Sicherheits-Tuning für Windows Server 2003

Domänenweite Vorgaben

In allen drei Umgebungen ist den Domänen-Controllern (DC) besondere Aufmerksamkeit zu widmen. Deshalb beschreibt der Security-Guide gleich zu Beginn die wichtigsten Einstellungen, die auf DC-Ebene vorgenommen werden sollten. Die Domain-Policy stellt sicher, dass die hier konfigurierten Settings für alle Server in der jeweiligen Domäne gelten.

Microsoft empfiehlt, dass Sie die folgenden Richtlinien-Bereiche domänenweit vorgeben:

• Kontorichtlinien (Account Policies)

• Kennwortrichtlinien (Password Policy)

• Kontosperrungsrichtlinien (Account Lockout Policy)

• Kerberos-Richtlinie (Kerberos Policy)

Der Guide nennt für alle Bereiche die Einstellungen, die Sie für jedes der drei Security-Levels vornehmen sollten.

Die Sicherheitsoptionen (Security Options) der Windows-2003-Richtlinien umfassen die Policies für die verschiedenen Server-Typen. Diese gelten nicht domänenweit, sondern nur für die jeweiligen Server. Sie enthalten aber zwei Richtlinien, die Sie für die gesamte Domäne konfigurieren sollten. Es handelt sich dabei um:

• Microsoft-Netzwerk (Server): Clientverbindungen aufheben, wenn die Anmeldezeit überschritten wird (Microsoft network server: Disconnect clients when logon hours expire). Dieser Parameter sollte aktiviert sein.

• Netzwerkzugriff: Anonyme SID-/Namensübersetzung zulassen (Network Access: Allow anonymous SID/NAME translation). Dieser Parameter sollte deaktiviert sein.

Wenn Sie diese beiden Einstellungen über die Domain Policy vorgeben, stellen Sie sicher, dass sie auf allen Servern korrekt konfiguriert sind.