Windows Server 2003-Sicherheitshandbuch

Anhang A: Sicherheitstools und Formate

Aktualisiert: 27.12.2005

Das Erstellen, Testen, Bereitstellen und Verwalten eines kompletten Richtlinien- und Vorlagensatzes für Ihr Unternehmen kann sich als besondere Herausforderung erweisen. In diesem Anhang bieten wir einen Überblick über die verfügbaren Microsoft-Tools und die Formate, in denen Sicherheitsrichtlinien erstellt werden können.

Auf dieser Seite

Sicherheitstools
Sicherheitsdateiformate

Sicherheitstools

Die folgenden Tools sind entweder mit dem Betriebssystem Windows Server™ 2003 erhältlich oder können kostenlos von der Microsoft-Website heruntergeladen werden.

Sicherheitskonfigurations-Assistent

Der Sicherheitskonfigurations-Assistent (SCW) wurde in Windows Server 2003 SP1 eingeführt. Im Gegensatz zur Gruppenrichtlinie ist er in den Active Directory®-Verzeichnisdienst nicht integriert und kann deshalb nicht zum Konfigurieren der Richtlinien auf Domänenebene benutzt werden. Er bietet jedoch eine kontinuierliche, rollenbasierte Absicherungsmethode, durch die Sie mithilfe von Assistenten einfach sichere Richtlinien erstellen können.

Mit SCW können Sie schnell und leicht Prototypenrichtlinien für mehrere Serverrollen erstellen, die auf aktuellen Anleitungen und empfohlenen Vorgehensweisen von Microsoft beruhen. Die Verwaltung von Diensteinstellungen, Registrierungseinstellungen, Windows Firewall-Ausnahmen und anderem erfolgt mit SCW automatisch. Er enthält eine Funktion zum Konfigurieren von Zielcomputern sowie zum Bereitstellen und Zurücknehmen von Richtlinien von Remotestandorten aus. Das Befehlszeilentool Scwcmd ermöglicht einen gemeinsamen Einsatz von SCW und Gruppenrichtlinien, damit Richtlinien an Computergruppen bereitgestellt werden bzw. Richtlinien in Gruppenrichtlinienobjekte konvertiert werden können.

Sicherheitskonfigurations-Editor

Die Tools des Sicherheitskonfigurations-Editors (SCE) werden zum Definieren von Vorlagen für Sicherheitsrichtlinien verwendet, die anhand der Active Directory-Gruppenrichtlinie auf einzelne Computer oder Computergruppen angewendet werden können. Der SCE wurde zunächst als Add-On für Windows NT® 4.0 veröffentlicht und ist nun zu einem wesentlichen Bestandteil der Gruppenrichtlinie geworden.

Er gilt nun nicht mehr als separate Komponente und wird in den folgenden MMC-Snap-Ins (Microsoft Management Console) und administrativen Dienstprogrammen verwendet:

• MMC-Snap-In „Sicherheitskonfiguration und -analyse“

• MMC-Snap-In „Sicherheitsvorlagen“

• Snap-in „Gruppenrichtlinien-Editor“ (für den Bereich Sicherheitseinstellungen der Struktur Computerkonfiguration)

• Tool „Lokale Sicherheitseinstellungen“

• Tool „Sicherheitsrichtlinie für Domänencontroller“

• Tool „Domänensicherheitsrichtlinie“

Da sämtliche dieser Tools den SCE verwenden, steht Windows-Administratoren eine kontinuierliche, leistungsfähige Benutzeroberfläche zum Erstellen und Bearbeiten von Richtlinien, für eigenständige Computer ebenso wie Gruppenrichtlinienobjekte, zur Verfügung.

Weitere Informationen zum Sicherheitskonfigurations-Editor erhalten Sie in der Windows-Hilfe.

