Verwalten von Sicherheitsrichtlinien
Betrifft: Windows Vista, Windows Server 2008, Windows 7, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 R2, Windows Server 2012, Windows 8
In diesem Thema für IT-Experten behandelt verschiedene Methoden zum Verwalten von Sicherheitsrichtlinien auf dem lokalen Computer oder in einer kleinen oder mittelgroßen IT-Organisation mithilfe vonWindows Server 2012undWindows 8.
Einführung
Sicherheitsrichtlinien sollten als Teil der Implementierung der allgemeinen Sicherheit zu sicherer Domänencontroller, Server, Clientcomputer und andere Ressourcen in Ihrer Organisation verwendet werden.
Einstellungen der Sicherheitsrichtlinien sind Regeln, die Sie auf einem Computer oder auf mehreren Computern zum Schutz der Ressourcen auf einem Computer oder Netzwerk konfigurieren können. Die sicherheitseinstellungserweiterung des Editors für lokale Gruppenrichtlinien-Snap-in (Gpedit.msc) können Sie Sicherheitskonfigurationen als Teil von einer (Group Policy Object, GPO) zu definieren. Die Gruppenrichtlinienobjekte mit Active Directory-Containern, wie z. B. Sites, Domänen und Organisationseinheiten verknüpft sind, und sie ermöglichen Administratoren, die Sicherheitsrichtlinien für mehrere Computer von einem beliebigen Computer in der Domäne verwalten.
Sicherheitseinstellungen steuern Folgendes:
Benutzerauthentifizierung bei einem Netzwerk oder Computer
Ressourcen, auf die Benutzer zugreifen können
Ob die Aktionen eines Benutzers oder einer Gruppe im Ereignisprotokoll erfasst werden sollen
Mitgliedschaft in einer Gruppe
Informationen zu den einzelnen Einstellungen, einschließlich Beschreibungen, Standardeinstellungen und Management und Sicherheitsaspekte, finden Sie unter derSecurity Policy Settings Referenceim Microsoft Download Center.
Informationen über die Funktionsweise der Security Settings-Snap-ins finden Sie unter derTechnische Übersicht über Security Policy Settings.
Um Sicherheitskonfigurationen für mehrere Computer verwalten, können Sie eine der folgenden Optionen:
Bearbeiten Sie Sicherheits-Einstellungen in einem Gruppenrichtlinienobjekt.
Verwenden Sie das Sicherheitsvorlagen-Snap-in, um eine Sicherheitsvorlage zu erstellen, die Sicherheitsrichtlinien enthält, die Sie anwenden möchten, und dann importieren Sie die Sicherheitsvorlage in ein Gruppenrichtlinienobjekt. Eine Sicherheitsvorlage ist eine Datei, die eine Sicherheitskonfiguration darstellt und kann in ein Gruppenrichtlinienobjekt importiert, oder auf einen lokalen Computer angewendet oder Analysieren der Sicherheit verwendet werden.
Änderungen bei der Verwaltung von Einstellungen?
Im Laufe der Zeit wurden neue Methoden zum Verwalten von Sicherheitsrichtlinien eingeführt, darunter neue Features des Betriebssystems und das Hinzufügen von neuen Einstellungen. Die folgende Tabelle enthält die verschiedenen bedeutet, dass durch die Sicherheit Richtlinien verwaltet werden können.
