtlinien während der Arbeit am Computer im Hintergrund aktualisiert werden. Aktualisierungen im Hintergrund können zu Unterbrechungen für den Benutzer führen, ein Programm unterbrechen oder die Programmausführung in unvorhersehbarer Weise stören und (in seltenen Fällen) Datenverluste verursachen.
- Gruppenrichtlinienobjekte auch ohne Änderungen bearbeiten. Bei dieser Option werden die Richtlinien auch dann aktualisiert und neu angewendet, wenn keine Änderungen vorgenommen wurden. In vielen Richtlinienimplementierungen ist festgelegt, dass Aktualisierungen nur nach Änderungen durchgeführt werden. Eventuell möchten Sie dennoch nicht geänderte Richtlinien aktualisieren und beispielsweise eine gewünschte Einstellung erneut anwenden, wenn sie von einem Benutzer geändert wurde.
Deaktiviert
Nicht konfiguriert

Sicherheitsanfälligkeit

Sie können diese Einstellung aktivieren und anschließend die Option Gruppenrichtlinienobjekte auch ohne Änderungen bearbeiten auswählen, um sicherzustellen, dass die Richtlinien auch dann neu verarbeitet werden, wenn sie nicht geändert wurden. Durch diese Vorgehensweise wird sichergestellt, dass domänenbasierte Richtlinien eingerichtet werden, auch wenn nicht autorisierte, lokale Änderungen vorgenommen wurden.

Gegenmaßnahme

Setzen Sie die Einstellung Verarbeitung der Richtlinie für die Internet Explorer-Wartung auf Aktiviert. Deaktivieren Sie anschließend die beiden Kontrollkästchen Verarbeitung über eine langsame Verbindung zulassen und Während regelmäßiger Hintergrundverarbeitung nicht übernehmen, und aktivieren Sie das Kontrollkästchen Gruppenrichtlinienobjekte auch ohne Änderungen bearbeiten.

Mögliche Auswirkung

Da die Gruppenrichtlinien bei jeder Aktualisierung neu angewendet werden, wird die Leistung dadurch u. U. geringfügig beeinträchtigt.

IP-Sicherheitsrichtlinienverarbeitung

Durch diese Richtlinieneinstellung wird der Aktualisierungszeitpunkt für IP-Sicherheitsrichtlinien (IPSec) festgelegt. Sie betrifft alle Richtlinien, die die IPSec-Komponente der Gruppenrichtlinie verwenden. Diese Richtlinieneinstellung hat Vorrang vor den benutzerdefinierten Einstellungen, die bei der Installation des Programms implementiert wurden.

Wenn Sie die Einstellung IP-Sicherheitsrichtlinienverarbeitung aktivieren, können Sie die verfügbaren Kontrollkästchen verwenden, um die Optionen zu ändern. Diese Einstellung hat keinerlei Auswirkung auf den Computer, wenn sie deaktiviert oder nicht konfiguriert ist.

Für die Einstellung IP-Sicherheitsrichtlinienverarbeitung sind folgende Werte möglich:

Aktiviert mit folgenden Optionen:
- Verarbeitung über eine langsame Verbindung zulassen
- Während regelmäßiger Hintergrundverarbeitung nicht übernehmen
- Gruppenrichtlinienobjekte auch ohne Änderungen bearbeiten
Deaktiviert
Nicht konfiguriert

Die Einstellung Verarbeitung über eine langsame Verbindung zulassen aktualisiert die Richtlinien auch dann, wenn das Update über eine langsame Netzwerkverbindung übertragen wird, z. B. über eine Telefonleitung oder eine WAN-Verbindung mit geringer Bandbreite. Aktualisierungen über langsame Netzwerkverbindungen können deutliche Verzögerungen zur Folge haben. Durch die Einstellung Während regelmäßiger Hintergrundverarbeitung nicht übernehmen wird verhindert, dass die entsprechenden Richtlinien während der Arbeit am Computer im Hintergrund aktualisiert werden. Aktualisierungen im Hintergrund können zu Unterbrechungen für den Benutzer führen, ein Programm unterbrechen oder die Programmausführung in unvorhersehbarer Weise stören und in seltenen Fällen Datenverluste verursachen. Bei der Einstellung Gruppenrichtlinienobjekte auch ohne Änderungen bearbeiten werden die Richtlinien auch dann aktualisiert und neu angewendet, wenn keine Änderungen vorgenommen wurden. In vielen Richtlinienimplementierungen ist festgelegt, dass Aktualisierungen nur nach Änderungen durchgeführt werden. Eventuell möchten Sie jedoch auch unveränderte Richtlinien regelmäßig aktualisieren und dadurch eine gewünschte Einstellung neu anwenden, die möglicherweise von einem Benutzer geändert wurde.

Sicherheitsanfälligkeit

Sie können diese Einstellung aktivieren und anschließend die Option Gruppenrichtlinienobjekte auch ohne Änderungen bearbeiten auswählen, um sicherzustellen, dass die Richtlinien auch dann neu verarbeitet werden, wenn sie nicht geändert wurden. Auf diese Weise wird erzwungen, dass lokal konfigurierte, nicht autorisierte Änderungen wieder mit den domänenbasierten Gruppenrichtlinieneinstellungen übereinstimmen.

Gegenmaßnahme

Setzen Sie die Einstellung IP-Sicherheitsrichtlinienverarbeitung auf Aktiviert. Deaktivieren Sie anschließend das Kontrollkästchen Während regelmäßiger Hintergrundverarbeitung nicht übernehmen, und aktivieren Sie das Kontrollkästchen Gruppenrichtlinienobjekte auch ohne Änderungen bearbeiten.

Mögliche Auswirkung

Da die IP-Sicherheitsgruppenrichtlinien bei jeder Aktualisierung neu angewendet werden, wird die Leistung u. U. geringfügig beeinträchtigt, und eventuell treten Probleme mit der vorhandenen Netzwerkverbindung auf.

Registrierungsrichtlinienverarbeitung

Durch diese Richtlinieneinstellung wird festgelegt, wann Registrierungsrichtlinien aktualisiert werden. Sie betrifft alle Richtlinien im Ordner „Administrative Vorlagen“ sowie alle anderen Richtlinien, mit denen Werte in der Registrierung gespeichert werden. Die Einstellung hat Vorrang vor den benutzerdefinierten Einstellungen, die bei der Installation des Programms für Registrierungsrichtlinien implementiert wurden.

Wenn Sie die Einstellung Registrierungsrichtlinienverarbeitung aktivieren, können Sie die Optionen mithilfe der verfügbaren Kontrollkästchen ändern. Diese Einstellung hat keinerlei Auswirkung auf den Computer, wenn sie deaktiviert oder nicht konfiguriert ist.

Durch die Option Während regelmäßiger Hintergrundverarbeitung nicht übernehmen wird verhindert, dass die entsprechenden Richtlinien während der Arbeit am Computer im Hintergrund aktualisiert werden. Aktualisierungen im Hintergrund können zu Unterbrechungen für den Benutzer führen, Programme unterbrechen oder die Programmausführung in unvorhersehbarer Weise stören und (in seltenen Fällen) Datenverluste verursachen. Die Option Gruppenrichtlinienobjekte auch ohne Änderungen bearbeiten bewirkt, dass Richtlinien auch dann aktualisiert und neu angewendet werden, wenn keine Änderungen vorgenommen wurden. In vielen Gruppenrichtlinienimplementierungen ist festgelegt, dass Aktualisierungen nur nach Änderungen durchgeführt werden. Eventuell möchten Sie dennoch nicht geänderte Richtlinien aktualisieren und dadurch eine gewünschte Einstellung erneut anwenden, wenn sie von einem Benutzer geändert wurde.

Für die Einstellung Registrierungsrichtlinienverarbeitung sind folgende Werte möglich:

Aktiviert mit folgenden Optionen:
- Während regelmäßiger Hintergrundverarbeitung nicht übernehmen
- Gruppenrichtlinienobjekte auch ohne Änderungen bearbeiten
Deaktiviert
Nicht konfiguriert

Sicherheitsanfälligkeit

Sie können diese Einstellung aktivieren und anschließend die Option Gruppenrichtlinienobjekte auch ohne Änderungen bearbeiten auswählen, um sicherzustellen, dass die Richtlinien auch dann neu verarbeitet werden, wenn sie nicht geändert wurden. Auf diese Weise wird erzwungen, dass lokal konfigurierte, nicht autorisierte Änderungen wieder mit den domänenbasierten Gruppenrichtlinieneinstellungen übereinstimmen.

Gegenmaßnahme

Setzen Sie die Einstellung Registrierungsrichtlinienverarbeitung auf Aktiviert. Deaktivieren Sie anschließend das Kontrollkästchen Während regelmäßiger Hintergrundverarbeitung nicht übernehmen, und aktivieren Sie das Kontrollkästchen Gruppenrichtlinienobjekte auch ohne Änderungen bearbeiten.

Mögliche Auswirkung

Da die Gruppenrichtlinien bei jeder Aktualisierung neu angewendet werden, wird die Leistung dadurch u. U. geringfügig beeinträchtigt.

Sicherheitsrichtlinienverarbeitung

Durch diese Richtlinieneinstellung wird der Aktualisierungszeitpunkt für Sicherheitsrichtlinien festgelegt. Diese Einstellung hat Vorrang vor den benutzerdefinierten Einstellungen, die bei der Installation des Programms für Sicherheitsrichtlinien implementiert wurden.

Wenn Sie die Einstellung Sicherheitsrichtlinienverarbeitung aktivieren, können Sie die Optionen mithilfe der verfügbaren Kontrollkästchen ändern. Diese Einstellung hat keinerlei Auswirkung auf den Computer, wenn sie deaktiviert oder nicht konfiguriert ist.

Für die Einstellung Sicherheitsrichtlinienverarbeitung sind folgende Werte möglich:

Aktiviert mit folgenden Optionen:
- Während regelmäßiger Hintergrundverarbeitung nicht übernehmen
- Gruppenrichtlinienobjekte auch ohne Änderungen bearbeiten
Deaktiviert
Nicht konfiguriert

Sicherheitsanfälligkeit

Sie können diese Einstellung aktivieren und anschließend die Option Gruppenrichtlinienobjekte auch ohne Änderungen bearbeiten auswählen, um sicherzustellen, dass die Richtlinien auch dann neu verarbeitet werden, wenn sie nicht geändert wurden. Auf diese Weise wird erzwungen, dass lokal konfigurierte, nicht autorisierte Änderungen wieder mit den domänenbasierten Gruppenrichtlinieneinstellungen übereinstimmen.

Gegenmaßnahme

Setzen Sie die Einstellung Sicherheitsrichtlinienverarbeitung auf Aktiviert. Deaktivieren Sie anschließend das Kontrollkästchen Während regelmäßiger Hintergrundverarbeitung nicht übernehmen, und aktivieren Sie das Kontrollkästchen Gruppenrichtlinienobjekte auch ohne Änderungen bearbeiten.

Mögliche Auswirkung

Da die Gruppenrichtlinien bei jeder Aktualisierung neu angewendet werden, wird die Leistung dadurch u. U. geringfügig beeinträchtigt.

Remoteunterstützung

Die empfohlenen Remoteunterstützungs-Computereinstellungen können im Gruppenrichtlinienobjekt-Editor in folgendem Verzeichnis konfiguriert werden:

Computerkonfiguration\Administrative Vorlagen\System\Remoteunterstützung

Remoteunterstützung anbieten

Durch diese Richtlinieneinstellung wird festgelegt, ob ein Supportmitarbeiter oder ein versierter IT-Administrator Remoteunterstützung für Computer in Ihrer Umgebung anbieten kann, ohne dass zuvor explizit Unterstützung über einen anderen Kanal (z. B. E-Mail oder Instant Messaging) angefordert wurde.

Hinweis: Spezialisten können nicht unangekündigt eine Verbindung zum Computer herstellen oder diesen ohne Erlaubnis des Benutzers steuern. Wenn ein Verbindungsversuch erfolgt, kann der Benutzer die Verbindung immer noch verweigern (und damit dem Experten nur Anzeigeberechtigungen für die eigene Arbeitsstation gewähren). Der Benutzer muss auf Ja klicken, um die Remotesteuerung der Arbeitsstation zuzulassen, wenn die Einstellung „Remoteunterstützung anbieten“ auf Aktiviert gesetzt wurde.

Bei Aktivierung der Einstellung Remoteunterstützung anbieten stehen folgende Optionen zur Verfügung:

Helfer dürfen den Computer nur ansehen
Helfer dürfen den Computer remote steuern

Bei Konfiguration dieser Einstellung können Sie eine Liste mit Benutzern oder Benutzergruppen angeben, die als „Helfer“ Remoteunterstützung anbieten können.

So konfigurieren Sie die Liste der Helfer

Klicken Sie im Einstellungsfenster Remoteunterstützung anbieten auf Anzeigen. Im daraufhin geöffneten neuen Fenster können Sie die Namen der Helfer eingeben.
Verwenden Sie beim Hinzufügen von Benutzern oder Gruppen zur Liste „Helfer“ eines der folgenden Formate:
- <Domänenname>\<Benutzername>
- <Domänenname>\<Gruppenname>

Wenn Sie die Einstellung Remoteunterstützung anbieten deaktivieren oder nicht konfigurieren, können die Benutzer oder Gruppen den Computerbenutzern in Ihrer Umgebung nicht unaufgefordert Remoteunterstützung anbieten.

Sicherheitsanfälligkeit

Ein Benutzer kann dazu verleitet werden, das nicht angeforderte Remoteunterstützungsangebot eines unbefugten Benutzers anzunehmen.

Gegenmaßnahme

Setzen Sie die Einstellung Remoteunterstützung anbieten auf Deaktiviert.

Mögliche Auswirkung

Helpdeskpersonal und Supportmitarbeiter können ihre Unterstützung nicht im Voraus anbieten. Sie können jedoch weiterhin auf Unterstützungsanforderungen reagieren.

Angeforderte Remoteunterstützung

Durch diese Richtlinieneinstellung wird festgelegt, ob von den Windows XP-Computern in Ihrer Umgebung Remoteunterstützung angefordert werden kann. Bei Aktivierung dieser Einstellung können Benutzer die Remoteunterstützung eines versierten IT-Administrators für ihre Arbeitsstation anfordern.

