In Umgebungen mit Windows 7 Clients und Windows Server 2008 können lokale wie Domain-Administratoren oder auch Anwender zahlreiche sicherheitsrelevante Einstellungen komfortabel per Gruppenrichtlinie vornehmen. Damit können Sie zahlreiche Einstellungen auf einem System vorgeben. Grundsätzliches zum Thema finden Sie auch in dem Beitrag Gruppenrichtlinien in Windows Server 2008 R2. Wir gehen an dieser Stelle gleich in medias res und widmen uns wichtigen Einstellungen.
Zugriff auf Wechselmedien regulieren
In Windows Server 2008 R2, Windows Vista und Windows 7 können Sie den Zugriff auf Wechselmedien wie USB-Sticks per Gruppenrichtlinie steuern. Lesen Sie zu diesem Thema auch unseren ausführlichen Beitrag Windows-Praxis: USB-Nutzung per Gruppenrichtlinie reglementieren.
Diese Einstellungen können Administratoren auch in der lokalen Richtlinie einzelner PCs setzen. Die Richtlinie zur Steuerung von Wechselmedien finden Sie sowohl unter der Computerkonfiguration als auch in der Benutzerkonfiguration. Die Einstellungen für die den Zugriff auf Wechselmedien sehen Sie unter
• Computerkonfiguration/Richtlinien/Administrative Vorlagen/System/Wechselmedienzugriff
• Benutzerkonfiguration/Richtlinien/Administrative Vorlagen/System/Wechselmedienzugriff
Die Einstellungen dieser Richtlinie sind selbsterklärend. Wenn Sie eine Richtlinie aufrufen, erhalten Sie auf der Registerkarte Erklärung ausführliche Informationen über die Auswirkungen der Richtlinien.
Nicht jedes Brennprogramm von Drittherstellern hält sich an die Einstellungen in der Richtlinie für den schreibenden Zugriff auf CDs oder DVDs.
Wenn Sie sicherstellen wollen, dass keine CDs oder DVDs gebrannt werden können, sollten Sie die Installation von DVD- oder CD-Brennern über die entsprechende Richtlinie einstellen.
Die generellen Einstellungen für die Geräteinstallationen finden Sie über Computerkonfiguration/Administrative Vorlagen/System/Geräteinstallation/Einschränkungen bei der Geräteinstallation.
Eine neue Gruppenrichtlinie für sichere Kennwörter erstellen
Navigieren Sie zu den Einstellungen der Kennwörter unter Computerkonfiguration/Richtlinien/Windows-Einstellungen/Sicherheitseinstellungen/Kontorichtlinien/Kennwortrichtlinien in einer Gruppenrichtlinie.
Dort können Sie bestimmen, welche Struktur die Kennwörter der Anwender haben sollen. In Windows Server 2008 R2 gibt es verschiedene Einstellungen, die Sie zur Konfiguration von sicheren Kennwörtern verwenden können:
• Kennwort muss Komplexitätsvoraussetzungen entsprechen - Bei dieser Option muss das Kennwort mindestens sechs Zeichen lang sein. Es darf maximal zwei Zeichen enthalten, die auch in der Zeichenfolge des Benutzernamens vorkommen Außerdem müssen drei der fünf Kriterien von komplexen Kennwörtern erfüllt sein:
-
Großbuchstaben (A bis Z)
-
Kleingeschriebene Buchstaben (a bis z)
-
Ziffern (0 bis 9)
-
Sonderzeichen (zum Beispiel !, &, /, %)
-
Unicodezeichen (€, @, ®)
• Kennwortchronik erzwingen - Hier können Sie festlegen, wie viele Kennwörter im Active Directory gespeichert bleiben sollen, die ein Anwender bisher bereits verwendet hat. Wenn Sie diese Option wie empfohlen auf 24 setzen, darf sich ein Kennwort erst nach 24 Änderungen wiederholen.
• Kennwörter mit umkehrbarer Verschlüsselung speichern - Bei dieser Option speichert Windows die Kennwörter so, dass die Administratoren sie auslesen können. Sie sollten diese Option deaktivieren. Dazu müssen Sie die Richtlinieneinstellung definieren und auf Deaktiviert setzen.
• Maximales Kennwortalter - Hier legen Sie fest, wie lange ein Kennwort gültig bleibt, bis der Anwender es selbst ändern muss.