Programm oder Funktion |
Beschreibung und Verwendung |
|---|---|
Verwenden das Snap-in lokale Sicherheitsrichtlinie |
Secpol.msc MMC-Snap-in nur Sicherheitsrichtlinien verwalten soll. |
Mithilfe des Befehlszeilenprogramms Secedit |
Secedit.exe Konfiguriert und die Sicherheit des Systems durch Vergleichen der aktuellen Konfigurations angegebenen Sicherheitsvorlagen analysiert. |
Verwenden von Security Compliance Manager |
Tool herunterladen Ein Solution Accelerator, der Ihnen hilft, Planung, Bereitstellung, betreiben und verwalten Ihre Sicherheitsmaßnahmen für Windows-Client und Server-Betriebssystemen und Microsoft-Programme. |
Mithilfe des Sicherheitskonfigurations-Assistenten |
SCW.exe Der Sicherheitskonfigurations-Assistent ist ein rollenbasiertes Tool nur auf Servern verfügbar: Sie können eine Richtlinie erstellen, die es ermöglicht, Dienste, Firewallregeln und Einstellungen, die für den ausgewählten Server bestimmte Rollen erforderlich sind. |
Arbeiten mit dem Sicherheitskonfigurations-Manager |
Dieses Tool können Sie erstellen, anwenden und Bearbeiten der Sicherheit für Ihre lokalen Computer, einer Organisationseinheit oder einer Domäne. |
Arbeiten mit Tools für Gruppenrichtlinien |
GPMC.msc und Gpedit.msc Die Gruppenrichtlinien-Verwaltungskonsole verwendet den Gruppenrichtlinienobjekt-Editor, um die lokalen Sicherheitsoptionen verfügbar macht, die dann in Gruppenrichtlinienobjekten für die Verteilung in der gesamten Domäne eingebunden werden kann. Der Editor für lokale Gruppenrichtlinien führt ähnliche Funktionen auf dem lokalen Computer. |
Richtlinien für die Softwareeinschränkung Finden Sie unterVerwalten von Softwareeinschränkungsrichtlinienin der TechNet-Bibliothek. |
Gpedit.msc (Software Restriction Policies, SRP) ist eine gruppenrichtlinienbasierte-Funktion, die Software-Programme, die auf Computern in einer Domäne identifiziert werden, zu der Fähigkeit zur Ausführung dieser Programme. |
AppLocker Finden Sie unterVerwalten von AppLockerin der TechNet-Bibliothek. |
Gpedit.msc Verhindert, dass bösartige Software (Malware) und nicht unterstützten Anwendungen auf Computern in Ihrer Umgebung auswirken, und es wird verhindert, dass Benutzer in Ihrer Organisation installiert werden und mit einer nicht autorisierten Anwendung. |
Verwenden das Snap-in lokale Sicherheitsrichtlinie
Die lokale Sicherheitsrichtlinie-Snap-in (Secpol.msc) schränkt die Ansicht des lokalen Gruppenrichtlinienobjekten die folgenden Richtlinien und Features:
Kontorichtlinien
Lokale Richtlinien
Windows-Firewall mit erweiterter Sicherheit
Netzwerklisten-Manager-Richtlinien
Richtlinien öffentlicher Schlüssel
Richtlinien für die Softwareeinschränkung
Anwendungssteuerungsrichtlinien
IP-Sicherheitsrichtlinien auf dem lokalen Computer
Erweiterte Überwachungsrichtlinienkonfiguration
Lokal festgelegten Richtlinien können überschrieben werden, wenn der Computer der Domäne hinzugefügt wird.
Das Snap-in lokale Sicherheitsrichtlinie gehört das Toolset von Security Configuration Manager. Informationen über die Tools in diesen Tools finden Sie unterArbeiten mit dem Sicherheitskonfigurations-Managerin diesem Thema.
Mithilfe des Befehlszeilenprogramms Secedit
Das Befehlszeilenprogramm Secedit funktioniert bei Sicherheitsvorlagen und bietet sechs Hauptfunktionen:
DieConfigureParameter können Sie die Sicherheit zwischen Servern durch die richtige Sicherheitsvorlage anwenden, mit dem fehlerhaften Server beheben.
DieAnalyzeParameter vergleicht die Sicherheitskonfiguration für den Server mit der ausgewählten Vorlage.
DieImportParameter können Sie eine Datenbank aus einer vorhandenen Vorlage zu erstellen. Das Tool Sicherheitskonfiguration und-Analyse auch geschieht.
DieExportParameter können Sie die Einstellungen aus einer Datenbank in eine Sicherheitsvorlage-Einstellungen zu exportieren.
DieValidateParameter können Sie die Syntax der einzelnen oder alle Textzeilen zu überprüfen, die Sie erstellt haben oder eine Sicherheitsvorlage hinzugefügt. Dadurch wird sichergestellt, dass die Vorlage nicht Syntax anwenden, die Vorlage nicht das Problem.
DieGenerate RollbackParameter speichert die aktuellen Sicherheitseinstellungen des Servers in eine Sicherheitsvorlage, damit sie verwendet werden kann, um die meisten der Sicherheitsrichtlinien des Servers in einem bekannten Zustand wiederherstellen. Ausnahmen sind, die beim angewendet, die Rollbackvorlage keine Zugriffssteuerungslisteneinträge auf Dateien ändert oder Registrierungseinträge, die von den meisten vor kurzem geändert wurden, Vorlage angewendet.
Weitere Informationen über das Tool Secedit.exe finden Sie unterSecedit [LH].