Hinweis: Spezialisten können nicht unangekündigt eine Verbindung zum Computer herstellen oder diesen ohne Erlaubnis des Benutzers steuern. Wenn ein Verbindungsversuch erfolgt, kann der Benutzer die Verbindung immer noch verweigern und damit dem Experten nur Anzeigeberechtigungen für die eigene Arbeitsstation gewähren. Der Benutzer muss auf Ja klicken, um die Remotesteuerung der Arbeitsstation zuzulassen.

Bei Aktivierung der Einstellung Angeforderte Remoteunterstützung stehen für die Freigabe der Remotesteuerung auf dem Benutzercomputer folgende Optionen zur Verfügung:

Helfer dürfen den Computer remote steuern
Helfer dürfen den Computer nur ansehen

Darüber hinaus sind für das Konfigurieren des Zeitraums, für den die Hilfeanforderung eines Benutzers gültig ist, folgende Optionen verfügbar:

Maximale Gültigkeitsdauer der Einladung (Wert):
Maximale Gültigkeitsdauer (Einheiten): Stunden, Minuten oder Tage

Wenn die Einladung (Hilfeanforderung) abgelaufen ist, muss der Benutzer eine neue Anforderung senden, damit der Spezialist eine Verbindung mit dem Computer herstellen kann. Bei Deaktivierung der Einstellung Angeforderte Remoteunterstützung können Benutzer keine Hilfeanforderungen senden, und Experten können keine Verbindung zu den Computern der Benutzer herstellen.

Wenn die Einstellung Angeforderte Remoteunterstützung nicht konfiguriert ist, können Benutzer die Anforderung der Remoteunterstützung über die Systemsteuerung konfigurieren. Die folgenden Einstellungen werden standardmäßig über die Systemsteuerung aktiviert: Angeforderte Remoteunterstützung, Benutzerunterstützung und Remotesteuerung. Als Wert für die Maximale Gültigkeitsdauer der Einladung sind 30 Tage festgelegt. Bei Deaktivierung dieser Einstellung ist der Zugriff auf Windows XP-Clients über das Netzwerk nicht möglich.

Sicherheitsanfälligkeit

Bei Aktivierung der Einstellung Angeforderte Remoteunterstützung senden Benutzer u. U. Unterstützungsanforderungen an nicht autorisierte Mitarbeiter.

Gegenmaßnahme

Setzen Sie die Einstellung Angeforderte Remoteunterstützung auf Deaktiviert.

Mögliche Auswirkung

Wird die Einstellung Angeforderte Remoteunterstützung auf Deaktiviert gesetzt, können Benutzer keine Remoteunterstützung vom Helpdeskpersonal oder von Supportmitarbeiter anfordern.

Fehlerberichterstattung

Die Firmen-Fehlerberichterstattung von Windows gibt Administratoren die Möglichkeit, die von DW.exe erstellten CAB-Dateien zu verwalten und Abbruchfehlerberichte an einen lokalen Dateiserver umzuleiten. Diese Funktion kann alternativ zur direkten Übermittlung der Informationen an Microsoft über das Internet verwendet werden. Wenn genügend Abbruchfehlereinträge gesammelt sind, können die Administratoren die Informationen prüfen und lediglich die ihrer Meinung nach sinnvollen Fehlerdaten an Microsoft übermitteln.

Mit der Firmen-Fehlerberichterstattung von Windows können Administratoren feststellen, welche Abbruchfehlertypen am häufigsten auftreten. Die ausgewerteten Informationen können dann den Benutzern zur Verfügung gestellt werden, damit sie potenzielle Abbruchfehlersituationen vermeiden können.

Die Einstellungen für die Fehlerberichterstattung können im Gruppenrichtlinienobjekt-Editor in folgendem Verzeichnis konfiguriert werden:

Computerkonfiguration\Administrative Vorlagen\System\Fehlerberichterstattung

Fehlerbenachrichtigung anzeigen

Mit dieser Einstellung können Sie festlegen, ob ein Benutzer einen Fehler melden kann. Bei Aktivierung dieser Einstellung wird der Benutzer über das Auftreten eines Fehlers informiert und erhält Zugriff auf ausführliche Fehlerinformationen. Wenn die Einstellung Fehler melden ebenfalls aktiviert ist, kann der Benutzer außerdem entscheiden, ob der Fehler gemeldet wird.

Bei Deaktivierung der Einstellung Fehlerbenachrichtigung anzeigen kann der Benutzer nicht wählen, ob der Fehler gemeldet wird. Bei Aktivierung der Einstellung Fehler melden werden Fehler automatisch gemeldet, der Benutzer wird bei Auftreten der Fehler jedoch nicht benachrichtigt.

Es ist sinnvoll, diese Einstellung bei Servern ohne interaktive Benutzer zu deaktivieren. Wenn Sie diese Einstellung nicht konfigurieren, kann sie von den Benutzern über die Systemsteuerung angepasst werden. Die Einstellung ist standardmäßig unter Windows XP auf Benachrichtigung aktivieren und unter Windows Server 2003 auf Benachrichtigung deaktivieren gesetzt.

Für die Einstellung Fehlerbenachrichtigung anzeigen sind folgende Werte möglich:

Aktiviert
Deaktiviert
Nicht konfiguriert

Sicherheitsanfälligkeit

Wenn die Benutzer wählen können, ob Fehler gemeldet werden oder nicht, halten sie sich u. U. nicht an die Fehlerberichterstattungsrichtlinien Ihres Unternehmens. Wenn Sie diese Richtlinieneinstellung auf Deaktiviert setzen, werden keine Fehlermeldungen für Benutzer angezeigt.

Gegenmaßnahme

Setzen Sie die Einstellung Fehlerbenachrichtigung anzeigen auf Deaktiviert.

Mögliche Auswirkung

Den Benutzern werden keine Fehlerbenachrichtigungen angezeigt, wenn diese erzeugt werden.

Fehler melden

Durch diese Richtlinieneinstellung wird festgelegt, ob Fehler gemeldet werden. Wird die Einstellung Fehler melden auf Aktiviert gesetzt, können Benutzer Fehler bei deren Auftreten melden. Fehler können über das Internet an Microsoft oder an lokale Dateifreigaben der Organisation gemeldet werden.

Für die Einstellung Fehler melden sind folgende Werte möglich:

Aktiviert mit folgenden Optionen:
- Keine von Microsoft angebotenen Websites bezüglich "Weiterer Informationen" anzeigen. Bei Aktivierung dieser Option werden keine Links zu Microsoft-Websites angezeigt, die weitere Informationen zur Fehlermeldung enthalten.
- Keine zusätzlichen Dateien sammeln. Bei Aktivierung dieser Option werden keine zusätzlichen Dateien gesammelt und in den Fehlerbericht aufgenommen.
- Keine zusätzlichen Computerdaten sammeln. Bei Aktivierung dieser Option werden keine zusätzlichen Informationen zum betreffenden Computer gesammelt und in den Fehlerbericht aufgenommen.
- Warteschlangenmodus für Anwendungsfehler erzwingen. Bei Aktivierung dieser Option können Benutzer nicht wählen, ob ein Fehlerbericht gesendet werden soll. Die Fehlermeldung wird stattdessen in ein Warteschlangenverzeichnis eingetragen, und der nächste sich anmeldende Administrator muss entscheiden, ob der Fehler weitergemeldet werden soll.
- Dateiuploadpfad für zentrale Fehlerberichte. Sie können diese Option aktivieren, um einen UNC-Pfad (Universal Naming Convention) für eine Dateifreigabe festzulegen, in die Fehlerberichte hochgeladen werden. Durch diese Option wird auch das Firmen-Fehlerberichterstattungsprogramm aktiviert.
- Instanzen des Worts "Microsoft" ersetzen durch. Bei Aktivierung dieser Option können Sie in die Dialogfelder der Fehlerberichterstattung den Namen Ihrer Organisation eintragen.
Deaktiviert
Nicht konfiguriert

Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, kann sie nicht von den Benutzern über die Systemsteuerung angepasst werden. Die Standardkonfiguration unter Windows XP Professional ist Aktiviert. Unter Windows Server 2003 ist diese Einstellung standardmäßig auf Deaktiviert gesetzt.

Bei Aktivierung der Einstellung Fehler melden werden alle anderen möglicherweise über die Systemsteuerung aktivierten Einstellungen für die Fehlerberichterstattung außer Kraft gesetzt. Darüber hinaus werden durch diese Konfiguration für alle nicht konfigurierten Fehlerberichterstattungsrichtlinien die Standardwerte erzwungen.

Sicherheitsanfälligkeit

In der Standardkonfiguration werden mit den Funktionen der Firmen-Fehlerberichterstattung von Windows XP, Windows Server 2003 und Office Daten an Microsoft gesendet, die manche Organisationen möglicherweise vertraulich behandeln möchten. Mit der Microsoft-Datenschutzrichtlinie für die Firmen-Fehlerberichterstattung von Windows ist sichergestellt, dass Microsoft die mit diesem Tool gesammelten Daten nicht missbraucht. Dennoch möchten einige Organisationen diese Funktion eventuell so konfigurieren, dass Informationen erst dann herausgegeben werden, nachdem sie von einem vertrauenswürdigen Mitglied des IT-Teams geprüft wurden.

Eine vollständige Deaktivierung der Fehlerberichterstattung erschwert Microsoft jedoch die Identifizierung und Diagnose von neuen Fehlern. Organisationen, die eigene interne Geschäftsanwendungen entwickeln, können die Firmen-Fehlerberichterstattung von Windows zudem nutzen, um Probleme mit dem eigenen Code zu erkennen.

Um Datensicherheit zu gewährleisten und die Firmen-Fehlerberichterstattung von Windows effektiv zu nutzen, ist es sinnvoll, eigene interne Server für die Firmen-Fehlerberichterstattung einzurichten. Konfigurieren Sie die Clientcomputer so, dass sie eine Verbindung mit diesen Servern herstellen, wenn Fehlerberichte zu übermitteln sind. Ein Administrator kann die Berichte dann auf dem Server für die Firmen-Fehlerberichterstattung prüfen und einen Zusammenfassungsbericht ohne vertrauliche Informationen erzeugen und an Microsoft weiterleiten.

Gegenmaßnahme

Setzen Sie die Einstellung Fehler melden auf Aktiviert, und wählen Sie dann die Option Dateiuploadpfad für zentrale Fehlerberichte, um einen Verweis auf den UNC-Pfad für den Firmen-Fehlerberichterstattungsserver Ihrer Organisation anzugeben.

Mögliche Auswirkung

Die Fehlerberichterstattung wird aktiviert, und neue Fehlerberichte werden an den Server für die Firmen-Fehlerberichterstattung gesendet.

Internetkommunikationsverwaltung

Die Windows Server 2003- und Windows XP-Produktfamilien enthalten zahlreiche Internetkommunikationstechnologien, um die Benutzerfreundlichkeit der Produkte zu erhöhen. Browser- und E-Mail-Technologien sind die besten Beispiele hierfür, aber auch der Dienst „Automatische Updates“ trägt dazu bei, dass Benutzer neue Software (z. B. Fehlerkorrekturen und Sicherheitspatches) sowie aktuelle Produktinformationen erhalten. Diese Technologien bieten viele Vorteile, sind jedoch nur mittels Internetkommunikation verfügbar, die u. U. von Administratoren kontrolliert werden sollte.

Sie können diese Kommunikation über verschiedene Optionen kontrollieren, die in einzelne Komponenten, in das Betriebssystem sowie in Serverkomponenten integriert sind, die zur Verwaltung von Konfigurationen in der gesamten Organisation dienen. Als Administrator können sie z. B. Richtlinien verwenden, um die Kommunikation der Komponenten untereinander zu steuern. Für einige Komponenten kann jegliche Kommunikation an eine interne Website der Organisation (statt an eine externe Website) geleitet werden. Darüber hinaus können Sie unter Windows Server 2003 mit Service Pack 1 (SP1) die Windows-Firewall und den Sicherheitskonfigurations-Assistenten verwenden, um die Konfiguration zu steuern. Einzelne Aspekte dieser Konfiguration sind z. B. die ausgeführten Dienste und geöffnete Ports.

Microsoft hat ausführliche Handbücher zur Internetkommunikationsverwaltung veröffentlicht:

Einleitung zur Kontrolle der Kommunikation mit dem Internet für Windows Server 2003 mit SP1 (in englischer Sprache)
Verwenden von Windows XP Service Pack 2 in einer verwalteten Umgebung (in englischer Sprache) unter www.microsoft.com/technet/prodtechnol/winxppro/maintain/intmgmt/01\_xpint.mspx enthält Informationen zur Steuerung der Internetkommunikation auf Computern, auf denen Windows XP mit SP2 ausgeführt wird.

Distributed COM

COM bietet computerweite Zugriffssteuerungslisten (ACLs), die den Zugriff auf alle Aufrufs-, Aktivierungs- oder Startanforderungen auf dem Computer steuern. Diese Art der Zugriffssteuerung lässt sich auch als zusätzliche Zugriffsüberprüfung beschreiben, die anhand einer computerweiten Zugriffssteuerungsliste für jeden Aufruf, jede Aktivierung oder jeden Start auf allen COM-Servern auf dem Computer durchgeführt wird. Diese Zugriffsüberprüfung erfolgt zusätzlich zu jeder Zugriffsüberprüfung, die anhand der serverspezifischen Zugriffssteuerungslisten ausführt wird. Wenn diese Zugriffsüberprüfung fehlschlägt, wird die Aufrufs-, Aktivierungs- oder Startanforderung verweigert. Dadurch wird ein minimaler Autorisierungsstandard geboten, der für den Zugriff auf einen COM-Server auf dem Computer erfüllt sein muss. Weitere Informationen zu DCOM finden Sie im Artikel „Component Object Model“ (in englischer Sprache) unter https://go.microsoft.com/fwlink/?LinkId=20922. Weitere Informationen zu den neuen DCOM-Sicherheitsfunktionen finden Sie in diesem Handbuch in Kapitel 5, „Sicherheitsoptionen“, unter „DCOM: Computerzugriffseinschränkungen in Security Descriptor Definition Language (SDDL)-Syntax“.