Active Directory-Benutzer und -Computer

Das MCC-Snap-In „Active Directory-Benutzer und -Computer“ stellt die Hauptschnittstelle zum Erstellen und Verwalten von Organisationseinheiten (OUs) in der Domäne dar. Sie können OUs und GPOs verknüpfen, die Richtlinienreihenfolge und -vererbung überwachen und den Gruppenrichtlinien-Editor als separaten Prozess zum Bearbeiten von GPOs starten. Das Snap-In bietet jedoch keine verlässliche, integrierte Möglichkeit zum Aufnehmen, Verfassen und Verwalten von Gruppenrichtlinien.

Weitere Informationen zum MMC-Snap-In „Active Directory-Benutzer und -Computer“ finden Sie in der Windows-Hilfe.

Gruppenrichtlinien-Verwaltungskonsole

Die Gruppenrichtlinien-Verwaltungskonsole (Group Policy Management Console, GPMC) wurde von Microsoft als Reaktion auf Kundenfeedback hergestellt, das eine bessere Möglichkeit zur Überwachung von Gruppenrichtlinien in einer großen Umgebung zum Ausdruck brachte. Die GPMC muss auf Windows XP mit SP1 oder Windows Server 2003 ausgeführt werden und besteht aus einem MMC-Snap-In und einem Satz skriptfähiger Schnittstellen, die zum Verwalten der Gruppenrichtlinie verwendet werden können Mit ihr können sowohl Windows 2000 Server- als auch Windows Server 2003-Domänen verwaltet werden.

Die GPMC bietet:

• Eine Benutzeroberfläche, deren Schwerpunkt auf Einsatz und Verwaltung der Gruppenrichtlinie liegt.

• Die Möglichkeit, GPOs schnell zu sichern, wiederherstellen, importieren, exportieren, kopieren und einzufügen.

• Vereinfachte Verwaltung von gruppenrichtlinienspezifischer Sicherheit.

• Berichtsfunktionen für GPO- und Richtlinienergebnissatz-Daten (Resultant Set of Policy, RSoP).

• Skriptfähige GPO-Vorgänge.

Die Gruppenrichtlinien-Verwaltungskonsole mit Service Pack 1 kann von allen Windows Server 2003-Benutzern unter www.microsoft.com/downloads/details.aspx?FamilyID=0a6d4c24-8cbd-4b35-9272-dd3cbfc81887&DisplayLang=en kostenlos heruntergeladen werden.

Zum Seitenanfanq

Sicherheitsdateiformate

Sicherheitsrichtlinien können erstellt und in verschiedenen Formaten gespeichert werden. In den folgenden Abschnitten werden die in der Regel von Windows Server 2003 verwendeten Dateiformate einzeln angeführt:

SCW-Richtlinie (.XML)

SCW führt ein neues Dateiformat ein, das auf XML beruht. Systemeigene SCW-Richtlinien werden mit einer XML-Erweiterung gespeichert. Diese XML-Richtliniendateien weisen kein offizielles Schema auf, können jedoch anhand des Elements <Sicherheitsrichtlinie Version="1.0"> identifiziert werden.

Die SCW-Richtliniendatei ist eigentlich eine komplette Manifestation mehrerer verschiedener Einstellungstypen:

• Startmodus der Systemdienste

• Windows Firewall-Ausnahmen

• Ausgewählte Computerrollen

• Ausgewählte Computeraufgaben

• Registrierungseinstellungen

• Richtlinieneinstellungen

• Überwachungsrichtlinien

SCW-Richtlinien können außerdem mit einer oder mehreren Richtlinienvorlagen verknüpft werden, um zusätzliche, nicht in SCW enthaltene Funktionen zu bieten, wie etwa Zugriffsteuerungslisten für Systemdienste oder Registrierungen (ACLs).

Richtlinienvorlage (.inf)

Richtlinienvorlagen sind Textdateien, die einem Standardformat für Windows-Datendateien folgen: ein oder mehrere Abschnitte, die durch spezielle Schüsselwörter in eckigen Klammern und darauf folgenden Attribut-/Wertpaaren ausgelöst werden.