Verwenden von Security Compliance Manager
Security Compliance Manager ist ein herunterladbares Tool, das Sie planen, bereitstellen, Betrieb und verwalten Ihre Sicherheitsmaßnahmen für Windows-Client und Server-Betriebssystemen und Microsoft Applications unterstützt. Es enthält eine vollständige Datenbank der empfohlene Sicherheitsstufe Methoden zum Anpassen der Basislinien und diese Einstellungen in mehreren Formaten zu implementieren, XLS, Gruppenrichtlinienobjekte, einschließlich Desired Configuration Management (DCM) Packs oder Sicherheit Content Automation Protocol (SCAP). Security Compliance Manager dient zum Exportieren von Basislinien in Ihrer Umgebung Security Baseline Bereitstellung und Kompatibilität Überprüfung automatisieren.
Zum Verwalten von Sicherheitsrichtlinien mithilfe von Security Compliance Manager
Laden Sie die neueste Version von derSecurity Compliance Managerim Microsoft Download Center.
Lesen Sie die relevanten Sicherheitsupdates Baseline-Dokumentation, die in diesem Tool enthalten ist.
Herunterladen Sie und importieren Sie die relevanten Sicherheitsbasis. Der Installationsvorgang führt Sie durch Auswahl der Baseline.
Öffnen Sie die Hilfe, und führen Sie die Schritte zum Anpassen, vergleichen und Zusammenführen der Sicherheitsmaßnahmen vor der Bereitstellung den Baselines.
Mithilfe des Sicherheitskonfigurations-Assistenten
Der Sicherheitskonfigurations-Assistent führt Sie durch die Schritte zum Erstellen, Bearbeiten, Anwenden einer Sicherheitsrichtlinie und zum Ausführen eines Rollbacks einer Sicherheitsrichtlinie. Eine Sicherheitsrichtlinie, die Sie mit dem Sicherheitskonfigurations-Assistenten erstellen, ist eine XML-Datei, die bei konfiguriert Dienste, Netzwerksicherheit, bestimmte Registrierungswerte und Audit Policy. Der Sicherheitskonfigurations-Assistent ist ein rollenbasiertes Tool: Sie können eine Richtlinie erstellen, die es ermöglicht, Dienste, Firewallregeln und Einstellungen, die für den ausgewählten Server bestimmte Rollen erforderlich sind. Ein Server möglicherweise z. B. einem Dateiserver, Druckserver oder ein Domänencontroller.
Beachten Sie beim Verwenden des Sicherheitskonfigurations-Assistenten Folgendes:
SCW deaktiviert nicht erforderliche Dienste und Windows-Firewall mit erweiterter Sicherheit-Unterstützung bietet.
Mit dem Sicherheitskonfigurations-Assistenten erstellte Richtlinien sind nicht mit Sicherheitsvorlagen identisch. Letztere haben die Erweiterung INF. Bei Sicherheitsvorlagen können Sie mehr Sicherheitseinstellungen festlegen als mit dem Sicherheitskonfigurations-Assistenten. Es ist jedoch möglich, eine Sicherheitsvorlage in eine Sicherheitsrichtliniendatei des Sicherheitskonfigurations-Assistenten einzuschließen.
Sie können Sicherheitsrichtlinien bereitstellen, die Sie mit dem Sicherheitskonfigurations-Assistenten erstellen mithilfe von Gruppenrichtlinien.
Sicherheitskonfigurations-Assistenten installieren oder deinstallieren die Funktionen für den Server zum Ausführen einer Rolle erforderlich sind. Sie können rollenspezifische Funktionen über Server-Manager installieren.
Der Sicherheitskonfigurations-Assistent erkennt Rollenabhängigkeiten. Wenn Sie eine Rolle auswählen, werden automatisch alle abhängigen Rollen ausgewählt.
Alle Programme, die IP-Protokoll und Ports verwenden, müssen auf dem Server ausgeführt werden, beim Ausführen des Sicherheitskonfigurations-Assistenten.
In einigen Fällen müssen Sie mit dem Internet auf die Links in der SCW-Hilfe verwenden verbunden werden.
Hinweis
Der Sicherheitskonfigurations-Assistent ist nur unter Windows Server verfügbar und gilt nur für Server-Installationen.
Der Sicherheitskonfigurations-Assistent kann über Server-Manager oder durch Ausführen von Scw.exe zugegriffen werden. Der Assistent führt Sie schrittweise durch Server Sicherheitskonfiguration:
Erstellen Sie eine Sicherheitsrichtlinie, die auf einem beliebigen Server in Ihrem Netzwerk angewendet werden kann.