Die neuen DCOM-Sicherheitsfunktionen unter Windows XP SP2 und Windows Server 2003 SP1 können im Gruppenrichtlinienobjekt-Editor in folgendem Verzeichnis verwaltet werden:

Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\
System\Distributed COM\Anwendungskompatibilitätseinstellungen

Bekannte Probleme

Die Informationen zur Sicherheitsanfälligkeit sowie zu Gegenmaßnahmen und möglichen Auswirkungen sind für beide Einstellungen in diesem Abschnitt identisch.

Sicherheitsanfälligkeit

Fehlerhafte COM-Komponenten können über das Netzwerk angegriffen werden. Dadurch werden u. U. Informationen offen gelegt, Dienstverweigerungen ausgelöst oder Berechtigungserweiterungen herbeigeführt.

Gegenmaßnahme

Verwenden Sie die Einstellungen Lokale Aktivierungssicherheitsüberprüfungs-Ausnahmen zulassen und Aktivierungssicherheitsüberprüfungs-Ausnahmen definieren zusammen mit den in Kapitel 5 beschriebenen DCOM-Zugriffssteuerungsverfahren, um die Zugriffs- und Ausführungssteuerung für DCOM-Komponenten durchzusetzen.

Mögliche Auswirkung

Wenn Sie vorhandenen Anwendungen DCOM-Zugriffssteuerungen hinzufügen, werden diese Anwendungen möglicherweise nicht ordnungsgemäß ausgeführt.

Lokale Aktivierungssicherheitsüberprüfungs-Ausnahmen zulassen

Durch diese Richtlinieneinstellung wird festgelegt, dass Administratoren des lokalen Computers die Liste Aktivierungssicherheitsüberprüfungs-Ausnahmen definieren (siehe nächste Einstellung) mit Aktivierungssicherheitsüberprüfungen ergänzen können, die auf dem lokalen Computer erfolgen. Wenn Sie diese Richtlinieneinstellung aktivieren und DCOM keinen expliziten Eintrag für eine DCOM-Serveranwendungs-ID (AppID) in der Richtlinie „Aktivierungssicherheitsüberprüfungs-Ausnahmen definieren“ ermitteln kann, sucht DCOM nach einem Eintrag in der lokal konfigurierten Liste.

Aktivierungssicherheitsüberprüfungs-Ausnahmen definieren

Mit dieser Richtlinieneinstellung können Sie eine Liste der DCOM-Serveranwendungs-IDs (AppIDs) anzeigen und ändern, die von der DCOM-Aktivierungssicherheitsüberprüfung ausgenommen sind. (Weitere Informationen zu COM und zum AppID-Schlüssel finden Sie unter „COM-Registrierungseinträge“ in der „COM-SDK-Dokumentation“ (in englischer Sprache) auf der MSDN®-Website unter https://go.microsoft.com/fwlink/?LinkId=32831.)

DCOM verwendet zwei Listen mit DCOM-Serveranwendungs-IDs, um Sicherheitsentscheidungen zu treffen. Eine Liste wird über die Gruppenrichtlinieneinstellung Aktivierungssicherheitsüberprüfungs-Ausnahmen definieren konfiguriert. Die andere Liste wird von Administratoren des lokalen Computers erstellt. Der AppID-Schlüssel ist einer der von COM verwendeten Registrierungsschlüssel. Hiermit werden die Konfigurationsoptionen für ein oder mehrere Distributed COM-Objekte in einem zentralen Eintrag in der Registrierung konzentriert. Dieser Schlüssel enthält den benannten Wert AppID, durch den die AppID GUID identifiziert wird, die der benannten ausführbaren Datei entspricht.

Wenn Sie die Einstellung Aktivierungssicherheitsüberprüfungs-Ausnahmen definieren konfigurieren, ignoriert DCOM die zweite Liste, es sei denn, die zugehörige Einstellung Lokale Aktivierungssicherheitsüberprüfungs-Ausnahmen zulassen wird ebenfalls aktiviert. Alle DCOM-Serveranwendungs-IDs, die der entsprechenden Liste hinzugefügt werden, müssen von geschweiften Klammern umschlossen sein, z. B. {b5dcb061-cefb-42e0-a1be-e6a6438133fe}. (Diese AppID-Nummer dient nur zu Demonstrationszwecken.) DCOM fügt der Liste auch nicht vorhandene oder falsch formatierte AppID hinzu, da keine Fehlerüberprüfung erfolgt.

Bei Aktivierung dieser Richtlinieneinstellung können Sie die Liste der DCOM-Aktivierungssicherheitsüberprüfungs-Ausnahmen anzeigen und ändern, die durch Gruppenrichtlinieneinstellungen definiert werden.

Sie können einen der folgenden Werte verwenden:

Wenn Sie dieser Liste eine AppID hinzufügen und für diese ID den Wert 1 festlegen, wird die DCOM-Aktivierungssicherheitsüberprüfung für diesen DCOM-Server nicht erzwungen.
Wenn Sie dieser Liste eine AppID hinzufügen und für diese ID den Wert 0 festlegen, wird die DCOM-Aktivierungssicherheitsüberprüfung für diesen DCOM-Server unabhängig von den lokalen Einstellungen immer ausgeführt.

Hinweis: Die der Ausnahmeliste hinzugefügten DCOM-Server werden nur ignoriert, wenn ihre benutzerdefinierten Startberechtigungen keine bestimmten Berechtigungen für „Lokaler Start“, „Remotestart“, „Lokalaktivierung“ oder „Remoteaktivierung“ enthalten, die bei beliebigen Benutzern oder Gruppen den Wert „Zulassen“ oder „Verweigern“ haben. Die der Liste hinzugefügten Ausnahmen für DCOM-Serveranwendungs-IDs gelten für die 32-Bit-Version und (falls vorhanden) für die 64-Bit-Version von Windows Server 2003.

Benutzerkonfigurationseinstellungen

Die zuvor in diesem Kapitel erläuterten Einstellungen gelten für Computer, die Mitglied einer Active Directory-Domäne sind. Die Einstellungen in den folgenden Abschnitten gelten für einzelne Benutzer.

Benutzereinstellungen für Internet Explorer

Internet Explorer ist der in Windows XP und Windows Server 2003 enthaltene Webbrowser. Viele seiner Funktionen können durch Gruppenrichtlinien in folgendem Verzeichnis des Gruppenrichtlinienobjekt-Editors verwaltet werden:

Benutzerkonfiguration\Administrative Vorlagen\Windows-Komponenten\
Internet Explorer

Konfigurieren von Outlook Express

Mit dieser Einstellung können Administratoren für Benutzer von Microsoft Outlook® Express festlegen, ob diese Anlagen speichern oder öffnen können, die u. U. einen Virus enthalten. Wenn Sie das Kontrollkästchen Anhänge sperren, die einen Virus enthalten können aktivieren, ist das Öffnen oder Speichern solcher Anhänge für Benutzer nicht möglich. Außerdem können Benutzer bei Aktivierung dieser Richtlinieneinstellung im Dialogfeld Internetoptionen festlegen, ob E-Mail-Anhänge blockiert oder akzeptiert werden sollen.

Für die Einstellung Konfigurieren von Outlook Express sind folgende Werte möglich:

Aktiviert mit folgender Option:
- Anhänge sperren, die einen Virus enthalten können
Deaktiviert
Nicht konfiguriert

Sicherheitsanfälligkeit

Wenn Benutzer E-Mail-Anhänge öffnen, besteht die Möglichkeit, dass in einem Anhang enthaltener schädlicher Code versehentlich ausgeführt wird, z. B. ein Virus oder ein Trojaner.

Gegenmaßnahme

Setzen Sie die Einstellung Konfigurieren von Outlook Express auf Aktiviert, und aktivieren Sie das Kontrollkästchen Anhänge sperren, die einen Virus enthalten können.

Mögliche Auswirkung

Benutzer können bestimmte E-Mail-Anlagentypen in Outlook Express nicht öffnen oder ausführen.

Einstellungen für die Seite "Erweitert" deaktivieren

Durch diese Richtlinieneinstellung wird verhindert, dass Benutzer die Einstellungen auf der Registerkarte Erweitert im Dialogfeld Internetoptionen ändern können. Wenn Sie diese Richtlinieneinstellung aktivieren, können Benutzer keine erweiterten Interneteinstellungen (z. B. Sicherheits-, Multimedia- und Druckoptionen) ändern. Außerdem können sie die Kontrollkästchen auf der Registerkarte Erweitert nicht aktivieren bzw. deaktivieren. Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, ist es Benutzern möglich, Optionen auf der Registerkarte Erweitert zu aktivieren und zu deaktivieren.

Wenn Sie die Einstellung Seite "Erweitert" deaktivieren konfigurieren, muss diese Richtlinieneinstellung nicht festgelegt werden, da die Registerkarte Erweitert durch diese Einstellung aus der Benutzeroberfläche entfernt wird.

Für die Einstellung Einstellungen für die Seite "Erweitert" deaktivieren sind folgende Werte möglich:

Aktiviert
Deaktiviert
Nicht konfiguriert

Sicherheitsanfälligkeit

Die Benutzer könnten einige Internet Explorer-Sicherheitseinstellungen ändern, sodass sie in der Lage wären, eine schädliche Website zu besuchen oder schädlichen Code herunterzuladen oder auszuführen.

Gegenmaßnahme

Setzen Sie die Einstellung Einstellungen für die Seite "Erweitert" deaktivieren auf Aktiviert.

Mögliche Auswirkung

Benutzer können die Einstellungen auf der Registerkarte Erweitert im Dialogfeld Internetoptionen nicht ändern.

Änderung der Einstellungen für die automatische Konfiguration deaktivieren

Durch diese Richtlinieneinstellung wird verhindert, dass Benutzer die automatischen Konfigurationseinstellungen ändern können. Mithilfe der automatischen Konfiguration können Administratoren Browsereinstellungen regelmäßig aktualisieren. Bei Aktivierung dieser Richtlinieneinstellung werden die automatischen Konfigurationseinstellungen abgeblendet und sind nicht verfügbar. Die Einstellungen befinden sich im Dialogfeld Einstellungen für lokales Netzwerk (LAN) im Bereich Automatische Konfiguration. Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, können Benutzer automatische Konfigurationseinstellungen ändern.

Wenn Sie die Einstellung Verbindungsseite deaktivieren aktivieren, wird die Registerkarte Verbindungen aus den Internetoptionen in der Systemsteuerung entfernt, und die entsprechenden Einstellungen setzen diese Richtlinieneinstellung (Änderung der Einstellungen für die automatische Konfiguration deaktivieren) außer Kraft.

Für die Einstellung Änderung der Einstellungen für die automatische Konfiguration deaktivieren sind folgende Werte möglich:

Aktiviert
Deaktiviert
Nicht konfiguriert

Sicherheitsanfälligkeit

Die Benutzer könnten einige Internet Explorer-Sicherheitseinstellungen ändern, sodass sie in der Lage wären, eine schödliche Website zu besuchen oder schädlichen Code herunterzuladen oder auszuführen.

Gegenmaßnahme

Setzen Sie die Einstellung Änderung der Einstellungen für die automatische Konfiguration deaktivieren auf Aktiviert.

Mögliche Auswirkung

Die Benutzer haben keine Möglichkeit, automatische Konfigurationseinstellungen zu ändern.

Änderung der Zertifikatseinstellungen deaktivieren

Durch diese Richtlinieneinstellung wird verhindert, dass Benutzer die Zertifikatseinstellungen in Internet Explorer ändern können. Zertifikate werden verwendet, um die Identität von Softwareherausgebern zu überprüfen. Wenn Sie diese Richtlinieneinstellung aktivieren, werden die Einstellungen im Bereich Zertifikate auf der Registerkarte Inhalte im Dialogfeld Internetoptionen abgeblendet und sind nicht mehr verfügbar. Wenn Sie diese Einstellung deaktivieren oder nicht konfigurieren, können Benutzer neue Zertifikate importieren, zugelassene Herausgeber entfernen und Einstellungen für Zertifikate ändern, die bereits akzeptiert wurden.

Durch die Einstellung Inhaltsseite deaktivieren (unter \Benutzerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Internet Explorer\Internetsystemsteuerung) wird die Registerkarte Inhalte aus den Internetoptionen in der Systemsteuerung entfernt, und die entsprechenden Einstellungen setzen diese Richtlinieneinstellung (Änderung der Zertifikatseinstellungen deaktivieren) außer Kraft.

Für die Einstellung Änderung der Zertifikatseinstellungen deaktivieren sind folgende Werte möglich:

Aktiviert
Deaktiviert
Nicht konfiguriert

Vorsicht: Bei Aktivierung dieser Richtlinieneinstellung können Benutzer weiterhin auf eine Datei für Zertifikate von Softwareherausgebern (.spc) doppelklicken und den Import-Assistenten der Zertifikatsverwaltung ausführen. Dieser Assistent bietet den Benutzern die Möglichkeit, in Internet Explorer noch nicht konfigurierte Einstellungen für Zertifikate von Softwareherstellern zu importieren und zu konfigurieren.

Sicherheitsanfälligkeit

Die Benutzer können neue Zertifikate importieren, genehmigte Zertifikate entfernen oder Einstellungen für zuvor konfigurierte Zertifikate ändern. Dies kann dazu führen, dass genehmigte Anwendungen nicht ausgeführt werden bzw. nicht genehmigte Software ausgeführt wird.

Gegenmaßnahme

Setzen Sie die Einstellung Änderung der Zertifikatseinstellungen deaktivieren auf Aktiviert.

Mögliche Auswirkung

Die Benutzer haben keine Möglichkeit, die Zertifikateinstellungen zu ändern.

Änderung der Verbindungseinstellungen deaktivieren

Durch diese Richtlinieneinstellung wird verhindert, dass Benutzer die DFÜ-Einstellungen ändern können. Bei Aktivierung dieser Richtlinieneinstellung ist die Schaltfläche Einstellungen auf der Registerkarte Verbindungen im Dialogfeld Internetoptionen nicht verfügbar. Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, können Benutzer ihre Einstellungen für DFÜ-Verbindungen ändern.

