Verwalten von Sicherheitsrichtlinieneinstellungen
In diesem Artikel werden verschiedene Verwaltungsmethoden für Sicherheitsrichtlinieneinstellungen auf einem lokalen Gerät oder in einer kleinen oder mittleren Organisation beschrieben.
Sicherheitsrichtlinieneinstellungen sollten im Rahmen der gesamten Sicherheitsimplementierung verwendet werden, um Domänencontroller, Server, Clientgeräte und andere Ressourcen in Ihrer Organisation zu schützen.
Sicherheitsrichtlinien sind Regeln, die Sie auf einem oder mehreren Geräten zum Schutz von Ressourcen auf einem Gerät oder in einem Netzwerk konfigurieren können. Mit der Erweiterung für Sicherheitseinstellungen des Snap-Ins „Editor für lokale Gruppenrichtlinien“ (Gpedit.msc) können Sie Sicherheitskonfigurationen als Teil eines Gruppenrichtlinienobjekts (Group Policy Object, GPO) definieren. GPOs sind mit Active Directory-Containern, z. B. Standorten, Domänen und Organisationseinheiten, verknüpft und bieten Administratoren die Möglichkeit, Sicherheitseinstellungen für mehrere Computer von einem beliebigen Gerät aus zu verwalten, das der Domäne angehört.
Sicherheitseinstellungen können Folgendes steuern:
Benutzerauthentifizierung bei einem Netzwerk oder Gerät
Die Ressourcen, auf die Benutzer zugreifen dürfen.
Ob die Aktionen eines Benutzers oder einer Gruppe im Ereignisprotokoll aufgezeichnet werden.
Mitgliedschaft in einer Gruppe.
Informationen zu den einzelnen Einstellungen, einschließlich Beschreibungen, Standardeinstellungen sowie Verwaltungs- und Sicherheitsaspekten, finden Sie unter Referenz zu den Sicherheitsrichtlinieneinstellungen.
Zum Verwalten der Sicherheitskonfigurationen mehrerer Computer können Sie eine der folgenden Optionen verwenden:
Bearbeiten Sie spezifische Sicherheitseinstellungen in einem GPO.
Verwenden Sie das Sicherheitsvorlagen-Snap-In, um eine Sicherheitsvorlage zu erstellen, die die anzuwendenden Sicherheitsrichtlinien enthält. Importieren Sie dann die Sicherheitsvorlage in ein Gruppenrichtlinienobjekt. Eine Sicherheitsvorlage ist eine Datei, die eine Sicherheitskonfiguration darstellt. Sie kann in ein GPO importiert, auf ein lokales Gerät angewendet oder für Sicherheitsanalysen verwendet werden.
Was hat sich hinsichtlich der Verwaltung von Einstellungen geändert?
Im Lauf der Zeit wurden neue Möglichkeiten zum Verwalten von Sicherheitsrichtlinieneinstellungen eingeführt. Diese beinhalten neue Betriebssystemfunktionen sowie neue Einstellungen. Die folgende Tabelle enthält verschiedene Methoden zum Verwalten von Sicherheitsrichtlinieneinstellungen.
| Tool oder Feature | Beschreibung und Verwendung |
|---|---|
Snap-In für Sicherheitsrichtlinie |
Secpol.msc MMC-Snap-In, das nur Sicherheitsrichtlinieneinstellungen verwaltet. |
Befehlszeilenprogramm für Sicherheitseditor |
Secedit.exe Konfiguriert und Analysiert die Systemsicherheit, indem es Ihre aktuelle Konfiguration mit festgelegten Sicherheitsvorlagen vergleicht. |
Security Compliance Manager |
Tool-Download Ein Solution Accelerator, der Ihnen hilft, Ihre Sicherheitsgrundwerte für Windows-Client- und -Serverbetriebssysteme sowie Microsoft-Anwendungen zu planen, bereitzustellen, zu betreiben und zu verwalten. |
Sicherheitskonfigurations-Assistent |
Scw.exe Der Sicherheitskonfigurations-Assistent ist ein rollenbasiertes Tool, das nur auf Servern zur Verfügung steht: Sie können damit eine Richtlinie erstellen, die für einen ausgewählten Server Dienste, Firewallregeln und Einstellungen aktiviert, damit der Server spezielle Rollen ausführen kann. |
Sicherheitskonfigurations-Manager-Tool |
