Bedrohungen und Gegenmaßnahmen

Kapitel 1: Einführung zu Bedrohungen und Gegenmaßnahmen: Sicherheitseinstellungen unter Windows Server 2003 und Windows XP

Dieses Handbuch dient als Referenz für die Sicherheitseinstellungen, die Gegenmaßnahmen für bestimmte Bedrohungen in Bezug auf aktuelle Versionen von Microsoft® Windows®-Betriebssystemen zur Verfügung stellen.

Dieses Handbuch ist ein Begleithandbuch zu zwei anderen Veröffentlichungen von Microsoft:

• Windows Server 2003-Sicherheitshandbuch, online verfügbar unter
  https://www.microsoft.com/germany/technet/sicherheit/prodtech/windowsserver2003/w2003hg/sgch00.mspx

• Windows XP-Sicherheitshandbuch, online verfügbar unter
  https://go.microsoft.com/fwlink/?LinkId=14839

Viele der in diesem Handbuch beschriebenen Gegenmaßnahmen sind nicht für bestimmte Computerrollen in den Begleithandbüchern vorgesehen, und einige sogar für überhaupt keine Rollen. Mit diesen Gegenmaßnahmen können Kompatibilität, Benutzerfreundlichkeit, Verwaltbarkeit, Verfügbarkeit und Leistung sichergestellt werden.

An dieser Stelle sei noch einmal darauf hingewiesen, dass Sicherheit und Funktionalität miteinander im Widerstreit stehen: Je höher die Sicherheit, desto mehr leidet die Funktionalität und umgekehrt. Zwar gibt es Ausnahmen (einige Gegenmaßnahmen zur Erhöhung der Sicherheit tragen sogar zur Verbesserung der Funktionalität bei), zum größten Teil ist dieses Prinzip jedoch gültig.

Die Kapitelstruktur in diesem Handbuch ähnelt der Anzeigestruktur der Hauptabschnitte für die Einstellungen in der Benutzeroberfläche des Gruppenrichtlinienobjekt-Editors. Jedes Kapitel beginnt mit einer kurzen Beschreibung des Kapitelinhalts. Darauf folgt eine Liste der Abschnittsüberschriften, die jeweils einer Einstellung oder einer Gruppe von Einstellungen entsprechen. (Diese Einstellungen werden in der Microsoft Excel®-Arbeitsmappe aufgeführt, die weiter unten in diesem Kapitel beschrieben wird.) Jeder Unterabschnitt enthält eine kurze Beschreibung der Gegenmaßnahme sowie die folgenden drei zusätzlichen Unterabschnitte:

• Sicherheitsanfälligkeit. Erläutert, wie Angreifer eine Funktion oder deren Konfiguration ausnutzen können.

• Gegenmaßnahme. Erläutert die Implementierung der Gegenmaßnahme.

• Mögliche Auswirkung. Erläutert die möglichen negativen Folgen der Implementierung von Gegenmaßnahmen.

Kapitel 2, „Richtlinien auf Domänenebene“, beginnt z. B. mit den folgenden Abschnitten:

Kontorichtlinien

• Kennwortchronik erzwingen

  • Sicherheitsanfälligkeit

  • Gegenmaßnahme

  • Mögliche Auswirkung

• Maximales Kennwortalter

  • Sicherheitsanfälligkeit

  • Gegenmaßnahme

  • Mögliche Auswirkung

Diese Strukturierung wiederholt sich im gesamten Handbuch. Zusammengehörige Einstellungen werden jeweils in einem einzigen Abschnitt dargestellt. In Kapitel 5, „Sicherheitsoptionen“, sind z. B. alle vier Einstellungen im Abschnitt „Microsoft-Netzwerk (Client und Server): Kommunikation digital signieren (vier zughörige Einstellungen)“ enthalten. Zu diesen Einstellungen gehören u. a.:

• Microsoft-Netzwerk (Client): Kommunikation digital signieren (immer)