Bei Aktivierung der Einstellung Verbindungsseite deaktivieren (unter \Benutzerkonfiguration\
Administrative Vorlagen\Windows-Komponenten\Internet Explorer\Internetsystemsteuerung) wird die Registerkarte Verbindungen aus dem Dialogfeld Internetoptionen entfernt. In diesem Fall muss diese Richtlinieneinstellung (Änderung der Verbindungseinstellungen deaktivieren) nicht mehr konfiguriert werden.

Für die Einstellung Änderung der Verbindungseinstellungen deaktivieren sind folgende Werte möglich:

Aktiviert
Deaktiviert
Nicht konfiguriert

Sicherheitsanfälligkeit

Die Benutzer können vorhandene Verbindungen ändern, sodass sie nicht mehr in der Lage sind, mit Internet Explorer auf bestimmte oder alle Websites zuzugreifen.

Gegenmaßnahme

Setzen Sie die Einstellung Änderung der Verbindungseinstellungen deaktivieren auf Aktiviert.

Mögliche Auswirkung

Die Benutzer haben keine Möglichkeit, die Verbindungseinstellungen zu ändern.

Änderung der Proxyeinstellungen deaktivieren

Durch diese Richtlinieneinstellung wird verhindert, dass Benutzer die Proxyeinstellungen ändern können. Bei Aktivierung dieser Richtlinieneinstellung werden die Proxyeinstellungen abgeblendet und sind nicht mehr verfügbar. Diese Einstellungen befinden sich im Dialogfeld Einstellungen für lokales Netzwerk (LAN) im Bereich Proxyserver. Das Dialogfeld wird angezeigt, wenn Benutzer im Dialogfeld Internetoptionen auf die Registerkarte Verbindungen und anschließend auf die Schaltfläche Einstellungen klicken.

Bei Aktivierung der Einstellung Verbindungsseite deaktivieren (unter \Benutzerkonfiguration\
Administrative Vorlagen\Windows-Komponenten\Internet Explorer\Internetsystemsteuerung) muss diese Richtlinieneinstellung (Änderung der Proxyeinstellungen deaktivieren) nicht mehr konfiguriert werden, da die Registerkarte Verbindungen durch die Einstellung Verbindungsseite deaktivieren aus dem Dialogfeld Internetoptionen entfernt wird.

Für die Einstellung Änderung der Proxyeinstellungen deaktivieren sind folgende Werte möglich:

Aktiviert
Deaktiviert
Nicht konfiguriert

Sicherheitsanfälligkeit

Die Benutzer können vorhandene Proxyservereinstellungen ändern, sodass sie nicht mehr in der Lage sind, mit Internet Explorer auf bestimmte oder alle Websites zuzugreifen.

Gegenmaßnahme

Setzen Sie die Einstellung Änderung der Proxyeinstellungen deaktivieren auf Aktiviert.

Mögliche Auswirkung

Die Benutzer haben keine Möglichkeit, die Proxyeinstellungen zu ändern.

Assistenten für Internetzugang deaktivieren

Durch diese Richtlinieneinstellung wird festgelegt, ob Benutzer den Assistenten für den Internetzugang (ICW, Internet Connection Wizard) ausführen können. Wenn Sie diese Richtlinieneinstellung aktivieren, wird die Schaltfläche Setup auf der Registerkarte Verbindungen im Dialogfeld Internetoptionen abgeblendet und ist nicht mehr verfügbar. Außerdem werden die Benutzer daran gehindert, den Assistenten auf andere Weise auszuführen, z. B. indem sie auf dem Desktop auf das Symbol Mit dem Internet verbinden klicken oder indem sie auf Start, Programme, Zubehör, Kommunikation und dann auf Assistent für Internetzugang klicken. Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, können Benutzer die Verbindungseinstellungen über den Assistenten für den Internetzugang ändern.

Für die Einstellung Assistenten für Internetzugang deaktivieren sind folgende Werte möglich:

Aktiviert
Deaktiviert
Nicht konfiguriert

Hinweis: Diese Richtlinie überschneidet sich mit der Einstellung Verbindungsseite deaktivieren (unter \Benutzerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Internet Explorer\Internetsystemsteuerung), mit der die Registerkarte Verbindungen aus dem Dialogfeld Internetoptionen entfernt wird. Wenn Sie diese Einstellung verwenden, können Benutzer jedoch weiterhin den Assistenten für den Internetzugang über den Desktop oder das Menü Start ausführen.

Sicherheitsanfälligkeit

Benutzer können den Assistenten für den Internetzugang ausführen und eine neue DFÜ- oder Netzwerkverbindung erstellen, sodass über die neue, nicht verwaltete Verbindung u. U. nicht autorisierte Benutzer auf das Netzwerk der Organisation zugreifen können.

Gegenmaßnahme

Setzen Sie die Einstellung Assistenten für Internetzugang deaktivieren auf Aktiviert.

Mögliche Auswirkung

Benutzer können den Assistenten für den Internetzugang nicht ausführen.

Die Speicherung von Kennwörtern mit AutoVervollständigen nicht zulassen

Durch diese Richtlinieneinstellung wird das automatische Ausfüllen von Benutzernamen und Kennwörtern in Webseitenformularen deaktiviert. Außerdem wird die Anzeige von Benutzeraufforderungen zur Kennwortspeicherung verhindert. Bei Aktivierung dieser Richtlinieneinstellung werden die Kontrollkästchen Benutzernamen und Kennwörter für Formulare und Nachfragen, ob Kennwörter gespeichert werden sollen abgeblendet und sind nicht mehr verfügbar. (Die Benutzer können diese Kontrollkästchen anzeigen, indem sie das Dialogfeld Internetoptionen öffnen, zur die Registerkarte Inhalte wechseln und dann auf die Schaltfläche AutoVervollständigen klicken.) Wenn Sie diese Einstellung deaktivieren oder nicht konfigurieren, können Benutzer festlegen, ob Benutzernamen und Kennwörter auf Formularen von Internet Explorer automatisch vervollständigt werden, und die Benutzer werden gefragt, ob Kennwörter gespeichert werden sollen.

Durch die Einstellung Inhaltsseite deaktivieren (unter \Benutzerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Internet Explorer\Internetsystemsteuerung) wird die Registerkarte Inhalte aus den Internetoptionen in der Systemsteuerung entfernt. Somit hat diese Einstellung Vorrang vor der Einstellung Kennwörter in AutoVervollständigen können nicht gespeichert werden.

Für die Einstellung Kennwörter in AutoVervollständigen können nicht gespeichert werden sind folgende Werte möglich:

Aktiviert
Deaktiviert
Nicht konfiguriert

Sicherheitsanfälligkeit

Zwar ist die Funktion AutoVervollständigen sehr hilfreich, allerdings werden Kennwörter in den Dienst „Geschützter Speicher“ geladen. „Geschützter Speicher“ ist eine sehr sichere Funktion. Die dort gespeicherten Informationen müssen dem Benutzer zur Verfügung stehen, der sie gespeichert hat. Über das Internet sind Tools verfügbar, mit denen der Inhalt des geschützten Speichers eines Benutzers angezeigt werden kann. Diese Tools funktionieren nur, wenn sie von einem Benutzer zur Anzeige seines geschützten Speichers ausgeführt werden. Sie können nicht dazu verwendet werden, den geschützten Speicher oder das Kennwort eines anderen Benutzers anzuzeigen. Ein Benutzer, der unwissentlich eines dieser Tools ausführt, kann dadurch einem Angreifer sein Kennwort offen legen.

Gegenmaßnahme

Setzen Sie die Einstellung Kennwörter in AutoVervollständigen können nicht gespeichert werden auf Aktiviert.

Mögliche Auswirkung

Die Benutzer können die Funktion AutoVervollständigen nicht zum Speichern von Kennwörtern verwenden.

Internetsystemsteuerung

Internetspezifische Einstellungen können über das Internetsystemsteuerungs-Applet verwaltet werden. Die Verfügbarkeit der Applet-Funktionen kann in der Gruppenrichtlinie über den Knoten „Internetsystemsteuerung“ gesteuert werden. Diese Richtlinieneinstellungen können im Gruppenrichtlinienobjekt-Editor in folgendem Verzeichnis konfiguriert werden:

Benutzerkonfiguration\Administrative Vorlagen\Windows-Komponenten\
Internet Explorer\Internetsystemsteuerung

Seite "Erweitert" deaktivieren

Über diese Richtlinieneinstellung wird die Registerkarte Erweitert aus dem Dialogfeld Internetoptionen entfernt. Wenn Sie diese Richtlinieneinstellung aktivieren, können Benutzer die erweiterten Interneteinstellungen (z. B. Sicherheits-, Multimedia- und Druckoptionen) nicht anzeigen oder ändern. Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, können Benutzer diese Einstellungen anzeigen und ändern.

Bei Aktivierung dieser Richtlinieneinstellung muss die Einstellung Einstellungen für die Seite "Erweitert" deaktivieren (unter \Benutzerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Internet Explorer\) nicht mehr aktiviert werden, da die Registerkarte Erweitert aus dem Dialogfeld Internetoptionen entfernt wurde.

Für die Einstellung Seite "Erweitert" deaktivieren sind folgende Werte möglich:

Aktiviert
Deaktiviert
Nicht konfiguriert

Sicherheitsanfälligkeit

Gegenmaßnahme

Setzen Sie die Einstellung Seite "Erweitert" deaktivieren auf Aktiviert.

Mögliche Auswirkung

Benutzer können das Dialogfeld Erweitert nicht anzeigen.

Sicherheitseite deaktivieren

Durch diese Richtlinieneinstellung wird die Registerkarte Sicherheit aus dem Dialogfeld Internetoptionen entfernt. Wenn Sie diese Einstellung aktivieren, können Benutzer die Einstellungen für Sicherheitszonen (z. B. Skripterstellung, Downloads und Benutzerauthentifizierung) nicht anzeigen oder ändern. Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, können Benutzer diese Einstellungen anzeigen und ändern.

Für die Einstellung Sicherheitsseite deaktivieren sind folgende Werte möglich:

Aktiviert
Deaktiviert
Nicht konfiguriert

Bei Konfiguration dieser Einstellung müssen die folgenden Internet Explorer-Einstellungen nicht mehr festgelegt werden, da die Registerkarte „Sicherheit“ aus dem Dialogfeld Internetoptionen entfernt wurde:

Sicherheitszonen: Benutzer können keine Einstellungen ändern
Sicherheitszonen: Benutzer können keine Sites hinzufügen/entfernen

Sicherheitsanfälligkeit

Gegenmaßnahme

Setzen Sie die Einstellung Sicherheitsseite deaktivieren auf Aktiviert.

Mögliche Auswirkung

Die Benutzer können die Seite Sicherheit nicht mehr anzeigen.

Offlineseiten

Internet Explorer kann Seiten herunterladen und zwischenspeichern, damit sie für die Offlineverwendung verfügbar sind. Diese Funktion kann in der Gruppenrichtlinie über den Knoten „Offlineseiten“ gesteuert werden. Diese Richtlinieneinstellungen können im Gruppenrichtlinienobjekt-Editor in folgendem Verzeichnis konfiguriert werden:

Benutzerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Internet Explorer\Offlineseiten

Hinzufügen von Channels deaktivieren

Mit dieser Richtlinieneinstellung können Sie verhindern, dass Benutzer in Internet Explorer Channels hinzufügen. Channels sind Websites, die auf Ihrem Computer nach einem vom Channelanbieter vorgegebenen Zeitplan automatisch aktualisiert werden.

Wenn Sie diese Richtlinieneinstellung aktivieren, wird die Schaltfläche Active Channel hinzufügen deaktiviert, auf die Benutzer klicken, um Channels zu abonnieren. Außerdem können Benutzer dem Desktop keine auf einem Channel basierenden Inhalte hinzufügen, z. B. Active Desktop®-Elemente aus der Microsoft Active Desktop-Galerie. Wenn Sie diese Einstellung deaktivieren oder nicht konfigurieren, können Benutzer der Channelsymbolleiste oder dem Desktop Channels hinzufügen.

Für die Einstellung Hinzufügen von Channels deaktivieren sind folgende Werte möglich:

Aktiviert
Deaktiviert
Nicht konfiguriert

Sicherheitsanfälligkeit

Daten können ohne direktes Eingreifen des Benutzers an den Browser eines Benutzers gesendet werden. Der Browser kann also Webinhalte herunterladen, die nicht direkt vom Benutzer angefordert wurden.

Gegenmaßnahme

Setzen Sie die Einstellung Hinzufügen von Channels deaktivieren auf Aktiviert.

Mögliche Auswirkung

Die Benutzer können keine Channels hinzufügen.

Hinzufügen von Zeitplänen für Offlineseiten deaktivieren

Diese Richtlinieneinstellung ist für Organisationen vorgesehen, in denen die Serverlast begrenzt werden soll. Hiermit können Sie festlegen, ob Benutzer erlauben können, dass Webseiten heruntergeladen und offline angezeigt werden, wenn keine Internetverbindung besteht.

Wenn Sie diese Richtlinieneinstellung aktivieren, können Benutzer keine neuen Zeitpläne für das Herunterladen von Offlineinhalten hinzufügen. Im Dialogfeld Favoriten hinzufügen wird das Kontrollkästchen Offline verfügbar machen abgeblendet und ist nicht mehr verfügbar. Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, können Benutzer neue Zeitpläne für Offlineinhalte hinzufügen. Die Einstellung Menü "Favoriten" ausblenden (unter Benutzerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Internet Explorer) hat Vorrang vor dieser Richtlinieneinstellung.

Für die Einstellung Hinzufügen von Channels deaktivieren sind folgende Werte möglich:

Aktiviert
Deaktiviert
Nicht konfiguriert

Sicherheitsanfälligkeit

Daten können ohne direktes Eingreifen des Benutzers an den Browser eines Benutzers gesendet werden. Der Browser kann also Webinhalte herunterladen, die nicht direkt vom Benutzer angefordert wurden.

Gegenmaßnahme

Setzen Sie die Einstellung Hinzufügen von Zeitplänen für Offlineseiten deaktivieren auf Aktiviert.

Mögliche Auswirkung

Die Benutzer können keine Zeitpläne für Offlineseiten hinzufügen.

