USB, Kennwörter, Programme

Windows-Praxis: Sicherheit per Gruppenrichtlinien

Den Zugriff auf Wechselmedien regeln, Programme sperren und Passwortregeln festlegen: In Windows-Umgebungen können Sie per Gruppenrichtlinien elementare Sicherheitseinstellungen vornehmen. Wir haben einige wichtige Gruppenrichtlinien und Einstellungen für Sie zusammengefasst.

In Umgebungen mit Windows 7 Clients und Windows Server 2008 können lokale wie Domain-Administratoren oder auch Anwender zahlreiche sicherheitsrelevante Einstellungen komfortabel per Gruppenrichtlinie vornehmen. Damit können Sie zahlreiche Einstellungen auf einem System vorgeben. Grundsätzliches zum Thema finden Sie auch in dem Beitrag Gruppenrichtlinien in Windows Server 2008 R2. Wir gehen an dieser Stelle gleich in medias res und widmen uns wichtigen Einstellungen.

Zugriff auf Wechselmedien regulieren

In Windows Server 2008 R2, Windows Vista und Windows 7 können Sie den Zugriff auf Wechselmedien wie USB-Sticks per Gruppenrichtlinie steuern. Lesen Sie zu diesem Thema auch unseren ausführlichen Beitrag Windows-Praxis: USB-Nutzung per Gruppenrichtlinie reglementieren.

Einschränkungen: Sie können den Zugriff auf Wechselmedien per Richtlinie regulieren.
Einschränkungen: Sie können den Zugriff auf Wechselmedien per Richtlinie regulieren.

Diese Einstellungen können Administratoren auch in der lokalen Richtlinie einzelner PCs setzen. Die Richtlinie zur Steuerung von Wechselmedien finden Sie sowohl unter der Computerkonfiguration als auch in der Benutzerkonfiguration. Die Einstellungen für die den Zugriff auf Wechselmedien sehen Sie unter

Computerkonfiguration/Richtlinien/Administrative Vorlagen/System/Wechselmedienzugriff

Benutzerkonfiguration/Richtlinien/Administrative Vorlagen/System/Wechselmedienzugriff

Die Einstellungen dieser Richtlinie sind selbsterklärend. Wenn Sie eine Richtlinie aufrufen, erhalten Sie auf der Registerkarte Erklärung ausführliche Informationen über die Auswirkungen der Richtlinien.

Prinzipienfrage: So funktioniert der Richtlinieneinsatz bei der Geräteinstallation.
Prinzipienfrage: So funktioniert der Richtlinieneinsatz bei der Geräteinstallation.

Nicht jedes Brennprogramm von Drittherstellern hält sich an die Einstellungen in der Richtlinie für den schreibenden Zugriff auf CDs oder DVDs.

Wenn Sie sicherstellen wollen, dass keine CDs oder DVDs gebrannt werden können, sollten Sie die Installation von DVD- oder CD-Brennern über die entsprechende Richtlinie einstellen.

Die generellen Einstellungen für die Geräteinstallationen finden Sie über Computerkonfiguration/Administrative Vorlagen/System/Geräteinstallation/Einschränkungen bei der Geräteinstallation.

Eine neue Gruppenrichtlinie für sichere Kennwörter erstellen

Navigieren Sie zu den Einstellungen der Kennwörter unter Computerkonfiguration/Richtlinien/Windows-Einstellungen/Sicherheitseinstellungen/Kontorichtlinien/Kennwortrichtlinien in einer Gruppenrichtlinie.

Ordnungshalber: Hier können Sie eine Kennwortrichtlinie festlegen.
Ordnungshalber: Hier können Sie eine Kennwortrichtlinie festlegen.

Dort können Sie bestimmen, welche Struktur die Kennwörter der Anwender haben sollen. In Windows Server 2008 R2 gibt es verschiedene Einstellungen, die Sie zur Konfiguration von sicheren Kennwörtern verwenden können:

Kennwort muss Komplexitätsvoraussetzungen entsprechen - Bei dieser Option muss das Kennwort mindestens sechs Zeichen lang sein. Es darf maximal zwei Zeichen enthalten, die auch in der Zeichenfolge des Benutzernamens vorkommen Außerdem müssen drei der fünf Kriterien von komplexen Kennwörtern erfüllt sein:

  • Großbuchstaben (A bis Z)

  • Kleingeschriebene Buchstaben (a bis z)

  • Ziffern (0 bis 9)

  • Sonderzeichen (zum Beispiel !, &, /, %)

  • Unicodezeichen (€, @, ®)

Kennwortchronik erzwingen - Hier können Sie festlegen, wie viele Kennwörter im Active Directory gespeichert bleiben sollen, die ein Anwender bisher bereits verwendet hat. Wenn Sie diese Option wie empfohlen auf 24 setzen, darf sich ein Kennwort erst nach 24 Änderungen wiederholen.

Kennwörter mit umkehrbarer Verschlüsselung speichern - Bei dieser Option speichert Windows die Kennwörter so, dass die Administratoren sie auslesen können. Sie sollten diese Option deaktivieren. Dazu müssen Sie die Richtlinieneinstellung definieren und auf Deaktiviert setzen.

Maximales Kennwortalter - Hier legen Sie fest, wie lange ein Kennwort gültig bleibt, bis der Anwender es selbst ändern muss.

Minimale Kennwortlänge - Der Wert legt fest, wie viele Zeichen ein Kennwort mindestens enthalten muss. Dafür wird ein Wert von acht Zeichen empfohlen.

Minimales Kennwortalter - Hier steuern Sie, wann ein Anwender ein Kennwort frühestens ändern darf, also wie lange es mindestens aktuell sein muss. Diese Option ist zusammen mit der Kennwortchronik sinnvoll, damit die Anwender das Kennwort nicht so oft ändern, dass sie wieder ihr altes verwenden können. Microsoft empfiehlt an dieser Stelle einen Wert von 2.