• Microsoft-Netzwerk (Server): Kommunikation digital signieren (immer)

• Microsoft-Netzwerk (Client): Kommunikation digital signieren (wenn Server zustimmt)

• Microsoft-Netzwerk (Server): Kommunikation digital signieren (wenn Client zustimmt)

Obwohl in diesem Handbuch viele Gruppenrichtlinieneinstellungen dokumentiert sind, werden die zur Umgebungsverwaltung in Organisationen vorgesehenen Einstellungen ausgeklammert. Dieses Handbuch konzentriert sich auf die Einstellungen und Funktionen unter Microsoft Windows Server™ 2003 mit SP1 und Windows XP mit SP2, die zur Sicherung des Unternehmens gegen bestimmte Bedrohungen verwendet werden können. Die nach Einführung dieser Service Packs hinzugefügten Einstellungen und Funktionen oder die durch neue Softwareversionen verfügbar gewordenen zusätzlichen Funktionen werden in diesem Handbuch nicht besprochen. Außerdem finden die Verwaltungsfunktionen und die von Administratoren nicht konfigurierbaren Sicherheitsfunktionen in diesem Handbuch keine Erwähnung.

Die Informationen in diesem Handbuch sollen Ihnen und Ihrer Organisation lediglich helfen, die Gegenmaßnahmen zu verstehen, die in den aktuellen Versionen der Windows-Betriebssysteme verfügbar sind. Eine ausführliche Anleitung zum Verwenden der Einstellungen für bestimmte Szenarien finden Sie in den zwei Begleithandbüchern:

• Windows Server 2003-Sicherheitshandbuch, online verfügbar unter
  https://www.microsoft.com/germany/technet/sicherheit/prodtech/windowsserver2003/w2003hg/sgch00.mspx

• Windows XP-Sicherheitshandbuch, online verfügbar unter
  https://go.microsoft.com/fwlink/?LinkId=14839* *

Die in diesem Handbuch enthaltene Microsoft Excel-Arbeitsmappe „Standardkonfiguration für Sicherheit und Dienste unter Windows“ beschreibt die Standardeinstellungen. Auf dem ersten Arbeitsblatt („Windows Server 2003-Standardeinstellungen“) werden alle Standardeinstellungen der Gruppenrichtlinien von Windows Server 2003 ausführlich dargestellt. Dieses Arbeitsblatt enthält folgende Spalten:

• Spalte H, Name der Richtlinieneinstellung in der Benutzeroberfläche, enthält den Namen der Einstellung, wie er im Snap-In für den Gruppenrichtlinien-Editor von Windows Server 2003 angezeigt wird.

• Spalte J, Standarddomänenrichtlinie, enthält den Wert dieser Einstellung in der vordefinierten Standarddomänenrichtlinie, die beim Heraufstufen des primären Domänencontrollers in einer neuen Active Directory®-Verzeichnisdienstdomäne erstellt wird.

• Spalte K, Standarddomänencontrollerrichtlinie, enthält den Wert dieser Einstellung in der vordefinierten Standarddomänencontrollerrichtlinie, die beim Heraufstufen des primären Domänencontrollers in einer neuen Active Directory-Domäne erstellt wird.

• Spalte L, Standardeinstellungen für eigenständige Server, enthält den Standardwert für diese Einstellung auf einem eigenständigen Windows Server 2003-Computer.

• Spalte M, Wirksame Standardeinstellungen des Domänencontrollers, enthält den wirksamen Wert für einen Domänencontroller mit noch gültigen Standardeinstellungen.

• Spalte N, Wirksame Standardeinstellungen des Mitgliedsservers, enthält den wirksamen Wert für ein Domänenmitglied mit noch gültigen Standardeinstellungen.

