Verbessern der Gruppenrichtlinienobjekte des Standarddomänencontrollers


Wenn Windows Server 2003 zum Einrichten eines Active Directory-basierten Netzwerks verwendet wird, gibt es zwei Standardgruppenrichtlinien …

Objekte: Das Standard-Gruppenrichtlinienobjekt für Domänen und das Standard-Gruppenrichtlinienobjekt für Domänencontroller. Diese Gruppenrichtlinienobjekte sind so konfiguriert, dass sie ein grundlegendes Mindestmaß an Sicherheit für Ihr Domänennetzwerk und seine Domänencontroller bieten. Es gibt jedoch verschiedene Möglichkeiten, die Standardeinstellungen in diesen beiden Gruppenrichtlinienobjekten zu verbessern.
Normalerweise empfehle ich, dass Sie keine Änderungen direkt an einem dieser beiden Standardgruppenrichtlinienobjekte vornehmen. Erstellen Sie stattdessen neue Gruppenrichtlinienobjekte auf derselben Containerebene wie diese und nehmen Sie Ihre Änderungen nur an Ihren neuen Gruppenrichtlinienobjekten vor. Wenn Sie die ursprünglichen Standardgruppenrichtlinienobjekte beibehalten, können Sie leichter zu einer Standardeinstellung zurückkehren, wenn Sie einen Konfigurationsfehler machen.
In meinem vorherigen Tipp habe ich Sicherheitsverbesserungen für das Gruppenrichtlinienobjekt der Standarddomäne untersucht. In diesem Tipp werde ich Sicherheitsverbesserungen des Standard-Gruppenrichtlinienobjekts für Domänencontroller untersuchen.
Das Gruppenrichtlinienobjekt des Standarddomänencontrollers hat Sicherheitsrichtlinieneinstellungen auf die Organisationseinheit des Domänencontrollers angewendet. Es gibt drei Bereiche des Gruppenrichtlinienobjekts, die wir untersuchen müssen: Zuweisung von Benutzerrechten, Sicherheitsoptionen und Ereignisprotokollrichtlinie.
In der Richtlinie zur Zuweisung von Benutzerrechten sollten Sie die folgenden Änderungen vornehmen, um die Sicherheit des Domänencontrollers zu verbessern:

BenutzerrechtVoreinstellungEmpfohlene Einstellung
Lokale Anmeldung zulassenKontobetreiber
Administratoren
Sicherungsoperatoren
Druckoperatoren
Server-Operatoren
Administratoren
Sicherungsoperatoren
Server-Operatoren
Fahren Sie das System herunterKontobetreiber
Administratoren
Sicherungsoperatoren
Druckoperatoren
Server-Operatoren
Administratoren
Sicherungsoperatoren
Server-Operatoren

Wenn Sie die Anzahl der Personen reduzieren, die sich lokal bei einem Domänencontroller anmelden oder das System herunterfahren können, versuchen weniger Personen, physischen Zugriff auf die Domänencontroller zu erhalten.
In der Sicherheitsoptionsrichtlinie sind meine Empfehlungen zur Verbesserung der Sicherheit von Domänencontrollern aufgeführt:

SicherheitsoptionVoreinstellungEmpfohlene Einstellung
Audit: Audit des Zugriffs auf globale SystemobjekteNicht definiertDeaktiviert
Audit: Überprüfen Sie die Verwendung der Berechtigungen zum Sichern und WiederherstellenNicht definiertDeaktiviert
Audit: Fahren Sie das System sofort herunter, wenn keine Sicherheitsaudits protokolliert werden könnenNicht definiertDeaktiviert
Geräte: Ermöglichen Sie das Abdocken, ohne sich anmelden zu müssenNicht definiertDeaktiviert
Geräte: Darf Wechselmedien formatieren und auswerfenNicht definiertAdministratoren
Geräte: Verhindern Sie, dass Benutzer Druckertreiber installierenNicht definiertaktiviert
Geräte: Beschränken Sie den CD-ROM-Zugriff nur auf lokal angemeldete BenutzerNicht definiertaktiviert
Geräte: Beschränken Sie den Diskettenzugriff nur auf lokal angemeldete BenutzerNicht definiertaktiviert
Geräte: Nicht signiertes TreiberinstallationsverhaltenNicht definiertInstallation nicht zulassen
Domänencontroller: Ermöglichen Sie Serverbetreibern, Aufgaben zu planenNicht definiertDeaktiviert
Domänencontroller: Kennwortänderungen des Computerkontos ablehnenNicht definiertDeaktiviert
Domänenmitglied: Verschlüsseln oder signieren Sie sichere Kanaldaten digital (immer)aktiviertaktiviert
Domänenmitglied: Deaktivieren Sie die Kennwortänderungen des ComputerkontosNicht definiertDeaktiviert
Domänenmitglied: Maximales Alter des ComputerkontokennwortsNicht definiert30 Tage
Domänenmitglied: Benötigen Sie einen starken Sitzungsschlüssel (Windows 2000 oder höher)Nicht definiertaktiviert
Interaktive Anmeldung: Der letzte Benutzername wird nicht angezeigtNicht definiertaktiviert
Interaktive Anmeldung: Benötigen Sie nicht STRG + ALT + ENTFNicht definiertDeaktiviert
Interaktive Anmeldung: Anzahl der vorherigen Anmeldungen im Cache (falls der Domänencontroller nicht verfügbar ist)Nicht definiert0 Anmeldungen
Interaktive Anmeldung: Benutzer auffordern, das Kennwort vor Ablauf zu ändernNicht definiert14 Tage
Interaktive Anmeldung: Zum Entsperren der Workstation ist eine Domänencontrollerauthentifizierung erforderlichNicht definiertaktiviert
Interaktive Anmeldung: Smartcard erforderlichNicht definiertAktiviert (Erfordert PKI-Umgebung und Smartcard-Geräte)
Interaktive Anmeldung: Verhalten beim Entfernen von SmartcardsNicht definiertAbmeldung erzwingen
Microsoft-Netzwerkclient: Kommunikation digital signieren (immer)Nicht definiertaktiviert
Microsoft-Netzwerkclient: Kommunikation digital signieren (wenn der Server zustimmt)Nicht definiertaktiviert
Microsoft-Netzwerkclient: Senden Sie ein unverschlüsseltes Kennwort an SMB-Server von DrittanbieternNicht definiertDeaktiviert
Microsoft-Netzwerkserver: Erforderliche Leerlaufzeit, bevor die Sitzung unterbrochen wirdNicht definiert15 Minuten
Microsoft-Netzwerkserver: Kommunikation digital signieren (immer)aktiviertaktiviert
Microsoft-Netzwerkserver: Kommunikation digital signieren (wenn der Client zustimmt)aktiviertaktiviert
Microsoft-Netzwerkserver: Trennen Sie die Clients, wenn die Anmeldestunden abgelaufen sindNicht definiertaktiviert
Netzwerkzugriff: Die Speicherung von Anmeldeinformationen oder .NET-Pässen für die Netzwerkauthentifizierung ist nicht zulässigNicht definiertaktiviert
Netzwerkzugriff: Beschränken Sie den anonymen Zugriff auf Named Pipes und SharesNicht definiertaktiviert
Netzwerksicherheit: Speichern Sie den LAN Manager-Hashwert bei der nächsten Kennwortänderung nichtNicht definiertAktiviert (erfordert aktualisierte Legacy-Clients)
Netzwerksicherheit: LAN Manager-AuthentifizierungsstufeNur NTLM-Antwort sendenSenden von NTLMv2-Antworten / Ablehnen von LM (erfordert aktualisierte Legacy-Clients)
Netzwerksicherheit: LDAP-Client-SignaturanforderungenNicht definiertSignatur erforderlich (oder Negotiate-Signatur verwenden, wenn Domänencontroller vor Windows 2000 SP3 verwendet werden)
Wiederherstellungskonsole: Ermöglichen Sie die automatische AdministratoranmeldungNicht definiertDeaktiviert
Wiederherstellungskonsole: Ermöglichen Sie das Kopieren von Disketten und den Zugriff auf alle Laufwerke und alle OrdnerNicht definiertDeaktiviert
Herunterfahren: Ermöglicht das Herunterfahren des Systems, ohne dass Sie sich anmelden müssenNicht definiertDeaktiviert
Herunterfahren: Löscht die Auslagerungsdatei des virtuellen SpeichersNicht definiertaktiviert
Systemobjekte; Stärkung der Standardberechtigungen für interne Systemobjekte (z. B. symbolische Links)Nicht definiertaktiviert
Systemeinstellungen: Optionale SubsystemeNicht definiertAktiviert (leere Liste der Subsysteme erstellen)
Systemeinstellungen: Verwenden Sie Zertifikatregeln unter Windows Executables für Richtlinien zu SoftwareeinschränkungenNicht definiertAktiviert (erfordert PKI)