Mit diesem Toolset können Sie die Sicherheitseinstellungen für Ihr lokales Gerät, Ihre Organisationseinheit oder Ihre Domäne erstellen, anwenden und bearbeiten. |
Gruppenrichtlinie |
Gpmc.msc und Gpedit.msc Die Gruppenrichtlinien-Verwaltungskonsole stellt mithilfe des Gruppenrichtlinienobjekt-Editors die lokalen Sicherheitsoptionen zur Verfügung. Diese können anschließend in Gruppenrichtlinienobjekte integriert und innerhalb der gesamten Domäne verteilt werden. Der Editor für lokale Gruppenrichtlinien führt ähnliche Funktionen auf dem lokalen Gerät aus. |
Richtlinien für Softwareeinschränkung Informationen finden Sie unter Verwalten von Richtlinien für Softwareeinschränkung. |
Gpedit.msc Die „Richtlinien für Softwareeinschränkung“ (Software Restriction Policies, SRP) sind ein Feature, das auf Gruppenrichtlinien basiert. Damit werden die auf Computern in einer Domäne ausgeführten Softwareprogramme identifiziert. Zudem steuern die Richtlinien die Ausführbarkeit dieser Programme. |
AppLocker Informationen finden Sie unter Verwalten von AppLocker. |
Gpedit.msc Verhindert, dass sich Schadsoftware (Malware) und nicht unterstützte Anwendungen auf Computer in Ihrer Umgebung auswirkt und dass Benutzer in Ihrer Organisation nicht autorisierte Anwendungen installieren und verwenden können. |
Verwenden des Snap-Ins „Lokale Sicherheitsrichtlinie“
Das Snap-In „Lokale Sicherheitsrichtlinie“ (Secpol.msc) beschränkt die Anzeige lokaler Richtlinienobjekte auf die folgenden Richtlinien und Features:
Kontorichtlinien
Lokale Richtlinien
Windows-Firewall mit erweiterter Sicherheit
Netzwerklisten-Manager-Richtlinien
Richtlinien für öffentliche Schlüssel
Richtlinien für Softwareeinschränkung
Anwendungssteuerungsrichtlinien
IP-Sicherheitsrichtlinien auf „Lokaler Computer“
Erweiterte Überwachungsrichtlinienkonfiguration
Lokal festgelegte Richtlinien werden möglicherweise überschrieben, wenn der Computer einer Domäne hinzugefügt wird.
Das Snap-In „Lokale Sicherheitsrichtlinie“ ist Teil des Sicherheitskonfigurations-Manager-Toolsets. Informationen zu weiteren Tools in diesem Toolset finden Sie in diesem Thema unter Arbeiten mit dem Sicherheitskonfigurations-Manager.
Verwenden des Befehlszeilenprogramms Secedit.exe
Das Befehlszeilenprogramm Secedit.exe verwendet Sicherheitsvorlagen und bietet sechs Hauptfunktionen:
Mit dem Parameter Configure können Sie Sicherheitsdiskrepanzen zwischen Geräten beheben, indem Sie die entsprechende Sicherheitsvorlage auf den fehlgeleiteten Server anwenden.
Der Parameter Analyze vergleicht die Sicherheitskonfiguration des Servers mit der ausgewählten Vorlage.
Mit dem Parameter Import können Sie eine Datenbank aus einer vorhandenen Vorlage erstellen. Dies ist auch mit dem Tool „Sicherheitskonfiguration und -analyse“ möglich.
Mit dem Parameter Export können Sie die Einstellungen aus einer Datenbank in eine Vorlage für Sicherheitseinstellungen exportieren.
Mit dem Parameter Validate können Sie die Syntax einzelner oder aller Textzeilen überprüfen, die Sie erstellt oder einer Sicherheitsvorlage hinzugefügt haben. Dies stellt sicher, dass die Vorlage kein Problem verursacht, falls sie die Syntax nicht anwenden kann.
Der Parameter Generate Rollback speichert die aktuellen Sicherheitseinstellungen des Servers in einer Sicherheitsvorlage. Mit dieser Vorlage können anschließend die meisten Sicherheitseinstellungen des Servers in einem bekannten Zustand wiederhergestellt werden. Einzige Ausnahme ist, dass die Rollback-Vorlage bei der Anwendung keine Einträge der Zugriffsteuerungsliste für Dateien oder Registrierungseinträge ändert, die durch die zuletzt angewendete Vorlage geändert wurden.