Bearbeiten einer vorhandenen Sicherheitsrichtlinie.
Anwenden einer vorhandenen Sicherheitsrichtlinie.
Ein Rollback der letzten angewendeten Sicherheitsrichtlinie.
Der Sicherheitsrichtlinien-Assistent konfiguriert die Dienste und Sicherheit der Netzwerke basierend auf der Funktion des Servers sowie überwachen und die Registrierung konfiguriert.
Weitere Informationen zu Verfahren, einschließlich des Sicherheitskonfigurations-Assistenten finden Sie unter derSicherheitskonfigurations-Assistenten.
Arbeiten mit dem Sicherheitskonfigurations-Manager
Das Toolset von Security Configuration Manager können Sie erstellen, anwenden und Bearbeiten der Sicherheit für Ihre lokalen Computer, einer Organisationseinheit oder einer Domäne.
Für die Verwendung von Security Configuration Manager finden Sie unterSecurity Configuration Manager.
Die folgende Tabelle enthält die Funktionen von Security Configuration Manager.
Security Configuration Manager-tools |
Beschreibung |
|---|---|
Sicherheitskonfiguration und-Analyse |
Definiert eine Sicherheitsrichtlinie in einer Vorlage. Diese Vorlagen können Gruppenrichtlinien oder auf dem lokalen Computer angewendet werden. |
Sicherheitsvorlagen |
Definiert eine Sicherheitsrichtlinie in einer Vorlage. Diese Vorlagen können Gruppenrichtlinien oder auf dem lokalen Computer angewendet werden. |
Security Settings-Erweiterung für Gruppenrichtlinien |
Bearbeitet die individuellen Security Settings auf eine Domäne, Site oder Organisationseinheit. |
Lokale Sicherheitsrichtlinie |
Bearbeitet die einzelnen Einstellungen auf dem lokalen Computer. |
Automatisiert die Aufgaben zur Sicherheit in einer Befehlszeile. |
Sicherheitskonfiguration und-Analyse
Sicherheitskonfiguration und-Analyse ist ein MMC-Snap-in zum Analysieren und Konfigurieren der Sicherheit des lokalen Systems.
Sicherheitsanalyse
Der Status des Betriebssystems und auf einem Computer ist dynamisch. Beispielsweise müssen Sie Sicherheitsstufen vorübergehend zu ändern, sodass Sie ein Administrations- oder Netzwerkproblem sofort lösen können. Diese Änderung kann jedoch häufig nicht rückgängig gemacht werden. Dies bedeutet, dass ein Computer nicht mehr die Sicherheit in Unternehmen erfüllen kann.
Regelmäßige Analysen kann Administratoren zu überwachen und einen angemessenen Sicherheit auf jedem Computer als Bestandteil des Programms ein Unternehmen für das Risikomanagement sicherzustellen. Ein Administrator kann die Sicherheitsstufen optimieren und vor allem Erkennen von Sicherheitsmängeln, die mit der Zeit im System auftreten können.
Sicherheitskonfiguration und-Analyse ermöglicht Sicherheitsanalyseergebnisse schnell zu überprüfen. Empfohlene Vorgehensweisen zusammen mit der aktuellen Systemeinstellungen, und verwendet sichtbaren Kennzeichen oder Hinweise versieht Bereiche, in denen die aktuellen Einstellungen nicht mit die vorgeschlagene Sicherheitsstufe übereinstimmen. Sicherheitskonfiguration und-Analyse bietet auch die Möglichkeit, durch die Analyse aufgedeckte Diskrepanzen zu beheben.
Sicherheitskonfiguration
Sicherheitskonfiguration und-Analyse können auch so konfigurieren Sie die Sicherheit des lokalen Systems direkt verwendet werden. Durch die Verwendung von persönlichen Datenbanken können Sie Sicherheitsvorlagen importieren, die mit Sicherheitsvorlagen erstellt wurden, und diese Vorlagen auf den lokalen Computer anwenden. Dadurch wird die Sicherheit des Systems sofort mit den Ebenen in der Vorlage angegebene konfiguriert.