Alle geplanten Offlineseiten deaktivieren

Diese Richtlinieneinstellung ist für Organisationen vorgesehen, in denen die Serverlast begrenzt werden soll. Hiermit können Sie derzeit vorhandene Zeitpläne deaktivieren, mit denen Webseiten zur Offlineansicht heruntergeladen werden. Wenn Benutzer Webseiten für die Offlineansicht verfügbar machen, können sie Seiten anzeigen, während sie nicht mit dem Internet verbunden sind.

Bei Aktivierung dieser Richtlinieneinstellung werden im Dialogfeld Eigenschaften der Webseite auf der Registerkarte Zeitplan die Kontrollkästchen für Zeitpläne deaktiviert und können nicht von den Benutzern aktiviert werden. (Zum Anzeigen dieser Registerkarte klicken Benutzer im Menü Extras auf Synchronisieren, wählen eine Webseite aus, klicken auf die Schaltfläche Eigenschaften und schließlich auf die Registerkarte Zeitplan.) Bei Deaktivierung dieser Richtlinieneinstellung können Webseiten gemäß der Zeitpläne aktualisiert werden, die auf der Registerkarte Zeitplan angegeben sind. Die Einstellung Menü "Favoriten" ausblenden (unter Benutzerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Internet Explorer) hat Vorrang vor dieser Einstellung.

Für die Einstellung Hinzufügen von Channels deaktivieren sind folgende Werte möglich:

Aktiviert
Deaktiviert
Nicht konfiguriert

Sicherheitsanfälligkeit

Daten können ohne direktes Eingreifen des Benutzers an den Browser eines Benutzers gesendet werden. Der Browser könnte also Webinhalte herunterladen, die vom Benutzer nicht direkt angefordert wurden.

Gegenmaßnahme

Setzen Sie die Einstellung Alle geplanten Offlineseiten deaktivieren auf Aktiviert.

Mögliche Auswirkung

Die Benutzer können keine geplanten Offlineseiten anzeigen.

Channel-Benutzeroberfläche vollständig deaktivieren

Durch diese Richtlinieneinstellung wird festgelegt, ob Benutzer die Channel-Benutzeroberfläche anzeigen können. Channels sind Websites, die auf einem Benutzercomputer nach einem vom Channelanbieter vorgegebenen Zeitplan automatisch aktualisiert werden.

Wenn Sie diese Richtlinieneinstellung aktivieren, wird die Channel-Benutzeroberfläche deaktiviert. Benutzer können dann nicht mehr im Dialogfeld Anzeigeeigenschaften das Kontrollkästchen Internet Explorer-Channelleiste auf der Registerkarte Web aktivieren. Wenn Sie diese Einstellung deaktivieren oder nicht konfigurieren, können Benutzer Channels über die Channel-Benutzeroberfläche anzeigen und abonnieren.

Für die Einstellung Channel-Benutzeroberfläche vollständig deaktivieren sind folgende Werte möglich:

Aktiviert
Deaktiviert
Nicht konfiguriert

Sicherheitsanfälligkeit

Gegenmaßnahme

Setzen Sie die Einstellung Channel-Benutzeroberfläche vollständig deaktivieren auf Aktiviert.

Mögliche Auswirkung

Die Benutzer haben keinen Zugriff auf die Channel-Benutzeroberfläche.

Download von abonnierten Siteinhalten deaktivieren

Durch diese Richtlinieneinstellung wird festgelegt, ob Benutzer Inhalte von abonnierten Websites herunterladen können. Mit dieser Funktion können Benutzer Webseiten anzeigen, wenn sie offline bzw. nicht mit dem Internet verbunden sind.

Wenn Sie diese Richtlinieneinstellung aktivieren, können Benutzer die abonnierten Websiteinhalte nicht herunterladen. Die Synchronisierung mit den Webseiten findet jedoch weiterhin statt, um festzustellen, ob Inhalte seit der letzten Synchronisierung oder seit dem letzen Besuch der Seite aktualisiert wurden. Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, können Benutzer die Inhalte herunterladen.

Die Einstellungen Download von abonnierten Siteinhalten deaktivieren und Menü "Favoriten" ausblenden (unter Benutzerkonfiguration\Administrative Vorlagen\Windows-Komponenten\
Internet Explorer) setzten diese Richtlinieneinstellung außer Kraft.

Für die Einstellung Download von abonnierten Siteinhalten deaktivieren sind folgende Werte möglich:

Aktiviert
Deaktiviert
Nicht konfiguriert

Sicherheitsanfälligkeit

Daten können ohne direktes Eingreifen des Benutzers an den Browser eines Benutzers gesendet werden. Der Browser kann also Webinhalte herunterladen, die nicht direkt vom Benutzer angefordert wurden.

Gegenmaßnahme

Setzen Sie die Einstellung Download von abonnierten Siteinhalten deaktivieren auf Aktiviert.

Mögliche Auswirkung

Die Benutzer können nicht mehr automatisch Inhalte von abonnierten Websites herunterladen.

Das Bearbeiten und Erstellen von geplanten Gruppen deaktivieren

Durch diese Richtlinieneinstellung wird festgelegt, ob Benutzer Zeitpläne für das Herunterladen von Inhalten hinzufügen, bearbeiten oder entfernen können, damit die von den Benutzern abonnierten Webseiten und Webseitengruppen für die Offlineansicht zur Verfügung stehen. Eine Abonnementgruppe besteht aus einer Favoritenwebseite sowie den mit ihr verknüpften Webseiten.

Wenn Sie diese Richtlinie aktivieren, werden im Dialogfeld Eigenschaften der Webseite auf der Registerkarte Zeitplan die Schaltflächen Hinzufügen, Entfernen und Bearbeiten abgeblendet und sind nicht mehr verfügbar. (Zum Anzeigen dieser Registerkarte klicken Benutzer im Menü Extras auf Synchronisieren, wählen eine Webseite aus, klicken auf die Schaltfläche Eigenschaften und schließlich auf die Registerkarte Zeitplan.) Wenn Sie diese Einstellung deaktivieren oder nicht konfigurieren, können Benutzer Zeitpläne für Websites und Websitegruppen hinzufügen, entfernen und bearbeiten.

Die Einstellungen Bearbeiten von Zeitplänen für Offlineseiten deaktivieren und Menü "Favoriten" ausblenden (unter Benutzerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Internet Explorer) setzten diese Richtlinie außer Kraft.

Für die Einstellung Das Bearbeiten und Erstellen von geplanten Gruppen deaktivieren sind folgende Werte möglich:

Aktiviert
Deaktiviert
Nicht konfiguriert

Sicherheitsanfälligkeit

Daten können ohne direktes Eingreifen des Benutzers an den Browser eines Benutzers gesendet werden. Der Browser kann also Webinhalte herunterladen, die nicht direkt vom Benutzer angefordert wurden.

Gegenmaßnahme

Setzen Sie die Einstellung Das Bearbeiten und Erstellen von geplanten Gruppen deaktivieren auf Aktiviert.

Mögliche Auswirkung

Benutzer können keine Zeitpläne für das Herunterladen von Webseiteninhalten hinzufügen, bearbeiten oder entfernen, durch die die Inhalte für die Offlineansicht verfügbar gemacht werden.

Bearbeiten von Zeitplänen für Offlineseiten deaktivieren

Diese Richtlinieneinstellung ist für Organisationen vorgesehen, in denen die Serverlast begrenzt werden soll. Hiermit wird gesteuert, ob die Benutzer bereits vorhandene Zeitpläne für das Herunterladen von Webseiten bearbeiten können, durch die diese Seiten für die Offlineansicht (keine Internetverbindung) verfügbar gemacht werden.

Wenn Sie diese Richtlinieneinstellung aktivieren, können Benutzer die Zeitplaneigenschaften der für die Offlineansicht bestimmten Seiten nicht anzeigen. Wenn Benutzer im Menü Extras auf Synchronisieren klicken, eine Webseite auswählen und dann auf die Schaltfläche Eigenschaften klicken, werden keine Eigenschaften angezeigt. Es wird auch keine Warnmeldung angezeigt, dass die Option nicht verfügbar ist. Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, können Benutzer bereits vorhandene Zeitpläne zum Herunterladen von Webinhalten bearbeiten, durch die die Inhalte für die Offlineansicht verfügbar gemacht werden.

Die Einstellung Menü "Favoriten" ausblenden (unter Benutzerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Internet Explorer) hat Vorrang vor dieser Richtlinieneinstellung.

Für die Einstellung Bearbeiten von Zeitplänen für Offlineseiten deaktivieren sind folgende Werte möglich:

Aktiviert
Deaktiviert
Nicht konfiguriert

Sicherheitsanfälligkeit

Daten können ohne direktes Eingreifen des Benutzers an den Browser eines Benutzers gesendet werden. Der Browser kann also Webinhalte herunterladen, die nicht direkt vom Benutzer angefordert wurden.

Gegenmaßnahme

Setzen Sie die Einstellung Bearbeiten von Zeitplänen für Offlineseiten deaktivieren auf Aktiviert.

Mögliche Auswirkung

Die Benutzer können die Zeitpläne zur Steuerung des Herunterladens von Webseiteninhalten nicht bearbeiten, durch die die Inhalte für die Offlineansicht verfügbar gemacht werden.

Trefferprotokollierung für Offlineseiten deaktivieren

Durch diese Richtlinieneinstellung wird festgelegt, ob Channelanbieter Informationen dazu speichern können, wann ihre Channelseiten von den Offlinebenutzern angezeigt werden.

Wenn Sie diese Richtlinieneinstellung aktivieren, werden alle Channelprotokollierungseinstellungen deaktiviert, die von Channelanbietern in der Channeldefinitionsformat-Datei (.cdf) konfiguriert wurden. Mit der CDF-Datei werden der Zeitplan und andere Einstellungen für das Herunterladen von Webinhalten festgelegt. Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, können die Channelanbieter Informationen dazu speichern, wann ihre Channelseiten von den Offlinebenutzern angezeigt werden.

Für die Einstellung Trefferprotokollierung für Offlineseiten deaktivieren sind folgende Werte möglich:

Aktiviert
Deaktiviert
Nicht konfiguriert

Sicherheitsanfälligkeit

Daten können ohne direktes Eingreifen des Benutzers an den Browser eines Benutzers gesendet werden. Der Browser kann also Webinhalte herunterladen, die nicht direkt vom Benutzer angefordert wurden.

Gegenmaßnahme

Setzen Sie die Einstellung Trefferprotokollierung für Offlineseiten deaktivieren auf Aktiviert.

Mögliche Auswirkung

Seitentreffer von Benutzern, die offline auf Inhalte zugreifen, werden nicht zu der Website weitergeleitet, wenn die Benutzer wieder online sind.

Entfernen von Channels deaktivieren

Mit dieser Richtlinieneinstellung kann der Administrator die einheitliche Aktualisierung aller Benutzercomputer in der Organisation sicherstellen. Durch sie wird festgelegt, ob Benutzer die Channelsynchronisierung in Internet Explorer deaktivieren können. Channels sind Websites, die auf dem Computer nach einem vom Channelanbieter vorgegebenen Zeitplan automatisch aktualisiert werden.

Wenn Sie diese Richtlinieneinstellung aktivieren, können Benutzer die Channelsynchronisierung nicht beeinflussen. Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, können Benutzer die Channelsynchronisierung deaktivieren.

Für die Einstellung Entfernen von Channels deaktivieren sind folgende Werte möglich:

Aktiviert
Deaktiviert
Nicht konfiguriert

Hinweis: Durch diese Richtlinieneinstellung wird nicht verhindert, dass die Benutzer aktive Inhalte vom Desktop entfernen können.

Sicherheitsanfälligkeit

Daten können ohne direktes Eingreifen des Benutzers an den Browser eines Benutzers gesendet werden. Der Browser kann also Webinhalte herunterladen, die nicht direkt vom Benutzer angefordert wurden.

Gegenmaßnahme

Setzen Sie die Einstellung Entfernen von Channels deaktivieren auf Aktiviert.

Mögliche Auswirkung

Die Benutzer können keine Channels entfernen und die Channelsynchronisierung nicht verhindern.

Entfernen von Zeitplänen für Offlineseiten deaktivieren

Diese Richtlinieneinstellung ist für Organisationen vorgesehen, in denen die Serverlast begrenzt werden soll. Hiermit wird festgelegt, ob Benutzer vorkonfigurierte Einstellungsbeschränkungen für das Herunterladen von Webseiten löschen können, durch das die Seiten für die Offlineansicht (keine Internetverbindung) verfügbar gemacht werden.

Wenn Sie diese Richtlinieneinstellung aktivieren, werden das Kontrollkästchen Offline verfügbar machen im Dialogfeld Favoriten verwalten und das Kontrollkästchen Diese Seite offline verfügbar machen abgeblendet und sind nicht mehr verfügbar (obwohl sie aktiviert bleiben). (Klicken Sie im Menü Extras auf Synchronisieren, und klicken Sie dann auf Eigenschaften, um das Kontrollkästchen Diese Seite offline verfügbar machen anzuzeigen.) Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, können Benutzer vorkonfigurierte Einstellungsbeschränkungen für das Herunterladen von Webseiten löschen, durch das die Seiten für die Offlineansicht verfügbar gemacht werden.

Die Einstellung Menü "Favoriten" ausblenden (unter Benutzerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Internet Explorer) hat Vorrang vor dieser Einstellung.

Für die Einstellung Entfernen von Zeitplänen für Offlineseiten deaktivieren sind folgende Werte möglich:

Aktiviert
Deaktiviert
Nicht konfiguriert

Sicherheitsanfälligkeit

Daten können ohne direktes Eingreifen des Benutzers an den Browser eines Benutzers gesendet werden. Der Browser kann also Webinhalte herunterladen, die nicht direkt vom Benutzer angefordert wurden.

Gegenmaßnahme

Setzen Sie die Einstellung Entfernen von Zeitplänen für Offlineseiten deaktivieren auf Aktiviert.

Mögliche Auswirkung

Die Benutzer können keine Zeitpläne für Offlineseiten entfernen.

