Sicherheitsvorlagen anwenden

aus WB Wiki; freien Wissensdatenbank rund ums Thema Computer
Wechseln zu: Navigation, Suche

Security/Sicherheit

Eine Umsetzung der FAQ-Artikel erfolgt auf eigene Gefahr. Der Autor weist in seinem Artikel auf den jeweiligen Schwierigkeitsgrad und Zeitaufwand hin. Es wird ausdrücklich empfohlen, vor der Durchführung von Systemänderungen an Windows einen aktuellen Wiederherstellungspunkt anzulegen.
Siehe auch Wiki FAQ und Impressum.

Details
Bereich: Software
Kategorie: System
Gruppe: Security/Sicherheit

Zurück zur Übersicht


Vorsicht, nur für fortgeschrittene Benutzer oder auf Testsystemen auszuprobieren!


Windows hat sogenannte Sicherheitsvorlagen, mit denen man sein System, bzw. das Netzwerk absichern kann. Diese Vorlagen enthalten bestimmte Einstellungen der Kontorichtlinien, lokalen Richtlinen, Ereignisprotokoll, eingeschränkte Gruppen, Systemdienste, Registrierung und des Dateisystems.

Um diese Vorlagen zu öffnen, muss man die Microsoft-Managementkonsole verwenden:

  1. Start -> Ausführen -> mmc
  2. Datei -> Snap-In hinzufügen/entfernen -> Hinzufügen

Dort wählt man die Sicherheitskonfiguration und -analyse und die Sicherheitsvorlagen (einzeln anklicken und danach auf "Hinzufügen") schließen und mit "OK" bestätigen.

Jetzt müssten die beiden Snap-Ins in der Konsole vorhanden sein.

Jetzt kann man die Sicherheitsvorlagen erweitern und sich die Templates anschauen:


compatws

Vermindert die standardmäßigen Datei- und Registrierungsrechte für die Gruppe 'Benutzer' so, dass sie mit den Anforderungen der meisten nichtzertifizierten Anwendungen konsistent sind. Normalerweise sollte die Gruppe 'Hauptbenutzer' verwendet werden, um nichtzertifizierte Anwendungen auszuführen.


hisecdc

Eine Obermenge von securedc. Bietet weitere Einschränkungen von LanMan-Authentifizierungen und weitere Anforderungen an Verschlüsselung und Signatur des sicheren Kanals und SMB-Daten. Alle Domänencontroller in allen vertrauten oder vertrauenden Domänen müssen Windows 2000 oder höher ausführen, um hisecdc auf einen Domänencontroller anwenden zu können.


hisecws

Eine Obermenge von securews. Ermöglicht weitere Einschränkungen von LanMan-Authentifizierungen und hat höhere Anforderungen an Verschlüsselung und Signatur des sicheren Kanals und von SMB-Daten. Alle Domänencontroller, die Konten von allen Benutzern verwalten, die sich an den Client anmelden, müssen NT4 SP4 oder höher ausführen, um hisecws auf ein Domänenmitglied anwenden zu können.


rootsec

Wendet Standard-Stammberechtigungen auf die Betriebssystempartition an und propagiert sie an Unterelemente, die Berechtigungen vom Stamm ererben. Die Propagierungszeit hängt von der Anzahl der nichtgeschützten Unterelemente ab.


securedc

Bietet erweiterte Domänenkontenrichtlinien, schränkt die Nutzung der LanMan-Authentifizierung ein und bietet weitere Einschränkungen für anonyme Benutzer. Wenn ein Domänencontroller mit securedc konfiguriert wird, dann wird sich ein Benutzer mit einem Konto in dieser Domäne nicht mehr von einem Nur-LanMan-Client mit Mitgliedservern verbinden können.


securews

Bietet erweiterte Richtlinien für lokale Konten, schränkt die Nutzung der LanMan-Authentifizierung ein, ermöglicht serverseitige SMB-Signaturen und bietet weitere Einschränkungen für anonyme Benutzer. Alle Domänencontroller, die Konten von allen Benutzern verwalten, die sich an diesen Mitgliedserver anmelden, müssen NT4 SP4 oder höher ausführen, um die Richtlinien auf Domänenmitglieder anwenden zu können.


setup security

Standard-Sicherheitseinstellungen


Um die Sicherheitskonfiguration zu analysieren, bzw. anzuwenden, klickt man auf "Sicherheitskonfiguration und -analyse" und erhält dann eine Anleitung.

Erstellen einer neuen Datenbank

Klicken Sie mit der rechten Maustaste auf das Objekt Sicherheitskonfiguration und -analyse.

Klicken Sie auf Datenbank öffnen.

Geben Sie den Namen der neuen Datenbank ein und klicken Sie auf Öffnen.

Wählen Sie eine zu importierende Sicherheitsvorlage und klicken Sie auf Öffnen.


Nachdem man das getan hat, macht man einen Rechtsklick auf "Sicherheitskonfiguration und -analyse" > Computer jetzt analysieren Pfad des Fehlerprotokolls angeben > OK

Jetzt rechnet der Computer ein bisschen.

Danach sollte man die einzelnen Einstellungen nochmal durchgehen und die derzeitige Konfiguration mit der Vorlage vergleichen!

Alle Einstellungen mit dem roten Punkt und dem weissen Kreuz, sind die, die geändert werden.

Wenn man sich sicher ist, das man diese Vorlage anwenden möchte, macht man einen Rechtsklick auf "Sicherheitskonfiguration und -analyse" -> Computer jetzt Konfigurieren...