Sicherheitsvorlagen
Mit dem Sicherheitsvorlagen-Snap-in für Microsoft Management Console können Sie eine Sicherheitsrichtlinie für den Computer oder das Netzwerk erstellen. Es ist nur einen Eintrag, kann die vollständige Palette der Sicherheit des Systems berücksichtigt werden. Das Snap-In Sicherheitsvorlagen führt keine neuen Sicherheitsparameter, sie einfach alle vorhandenen Sicherheitsattribute an einem zentralen Ort einfacheren sicherheitsverwaltung verwaltet.
Vereinfacht die Verwaltung von Domänen durch Konfigurieren der Sicherheit für eine Domäne oder Organisationseinheit auf einmal eine Sicherheitsvorlage in ein Gruppenrichtlinienobjekt importieren.
Um eine Sicherheitsvorlage auf den lokalen Computer anwenden möchten, können Sie die Sicherheitskonfiguration und-Analyse oder das Befehlszeilenprogramm Secedit verwenden.
Sicherheitsvorlagen können verwendet werden, um zu definieren:
Kontorichtlinien
Kennwortrichtlinie
Kontosperrungsrichtlinien
Kerberos-Richtlinie
Lokale Richtlinien
Überwachungsrichtlinie
Zuweisen von Benutzerrechten
Sicherheitsoptionen
Ereignisprotokoll: Einstellungen des Sicherheitsereignisprotokolls Anwendung, System und Sicherheit
Eingeschränkte Gruppen: Mitgliedschaft in sicherheitsrelevanten Gruppen
Systemdienste: AutoStart und Berechtigungen für Systemdienste
Registrierung: Berechtigungen für Registrierungsschlüssel
Dateisystem: Berechtigungen für Ordner und Dateien
Jede Vorlage wird als textbasierte INF-Datei gespeichert. Dadurch können Sie zu kopieren, einfügen, importieren oder exportieren einige oder alle der Vorlagenattribute. Mit Ausnahme der IP-Sicherheit und Richtlinien für öffentliche Schlüssel können alle Sicherheitsattribute in einer Sicherheitsvorlage enthalten sein.
Security Settings-Erweiterung für Gruppenrichtlinien
Organisationseinheiten, Domänen und Standorte sind mit Gruppenrichtlinienobjekten verknüpft. Das Security Settings-Tool können Sie die Sicherheitskonfiguration des Gruppenrichtlinien-Objekts, wiederum ändern Auswirkungen auf mehrere Computer. Mit der Sicherheitsrichtlinie können Sie die Einstellung von vielen Computern, je nach dem Gruppenrichtlinienobjekt ändern, die Sie ändern, die können Sie über nur einen Computer einer Domäne angehört.
Sicherheitsrichtlinien oder Sicherheitsrichtlinien sind Regeln, die auf einen oder mehrere Computer für den Schutz von Ressourcen auf einem Computer oder Netzwerk konfiguriert sind. Sicherheitseinstellungen steuern Folgendes:
Wie Benutzer mit einem Netzwerk oder Computer authentifiziert werden.
Welche Ressourcen Benutzer verwenden dürfen.
Gibt an, ob eines Benutzers oder einer Gruppe von Aktionen im Ereignisprotokoll aufgezeichnet werden.
Die Gruppenmitgliedschaft.
Sie können die Sicherheitskonfiguration auf mehreren Computern auf zwei Arten ändern:
Erstellen einer Sicherheitsrichtlinie mithilfe einer Sicherheitsvorlage mit Sicherheitsvorlagen, und importieren Sie die Vorlage über Sicherheitsrichtlinien mit einem Gruppenrichtlinienobjekt.
Ändern Sie ein paar select mit Sicherheitsrichtlinien.
Lokale Sicherheitsrichtlinie
Eine Sicherheitsrichtlinie ist eine Kombination aus, mit denen Sie die Sicherheit auf einem Computer. Die lokale Sicherheitsrichtlinie können Kontorichtlinien und lokale Richtlinien auf dem lokalen Computer bearbeiten.
Mit der lokalen Sicherheitsrichtlinie können Sie Folgendes steuern:
Die auf Ihren Computer zugreifen.
Welche Ressourcen Benutzer auf Ihrem Computer verwenden dürfen.
Gibt an, ob eines Benutzers oder einer Gruppe von Aktionen im Ereignisprotokoll aufgezeichnet werden.
Wenn der lokale Computer einer Domäne angehört, unterliegen Sie erhalten eine Sicherheitsrichtlinie aus den Domänenrichtlinien oder den Richtlinien einer beliebigen Organisationseinheit, der Sie angehören. Wenn Sie eine Richtlinie aus mehreren Quellen abrufen, werden Konflikte in der folgenden Rangfolge aufgelöst.
