Sicherheits-Tuning für Windows Server 2003
Domänenweite Vorgaben
In allen drei Umgebungen ist den Domänen-Controllern (DC) besondere Aufmerksamkeit zu widmen. Deshalb beschreibt der Security-Guide gleich zu Beginn die wichtigsten Einstellungen, die auf DC-Ebene vorgenommen werden sollten. Die Domain-Policy stellt sicher, dass die hier konfigurierten Settings für alle Server in der jeweiligen Domäne gelten.
Microsoft empfiehlt, dass Sie die folgenden Richtlinien-Bereiche domänenweit vorgeben:
Kontorichtlinien (Account Policies)
Kennwortrichtlinien (Password Policy)
Kontosperrungsrichtlinien (Account Lockout Policy)
Kerberos-Richtlinie (Kerberos Policy)
Der Guide nennt für alle Bereiche die Einstellungen, die Sie für jedes der drei Security-Levels vornehmen sollten.
Die Sicherheitsoptionen (Security Options) der Windows-2003-Richtlinien umfassen die Policies für die verschiedenen Server-Typen. Diese gelten nicht domänenweit, sondern nur für die jeweiligen Server. Sie enthalten aber zwei Richtlinien, die Sie für die gesamte Domäne konfigurieren sollten. Es handelt sich dabei um:
Microsoft-Netzwerk (Server): Clientverbindungen aufheben, wenn die Anmeldezeit überschritten wird (Microsoft network server: Disconnect clients when logon hours expire). Dieser Parameter sollte aktiviert sein.
Netzwerkzugriff: Anonyme SID-/Namensübersetzung zulassen (Network Access: Allow anonymous SID/NAME translation). Dieser Parameter sollte deaktiviert sein.
Wenn Sie diese beiden Einstellungen über die Domain Policy vorgeben, stellen Sie sicher, dass sie auf allen Servern korrekt konfiguriert sind.