Verwenden von Security Compliance Manager
Security Compliance Manager ist ein herunterladbares Tool, mit dem Sie Ihre Sicherheitsgrundwerte für Windows-Client- und -Serverbetriebssysteme sowie Microsoft-Anwendungen planen, bereitstellen, betreiben und verwalten können. Das Tool enthält eine vollständige Datenbank mit empfohlenen Sicherheitseinstellungen und Methoden zum Anpassen Ihrer Grundwerte. Zudem können Sie diese Einstellungen in unterschiedliche Formate implementieren, wie XLS, GPOs, Pakete für die Verwaltung gewünschter Konfigurationen (Desired Configuration Management, DCM) oder das Security Content Automation Protocol (SCAP). Security Compliance Manager dient zum Exportieren der Grundwerte für Ihre Umgebung, um die Bereitstellung der Sicherheitsgrundwerte und die Kompatibilitätsprüfung zu automatisieren.
.gif "Mt634177.wedge(de-de,VS.85).gif")
So verwalten Sie Sicherheitsrichtlinien mithilfe von Security Compliance Manager
Laden Sie die neueste Version herunter. Weitere Informationen finden Sie im Blog Microsoft Security Guidance (Microsoft-Sicherheitsleitfaden).
Lesen Sie die in diesem Tool enthaltene Dokumentation zu den relevanten Sicherheitsgrundwerten.
Laden Sie die relevanten Sicherheitsgrundwerte herunter und importieren Sie sie. Sie werden während der Installation Schritt für Schritt durch die Auswahl der Grundwerte geführt.
Öffnen Sie die Hilfe, und befolgen Sie die Anleitung zum Anpassen, Vergleichen oder Zusammenführen Ihrer Sicherheitsgrundwerte, bevor Sie diese bereitstellen.
Verwenden des Sicherheitskonfigurations-Assistenten
Der Sicherheitskonfigurations-Assistent (Security Configuration Wizard, SCW) führt Sie Schritt für Schritt durch das Erstellen, Bearbeiten, Anwenden und Rollback einer Sicherheitsrichtlinie. Mit dem Sicherheitskonfigurations-Assistenten erstellte Sicherheitsrichtlinien sind XML-Dateien, die bei ihrer Anwendung Dienste, die Netzwerksicherheit, spezielle Registrierungswerte und die Überwachungsrichtlinie konfigurieren. Der Sicherheitskonfigurations-Assistent ist ein rollenbasiertes Tool. Sie können damit eine Richtlinie erstellen, die für einen ausgewählten Server Dienste, Firewallregeln und Einstellungen aktiviert, damit der Server spezielle Rollen ausführen kann. Ein Server kann beispielsweise ein Dateiserver, ein Druckserver oder ein Domänencontroller sein.
Bei Verwendung des Sicherheitskonfigurations-Assistenten sollten folgende Aspekte berücksichtigt werden:
Der Sicherheitskonfigurations-Assistent deaktiviert nicht benötigte Dienste und stellt eine Windows-Firewall mit erweiterten Sicherheitsfunktionen zur Verfügung.
Mit dem Sicherheitskonfigurations-Assistenten erstelle Sicherheitsrichtlinien sind keine Sicherheitsvorlagen (Dateien mit der Erweiterung .inf). Sicherheitsvorlagen enthalten mehr Sicherheitseinstellungen, als Sie mit dem Sicherheitskonfigurations-Assistenten festlegen können. Sie können jedoch einer Sicherheitsrichtliniendatei des Sicherheitskonfigurations-Assistenten eine Sicherheitsvorlage hinzufügen.
Sie können mit dem Sicherheitskonfigurations-Assistenten erstellte Sicherheitsrichtlinien mithilfe der Gruppenrichtlinie bereitstellen.
Der Sicherheitskonfigurations-Assistent installiert oder deinstalliert nicht die Features, die ein Server zum Ausführen einer Rolle benötigt. Sie können die serverrollenspezifischen Features über den Server-Manager installieren.
Der Sicherheitskonfigurations-Assistent erkennt Serverrollenabhängigkeiten. Wenn Sie eine Serverrolle auswählen, werden abhängige Serverrollen automatisch ausgewählt.
Alle Apps, die das IP-Protokoll und Ports verwenden, müssen bei der Ausführung des Sicherheitskonfigurations-Assistenten auf dem Server ausgeführt werden.
In einigen Fällen müssen Sie mit dem Internet verbunden sein, um die Links in der Hilfe des Sicherheitskonfigurations-Assistenten verwenden zu können.
Hinweis
Der Sicherheitskonfigurations-Assistent ist nur unter Windows Server verfügbar und gilt nur für Serverinstallationen.