Richtlinie der Organisationseinheit
Domänenrichtlinie
Richtlinien für den Standort
Richtlinie für lokale computer
Wenn Sie die Sicherheitsrichtlinien auf dem lokalen Computer mithilfe der lokalen Sicherheitsrichtlinie ändern, werden Sie direkt die Einstellungen auf dem Computer ändern. Daher werden die Einstellungen sofort wirksam, aber nur möglicherweise temporären. Die Einstellungen tatsächlich bleibt auf dem lokalen Computer bis zu der nächsten Aktualisierung der Gruppenrichtlinie Sicherheitsrichtlinie, wenn die Sicherheitsrichtlinien, die von der Gruppenrichtlinie empfangen werden Ihre lokalen Einstellungen außer Kraft setzt, wo Konflikte bestehen.
Verwenden von Security Configuration Manager
Für die Verwendung von Security Configuration Manager finden Sie unterSecurity Configuration Manager How To. Dieser Abschnitt enthält folgende Informationen in diesem Thema:
Anwenden von Sicherheitsinformationen
Importieren und Exportieren von Sicherheitsvorlagen
Analysieren von Sicherheit und Anzeigen von Ergebnissen
Auflösen von Sicherheitsdiskrepanzen
Automatisieren von Aufgaben zur Sicherheit
Anwenden von Sicherheitsinformationen
Nachdem Sie die Einstellung bearbeitet haben, werden die Einstellungen auf den Computern in der Organisationseinheit verknüpft werden, um das Gruppenrichtlinienobjekt aktualisiert:
Ein Computer neu gestartet wird, werden die Einstellungen auf dem Computer aktualisiert werden.
Um einen Computer zum Aktualisieren der Sicherheitsrichtlinie als auch alle Gruppenrichtlinien erzwingen möchten, finden Sie unter derGpupdate [LH]Befehlszeilenprogramm.
Vorrang vor einer Richtlinie aus, wenn mehr als eine Richtlinie auf einen Computer angewendet wird
Für die Sicherheitsrichtlinie, die mehr als eine Richtlinie definiert sind, wird die folgende Reihenfolge beachtet werden:
Richtlinie der Organisationseinheit
Domänenrichtlinie
Richtlinien für den Standort
Richtlinie für den lokalen computer
Beispielsweise müssen eine Arbeitsstation, die Mitglied einer Domäne ist seine lokale Sicherheitsrichtlinien, die durch die Domänenrichtlinie überschrieben werden, wo ein Konflikt vorliegt. Ebenso ist dieselbe Arbeitsstation ein Mitglied einer Organisationseinheit, werden aus der Organisationseinheit Richtlinie angewendeten Einstellungen den Domänen- und den lokalen Einstellungen überschrieben. Wenn die Arbeitsstation ein Mitglied von mehr als einer Organisationseinheit ist, hat die Organisationseinheit, die die Arbeitsstation unmittelbar gehört der höchsten Rangfolge.
Hinweis
Verwenden derGpresult [LH]Befehlszeilentool, um herauszufinden, welche Richtlinien auf einen Computer und in welcher Reihenfolge angewendet werden.
Für Domänenkonten kann nur eine Kontorichtlinie, die Kennwortrichtlinien, Kontosperrungsrichtlinien und Kerberos-Richtlinien einschließt.
Persistenz in Sicherheitsrichtlinien
Security Settings möglicherweise weiterhin, selbst wenn eine Einstellung nicht mehr in der Richtlinie definiert ist, die ursprünglich diese angewendet.
Persistenz in Sicherheitseinstellungen tritt auf, wenn:
Die Einstellung wurde nicht vorher für den Computer definiert.
Die Einstellung gilt für ein Registrierungsobjekt.
Die Einstellung gilt für ein Dateisystemobjekt.
Alle Einstellungen, die über die lokale Richtlinie oder ein Gruppenrichtlinienobjekt angewendet werden in einer lokalen Datenbank auf Ihrem Computer gespeichert. Wenn eine Einstellung geändert wurde, speichert der Computer den Wert der Einstellung der lokalen Datenbank, der einen Verlauf aller Einstellungen enthält, die auf den Computer angewendet wurden. Wenn eine Richtlinie zunächst eine Sicherheitsrichtlinie definiert und dann diese Einstellung nicht mehr definiert, hat sich die Einstellung auf den vorherigen Wert in der Datenbank. Wenn ein vorherige Wert in der Datenbank nicht vorhanden ist, kehrt die Einstellung nicht alles und bleibt als definiert. Dieses Verhalten wird manchmal als "Tätowieren" bezeichnet.