Browser-Menüs

Einzelne Funktionen im Internet Explorer-Menüsystem können in der Gruppenrichtlinie über den Knoten „Browser-Menüs“ aktiviert bzw. deaktiviert werden. Diese Richtlinieneinstellungen können im Gruppenrichtlinienobjekt-Editor in folgendem Verzeichnis konfiguriert werden:

Benutzerkonfiguration\Administrative Vorlagen\Windows-Komponenten\
Internet Explorer\Browser-Menüs

Option "Das Programm speichern" deaktivieren

Wenn Sie diese Richtlinieneinstellung aktivieren, können Benutzer keine Programmdateien herunterladen, indem sie auf die Schaltfläche Das Programm speichern klicken. Die Benutzer werden darüber informiert, dass dieser Befehl nicht verfügbar ist. Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, können Benutzer Programme über ihren Browser herunterladen.

Für die Einstellung Option "Das Programm speichern" deaktivieren sind folgende Werte möglich:

Aktiviert
Deaktiviert
Nicht konfiguriert

Sicherheitsanfälligkeit

Die Benutzer können schädlichen Code von Websites herunterladen und ausführen.

Gegenmaßnahme

Setzen Sie die Einstellung Option "Das Programm speichern" deaktivieren auf Aktiviert.

Mögliche Auswirkung

Benutzer können keine Programmdateien herunterladen, indem sie auf die Schaltfläche Das Programm speichern klicken.

Dauerhaftigkeitsverhalten

Die Einstellungen oder Daten von DHTML-Objekten (dynamische HTML-Objekte) können in Internet Explorer gespeichert werden. Diese Funktion wird als Dauerhaftigkeit bezeichnet. Formulardaten, Stilvarianten, Statusangaben und Skriptvariablen können im Speicherstream der aktuellen Sitzung, in der Favoritenliste, in HTML oder in XML dauerhaft beibehalten werden. Die vier DHTML-Dauerhaftigkeitsverhaltensweisen sind saveFavorite, saveHistory, saveSnapshot und userData. Mit dieser Funktion können Sie in Internet Explorer für die einzelnen Sicherheitszonen festlegen, welche Datenmengen Anwendungen bei Verwendung dieser Funktion speichern können.

Für die Einstellung Dauerhaftigkeitsverhalten sind folgende Werte möglich:

Aktiviert
- Pro Domäne (in Kilobyte). Durch diese Konfiguration wird festgelegt, welche Gesamtdatenmenge von den Skripts gespeichert werden kann, die mit einer bestimmten Domäne verknüpft sind.
- Pro Dokument (in Kilobyte). Durch diese Konfiguration wird festgelegt, welche Gesamtdatenmenge von DHTML-Konstrukten für eine bestimmte Webseite gespeichert werden kann.
Deaktiviert
Nicht konfiguriert

Sicherheitsanfälligkeit

Eine schädliche Webseite kann auf einem Zielcomputer heimlich schädliche Daten oder übergroße Datenmengen speichern.

Gegenmaßnahme

Legen Sie für die Internetzone und die Zone „Eingeschränkte Sites“ die sicherheitszonenspezifische Größenbeschränkungen fest.

Mögliche Auswirkung

Keine.

Anlagen-Manager

Unter Windows Server 2003 SP1 und Windows XP SP2 wird durch den neuen Dienst „Anlagen-Manager“ ein einheitlicher Satz an Verhaltensweisen für Dateianhänge in E-Mail-Nachrichten und Webseiten bereitgestellt. Durch den Anlagen-Manager wird ein einheitlicher Satz an Aufforderungen implementiert, die für Dateidownloads, E-Mail-Anlagen, Shellprozessausführung und Programminstallation verwendet werden. Die Aufforderungen wurden überarbeitet und sind daher klarer und einheitlicher als in Vorgängerversionen von Windows. Darüber hinaus werden vor dem Öffnen eines signierbaren Dateityps, der möglicherweise Probleme auf dem Computer verursacht, die Herausgeberinformationen angezeigt. (Beispiele für häufig verwendete signierbare Dateien, die den Computer beeinträchtigen können, sind EXE-, DLL-, OCX-, MSI- und CAB-Dateien.) Der Anlagen-Manager enthält eine neue API (Application Programming Interface), die Anwendungsentwicklern die Verwendung dieser neuen Benutzerschnittstelle ermöglicht.

Durch den Anlagen-Manager werden empfangene oder heruntergeladene Dateien nach Dateityp und Dateinamenerweiterung klassifiziert. Dateien werden durch den Dienst in drei Kategorien eingestuft: Hohes Risiko, Mittleres Risiko und Niedriges Risiko. Wenn die Dateien von einem Programm, das den Anlagen-Manager verwendet, auf der Festplatte gespeichert werden, werden in der Datei auch die Webinhalt-Zoneninformationen für die Datei gespeichert. Wenn Sie z. B. eine komprimierte Datei (.zip) speichern, die an eine E-Mail-Nachricht angehängt ist, werden auch die Webinhalt-Zoneninformationen gespeichert, und die Extrahierung von Inhalten aus der komprimierten Datei ist nicht möglich.

Hinweis: Die Webinhalt-Zoneninformationen werden nur zusammen mit den Dateien gespeichert, wenn der Computer das NTFS-Dateisystem verwendet.

Dateien werden durch den Anlagen-Manager in folgende drei Kategorien eingestuft:

Hohes Risiko. Falls der Anhang in der Liste der Dateitypen mit hohem Risiko aufgeführt ist und aus der eingeschränkten Zone stammt, blockiert Windows den Benutzerzugriff auf die Datei. Falls die Datei aus der Internetzone stammt, wird der Benutzer zum Bestätigen aufgefordert, bevor er auf die Datei zugreifen kann.
Mittleres Risiko. Falls der Anhang in der Liste der Dateitypen mit mittlerem Risiko aufgeführt ist und aus einer eingeschränkten Zone oder der Internetzone stammt, wird der Benutzer zum Bestätigen aufgefordert, bevor er auf die Datei zugreifen kann.
Niedriges Risiko. Falls der Anhang in der Liste der Dateitypen mit niedrigem Risiko aufgeführt ist, wird der Benutzer nicht zum Bestätigen aufgefordert, bevor er auf die Datei zugreifen kann, unabhängig von der Zoneninformation der Datei.

Diese Richtlinieneinstellungen können im Gruppenrichtlinienobjekt-Editor in folgendem Verzeichnis konfiguriert werden:

Benutzerkonfiguration\Administrative Vorlagen\Windows-Komponenten\
Anlagen-Manager

Standardrisikostufe für Dateianlagen

Mit dieser Richtlinieneinstellung können Sie die Standardrisikostufe für Dateitypen verwalten. Um die Risikostufe für Dateianlagen vollständig anzupassen, müssen Sie u. U. auch die Vertrauenslogik für Dateianlagen konfigurieren. Wenn Sie diese Richtlinieneinstellung aktivieren, können Sie die Standardrisikostufe für Dateitypen angeben, die nicht explizit in den Listen der Dateitypen mit hohem, mittlerem oder niedrigem Risiko aufgeführt sind. Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, legt Windows als Standard die mittlere Risikostufe fest.

Für die Einstellung Standardrisikostufe für Dateianlagen sind folgende Werte möglich:

Aktiviert mit folgenden Konfigurationsoptionen für die Standardrisikostufe:
- Hohes Risiko
- Mittleres Risiko
- Niedriges Risiko
Deaktiviert
Nicht konfiguriert

Sicherheitsanfälligkeit

Ein Angreifer kann schädlichen Code tarnen und Benutzer zur Ausführung des Codes verleiten.

Gegenmaßnahme

Setzen Sie die Einstellung Standardrisikostufe für Dateianlagen auf Aktiviert: Mittleres Risiko.

Mögliche Auswirkung

Benutzer müssen erst den Sicherheitsaufforderungen nachkommen, bevor Sie auf eine Datei mit einem Dateityp zugreifen können, der nicht explizit in der Liste der Dateitypen mit niedrigem Risiko aufgeführt ist.

Aufnahmeliste für Dateitypen mit hohem Risiko

Mit dieser Richtlinieneinstellung können Sie die Liste der Dateitypen mit hohem Risiko konfigurieren. Falls der Dateianhang in der Liste der Dateitypen mit hohem Risiko aufgeführt ist und aus der eingeschränkten Zone stammt, blockiert Windows den Benutzerzugriff auf die Datei. Falls die Datei aus der Internetzone stammt, wird der Benutzer zum Bestätigen aufgefordert, bevor er auf die Datei zugreifen kann. Diese Aufnahmeliste hat Vorrang vor den Aufnahmelisten für mittleres und niedriges Risiko, wenn eine Erweiterung in mehreren Aufnahmelisten aufgeführt ist. Wenn Sie diese Richtlinieneinstellung aktivieren, können Sie eine benutzerdefinierte Liste der Dateitypen mit hohem Risiko erstellen. Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, verwendet Windows eine systemeigene vordefinierte Liste der Dateitypen mit hohem Risiko.

Für die Einstellung Aufnahmeliste für Dateitypen mit hohem Risiko sind folgende Werte möglich:

Aktiviert (ermöglicht die Angabe einer kommagetrennten Liste der Dateierweiterungen)
Deaktiviert
Nicht konfiguriert

Sicherheitsanfälligkeit

Hierbei besteht die Möglichkeit, dass Benutzer eine Datei mit hohem Risiko versehentlich öffnen und ihren sowie andere Computer im Netzwerk gefährden.

Gegenmaßnahme

Setzen Sie die Einstellung Aufnahmeliste für Dateitypen mit hohem Risiko auf Aktiviert, und geben Sie die zusätzlichen Dateitypen an, die überwacht werden sollen.

Mögliche Auswirkung

Wenn ein Dateityp in mehreren Aufnahmelisten aufgeführt wird, gilt die Liste mit den meisten Einschränkungen. Bei Definition eines Wertes für diese Einstellung wird die vordefinierte Windows-Aufnahmeliste der Dateitypen mit hohem Risiko außer Kraft gesetzt.

Aufnahmeliste für Dateitypen mit mittlerem Risiko

Mit dieser Richtlinieneinstellung können Sie die Liste der Dateitypen mit mittlerem Risiko konfigurieren. Falls der Anhang in der Liste der Dateitypen mit mittlerem Risiko aufgeführt ist und aus einer eingeschränkten Zone oder der Internetzone stammt, wird der Benutzer zum Bestätigen aufgefordert, bevor er auf die Datei zugreifen kann. Diese Aufnahmeliste setzt die vordefinierte Liste der Dateitypen mit potenziell hohem Risiko außer Kraft und hat Vorrang vor der Aufnahmeliste für niedriges Risiko. Sie hat jedoch keinen Vorrang vor der Aufnahmeliste für hohes Risiko. Wenn Sie diese Richtlinieneinstellung aktivieren, können Sie die Dateitypen angeben, die ein mittleres Risiko darstellen. Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, wird die Standardvertrauenslogik von Windows verwendet.

Für die Einstellung Aufnahmeliste für Dateitypen mit mittlerem Risiko sind folgende Werte möglich:

Aktiviert (ermöglicht die Angabe einer kommagetrennten Liste der Dateierweiterungen)
Deaktiviert
Nicht konfiguriert

Sicherheitsanfälligkeit

Hierbei besteht die Möglichkeit, dass Benutzer eine Datei mit hohem Risiko versehentlich öffnen und ihren sowie andere Computer im Netzwerk gefährden.

Gegenmaßnahme

Setzen Sie die Einstellung Aufnahmeliste für Dateitypen mit mittlerem Risiko auf Aktiviert, und geben Sie die zusätzlichen Dateitypen an, die überwacht werden sollen.

Mögliche Auswirkung

Wenn ein Dateityp in mehreren Aufnahmelisten aufgeführt wird, gilt die Liste mit den meisten Einschränkungen. Bei Definition eines Wertes für diese Richtlinieneinstellung wird die vordefinierte Windows-Aufnahmeliste der Dateitypen mit mittlerem Risiko außer Kraft gesetzt. Bevor Sie einen Dateityp mit hohem Risiko (z. B. EXE-Dateien) in die Aufnahmeliste für mittleres Risiko verschieben, sollten Sie die möglichen Konsequenzen sorgfältig abwägen, da eine solche Einstellung die Ausführung von potenziell gefährlichen Dateien erleichtert.

Aufnahmeliste für Dateitypen mit niedrigem Risiko

Mit dieser Richtlinieneinstellung können Sie die Liste der Dateitypen mit niedrigem Risiko konfigurieren. Falls der Anhang in der Liste der Dateitypen mit niedrigem Risiko aufgeführt ist, wird der Benutzer nicht zum Bestätigen aufgefordert, bevor er auf die Datei zugreifen kann, unabhängig von der Zoneninformation der Datei. Diese Aufnahmeliste setzt die vordefinierte Liste der Dateitypen mit hohem Risiko außer Kraft, sie hat jedoch keinen Vorrang vor den Aufnahmelisten für hohes und mittleres Risiko. Wenn Sie diese Richtlinieneinstellung aktivieren, können Sie die Dateitypen angeben, die ein niedriges Risiko darstellen. Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, wird die Standardvertrauenslogik von Windows verwendet.

Für die Einstellung Aufnahmeliste für Dateitypen mit niedrigem Risiko sind folgende Werte möglich:

Aktiviert (ermöglicht die Angabe einer kommagetrennten Liste der Dateierweiterungen)
Deaktiviert
Nicht konfiguriert

Sicherheitsanfälligkeit

Hierbei besteht die Möglichkeit, dass Benutzer einen Dateityp mit hohem Risiko versehentlich öffnen und ihren sowie andere Computer im Netzwerk gefährden.

Gegenmaßnahme

Setzen Sie die Einstellung Aufnahmeliste für Dateitypen mit mittlerem Risiko auf Aktiviert, und geben Sie die zusätzlichen Dateitypen an, die überwacht werden sollen.

Mögliche Auswirkung

Wenn ein Dateityp in mehreren Aufnahmelisten aufgeführt wird, gilt die Liste mit den meisten Einschränkungen. Bei Definition eines Wertes für diese Richtlinieneinstellung wird die vordefinierte Windows-Aufnahmeliste der Dateitypen mit niedrigem Risiko außer Kraft gesetzt. Bevor Sie einen Dateityp mit hohem Risiko (z. B. EXE-Dateien) in die Aufnahmeliste für niedriges Risiko verschieben, sollten Sie die möglichen Konsequenzen sorgfältig abwägen, da eine solche Einstellung die Ausführung von potenziell gefährlichen Dateien erleichtert.