• Minimale Kennwortlänge - Der Wert legt fest, wie viele Zeichen ein Kennwort mindestens enthalten muss. Dafür wird ein Wert von acht Zeichen empfohlen.
• Minimales Kennwortalter - Hier steuern Sie, wann ein Anwender ein Kennwort frühestens ändern darf, also wie lange es mindestens aktuell sein muss. Diese Option ist zusammen mit der Kennwortchronik sinnvoll, damit die Anwender das Kennwort nicht so oft ändern, dass sie wieder ihr altes verwenden können. Microsoft empfiehlt an dieser Stelle einen Wert von 2.
Automatischen Neustart nach Updates deaktivieren
Viele Anwender stören sich daran, dass Windows 7 nach der automatischen Installation von Updates sofort neu starten will.
Diese Funktion lässt sich deaktivieren. Wenn Sie Windows 7 Ultimate, Professional oder Enterprise einsetzen, können Sie dazu die Richtlinienverwaltung verwenden.
Navigieren Sie zu Computerkonfiguration/Richtlinien/Administrative Vorlagen/Windows-Komponenten/Windows Update.
Im rechten Bereich stehen Ihnen verschiedene Einstellungen für Windows Update zur Verfügung, die in der normalen Verwaltungsoberfläche der Systemsteuerung nicht verfügbar sind. Deaktivieren Sie die Option Erneut zu einem Neustart für geplante Installation auffordern. Zusätzlich sollten Sie noch die Option Keinen automatischen Neustart für geplante Installationen ausführen aktivieren.
Windows bei ungültigen Anmeldeversuchen automatisch sperren lassen
Sie können festlegen, dass sich Windows nach einer bestimmten Anzahl ungültiger Anmeldeversuche automatisch sperrt:
1. Navigieren Sie zu Computerkonfiguration/Windows-Einstellungen/Sicherheitseinstellungen/Kontosperrungsrichtlinien.
2. Klicken Sie doppelt auf Kontensperrungsschwelle.
3. Geben Sie die Anzahl zulässiger Login-Versuche bis zur Sperrung ein.
4. Mit Kontosperrdauer legen Sie fest, wie lange das Konto gesperrt sein soll.
5. Über Zurücksetzungsdauer des Kontosperrungszählers tragen Sie die Zeitspanne ein, nach der Windows erneut mit dem Zählen beginnt.
6. Auf der Registerkarte Erklärung finden Sie zu den Einstellungen eine ausführliche Hilfe.
Programme mit AppLocker sperren
Windows 7 und Windows Server 2008 R2 bieten die Möglichkeit, einzelne Applikationen per Richtlinien zu sperren. Mit AppLocker können Administratoren steuern, ob Benutzer auf ausführbare Dateien, DLLs, Skripts und Windows-Installer-Dateien verwenden können.
AppLocker ermöglicht die Definition von Regeln über Gruppenrichtlinien, die festlegen, welche Dateien ausgeführt werden dürfen. Auch neue Versionen solcher gesperrter Anwendungen sind dann gesperrt.
Um ein Programm vor der Ausführung zu sperren, gehen Sie folgendermaßen vor:
1. Navigieren Sie zu Computerkonfiguration/Windows-Einstellungen/Sicherheitseinstellungen/Anwendungssteuerungsrichtlinien.
2. Klicken Sie auf den Konsoleneintrag AppLocker.
3. Klicken Sie mit der rechten Maustaste auf Ausführbare Regeln.
4. Wählen Sie im Kontextmenü den Eintrag Neue Regel erstellen aus.
5. Überspringen Sie die Startseite des Assistenten.
6. Wählen Sie auf der nächsten Seite Verweigern als Grundlage für die Regel aus.
7. Wählen Sie im Dropdown-Menü die Gruppe oder den Benutzer aus, für die oder den Sie den Zugriff sperren wollen.
8. Auf der nächsten Seite wählen Sie aus, ob Sie die ausführbaren Dateien eines Herstellers (Herausgeber), alle Programme in einem bestimmten Verzeichnis (Pfad) oder nicht signierte Dateien (Datei-Hash) sperren wollen.