Registrierung und Einstellungen behält die Werte, die über Gruppenrichtlinien angewendet werden, bis diese Einstellung auf andere Werte festgelegt wird.
Filtern von Sicherheitsrichtlinien auf der Grundlage der Gruppenmitgliedschaft
Sie können auch entscheiden, welche Benutzer oder Gruppen ein Gruppenrichtlinienobjekt angewendet wird, unabhängig davon, welchen Computer sie angemeldet sind, durch das Verweigern sie die Gruppenrichtlinie übernehmen oder der Read-Berechtigung für dieses Gruppenrichtlinienobjekt keine. Diese beiden Berechtigungen sind zum Anwenden der Gruppenrichtlinie erforderlich.
Importieren und Exportieren von Sicherheitsvorlagen
Sicherheitskonfiguration und-Analyse ermöglicht das Importieren und Exportieren von Sicherheitsvorlagen in bzw. aus einer Datenbank.
Wenn Sie Änderungen an der Analysedatenbank vorgenommen haben, können Sie diese Einstellungen speichern, indem Sie sie in eine Vorlage exportieren. Die Exportfunktion bietet die Möglichkeit, die Analyse Einstellungen für die Datenbank als neue Vorlagendatei zu speichern. Diese Vorlagendatei kann dann zum Analysieren oder Konfigurieren eines Systems verwendet werden, oder es in ein Gruppenrichtlinienobjekt importiert werden.
Analysieren von Sicherheit und Anzeigen von Ergebnissen
Sicherheitskonfiguration und-Analyse führt Sicherheitsanalyse durch vergleichen den aktuellen Status der Sicherheit des Systems gegen einenAnalysedatenbank. Während der Erstellung verwendet die Analysedatenbank mindestens eine Sicherheitsvorlage. Wenn Sie mehr als eine Sicherheitsvorlage importieren, wird die Datenbank die verschiedenen Vorlagen zusammen und erstellt eine zusammengesetzte Vorlage. Es löst Konflikte in der Reihenfolge der Importvorgänge; die letzte importierte Vorlage erhält Vorrang.
Sicherheitskonfiguration und-Analyse zeigt die Analyseergebnisse nach Sicherheitsbereichen geordnet an. Aktuellen System- und Base-Konfigurationsinformationen für jedes Attribut in den Sicherheitsbereichen angezeigt. Um die analyseeinstellungen zu ändern, mit der rechten Maustaste in des Eintrags, und klicken Sie dann aufEigenschaften.
Visuelles Kennzeichen |
Bedeutung |
|---|---|
Rotes X |
Der Eintrag in der Analysedatenbank und im System definiert ist, aber die Sicherheit Einstellungswerte stimmen nicht überein. |
Grünes Häkchen |
Der Eintrag in der Analysedatenbank und im System definiert ist, und die Festlegen von Werten übereinstimmen. |
Fragezeichen |
Der Eintrag ist nicht in der Analysedatenbank definiert und wurde daher nicht analysiert. Wenn ein Eintrag nicht analysiert werden, kann es sein, dass es nicht in der Analysedatenbank definiert wurde, oder, dass der Benutzer, der die Analyse ausgeführt wird, ist möglicherweise nicht über ausreichende Berechtigungen, um Analysen für ein bestimmtes Objekt oder einen Bereich. |
Ausrufezeichen |
Dieses Element ist in der Analysedatenbank definiert, aber im tatsächlichen System nicht vorhanden. Beispielsweise gibt es möglicherweise eine eingeschränkte Gruppe, die in der Analysedatenbank definiert ist, aber nicht tatsächlich im analysierten System vorhanden sind. |
Keine Hervorhebung |
Das Element ist nicht in der Analysedatenbank oder auf dem System definiert. |
Wenn Sie die Standardeinstellungen übernehmen möchten, wird der entsprechende Wert in der Basiskonfiguration angepasst werden geändert. Wenn Sie die Systemeinstellungen entsprechend die grundlegende Konfiguration ändern, wird die Änderung berücksichtigt werden, wenn Sie das System mit der Sicherheitskonfiguration und-Analyse konfigurieren.