Sie können den Sicherheitskonfigurations-Assistenten über den Server-Manager oder durch Ausführen von Scw.exe aufrufen. Der Assistent führt Sie durch die Sicherheitskonfiguration des Servers:
Erstellen Sie eine Sicherheitsrichtlinie, die auf beliebige Server in Ihrem Netzwerk angewendet werden kann.
Bearbeiten Sie eine bestehende Sicherheitsrichtlinie.
Wenden Sie eine bestehende Sicherheitsrichtlinie an.
Führen Sie ein Rollback zur zuletzt angewendeten Sicherheitsrichtlinie durch.
Der Sicherheitsrichtlinien-Assistent konfiguriert Dienste und die Netzwerksicherheit entsprechend der Serverrolle. Zudem legt er Überwachungs- und Registrierungseinstellungen fest.
Weitere Informationen zum Sicherheitskonfigurations-Assistenten einschließlich der Verfahren finden Sie unter Sicherheitskonfigurations-Assistent.
Arbeiten mit dem Sicherheitskonfigurations-Manager
Mit dem Sicherheitskonfigurations-Manager-Toolset können Sie die Sicherheitseinstellungen für Ihr lokales Gerät, Ihre Organisationseinheit oder Ihre Domäne erstellen, anwenden und bearbeiten.
Informationen zur Verwendung des Sicherheitskonfigurations-Managers finden Sie unter Sicherheitskonfigurations-Manager.
In der folgenden Tabelle finden Sie die Features des Sicherheitskonfigurations-Managers.
| Sicherheitskonfigurations-Manager-Tools | Beschreibung |
|---|---|
Sicherheitskonfiguration und -analyse |
Definiert eine Sicherheitsrichtlinie in einer Vorlage. Sie können diese Vorlagen auf die Gruppenrichtlinie oder Ihren lokalen Computer anwenden. |
Sicherheitsvorlagen |
Definiert eine Sicherheitsrichtlinie in einer Vorlage. Sie können diese Vorlagen auf die Gruppenrichtlinie oder Ihren lokalen Computer anwenden. |
Sicherheitseinstellungserweiterung für Gruppenrichtlinien |
Ändert einzelne Sicherheitseinstellungen in einer Domäne, Website oder Organisationseinheit. |
Lokale Sicherheitsrichtlinie |
Ändert einzelne Sicherheitseinstellungen auf Ihrem lokalen Computer. |
Secedit |
Automatisiert Aufgaben zur Sicherheitskonfiguration an einer Eingabeaufforderung. |
Sicherheitskonfiguration und -analyse
„Sicherheitskonfiguration und -analyse“ ist ein MMC-Snap-In, mit dem Sie die lokale Systemsicherheit analysieren und konfigurieren.
Sicherheitsanalyse
Der Zustand des Betriebssystems und der Apps auf einem Gerät ist dynamisch. Sie müssen zum Beispiel möglicherweise vorübergehend Sicherheitsstufen ändern, um ein Verwaltungs- oder Netzwerkproblem umgehend beheben zu können. Eine solche Änderung kann häufig jedoch nicht rückgängig gemacht werden. Dies bedeutet, dass ein Computer möglicherweise nicht mehr die Sicherheitsanforderungen des Unternehmens erfüllt.
Regelmäßige Analysen bieten Ihnen die Möglichkeit, die Sicherheit auf allen Computern im Rahmen eines Risikomanagementprogramms des Unternehmens zu überwachen und ein angemessenes Maß an Sicherheit zu gewährleisten. Sie können die Sicherheitsstufen optimieren und vor allem jegliche Sicherheitsrisiken erkennen, die im Laufe der Zeit im System auftreten.
Mit der Sicherheitskonfiguration und -analyse können Sie Sicherheitsanalyseergebnisse schnell überprüfen. Sie erhalten neben den aktuellen Systemeinstellungen zudem nützliche Empfehlungen. Visuelle Kennzeichnungen oder Anmerkungen weisen auf Bereiche hin, in denen die aktuellen Einstellungen nicht der vorgesehenen Sicherheitsstufe entsprechen. Die Sicherheitskonfiguration und -analyse bietet zudem die Möglichkeit, durch die Analyse ermittelte Diskrepanzen zu beheben.
Sicherheitskonfiguration
Sie können mit der Sicherheitskonfiguration und -analyse die lokale Systemsicherheit auch direkt konfigurieren. Aufgrund der Verwendung von persönlichen Datenbanken können Sie mit dem Snap-In „Sicherheitsvorlagen“ erstellte Sicherheitsvorlagen importieren und diese Vorlagen auf den lokalen Computer anwenden. Auf diese Weise wird sofort die in der Vorlage angegebene Sicherheitsstufe konfiguriert.