Vertrauenslogik für Dateianlagen

Mit dieser Richtlinieneinstellung können Sie die von Windows verwendete Logik konfigurieren, mit der das Risiko für Dateianlagen ermittelt wird. Wenn Sie diese Richtlinieneinstellung aktivieren, können Sie die Reihenfolge auswählen, in der Windows die Risikobewertungsdaten verarbeitet. Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, wird die Standardvertrauenslogik von Windows verwendet. Bei dieser Logik wird der Dateihandler dem Dateityp vorgezogen.

Für die Einstellung Vertrauenslogik für Dateianlagen sind folgende Werte möglich:

Aktiviert mit folgenden Optionen:
- Dateihandler und -typ überprüfen. Bei Aktivierung dieser Option verwendet Windows die Daten zu Dateihandler oder Dateityp, je nachdem, welche Daten die meisten Einschränkungen enthalten.
- Dateihandler bevorzugen. Bei Aktivierung dieser Option vertraut Windows unabhängig vom Dateityp immer dem Dateihandler (z. B. Notepad.exe).
- Dateityp bevorzugen. Bei Aktivierung dieser Option vertraut Windows unabhängig vom Dateihandler immer dem Dateityp.
Deaktiviert
Nicht konfiguriert

Sicherheitsanfälligkeit

Ein Angreifer kann eine Datei erstellen, um eine Sicherheitsanfälligkeit in einem bestimmten Dateihandler auszunutzen.

Gegenmaßnahme

Setzen Sie die Einstellung Vertrauenslogik für Dateianlagen auf Aktiviert: Dateihandler und -typ überprüfen.

Mögliche Auswirkung

Wenn Sie die Einstellung Vertrauenslogik für Dateianlagen konfigurieren, um sowohl den Dateihandler als auch den Dateityp zu verwenden, wird eine höhere Anzahl von Anlagen-Sicherheitsaufforderungen für die Benutzer angezeigt, da Windows bei Anlagen-Sicherheitsentscheidungen immer nach der Option mit den meisten Einschränkungen sucht.

Zoneninformationen nicht in Dateianhängen aufbewahren

Mit dieser Richtlinieneinstellung können Sie festlegen, ob Windows Dateianhänge mit Informationen zur Ursprungszone (z. B. eingeschränkt, Internet, Intranet oder lokal) kennzeichnet. Die Einstellung erfordert ein ordnungsgemäßes Funktionieren von NTFS und schlägt auf einem FAT32-Dateisystem ohne vorherige Ankündigung fehl. Wenn die Zoneninformationen nicht aufbewahrt werden, kann Windows keine geeigneten Risikoanalysen durchführen. Wenn Sie diese Richtlinieneinstellung aktivieren, werden die Dateianhänge nicht von Windows mit den entsprechenden Zoneninformationen gekennzeichnet. Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, werden die Dateianhänge von Windows mit den entsprechenden Zoneninformationen gekennzeichnet.

Für die Einstellung Zoneninformationen nicht in Dateianhängen aufbewahren sind folgende Werte möglich:

Aktiviert
Deaktiviert
Nicht konfiguriert

Sicherheitsanfälligkeit

Eine Datei, die von einem Computer im Internet oder in der Zone „Eingeschränkte Sites“ heruntergeladen wird, kann in ein Verzeichnis verschoben werden, das die Datei sicher erscheinen lässt (z. B. eine Intranetdateifreigabe), und von einem ahnungslosen Benutzer ausgeführt werden.

Gegenmaßnahme

Setzen Sie die Einstellung Zoneninformationen nicht in Dateianhängen aufbewahren auf Aktiviert.

Mögliche Auswirkung

Keine.

Mechanismen zum Entfernen von Zoneninformationen ausblenden

Durch diese Richtlinieneinstellung wird festgelegt, ob Benutzer manuell Zoneninformationen von gespeicherten Dateianlagen entfernen können. Normalerweise können sie auf der Seite Eigenschaften der Datei auf die Schaltfläche Zulassen klicken oder ein Kontrollkästchen im Dialogfeld Sicherheitswarnung verwenden. Wenn die Zoneninformationen entfernt werden können, besteht die Möglichkeit, dass Benutzer potenziell gefährliche Dateianlagen öffnen, die Windows zuvor blockiert hat. Wenn Sie diese Richtlinieneinstellung aktivieren, werden das Kontrollkästchen und die Schaltfläche Zulassen in Windows ausgeblendet. Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, werden das Kontrollkästchen und die Schaltfläche Zulassen in Windows angezeigt.

Für die Einstellung Mechanismen zum Entfernen von Zoneninformationen ausblenden sind folgende Werte möglich:

Aktiviert
Deaktiviert
Nicht konfiguriert

Sicherheitsanfälligkeit

Ein Benutzer kann Informationen entfernen, die anzeigen, dass eine Datei aus einem nicht vertrauenswürdigen Verzeichnis stammt.

Gegenmaßnahme

Setzen Sie die Einstellung Mechanismen zum Entfernen von Zoneninformationen ausblenden auf Aktiviert.

Mögliche Auswirkung

Benutzer, die einen berechtigten Grund haben, die Zoneninformationen aus den Dateien zu entfernen, werden an diesem Vorgehen gehindert.

Beim Öffnen von Anhängen Antivirusprogramme benachrichtigen

Mit dieser Richtlinieneinstellung können Sie festlegen, wie registrierte Antivirusprogramme beim Öffnen von Anhängen benachrichtigt werden sollen. Wenn mehrere Programme registriert sind, werden alle Programme benachrichtigt. Zusätzliche Aufrufe werden überflüssig, falls das registrierte Antivirenprogramm für die Dateien bereits bei Eingang auf dem E-Mail-Server des Computers Zugriffsüberprüfungen oder Scanvorgänge durchführt. Wenn Sie diese Richtlinieneinstellung aktivieren, ruft Windows die registrierten Antivirusprogramme auf, damit alle Dateianhänge gescannt werden, bevor der Benutzer sie öffnet. Bei Fehlschlagen des Antivirusprogramms wird der Anhang gesperrt, damit er nicht geöffnet werden kann. Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, ruft Windows beim Öffnen von Anhängen keine registrierten Antivirusprogramme auf.

Für die Einstellung Beim Öffnen von Anhängen Antivirusprogramme benachrichtigen sind folgende Werte möglich:

Aktiviert
Deaktiviert
Nicht konfiguriert

Sicherheitsanfälligkeit

Antivirusprogramme, die keine Überprüfungen beim Zugriff durchführen, können die heruntergeladenen Dateien u. U. nicht scannen.

Gegenmaßnahme

Setzen Sie die Einstellung Beim Öffnen von Anhängen Antivirusprogramme benachrichtigen auf Aktiviert.

Mögliche Auswirkung

Wird die Einstellung Beim Öffnen von Anhängen Antivirusprogramme benachrichtigen auf Aktiviert gesetzt, werden alle vom Benutzer geöffneten Dateien oder E-Mail-Anhänge gescannt.

Windows Explorer

Windows Explorer wird auf Windows XP Professional-Clients zur Navigation durch das Dateisystem verwendet.

Die empfohlenen Windows Explorer-Benutzereinstellungen können im Gruppenrichtlinienobjekt-Editor in folgendem Verzeichnis konfiguriert werden:

Benutzerkonfiguration\Administrative Vorlagen\Windows-Komponenten\
Windows Explorer

CD-Brennfunktionen entfernen

Durch diese Richtlinieneinstellung werden die vordefinierten CD-Brennfunktionen in Windows XP entfernt. Windows XP ermöglicht es Ihnen, wiederbeschreibbare CDs zu erstellen und zu ändern, wenn an Ihren Computer ein CD-Brenner angeschlossen ist. Mit dieser Funktion können Sie große Datenmengen von einer Festplatte auf eine CD kopieren, die anschließend aus dem Computer entfernt werden kann.

Hinweis: Durch diese Richtlinieneinstellung wird nicht verhindert, dass Anwendungen von Drittanbietern CDs mit einem CD-Brenner erstellen oder ändern können. In diesem Handbuch wird empfohlen, Anwendungen von Drittanbietern über Richtlinien für Softwareeinschränkungen an der Erstellung oder Änderung von CDs zu hindern. Weitere Informationen finden Sie in Kapitel 6, „Richtlinie für Softwareeinschränkungen auf Windows XP-Clients“.

Eine weitere Möglichkeit, Benutzer am Brennen von CDs zu hindern, besteht darin, die CD-Brenner aus den Clientcomputern Ihrer Umgebung zu entfernen oder sie durch normale CD-ROM-Laufwerke (ohne Schreibzugriff) zu ersetzen.

Sicherheitsanfälligkeit

Die vordefinierten CD-Brennfunktionen können verwendet werden, um die im Computer oder Netzwerk gespeicherten Informationen heimlich zu kopieren.

Gegenmaßnahme

Setzen Sie die Einstellung CD-Brennfunktionen entfernen auf Aktiviert.

Mögliche Auswirkung

Wird die Einstellung CD-Brennfunktionen entfernen auf Aktiviert gesetzt, können keine Daten auf CDs geschrieben werden, es sei denn, es werden Anwendungen von Drittanbietern verwendet.

Registerkarte "Sicherheit" entfernen

Durch diese Richtlinieneinstellung wird in Windows Explorer die Registerkarte Sicherheit in den Eigenschaftendialogfeldern für Dateien und Verzeichnisse deaktiviert. Bei Aktivierung dieser Richtlinieneinstellung werden Benutzer nach dem Öffnen des Dialogfelds Eigenschaften bei allen Dateisystemobjekten (z. B. Ordner, Dateien, Verknüpfungen und Laufwerke) am Zugriff auf die Registerkarte Sicherheit gehindert. Benutzer können weder die Einstellungen auf der Registerkarte Sicherheit ändern noch die Benutzerliste anzeigen.

Sicherheitsanfälligkeit

Benutzer können auf die Registerkarte Sicherheit zugreifen, um festzustellen, welche Konten über Berechtigungen für ein beliebiges Dateisystemobjekt verfügen. Angreifer können diese Konten angreifen, um ihre Zugriffsberechtigungen zu erhöhen.

Gegenmaßnahme

Setzen Sie die Einstellung Registerkarte "Sicherheit" entfernen auf Aktiviert.

Mögliche Auswirkung

Wird die Einstellung Registerkarte "Sicherheit" entfernen auf Aktiviert gesetzt, können Benutzer die Registerkarte Sicherheit für Dateisystemobjekte nicht anzeigen, keine Berechtigungen überprüfen und keine Berechtigungsänderungen über Windows Explorer vornehmen.

System

Die empfohlene System-Benutzereinstellung kann im Gruppenrichtlinienobjekt-Editor in folgendem Verzeichnis konfiguriert werden:

Benutzerkonfiguration\Administrative Vorlagen\System

Zugriff auf Programme zum Bearbeiten der Registrierung verhindern

Durch diese Richtlinieneinstellung werden die Registrierungs-Editoren von Windows, REGEDIT.EXE und REGEDT32.EXE, deaktiviert. Bei Aktivierung dieser Einstellung wird der Benutzer beim Starten eines Registrierungs-Editors in einer Meldung darüber informiert, dass er keinen dieser Editoren verwenden kann. Diese Richtlinieneinstellung verweigert Benutzern und Eindringlingen den Registrierungszugriff über diese Programme. Sie verhindert jedoch nicht den Zugriff auf die Registrierung an sich.

Sicherheitsanfälligkeit

Benutzer können versuchen, mithilfe von Programmen zum Bearbeiten der Registrierung andere Einschränkungen und Richtlinien zu umgehen. Obwohl viele der Einstellungen, die über Gruppenrichtlinien angewendet werden, nicht auf diese Weise umgangen werden können, ist die Umgehung bei direkt auf die Registrierung angewendeten Einstellungen möglich.

Gegenmaßnahme

Setzen Sie die Einstellung Zugriff auf Programme zum Bearbeiten der Registrierung verhindern auf Aktiviert.

Mögliche Auswirkung

Wird die Einstellung Zugriff auf Programme zum Bearbeiten der Registrierung verhindern auf Aktiviert gesetzt, können die Benutzer Regedit.exe oder Regedt32.exe nicht starten, um Änderungen an der Registrierung vorzunehmen.

System\Energieverwaltung

Die empfohlene Benutzereinstellung System\Energieverwaltung kann im Gruppenrichtlinienobjekt-Editor in folgendem Verzeichnis konfiguriert werden:

Benutzerkonfiguration\Administrative Vorlagen\System\Energieverwaltung

Kennworteingabe bei der Wiederaufnahme aus dem Ruhezustand bzw. Standbymodus

Durch diese Richtlinieneinstellung wird festgelegt, ob Clientcomputer in der Umgebung gesperrt werden, wenn sie aus dem Ruhezustand oder Standbymodus zurückkehren. Wenn Sie diese Einstellung aktivieren, werden Clientcomputer bei Wiederaufnahme des Betriebs gesperrt, und die Benutzer müssen ihr Kennwort eingeben, um die Sperrung aufzuheben. Wenn Sie diese Einstellung deaktivieren oder nicht konfigurieren, bestehen schwerwiegende Sicherheitsrisiken, da nach der Wiederaufnahme des Betriebs jede beliebige Person auf die Clientcomputer zugreifen kann.

Bildschirmschonereinstellungen

Bildschirmschoner wurden ursprünglich entwickelt, um Computermonitore mit Kathodenstrahlröhren vor dem Einbrennen von Bildern in die Bildschirmfläche zu schützen. Inzwischen stellen sie eine weitere Möglichkeit dar, das Erscheinungsbild und Verhalten des virtuellen Desktops eines Computers anzupassen. Bildschirmschoner, die den Desktop automatisch sperren, wurden darüber hinaus zu einem Sicherheitstool entwickelt. Durch sie können unbeaufsichtigte Endbenutzercomputer zusätzlich geschützt werden, für den Fall dass Benutzer beim Verlassen des Computers vergessen, die Konsole zu sperren.