Die dritte und letzte Richtlinie, die geändert werden muss, ist die Ereignisprotokollrichtlinie. Hier sind meine Empfehlungen:

EreignisprotokollrichtlinieVoreinstellungEmpfohlene Einstellung
Maximale Größe des AnwendungsprotokollsNicht definiert(Keine Änderung)
Maximale Größe des SicherheitsprotokollsNicht definiert131.072 KB (oder größer)
Maximale SystemprotokollgrößeNicht definiert(Keine Änderung)
Verhindern Sie, dass lokale Gästegruppen auf das Anwendungsprotokoll zugreifenNicht definiertaktiviert
Verhindern Sie, dass lokale Gästegruppen auf das Sicherheitsprotokoll zugreifenNicht definiertaktiviert
Verhindern Sie, dass lokale Gästegruppen auf das Systemprotokoll zugreifenNicht definiertaktiviert
Bewahren Sie das Anwendungsprotokoll aufNicht definiert(Keine Änderung)
Sicherheitsprotokoll aufbewahrenNicht definiert(Keine Änderung)
Systemprotokoll aufbewahrenNicht definiert(Keine Änderung)
Aufbewahrungsmethode für das AnwendungsprotokollNicht definiert(Keine Änderung)
Aufbewahrungsmethode für das SicherheitsprotokollNicht definiertÜberschreiben Sie Ereignisse nach Bedarf
Aufbewahrungsmethode für das SystemprotokollNicht definiertÜberschreiben Sie Ereignisse nach Bedarf

Die einzige zusätzliche Einschränkung dieser Empfehlungen für Ereignisprotokollrichtlinien ist die Notwendigkeit, das Sicherheitsprotokoll regelmäßig zu sichern und zu löschen. Durch wöchentliches oder monatliches Sichern und Löschen wird sichergestellt, dass Sie nicht den gesamten verfügbaren Speicherplatz auf dem Laufwerk des Servers belegen und dass alle Sicherheitsereignisse beibehalten und nicht überschrieben werden. Der Grund, warum ich nicht empfehle, die Aufbewahrungsmethode auf “Nicht überschreiben” zu setzen, besteht darin, dass Sicherheitsereignisse möglicherweise nicht aufgezeichnet werden und ein Herunterfahren des Systems erzwungen wird, falls die Sicherheitsprotokolle voll werden. Indem Sie das Sicherheitsprotokoll regelmäßig sichern, bevor es sich selbst überschreibt, können Sie all diese Probleme vermeiden. Passen Sie die maximale Größe des Sicherheitsprotokolls so an, dass sie etwa 20% größer ist, als Sie normalerweise während Ihres Sicherungszyklus (wöchentlich oder monatlich) benötigen.


James Michael Stewart ist Partner und Forscher bei ITinfopros, einer technologieorientierten Schreib- und Schulungsorganisation.

Dig Deeper auf Windows-Systemen und Netzwerkverwaltung

Similar Posts

Leave a Reply