Sicherheitsvorlagen
Mit dem Snap-In „Sicherheitsvorlagen“ für die Microsoft-Verwaltungskonsole können Sie eine Sicherheitsrichtlinie für das Gerät oder das Netzwerk erstellen. Es handelt sich um einen zentralen Zugriffspunkt, an dem die gesamte Systemsicherheit berücksichtigt werden kann. Das Snap-In „Sicherheitsvorlagen“ führt keine neuen Sicherheitsparameter ein, sondern organisiert einfach alle vorhandenen Sicherheitsattribute an einem Ort. Dies erleichtert die Sicherheitsverwaltung.
Indem Sie eine Sicherheitsvorlage in ein Gruppenrichtlinienobjekt importieren, vereinfachen Sie die Domänenverwaltung, da Sie gleichzeitig die Sicherheit einer Domäne und einer Organisationseinheit konfigurieren.
Um eine Sicherheitsvorlage auf Ihr lokales Gerät anzuwenden, können Sie das Tool „Sicherheitskonfiguration und -analyse“ oder das Befehlszeilenprogramm „Secedit“ verwenden.
Sie können mit Sicherheitsvorlagen Folgendes definieren:
Kontorichtlinien
Kennwortrichtlinie
Kontosperrungsrichtlinie
Kerberos-Richtlinie
Lokale Richtlinien
Überwachungsrichtlinie
Zuweisen von Benutzerrechten
Sicherheitsoptionen
Ereignisprotokoll: Ereignisprotokolleinstellungen für Anwendung, System und Sicherheit
Eingeschränkte Gruppen: Mitgliedschaft sicherheitsrelevanter Gruppen
Systemdienste: Startoptionen und Berechtigungen für Systemdienste
Registrierung: Berechtigungen für Registrierungsschlüssel
Dateisystem: Berechtigungen für Ordner und Dateien
Jede Vorlage wird als textbasierte INF-Datei gespeichert. Auf diese Weise können Sie einzelne oder Alle Vorlagenattribute kopieren, einfügen, importieren oder exportieren. Mit Ausnahme der IPsec-Richtlinien (Internet Protocol Security) und der Richtlinien für öffentliche Schlüssel können alle Sicherheitsattribute in einer Sicherheitsvorlage enthalten sein.
Sicherheitseinstellungserweiterung für Gruppenrichtlinien
Organisationseinheiten, Domänen und Websites werden mit Gruppenrichtlinienobjekten verknüpft. Mit dem Tool „Sicherheitseinstellungen“ können Sie die Sicherheitskonfiguration des Gruppenrichtlinienobjekts ändern, was sich wiederum auf mehrere Computer auswirkt. Mit „Sicherheitseinstellungen“ können Sie je nach zu änderndem Gruppenrichtlinienobjekt von einem mit einer Domäne verbundenen Gerät aus die Sicherheitseinstellungen zahlreicher Geräte ändern.
Sicherheitseinstellungen oder -richtlinien sind Regeln, die Sie auf einem Gerät oder mehreren Geräten zum Schutz der auf einem Gerät oder im Netzwerk vorhandenen Ressourcen konfigurieren. Sicherheitseinstellungen können Folgendes steuern:
Wie Benutzer bei einem Netzwerk oder Gerät authentifiziert werden.
Welche Ressourcen Benutzer verwenden dürfen.
Ob die Aktionen eines Benutzers oder einer Gruppe im Ereignisprotokoll aufgezeichnet werden.
Gruppenmitgliedschaft.
Sie haben zwei Möglichkeiten, um die Sicherheitskonfiguration auf mehreren Computern zu ändern:
Erstellen Sie mithilfe des Snap-Ins „Sicherheitsvorlagen“ und einer Sicherheitsvorlage eine Sicherheitsrichtlinie. Importieren Sie die Vorlage anschließend über „Sicherheitseinstellungen“ in ein Gruppenrichtlinienobjekt.
Ändern Sie mit „Sicherheitseinstellungen“ ein paar ausgewählte Einstellungen.
Lokale Sicherheitsrichtlinie
Eine Sicherheitsrichtlinie besteht aus einer Kombination von Sicherheitseinstellungen, welche die Sicherheit auf einem Gerät beeinflussen. Sie können die lokale Sicherheitsrichtlinie verwenden, um Kontorichtlinien und lokale Richtlinien auf Ihrem lokalen Gerät zu bearbeiten.