„Wirksame Standardeinstellung“ bedeutet, dass es sich um die tatsächliche, im System aktive Einstellung handelt, wenn keine Sicherheitseinstellungen geändert wurden. Die wirksame Einstellung in einem System wird festgelegt, wenn beim Hochfahren des Computers die Gruppenrichtlinie durch das Gruppenrichtlinienmodul verarbeitet wird. Wie die Einstellungsprioritäten vom Modul vergeben werden, wird im Windows Server 2003-Sicherheitshandbuch im Kapitel 2, „Absicherungsmechanismen von Windows Server 2003“, im Abschnitt „Gruppenrichtlinienanwendung“ beschrieben.

Um die Lesbarkeit der Tabellen zu erleichtern, wurden zusätzliche Spalten zur Verdeutlichung der Objekthierarchie innerhalb des Gruppenrichtlinien-Editors eingefügt. Die Spalten A bis G stellen dabei jeweils eine Ebene der Hierarchie dar. Computer Configuration (Computerkonfiguration) wird z. B. in Spalte A und Security Settings (Sicherheitseinstellungen) in Spalte C angezeigt. Spalte I wurde ebenfalls zur Verbesserung der Lesbarkeit eingefügt.

Auf dem zweiten Arbeitsblatt („Windows Server 2003-Systemdienste“) sind alle unter Windows Server 2003 verfügbaren Dienste aufgeführt. Dieses Arbeitsblatt enthält folgende Spalten:

• In Spalte A, Vollständiger Dienstname, werden die Dienste mit dem Namen aufgeführt, der in den grafischen Managementprogrammen, wie z. B. der MMC-Erweiterung (Microsoft Management Console) des Dienstemanagers, angezeigt wird.

• In Spalte B, Dienstname, werden die Dienste mit ihrem Kurznamen aufgeführt. Dieses Format entspricht dem von vielen Befehlszeilenprogrammen verwendeten Format.

• In Spalte C, DC-Starttyp, wird der Standardstartstatus des Dienstes auf einem Windows Server 2003-Domänencontroller angezeigt.

• In Spalte D, Mitgliedsserver-Starttyp, wird der Standardstartstatus des Dienstes auf einem Windows Server 2003-Computer angezeigt, der Mitglied einer auf Active Directory basierenden Domäne ist.

• In Spalte E, Starttyp eigenständiger Server, wird der Standardstartstatus des Dienstes auf einem eigenständigen Windows Server 2003-Computer angezeigt.

• In Spalte H, Anmelden als, wird das Konto angezeigt, mit dem sich der Dienst bei einer Standardkonfiguration anmeldet.

Das Format der zusätzlichen Arbeitsblätter („Windows XP-Standardeinstellungen“ und „Windows XP-Systemdienste“) ähnelt diesen beiden Arbeitsblättern. Sie enthalten Informationen zu den Sicherheitseinstellungen und Diensten unter Windows XP.

Auf dieser Seite

Zusammenfassungen der Kapitel
Tools und Vorlagen

Zusammenfassungen der Kapitel

Windows Server 2003 mit SP1 und Windows XP mit SP2 stellen mit ihren verbesserten Sicherheits- und Datenschutzfunktionen die bislang zuverlässigsten Versionen dieser Betriebssysteme dar. Dieses Handbuch umfasst zwölf Kapitel. In Kapitel 2 bis 6 werden die Schritte erläutert, die zur Erstellung einer sicheren Umgebung beitragen. In jedem Kapitel sind umfassende Verfahren beschrieben, mit denen Computer gesichert werden können, die diese Betriebssysteme verwenden.

Kapitel 1: Einführung zu Bedrohungen und Gegenmaßnahmen: Sicherheitseinstellungen unter Windows Server 2003 und Windows XP

Dieses Kapitel enthält einen Überblick über das Handbuch, einschließlich einer Beschreibung der Zielgruppe, der im Handbuch beschriebenen Probleme und der allgemeinen Zielsetzung.