9. Wählen Sie am einfachsten Herausgeber aus.
10. Klicken Sie im nächsten Fenster auf Durchsuchen und wählen die ausführbare Datei aus, die AppLocker sperren soll.
11. Per Schieberegler legen Sie fest, ob Sie nur die Version des Programms sperren wollen oder generell das komplette Programm unabhängig von der Version. Per Regler lässt sich auch bestimmen, ob Sie alle Programme des Herstellers sperren wollen.
12. Auf der nächsten Seite legen Sie fest, ob Sie bestimmte Ausnahmen des Herstellers genehmigen wollen oder nicht. Schließen Sie den Assistenten ab.
Benutzerkontensteuerung konfigurieren
In Unternehmen lässt sich das Verhalten der Benutzerkontensteuerung per Gruppenrichtlinie konfigurieren.
Die dazu notwendigen Einstellungen finden Sie über Computerkonfiguration/Richtlinien/Windows-Einstellungen/Sicherheitseinstellungen/Lokale Richtlinien/Sicherheitsoptionen.
Führt ein Anwender Aufgaben durch, die Administratorrechte benötigen, erscheint ein Bestätigungsfenster oder ein Authentifizierungsfenster, wenn er an einer Arbeitsstation als Standardbenutzer angemeldet ist.
Bildschirmschoner mit Kennwortschutz aktivieren
Es empfiehlt sich durchaus, die Einstellung zu wählen, dass Windows nach einer bestimmten Zeit den Bildschirmschoner aktiviert und der Anwender ein Kennwort eingeben muss, wenn der Bildschirm entsperrt werden soll. Das ist vor allem dann sinnvoll, wenn Anwender ihren Platz verlassen
Sie finden die Einstellungen für Bildschirmschoner unter Benutzerkonfiguration/Richtlinien/Administrative Vorlagen/Systemsteuerung/Anpassung. Konfigurieren Sie die folgenden Einstellungen:
• Bildschirmschoner aktivieren auf Aktiviert.
• Kennwortschutz für den Bildschirmschoner verwenden ebenfalls auf Aktiviert.
• Zeitlimit für Bildschirmschoner auf Aktiviert und als Einstellung 600 Sekunden bis zur Aktivierung.
BitLocker-Laufwerksverschlüsselung aktivieren - ohne TPM
In Windows 7 können Sie Festplatten mit BitLocker verschlüsseln. Prinzipiell verwendet BitLocker dafür ein TPM-Modul, es funktioniert aber auch ohne - per entsprechender Gruppenrichtlinieneinstellung.
1. Wechseln Sie in der Konsolenstruktur der Gruppenrichtlinienverwaltung zum Eintrag Computerkonfiguration/(Richtlinien)/Administrative Vorlagen/Windows-Komponenten/BitLocker-Laufwerksverschlüsselung/Betriebssystemlaufwerke.
2. Doppelklicken Sie im rechten Bereich des Fensters auf die Richtlinie Zusätzliche Authentifizierung beim Start anfordern. Für Windows-Vista-Clients oder Windows Server 2008 gibt es dazu eine eigene Richtlinie, die Sie aktivieren müssen.
3. Aktivieren Sie im Dialogfeld die Option Aktiviert.
4. Stellen Sie sicher, dass das Kontrollkästchen BitLocker ohne kompatibles TPM zulassen aktiviert ist.
5. Klicken Sie auf OK.
6. Die Richtlinie erhält darauf in der Statuszeile den Status Aktiviert.
Überwachung von Dateisystemzugriffen aktivieren
Wollen Sie auf Computern oder Dateiservern den Zugriff auf Dateien überwachen, können Sie das ebenfalls über Richtlinien durchführen. Öffnen Sie die lokale oder Gruppenrichtlinie für den Computer und navigieren Sie anschließend zu Computerkonfiguration/Windows-Einstellungen/Sicherheitseinstellungen/Lokale Richtlinien/Überwachungsrichtlinien. Die Überwachung der Zugriffe auf das Dateisystem aktivieren Sie über Objektzugriffsversuche überwachen.
Neben Dateizugriffen überwachen Sie mit dieser Einstellung auch Zugriffe auf Drucker. In der Standardeinstellung ist die Überwachung zunächst nicht aktiviert. Nach der Aktivierung müssen Sie noch auswählen, ob erfolgreiche und/oder fehlgeschlagene Zugriffsversuche protokolliert werden sollen.