Sie können mit der lokalen Sicherheitsrichtlinie Folgendes steuern:
Wer auf Ihr Gerät zugreifen darf.
Welche Ressourcen Benutzer auf Ihrem Gerät verwenden dürfen.
Ob die Aktionen eines Benutzers oder einer Gruppe im Ereignisprotokoll aufgezeichnet werden.
Wenn Ihr lokales Gerät Mitglied einer Domäne ist, wird Ihnen eine Sicherheitsrichtlinie der Domäne oder einer Organisationseinheit zugewiesen, deren Mitglied Sie sind. Bei einer Zuweisung von Richtlinien von mehreren Quellen werden Konflikte in der folgenden Reihenfolge gelöst.
Organisationseinheitenrichtlinie
Domänenrichtlinie
Siterichtlinie
Lokale Computerrichtlinie
Wenn Sie die Sicherheitseinstellung auf Ihrem lokalen Gerät unter Anwendung der lokalen Sicherheitsrichtlinie ändern, ändern Sie die Einstellungen direkt auf Ihrem Gerät. Daher werden die Einstellungen sofort wirksam, gelten möglicherweise jedoch nur temporär. Die Einstellungen bleiben auf dem lokalen Gerät tatsächlich bis zur nächsten Aktualisierung der Sicherheitseinstellungen der Gruppenrichtlinie erhalten. Dann überschreiben die von der Gruppenrichtlinie erhaltenen Sicherungseinstellungen alle lokalen Einstellungen, bei denen Konflikte vorliegen.
Verwenden des Sicherheitskonfigurations-Managers
Informationen zur Verwendung des Sicherheitskonfigurations-Managers finden Sie unter Sicherheitskonfigurations-Manager: So wird es gemacht. Dieser Abschnitt enthält folgende Informationen:
Anwenden von Sicherheitseinstellungen
Importieren und Exportieren von Sicherheitsvorlagen
Analysieren der Sicherheit und Anzeigen von Ergebnissen
Beheben von Sicherheitsdiskrepanzen
Automatisieren der Sicherheitskonfiguration
Anwenden von Sicherheitseinstellungen
Nachdem Sie die Sicherheitseinstellung bearbeitet haben, werden diese auf den Computern in der Organisationseinheit aktualisiert, die mit Ihrem Gruppenrichtlinienobjekt verknüpft sind:
Bei einem Neustart eines Geräts werden die Einstellungen auf diesem Gerät aktualisiert.
Verwenden Sie „gpupdate.exe“, um die Aktualisierung der Sicherheitseinstellungen und aller Gruppenrichtlinieneinstellungen auf einem Gerät zu erzwingen.
Vorrang einer Richtlinie, wenn auf einen Computer mehrere Richtlinien angewendet werden
Durch mehrere Richtlinien definierte Sicherheitseinstellungen werden in der folgende Reihenfolge berücksichtigt:
Organisationseinheitenrichtlinie
Domänenrichtlinie
Siterichtlinie
Lokale Computerrichtlinie
Beispiel: Bei einer Arbeitsstation, die Mitglied einer Domäne ist, werden die lokalen Sicherheitseinstellungen im Fall eines Konflikts mit der Domänenrichtlinie durch Letztere überschrieben. Wenn dieselben Arbeitsstation Mitglied einer Organisationseinheit ist, überschreiben die Einstellungen der Organisationseinheitenrichtlinie sowohl die Domänen- als auch die lokalen Einstellungen. Wenn die Arbeitsstation Mitglied mehrerer Organisationseinheiten ist, hat die Organisationseinheit, der die Arbeitsstation unmittelbar angehört, höchste Priorität.
Hinweis
Ermitteln Sie mithilfe von „gpresult.exe“, welche Richtlinien in welcher Reihenfolge auf ein Gerät angewendet werden.
Auf Domänenkonten kann nur eine einzige Kontorichtlinien angewendet werden. Diese muss Kennwort-, Kontosperrungs- und Kerberos-Richtlinien enthalten.
Dauerhaftigkeit in Sicherheitseinstellungen
Sicherheitseinstellungen können selbst dann gelten, wenn eine Einstellung nicht mehr in der Richtlinie definiert ist, durch die sie ursprünglich angewendet wurde.
Dauerhaftigkeit tritt in Sicherheitseinstellungen in folgenden Fällen auf:
Die Einstellung wurde zuvor nicht für das Gerät definiert.
Die Einstellung gilt für ein Registrierungsobjekt.
Die Einstellung gilt für ein Dateisystemobjekt.