Um weiterhin Kennzeichnung der Einstellungen zu vermeiden, die Sie untersucht und festgestellt, dass angemessene, können Sie die Basiskonfiguration ändern. Um eine Kopie der Vorlage werden die Änderungen vorgenommen.
Auflösen von Sicherheitsdiskrepanzen
Sie können Diskrepanzen zwischen Analysis-Datenbank und Systemeinstellungen von beheben:
Akzeptieren oder Ändern einiger oder aller Werte, die gekennzeichnet oder nicht in der Konfiguration enthalten sind, wenn Sie feststellen, dass die Sicherheitsstufen für lokales System aufgrund der Kontext (oder Rolle) dieses Computers gültig sind. Diese Attributwerte werden dann in der Datenbank aktualisiert und auf das System angewendet, wenn Sie aufComputer jetzt konfigurieren.
Konfigurieren das System auf den Werten aus der Analysedatenbank, wenn Sie feststellen, dass das System ist nicht mit den gültigen Sicherheitsstufen.
Importieren eine besser geeignete Vorlage für die Rolle des Computers in der Datenbank als neue Basiskonfiguration und deren Anwendung auf dem System.
Die Analysedatenbank werden an die gespeicherte Vorlage in der Datenbank, nicht mit der Vorlagendatei geändert. Die Vorlagendatei wird nur geändert werden, wenn Sie entweder zu Sicherheitsvorlagen zurückkehren und diese Vorlage bearbeiten oder die gespeicherte Konfiguration in dieselbe Vorlagendatei exportieren.
Verwenden SieComputer jetzt konfigurierennur für das Ändern der Sicherheitsbereichenichtvon Gruppenrichtlinien, wie z. B. Sicherheit auf lokale Dateien und Ordner, Registrierungsschlüssel und Systemdienste betroffen sind. Andernfalls, wenn die Gruppenrichtlinien angewendet werden, es Vorrang vor lokalen Einstellungen – z. B. Kontorichtlinien. Verwenden Sie im Allgemeinen nichtComputer jetzt konfigurierenWenn Sie Sicherheit für domänenbasierte Clients analysieren, da haben Sie jeden Client einzeln konfigurieren. In diesem Fall sollten Sie zu Sicherheitsvorlagen zurückkehren, die Vorlage ändern und fügen Sie ihn auf das entsprechende Gruppenrichtlinienobjekt.
Automatisieren von Aufgaben zur Sicherheit
Das Tool Secedit.exe an der Befehlszeile aus einer Batchdatei oder automatische Taskplaner aufgerufen wird, können Sie verwenden, um automatisch zu erstellen und Anwenden von Vorlagen und Sicherheit des Systems zu analysieren. Sie können das es auch dynamisch von einer Befehlszeile aus ausführen.
Secedit.exe ist nützlich, wenn Sie mehrere Computer verfügen, auf dem Security analysiert oder konfiguriert werden muss, und Sie müssen diese Aufgaben ausführen.
Arbeiten mit Tools für Gruppenrichtlinien
Bei der Gruppenrichtlinie handelt es sich um eine Infrastruktur, mit der Sie verwaltete Konfigurationen für Benutzer und Computer mithilfe von Einstellungen und Voreinstellungen für Gruppenrichtlinien angeben können. Für Gruppenrichtlinieneinstellungen, die nur einen lokalen Computer oder Benutzer betreffen, können Sie den Editor für lokale Gruppenrichtlinien verwenden. Sie können Einstellungen und Voreinstellungen für Gruppenrichtlinien in einer Umgebung mit Active Directory-Domänendiensten (Active Directory Domain Services, AD DS) über die Gruppenrichtlinien-Verwaltungskonsole (Group Policy Management Console, GPMC) verwalten. Gruppenrichtlinienverwaltungs-Tools sind auch in den Remoteserver-Verwaltungstools enthalten, damit Sie Gruppenrichtlinieneinstellungen von Ihrem Desktop aus verwalten können.
Informationen zum Einstieg mit der Verwaltung von Sicherheitsrichtlinien mit der Gruppenrichtlinie finden Sie unterÜbersicht über Gruppenrichtlinien.
Zunächst mithilfe der Gruppenrichtlinien-Verwaltungskonsole finden Sie in der Hilfe zu denGroup Policy Management Consolein der TechNet-Bibliothek.
Um zu den Editor für lokale Gruppenrichtlinien verwenden, finden Sie in der Hilfe zu denEditor für lokale Gruppenrichtlinien.