Kapitel 2: Richtlinien auf Domänenebene

In diesem Kapitel werden die auf Domänenebene angewendeten Gruppenrichtlinieneinstellungen erläutert: Kennwortrichtlinien, Kontosperrungsrichtlinien und Richtlinien für das Authentifizierungsprotokoll Kerberos. Diese Richtlinien werden in ihrer Gesamtheit auch als Kontorichtlinien bezeichnet.

Kapitel 3: Überwachungsrichtlinie

In diesem Kapitel werden die Überwachungsrichtlinien erläutert, mit denen Sicherheitsmaßnahmen überwacht und durchgesetzt werden. Es enthält Beschreibungen zu den verschiedenen Einstellungen und Beispiele für die Auswirkungen auf die Überwachungsinformationen, wenn die Einstellungen geändert werden.

Kapitel 4: Benutzerrechte

In diesem Kapitel werden die verschiedenen Anmelderechte und Berechtigungen erläutert, die von Windows-Betriebssystemen zur Verfügung gestellt werden. Darüber hinaus erfahren Sie, welchen Konten diese Rechte zugewiesen werden sollten.

Kapitel 5: Sicherheitsoptionen

In diesem Kapitel wird der Gruppenrichtlinienabschnitt „Sicherheitsoptionen“ vorgestellt. Außerdem enthält es Anleitungen zu Sicherheitseinstellungen für digitale Datensignaturen, Namen von Administrator- und Gastkonten, Zugriff auf Disketten- und CD-ROM-Laufwerke, Verhalten bei Treiberinstallation sowie Anmeldeaufforderungen.

Kapitel 6: Ereignisprotokoll

Dieses Kapitel enthält Anleitungen zum Konfigurieren der Einstellungen, die sich auf verschiedene Ereignisprotokolle von Windows Server 2003- und Windows XP-Computern beziehen.

Kapitel 7: Systemdienste

Windows XP und Windows Server 2003 enthalten verschiedene Systemdienste. Viele dieser Dienste werden standardmäßig ausgeführt. Einige Dienste sind jedoch erst vorhanden, wenn bestimmte Komponenten installiert wurden. In diesem Kapitel werden die verschiedenen Dienste aufgeführt, die in den Betriebssystemen enthalten sind. Darüber hinaus erhalten Sie spezielle Empfehlungen dazu, welche Dienste aktiviert bleiben müssen und welche Dienste ohne Sicherheitsrisiko deaktiviert werden können.

Kapitel 8: Richtlinien für Softwareeinschränkungen

Dieses Kapitel enthält einen kurzen Überblick über die Richtlinien für Softwareeinschränkungen, die mit Windows XP und Windows Server 2003 eingeführt wurden. Außerdem finden Sie Links zu weiteren Quellen, die Ihnen Informationen zum Entwerfen und zur Verwendung von Richtlinien für Softwareeinschränkungen bieten.

Kapitel 9: Administrative Vorlagen für Windows XP und Windows Server 2003

In diesem Kapitel werden die Einstellungen aufgeführt, die über die administrativen Vorlagen für Gruppenrichtlinien zur Verfügung stehen. Hierbei werden nicht alle verfügbaren Einstellungen untersucht, sondern in erster Linie die sicherheitsrelevanten Einstellungen erläutert.

Kapitel 10: Zusätzliche Registrierungseinträge

Dieses Kapitel enthält Informationen zu zusätzlichen Registrierungseinträgen, die nicht in der administrativen Vorlagendatei aufgeführt werden, sondern in der Baseline-Sicherheitsvorlage vorhanden sind. Hier finden Sie Anweisungen dazu, wie die Benutzeroberfläche des Sicherheitskonfigurations-Editors geändert werden kann, um diese Einträge in der Benutzeroberfläche offen zu legen. Darüber hinaus sind zusätzliche, unter Windows XP SP2 und Windows Server 2003 SP1 verfügbare Registrierungseinträge enthalten.