Alle über eine lokale Richtlinie oder über ein Gruppenrichtlinienobjekt angewendeten Einstellungen werden in einer lokalen Datenbank auf dem Gerät gespeichert. Wenn eine Sicherheitsrichtlinie geändert wird, speichert der Computer den Wert der Sicherheitseinstellung in der lokalen Datenbank, die den Verlauf aller Einstellungen nachverfolgt, die auf das Gerät angewendet wurden. Wenn durch eine Richtlinie zuerst eine Sicherheitseinstellung definiert und die Definition der Einstellung dann aufgehoben wird, übernimmt die Einstellung den vorherigen Wert in der Datenbank. Wenn in der Datenbank kein vorheriger Wert vorhanden ist, kann die Einstellung keinen solchen Wert annehmen und bleibt unverändert. Dieses Verhalten wird mitunter als „Tattooing“ bezeichnet.
Registrierungs- und Dateieinstellungen behalten die durch Richtlinien angewendeten Werte bei, bis diese geändert werden.
Filtern von Sicherheitseinstellungen nach Gruppenmitgliedschaft
Sie können auch festlegen, auf welche Benutzer oder Gruppen ein Group Policy Object angewendet wird, und zwar ungeachtet dessen, auf welchem Computer sie angemeldet sind. Aktivieren oder deaktivieren Sie zu diesem Zweck die Option „Gruppenrichtlinie übernehmen“ oder die Leseberechtigung für dieses Gruppenrichtlinienobjekt. Beide Berechtigungen werden zum Anwenden der Gruppenrichtlinie benötigt.
Importieren und Exportieren von Sicherheitsvorlagen
Die Sicherheitskonfiguration und -analyse bietet Ihnen die Möglichkeit, Sicherheitsvorlagen in eine Datenbank zu importieren bzw. darauf zu exportieren.
Wenn Sie Änderungen an der Analysedatenbank vorgenommen haben, können Sie diese Einstellungen zum Speichern in eine Vorlage exportieren. Die Exportfunktion bietet die Möglichkeit, die Analysedatenbankeinstellungen als neue Vorlagendatei zu speichern. Sie können mit dieser Vorlagendatei ein System analysieren oder konfigurieren oder die Datei in ein Gruppenrichtlinienobjekt importieren.
Analysieren der Sicherheit und Anzeigen von Ergebnissen
Die Sicherheitskonfiguration und -analyse vergleicht für die Sicherheitsanalyse den aktuellen Zustand der Systemsicherheit mit einer Analysedatenbank. Während der Erstellung verwendet die Analysedatenbank mindestens eine Sicherheitsvorlage. Wenn Sie mehrere Sicherheitsvorlagen importieren möchten, führt die Datenbank die verschiedenen Vorlagen zu einer Vorlage zusammen. Konflikte werden in der Reihenfolge des Imports gelöst. Die zuletzt importierte Vorlage hat Vorrang.
Die Sicherheitskonfiguration und -analyse zeigt die Analyseergebnisse nach Sicherheitsbereich an. Probleme werden visuell gekennzeichnet. Sie zeigt die aktuellen System- und Basiskonfigurationseinstellungen für jedes Sicherheitsattribut in den Sicherheitsbereichen an. Um die Analysedatenbankeinstellungen zu ändern, klicken Sie mit der rechten Maustaste auf den Eintrag, und klicken Sie dann auf Eigenschaften.
| Visuelles Kennzeichen | Bedeutung |
|---|---|
Rotes X |
Der Eintrag ist in der Analysedatenbank und auf dem System definiert, aber die Werte der Sicherheitseinstellungen stimmen nicht überein. |
Grünes Häkchen |
Der Eintrag ist in der Analysedatenbank und auf dem System definiert und die Einstellungswerte stimmen überein. |
Fragezeichen |
Der Eintrag ist nicht in der Analysedatenbank definiert und wurde daher nicht analysiert. Wenn ein Eintrag nicht analysiert wird, wurde er möglicherweise nicht in der Analysedatenbank definiert. Ein weiterer Grund kann sein, dass der Benutzer, der die Analyse ausgeführt, nicht über die benötigte Berechtigung zum Analysieren eines bestimmten Objekts oder Bereichs verfügt. |
Ausrufezeichen |
Dieses Element ist in der Analysedatenbank definiert, aber nicht auf dem aktuellen System vorhanden. Es besteht zum Beispiel die Möglichkeit, dass eine eingeschränkte Gruppe vorhanden ist, die in der Analysedatenbank definiert wurde, aber auf dem analysierten System tatsächlich nicht vorhanden ist. |
Keine Hervorhebung |
Das Element ist weder in der Analysedatenbank noch auf dem System definiert. |
Wenn Sie die aktuellen Einstellungen übernehmen möchten, wird der entsprechende Wert in der Basiskonfiguration daran angepasst. Wenn Sie die Systemeinstellung an die Basiskonfiguration anpassen, spiegelt sich die Änderung beim Konfigurieren des Systems mit der Sicherheitskonfiguration und -analyse wider.