Richtlinienvorlagen können einen oder mehrere Abschnitte enthalten, in denen folgenden Datentypen festgelegt werden:

• Kennwortrichtlinien

• Sperrungsrichtlinien

• Richtlinien für das Authentifizierungsprotokoll Kerberos

• Überwachungsrichtlinien

• Ereignisprotokolleinstellungen

• Registrierungswerte

• Startmodi für Dienste

• Dienstberechtigungen

• Benutzerberechtigungen

• Gruppenmitgliedschaftseinschränkungen

• Registrierungsberechtigungen

• Berechtigungen im Dateisystem

Richtlinienvorlagen werden von fast allen zuvor in diesem Anhang aufgelisteten Tools unterstützt. Außerdem kann das gleiche Vorlagenformat sowohl für lokale Computerrichtlinien als auch für Active Directory-Gruppenrichtlinien verwendet werden. Bevor die Vorlagen einsatzfähig sind, müssen sie vom entsprechenden Tool importiert werden.

Gruppenrichtlinienobjekte (GPOs)

GPOs sind Richtliniendaten, die in Active Directory und in speziellen Verzeichnissen auf Domänencontrollern als Dateisammlung gespeichert werden. Diese Richtliniendateien stellen Computer- und Benutzerrichtlinien dar und werden in der Regel nicht direkt bearbeitet. Sie können ein Tool, wie etwa die GPMC, zum Ändern der Einstellungen oder Exportieren des GPO in eine Richtlinienvorlage verwenden.

Sie können ein GPO von der GPMC aus exportieren oder sichern, um die im GPO gespeicherten Informationen auf das Dateisystem zu speichern. Auf diese Weise erstellte GPO-Backups enthalten die folgenden Informationen:

• Globale eindeutige Kennung (GUID) und Domäne des GPO

• GPO-Einstellungen

• Wahlfreie Zugriffssteuerungsliste (DACL) des GPO

• WMI-Filterverknüpfung, falls vorhanden, jedoch nicht den Filter selbst

• Gegebenenfalls Links zu IP-Sicherheitsrichtlinien

• XML-Bericht der GPO-Einstellungen, die im HTML-Format von der GPMC aus angezeigt werden können

• Datum und Zeitstempel der Sicherung

• Vom Benutzer gelieferte Beschreibung der Sicherung

Bei dieser Sicherung bleiben jedoch Daten, die GPO-extern sind, ungesichert. Diese Datei enthält insbesondere keine Linkinformationen für Sites, Domänen oder Organisationseinheiten. Informationen zu den tatsächlichen WMI-Filtern oder IP-Sicherheitsrichtlinien fehlen ebenfalls.

Zum Seitenanfanq

In diesem Beitrag

• Überblick
• Kapitel 1: Einführung in das Windows Server 2003-Sicherheitshandbuch
• Kapitel 2: Absicherungsmechanismen von Windows Server 2003
• Kapitel 3: Die Domänenrichtlinie
• Kapitel 4: Die Richtlinie für die Mitgliedsserver-Baseline
• Kapitel 5: Die Richtlinie für die Domänencontroller-Baseline
• Kapitel 6: Die Infrastrukturserverrolle
• Kapitel 7: Die Dateiserverrolle
• Kapitel 8: Die Druckserverrolle
• Kapitel 9: Die Webserverrolle
• Kapitel 10: Die IAS-Serverrolle
• Kapitel 11: Die Zertifikatdienstserverrolle
• Kapitel 12: Die Bastion-Hostrolle
• Kapitel 13: Zusammenfassung
• Anhang A: Sicherheitstools und Formate
• Anhang B: Zu berücksichtigende Schlüsseleinstellungen
• Anhang C: Zusammenfassung der Einstellungen für Sicherheitsvorlagen
• Anhang D: Testen des Windows Server 2003-Sicherheitshandbuchs
• Danksagungen

Download

Holen Sie sich das Windows Server 2003-Sicherheitshandbuch (engl.)

Benachrichtigung über Neuerungen

Melden Sie sich an, um sich über Updates und neue Versionen zu informieren

Feedback

Senden Sie uns Ihre Kommentare oder Vorschläge

Zum Seitenanfanq

15 von 19