Die empfohlenen Bildschirmschonereinstellungen können im Gruppenrichtlinienobjekt-Editor in folgendem Verzeichnis konfiguriert werden:

Benutzerkonfiguration\Administrative Vorlagen\Systemsteuerung\Anzeige

Registerkarte "Bildschirmschoner" ausblenden

Durch diese Richtlinieneinstellung wird festgelegt, ob Benutzer einen Bildschirmschoner auf dem Computer hinzufügen, konfigurieren oder ändern können.

Wenn Sie diese Richtlinieneinstellung aktivieren, wird die Registerkarte Bildschirmschoner aus dem Dialogfeld Eigenschaften von Anzeige in der Systemsteuerung entfernt, und Benutzer können keine Änderungen an den Bildschirmschonereinstellungen vornehmen. Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, können Benutzer auf diese Registerkarte zugreifen.

Für die Einstellung Registerkarte "Bildschirmschoner" ausblenden sind folgende Werte möglich:

Aktiviert
Deaktiviert
Nicht konfiguriert

Sicherheitsanfälligkeit

Benutzer können die Einstellungen für ihre Bildschirmschoner ändern, um Kennwörter zu entfernen oder den Zeitraum zu verlängern, nachdem ein Bildschirmschoner den Computer sperrt.

Gegenmaßnahme

Setzen Sie die Einstellung Registerkarte "Bildschirmschoner" ausblenden auf Aktiviert.

Mögliche Auswirkung

Benutzer können keine Änderungen an den Bildschirmschonereinstellungen vornehmen.

Kennwortschutz für den Bildschirmschoner verwenden

Durch diese Richtlinieneinstellung wird festgelegt, ob auf dem Computer verwendete Bildschirmschoner durch ein Kennwort geschützt sind.

Bei Aktivierung dieser Richtlinieneinstellung werden alle Bildschirmschoner durch ein Kennwort geschützt. Bei Deaktivierung dieser Richtlinieneinstellung wird das Einrichten des Kennwortschutzes für Bildschirmschoner verhindert. Mit dieser Konfiguration wird außerdem in der Systemsteuerung unter Anzeige auf der Registerkarte Bildschirmschoner das Kontrollkästchen Kennwortgeschützt deaktiviert. Dies ist eine weitere Möglichkeit, um zu verhindern, dass Benutzer die Einstellung für den Kennwortschutz ändern.

Wenn Sie diese Einstellung nicht konfigurieren, können Benutzer wählen, ob für die einzelnen Bildschirmschoner auf ihren Computern ein Kennwortschutz festgelegt wird. Um sicherzustellen, dass ein Computer durch ein Kennwort geschützt ist, wird in diesem Handbuch empfohlen, die Einstellung Bildschirmschoner zu aktivieren und anschließend mit der Einstellung Bildschirmschoner-Zeitlimit ein Zeitlimit festzulegen.

Für die Einstellung Kennwortschutz für den Bildschirmschoner verwenden sind folgende Werte möglich:

Aktiviert
Deaktiviert
Nicht konfiguriert

Hinweis: Verwenden Sie die Einstellung Registerkarte "Bildschirmschoner" ausblenden, um die Registerkarte Bildschirmschoner auszublenden.

Sicherheitsanfälligkeit

Mit Bildschirmschonern ohne Kennwortschutz ist es nicht möglich, die Konsole von Benutzern zu sperren, die ihre Computer unbeaufsichtigt lassen.

Gegenmaßnahme

Setzen Sie die Einstellung Kennwortschutz für den Bildschirmschoner verwenden auf Aktiviert.

Mögliche Auswirkung

Die Benutzer müssen nach dem Start des Bildschirmschoners die Sperre ihres Computers aufheben.

Bildschirmschoner

Mit dieser Richtlinieneinstellung werden Bildschirmschoner für den Desktop aktiviert. Wenn Sie diese Richtlinieneinstellung deaktivieren, können Bildschirmschoner nicht ausgeführt werden.

Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, hat das keine Auswirkungen auf den Computer. Wenn Sie diese Richtlinieneinstellung aktivieren, können Bildschirmschoner ausgeführt werden, wenn die beiden folgenden Bedingungen erfüllt sind:

In der Einstellung „Programmname des Bildschirmschoners“ oder über die Systemsteuerung des Clientcomputers wurde ein gültiger Bildschirmschoner angegeben werden.
Das Zeitlimit für den Bildschirmschoner wurde mit der entsprechenden Einstellung oder in der Systemsteuerung auf einen Wert ungleich Null eingestellt.

Für die Einstellung Bildschirmschoner sind folgende Werte möglich:

Aktiviert
Deaktiviert
Nicht konfiguriert

Sicherheitsanfälligkeit

Diese Richtlinieneinstellung muss aktiviert sein, damit die oben beschriebene Sperrfunktion des Bildschirmschoners verwendet werden kann.

Gegenmaßnahme

Setzen Sie die Einstellung Bildschirmschoner auf Aktiviert.

Mögliche Auswirkung

Mit dieser Richtlinieneinstellung können Sie auf den Benutzercomputern in Ihrer Umgebung Bildschirmschoner aktivieren.

Programmname des Bildschirmschoners

Durch diese Richtlinieneinstellung wird der Bildschirmschoner festgelegt, der auf dem Desktop des Benutzers angezeigt wird. Wenn Sie diese Richtlinieneinstellung aktivieren, zeigt der Computer den angegebenen Bildschirmschoner auf dem Desktop des Benutzers an. Außerdem wird die Dropdownliste mit Bildschirmschonern auf der Registerkarte Bildschirmschoner unter Anzeige in der Systemsteuerung deaktiviert, damit die Benutzer den Bildschirmschoner nicht mehr ändern können. Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, können Benutzer einen beliebigen Bildschirmschoner auswählen.

So aktivieren Sie die Einstellung "Programmname des Bildschirmschoners"

Geben Sie den Namen der Datei ein, die den Bildschirmschoner enthält. Geben Sie auch die Erweiterung .scr an.
Wenn sich die Bildschirmschonerdatei nicht im Ordner %Systemroot%\System32 befindet, geben Sie den vollständigen Pfad zur Datei ein.

Wenn der angegebene Bildschirmschoner nicht auf einem Computer installiert ist, für den diese Einstellung gilt, wird die Einstellung ignoriert.

Für die Einstellung Programmname des Bildschirmschoners sind folgende Werte möglich:

Aktiviert. Geben Sie nach Angabe dieses Wertes den Namen der Programmdatei des Bildschirmschoners ein.
Deaktiviert
Nicht konfiguriert

Hinweis: Diese Richtlinieneinstellung kann durch die Einstellung Bildschirmschoner außer Kraft gesetzt werden. Bei Deaktivierung der Einstellung Bildschirmschoner wird die Einstellung „Programmname des Bildschirmschoners“ ignoriert, und die Bildschirmschoner können nicht ausgeführt werden.

Sicherheitsanfälligkeit

Damit die Sperrfunktion des Bildschirmschoner wirksam ist, muss ein gültiger Programmname für den Bildschirmschoner angegeben werden.

Gegenmaßnahme

Setzen Sie die Einstellung Programmname des Bildschirmschoners auf „Scrnsave.scr“ (der Bildschirmschoner „Schwarzer Bildschirm“), oder verwenden Sie ein anderes Bildschirmschonerprogramm.

Mögliche Auswirkung

Der Bildschirmschoner „Schwarzer Bildschirm“ oder ein anderer Bildschirmschoner wird ausgeführt, sobald das Zeitlimit für den Bildschirmschoner erreicht ist.

Bildschirmschoner-Zeitlimit

Durch diese Richtlinieneinstellung wird festgelegt, wie viel Leerlaufzeit verstreichen muss, bevor der Bildschirmschoner gestartet wird. Wenn die Einstellung konfiguriert wird, kann für die Leerlaufzeit ein Mindestwert von 1 Sekunde und ein Höchstwert von 86.400 Sekunden oder 24 Stunden eingestellt werden. Wenn Sie für diese Einstellung den Wert 0 festlegen, wird der Bildschirmschoner nicht gestartet.

In folgenden Fällen ist diese Richtlinieneinstellung wirkungslos:

Für die Richtlinieneinstellung wurde der Wert Deaktiviert oder Nicht konfiguriert festgelegt.
Für die Wartezeit wurde der Wert 0 festgelegt.
Die Einstellung Kein Bildschirmschoner ist aktiviert.
Weder durch die Einstellung Programmname des Bildschirmschoners noch auf der Registerkarte Bildschirmschoner im Dialogfeld Eigenschaften von Anzeige des Clientcomputers wird ein auf dem Client vorhandenes gültiges Bildschirmschonerprogramm angegeben.

Wenn die Einstellung nicht konfiguriert ist, wird die Wartezeit verwendet, die im Dialogfeld Eigenschaften von Anzeige auf der Registerkarte Bildschirmschoner eingestellt ist. Der Standardwert ist 15 Minuten.

Für die Einstellung Bildschirmschoner-Zeitlimit sind folgende Werte möglich:

Aktiviert mit einem Bildschirmschoner-Zeitlimit zwischen 1 und 86.400 Sekunden.
Deaktiviert
Nicht konfiguriert

Sicherheitsanfälligkeit

Sie müssen ein gültiges Bildschirmschoner-Zeitlimit konfigurieren, damit die Sperrfunktion des Bildschirmschoners wirksam ist.

Gegenmaßnahme

Legen Sie für die Einstellung Bildschirmschoner-Zeitlimit einen geeigneten Wert fest, der den Sicherheitsanforderungen Ihrer Organisation entspricht.

Mögliche Auswirkung

Der Bildschirmschoner wird nach Ablauf einer bestimmten Leerlaufzeit ausgeführt.

Weitere Informationen

Die folgenden Links bieten weitere Informationen zu administrativen Vorlagen für Windows XP Professional und Windows Server 2003:

Eine vollständige Liste aller Gruppenrichtlinieneinstellungen für administrative Vorlagen, die unter Windows XP und Windows Server 2003 zur Verfügung stehen, finden Sie in der herunterladbaren Tabelle „Group Policy Settings Reference for Windows Server 2003 with Service Pack 1“ unter www.microsoft.com/downloads/details.aspx?FamilyId=7821C32F-DA15-438D-8E48-45915CD2BC14.
Weitere Informationen zum Speicherort von ADM-Dateien finden Sie im Microsoft Knowledge Base-Artikel „Location of ADM (Administrative Template) Files in Windows“ (in englischer Sprache) unter https://support.microsoft.com/?scid=228460.
Weitere Informationen zum Erstellen von benutzerdefinierten administrativen Vorlagendateien finden Sie im Microsoft Knowledge Base-Artikel How to: Create Custom Administrative Templates in Windows 2000 unter https://support.microsoft.com/?scid=323639.
Informationen zur Erstellung von eigenen administrativen Vorlagen finden Sie im Whitepaper Implementing Registry–Based Group Policy unter www.microsoft.com/windows2000/techinfo/howitworks/management/rbppaper.asp.
Informationen zur Fehlerberichterstattung finden Sie auf der Website Corporate Error Reporting (in englischer Sprache) unter www.microsoft.com/resources/satech/cer/.
Allgemeine Informationen zu Windows Server Update Services (WSUS) finden Sie im Artikel Windows Server Update Services Product Overview unter www.microsoft.com/windowsserversystem/updateservices/evaluation/overview.mspx.
Informationen zur Bereitstellung von WSUS finden Sie im Artikel Deploying Microsoft Windows Server Update Services unter www.microsoft.com/technet/prodtechnol/windowsserver2003/library/WSUS/WSUSDeploymentGuideTC/.
Weitere Informationen zur Gruppenrichtlinienverwaltung finden Sie im Artikel Enterprise Management with the Group Policy Management Console unter www.microsoft.com/windowsserver2003/gpmc/.
Die Hauptwebsite von Office 2003 Security bietet Links zu Artikeln, in denen die Verwendung der Sicherheitseintellungen und -funktionen in Office 2003 erläutert wird. Diese Website finden Sie unter https://office.microsoft.com/en-us/assistance/HA011403061033.aspx.
Das Office 2003 Resource Kit toolset enthält die „Office 2003 Policy Template Files and Deployment Planning Tools“ sowie mehrere andere nützliche Tools zur Bereitstellung und Verwaltung von Office 2003. Sie finden diese Informationen unter https://download.microsoft.com/download/0/e/d/0eda9ae6-f5c9-44be-98c7-ccc3016a296a/ork.exe.
Im zweiteiligen MSDN-Artikel Browsing the Web and Reading E-mail Safely as an Administrator wird erläutert, wie Webbrowser und E-Mail-Clients für die Ausführung auf einer niedrigeren Berechtigungsebene konfiguriert werden können, wenn Sie sich an Ihrem Computer mit einem Konto anmelden, das über Administratorrechte verfügt. Beide Teile sind online verfügbar unter https://msdn.microsoft.com/library/default.asp?url=/library/en-us/dncode/html/secure11152004.asp und https://msdn.microsoft.com/library/default.asp?url=/library/en-us/dncode/html/secure01182005.asp.

In diesem Beitrag

Überblick
Kapitel 1: Einführung zu Bedrohungen und Gegenmaßnahmen: Sicherheitseinstellungen unter Windows Server 2003 und Windows XP
Kapitel 2: Richtlinien auf Domänenebene
Kapitel 3: Überwachungsrichtlinie
Kapitel 4: Benutzerrechte
Kapitel 5: Sicherheitsoptionen
Kapitel 6: Ereignisprotokoll
Kapitel 7: Systemdienste
Kapitel 8: Richtlinien für Softwareeinschränkungen
Kapitel 9: Administrative Vorlagen für Windows XP und Windows Server 2003
Kapitel 10: Zusätzliche Registrierungseinträge
Kapitel 11: Zusätzliche Gegenmaßnahmen
Kapitel 12: Zusammenfassung
Danksagungen

Download

Handbuch „Bedrohungen und Gegenmaßnahmen“ herunterladen (engl.)

Benachrichtigung über Neuerungen

Melden Sie sich an, um Informationen zu Updates und neuen Versionen zu erhalten

Feedback

Senden Sie uns Ihre Kommentare oder Vorschläge

10 von 14

Dd443756.pageRight(de-de,TechNet.10).gif