Kapitel 11: Zusätzliche Gegenmaßnahmen

In diesem Kapitel wird eine Reihe von zusätzlichen Sicherheitsmaßnahmen beschrieben, die u. U. auf Computer angewendet werden müssen. Die Anwendung dieser Gegenmaßnahmen kann jedoch nicht einfach über Gruppenrichtlinien oder andere automatisierte Verfahren erfolgen. Zu diesen Gegenmaßnahmen gehören Kontosicherung auf Mitgliedsservern, NTFS-Einstellungen, Trennung von Daten und Anwendungen, SNMP-Communitynamenseinstellungen, Deaktivierung von NetBIOS-Bindungen, Terminaldienstekonfiguration, Dr. Watson, IPSec-Richtlinien und ein Hinweis auf umfassende Anleitungen zur Windows-Firewall.

Kapitel 12: Zusammenfassung

Im letzten Kapitel werden die wichtigen Punkte des Handbuchs in einem kurzen Überblick über die in den vorhergehenden Kapiteln besprochenen Themen zusammengefasst.

Tools und Vorlagen

Im Rahmen der herunterladbaren Version dieses Handbuchs ist eine Gruppe von Dateien verfügbar, mit denen die empfohlenen Gegenmaßnahmen für Ihre Organisation ausgewertet, getestet und implementiert werden können. Diese Dateien werden in ihrer Gesamtheit auch als Tools und Vorlagen bezeichnet.

Die Dateien befinden sich in einer MSI-Datei innerhalb eines selbstextrahierenden WinZip-Archivs. Die Archivdatei enthält dieses Handbuch und ist im Microsoft Download Center unter https://go.microsoft.com/fwlink/?LinkId=15160\&clcid=0x409 verfügbar. Bei Ausführung der MSI-Datei wird im gewünschten Verzeichnis folgende Ordnerstruktur erstellt:

• Der Ordner mit Tools und Vorlagen für das Handbuch „Bedrohungen und Gegenmaßnahmen“ enthält die Microsoft Excel-Arbeitsmappe „Standardkonfiguration für Sicherheit und Dienste unter Windows.xls“, in der die Dienst- und Standardeinstellungen für Windows Server 2003 mit SP1 und Windows XP mit SP2 zusammengefasst werden.

• Der Ordner SCE-Update, der sich im Ordner mit den Tools und Vorlagen für das Handbuch „Bedrohungen und Gegenmaßnahmen“ befindet, enthält Text- und Skriptdateien. Mit den Textdateien können Sie die Benutzeroberfläche des Sicherheitskonfigurations-Editors ändern und anpassen. Mit den Skriptdateien können Sie diese Einstellungen automatisch anwenden oder zurücknehmen. Diese Verfahren werden in Kapitel 10, „Zusätzliche Registrierungseinträge“, ausführlich erläutert.

In diesem Beitrag

• Überblick
• Kapitel 1: Einführung zu Bedrohungen und Gegenmaßnahmen: Sicherheitseinstellungen unter Windows Server 2003 und Windows XP
• Kapitel 2: Richtlinien auf Domänenebene
• Kapitel 3: Überwachungsrichtlinie
• Kapitel 4: Benutzerrechte
• Kapitel 5: Sicherheitsoptionen
• Kapitel 6: Ereignisprotokoll
• Kapitel 7: Systemdienste
• Kapitel 8: Richtlinien für Softwareeinschränkungen
• Kapitel 9: Administrative Vorlagen für Windows XP und Windows Server 2003
• Kapitel 10: Zusätzliche Registrierungseinträge
• Kapitel 11: Zusätzliche Gegenmaßnahmen
• Kapitel 12: Zusammenfassung
• Danksagungen

Download

Handbuch „Bedrohungen und Gegenmaßnahmen“ herunterladen (engl.)

Benachrichtigung über Neuerungen

Melden Sie sich an, um sich über Updates und neue Versionen zu informieren

Feedback

Senden Sie uns Ihre Kommentare oder Vorschläge

2 von 14