Nachdem Sie die Überwachung generell aktiviert haben, müssen Sie die eigentliche Überwachung für die entsprechenden zu überwachenden Dateien und Verzeichnissen einrichten. Öffnen Sie dazu die Eigenschaften des Objekts, also des Verzeichnisses mit den Daten und wählen Sie auf der Registerkarte Sicherheit die Schaltfläche Erweitert. Auf der Registerkarte Überwachung sehen Sie, welche Operationen protokolliert werden. Damit Sie die bei der Überwachung anfallenden Protokolldaten sinnvoll bearbeiten können, sollten Sie von diesen Einschränkungsmöglichkeiten Gebrauch machen und nur das Nötigste protokollieren.
Über Hinzufügen legen Sie die Überwachung fest. Wie bei den NTFS-Berechtigungen gilt auch hier das Prinzip der Vererbung, das Sie bei Bedarf ausschalten können. Nachdem Sie Hinzufügen gewählt haben, können Sie über Ändern den zu überwachenden Benutzer respektive die entsprechende Gruppe auswählen. Wie bei der Vergabe spezieller NTFS-Berechtigungen können Sie angeben, inwieweit sich diese Einstellungen auf untergeordnete Objekte und Verzeichnisse auswirken.
Wählen Sie anschließend im Feld Zugriff aus, welche Zugriffe protokolliert werden sollen und ob Sie erfolgreiche oder fehlgeschlagene Zugriffe protokollieren wollen.
Die Überwachung wird in der Ereignisanzeige protokolliert. Starten Sie die Verwaltungskonsole über eventvwr.msc. In der Ereignisanzeige finden Sie die protokollierten Zugriffsversuche im Sicherheitsprotokoll. Die mit einem Schlüssel gekennzeichneten Einträge stehen für erfolgreiche Zugriffe, wogegen ein Schloss für fehlgeschlagene Zugriffe steht. Genauere Informationen zu einem Eintrag bekommen Sie, wenn Sie ihn öffnen. Ein einzelner Zugriff erzeugt eine ganze Reihe von Einträgen im Sicherheitsprotokoll.
Firewall-Einstellungen über Gruppenrichtlinien setzen
Auf Client-PCs erstellen Sie neue Regeln in der Windows-Firewall über die erweiterte Konsole. Diese starten Sie durch Eingabe von wf.msc im Suchfeld des Startmenüs.
Sie können aber auch über Gruppenrichtlinien Firewall-Regeln erstellen und diese an die Clients verteilen.
Sie finden die Einstellungen über Computerkonfiguration/Richtlinien/Windows-Einstellungen/Sicherheitseinstellungen/Windows-Firewall mit erweiterter Sicherheit.
Hier können Sie eingehende und ausgehende Regeln festlegen. Die Oberfläche dazu ist die gleiche wie bei der lokalen Verwaltung der Firewall.
Tunneln beim Einsatz von DirectAccess erzwingen
Mit DirectAccess können Windows-7-Clients über das Internet getunnelt auf Daten des internen Netzwerks zugreifen. Dazu muss im internen Netzwerk ein Server mit Windows Server 2008 R2 zur Verfügung stehen. Lesen Sie dazu auch unseren ausführlichen Beitrag DirectAccess mit Windows Server 2008 R2.
Standardmäßig können DirectAccess-Remote-Clients gleichzeitig auf das Internet, das Intranet und das jeweilige lokale Subnetz zugreifen. DirectAccess-Clients sind so konfiguriert, dass alle Namensabfrageanforderungen für das Intranet an die DNS-Server im Intranet und nicht erkannte oder Ausnahmen betreffende Namensabfrageanforderungen an die DNS-Server des Internetdienstanbieters gesendet werden. Wenn Sie erzwingen möchten, dass der gesamte Intranet- und Internetdatenverkehr über die DirectAccess-Verbindung geschickt wird, können Sie das Erzwingen von Tunneln über Gruppenrichtlinieneinstellung in der Gruppenrichtlinie für DirectAccess-Clients aktivieren:
Computerkonfiguration\Administrative Vorlagen\Netzwerk\Netzwerkverbbindungen\Gesamten Verkehr über das interne Netzwerk weiterleiten
Haben Sie das Erzwingen von Tunneln aktiviert, wird der Datenverkehr vom DirectAccess-Client über einen IP-HTTPS-Tunnel an das Intranet geleitet. (mje)