Sicherheitsvorlagen anwenden
Security/Sicherheit
Siehe auch Wiki FAQ und Impressum.
Details | |
---|---|
Bereich: | Software |
Kategorie: | System |
Gruppe: | Security/Sicherheit |
Vorsicht, nur für fortgeschrittene Benutzer oder auf Testsystemen auszuprobieren!
Windows hat sogenannte Sicherheitsvorlagen, mit denen man sein System, bzw. das Netzwerk absichern kann.
Diese Vorlagen enthalten bestimmte Einstellungen der Kontorichtlinien, lokalen Richtlinen, Ereignisprotokoll, eingeschränkte Gruppen, Systemdienste, Registrierung und des Dateisystems.
Um diese Vorlagen zu öffnen, muss man die Microsoft-Managementkonsole verwenden:
- Start -> Ausführen -> mmc
- Datei -> Snap-In hinzufügen/entfernen -> Hinzufügen
Dort wählt man die Sicherheitskonfiguration und -analyse und die Sicherheitsvorlagen (einzeln anklicken und danach auf "Hinzufügen") schließen und mit "OK" bestätigen.
Jetzt müssten die beiden Snap-Ins in der Konsole vorhanden sein.
Jetzt kann man die Sicherheitsvorlagen erweitern und sich die Templates anschauen:
compatws
Vermindert die standardmäßigen Datei- und Registrierungsrechte für die Gruppe 'Benutzer' so, dass sie mit den Anforderungen der meisten nichtzertifizierten Anwendungen konsistent sind. Normalerweise sollte die Gruppe 'Hauptbenutzer' verwendet werden, um nichtzertifizierte Anwendungen auszuführen.
hisecdc
Eine Obermenge von securedc. Bietet weitere Einschränkungen von LanMan-Authentifizierungen und weitere Anforderungen an Verschlüsselung und Signatur des sicheren Kanals und SMB-Daten. Alle Domänencontroller in allen vertrauten oder vertrauenden Domänen müssen Windows 2000 oder höher ausführen, um hisecdc auf einen Domänencontroller anwenden zu können.
hisecws
Eine Obermenge von securews. Ermöglicht weitere Einschränkungen von LanMan-Authentifizierungen und hat höhere Anforderungen an Verschlüsselung und Signatur des sicheren Kanals und von SMB-Daten. Alle Domänencontroller, die Konten von allen Benutzern verwalten, die sich an den Client anmelden, müssen NT4 SP4 oder höher ausführen, um hisecws auf ein Domänenmitglied anwenden zu können.
rootsec
Wendet Standard-Stammberechtigungen auf die Betriebssystempartition an und propagiert sie an Unterelemente, die Berechtigungen vom Stamm ererben. Die Propagierungszeit hängt von der Anzahl der nichtgeschützten Unterelemente ab.
securedc
Bietet erweiterte Domänenkontenrichtlinien, schränkt die Nutzung der LanMan-Authentifizierung ein und bietet weitere Einschränkungen für anonyme Benutzer. Wenn ein Domänencontroller mit securedc konfiguriert wird, dann wird sich ein Benutzer mit einem Konto in dieser Domäne nicht mehr von einem Nur-LanMan-Client mit Mitgliedservern verbinden können.
securews
Bietet erweiterte Richtlinien für lokale Konten, schränkt die Nutzung der LanMan-Authentifizierung ein, ermöglicht serverseitige SMB-Signaturen und bietet weitere Einschränkungen für anonyme Benutzer. Alle Domänencontroller, die Konten von allen Benutzern verwalten, die sich an diesen Mitgliedserver anmelden, müssen NT4 SP4 oder höher ausführen, um die Richtlinien auf Domänenmitglieder anwenden zu können.
setup security
Standard-Sicherheitseinstellungen
Um die Sicherheitskonfiguration zu analysieren, bzw. anzuwenden, klickt man auf "Sicherheitskonfiguration und -analyse" und erhält dann eine Anleitung.
Erstellen einer neuen Datenbank
Klicken Sie mit der rechten Maustaste auf das Objekt Sicherheitskonfiguration und -analyse.
Klicken Sie auf Datenbank öffnen.
Geben Sie den Namen der neuen Datenbank ein und klicken Sie auf Öffnen.
Wählen Sie eine zu importierende Sicherheitsvorlage und klicken Sie auf Öffnen.
Nachdem man das getan hat, macht man einen Rechtsklick auf "Sicherheitskonfiguration und -analyse" > Computer jetzt analysieren
Pfad des Fehlerprotokolls angeben > OK
Jetzt rechnet der Computer ein bisschen.
Danach sollte man die einzelnen Einstellungen nochmal durchgehen und die derzeitige Konfiguration mit der Vorlage vergleichen!
Alle Einstellungen mit dem roten Punkt und dem weissen Kreuz, sind die, die geändert werden.
Wenn man sich sicher ist, das man diese Vorlage anwenden möchte, macht man einen Rechtsklick auf "Sicherheitskonfiguration und -analyse" -> Computer jetzt Konfigurieren...