Um zu vermeiden, dass Einstellungen, die Sie bereits überprüft haben und als angemessen erachten, weiterhin gekennzeichnet werden, können Sie die Basiskonfiguration ändern. Die Änderungen werden an einer Kopie der Vorlage vorgenommen.
Beheben von Sicherheitsdiskrepanzen
Diskrepanzen zwischen der Analysedatenbank und den Systemeinstellungen können Sie wie folgt beheben:
Wenn Sie feststellen, dass die lokalen Systemsicherheitsstufen aufgrund des Kontexts (oder der Rolle) dieses Computers gültig sind, akzeptieren oder ändern Sie einzelne oder alle Werte, die gekennzeichnet wurden oder nicht in der Konfiguration enthalten sind. Diese Attributwerte werden daraufhin in der Datenbank aktualisiert und auf das System angewendet, wenn Sie auf Computer jetzt konfigurieren klicken.
Wenn Sie feststellen, dass das System nicht mit gültigen Sicherheitsstufen übereinstimmt, konfigurieren Sie das System mit den Werten der Analysedatenbank.
Importieren Sie eine für die Rolle dieses Computers geeignetere Vorlage als neue Basiskonfiguration in die Datenbank, und wenden Sie sie auf das System an.
Änderungen an der Analysedatenbank werden an der in der Datenbank gespeicherten Vorlage und nicht in der Sicherheitsvorlagendatei vorgenommen. Die Sicherheitsvorlagendatei wird nur geändert, wenn Sie zum Snap-In „Sicherheitsvorlagen“ zurückkehren und diese Vorlage bearbeiten oder wenn Sie die gespeicherte Konfiguration in dieselbe Vorlagendatei exportieren.
Verwenden Sie Computer jetzt konfigurieren nur zum Ändern von Sicherheitsbereichen, die nicht von Gruppenrichtlinien betroffen sind, wie etwa Sicherheitseinstellungen für lokale Dateien und Ordner, Registrierungsschlüssel und Systemdienste. Andernfalls haben angewendete Gruppenrichtlinieneinstellung Vorrang vor lokalen Einstellungen (z. B. Kontorichtlinien). Verwenden Sie die Option Computer jetzt konfigurieren generell nicht für die Sicherheitsanalyse von domänenbasierten Clients, da Sie in diesem Fall jeden Client einzeln konfigurieren müssen. Kehren Sie in diesem Fall zum Snap-In „Sicherheitsvorlagen“ zurück, ändern Sie die Vorlage, und wenden Sie sie erneut auf das entsprechende Gruppenrichtlinienobjekt an.
Automatisieren der Sicherheitskonfiguration
Wenn Sie das Tool Secedit.exe an einer Eingabeaufforderung aus einer Batchdatei oder einer automatischen Aufgabenplanung aufrufen, können Sie damit Vorlagen automatisch erstellen und anwenden und die Systemsicherheit analysieren. Sie können sie auch dynamisch an einer Eingabeaufforderung ausführen.
Secedit.exe ist nützlich, wenn Sie die Sicherheit auf mehreren Geräten analysieren oder konfigurieren müssen und dies außerhalb der Bürozeiten durchgeführt werden soll.
Arbeiten mit Gruppenrichtlinientools
Die Gruppenrichtlinie ist eine Infrastruktur, in der Sie verwaltete Konfigurationen für Benutzer und Computer über Gruppenrichtlinieneinstellungen festlegen können. Für Gruppenrichtlinieneinstellungen, die sich nur auf ein lokales Gerät oder Benutzer auswirken, können Sie den Editor für lokale Gruppenrichtlinien verwenden. Sie können Gruppenrichtlinieneinstellungen über die Gruppenrichtlinien-Verwaltungskonsole (Group Policy Management Console, GPMC) in einer Umgebung für Active Directory-Domänendienste (AD DS) verwalten. Tools für die Gruppenrichtlinienverwaltung sind auch in den Remoteserver-Verwaltungstools enthalten, um Gruppenrichtlinieneinstellungen von Ihrem Desktop aus verwalten zu können.