Verbessern der Gruppenrichtlinienobjekte des Standarddomänencontrollers
Objekte: Das Standard-Gruppenrichtlinienobjekt für Domänen und das Standard-Gruppenrichtlinienobjekt für Domänencontroller. Diese Gruppenrichtlinienobjekte sind so konfiguriert, dass sie ein grundlegendes Mindestmaß an Sicherheit für Ihr Domänennetzwerk und seine Domänencontroller bieten. Es gibt jedoch verschiedene Möglichkeiten, die Standardeinstellungen in diesen beiden Gruppenrichtlinienobjekten zu verbessern.
Normalerweise empfehle ich, dass Sie keine Änderungen direkt an einem dieser beiden Standardgruppenrichtlinienobjekte vornehmen. Erstellen Sie stattdessen neue Gruppenrichtlinienobjekte auf derselben Containerebene wie diese und nehmen Sie Ihre Änderungen nur an Ihren neuen Gruppenrichtlinienobjekten vor. Wenn Sie die ursprünglichen Standardgruppenrichtlinienobjekte beibehalten, können Sie leichter zu einer Standardeinstellung zurückkehren, wenn Sie einen Konfigurationsfehler machen.
In meinem vorherigen Tipp habe ich Sicherheitsverbesserungen für das Gruppenrichtlinienobjekt der Standarddomäne untersucht. In diesem Tipp werde ich Sicherheitsverbesserungen des Standard-Gruppenrichtlinienobjekts für Domänencontroller untersuchen.
Das Gruppenrichtlinienobjekt des Standarddomänencontrollers hat Sicherheitsrichtlinieneinstellungen auf die Organisationseinheit des Domänencontrollers angewendet. Es gibt drei Bereiche des Gruppenrichtlinienobjekts, die wir untersuchen müssen: Zuweisung von Benutzerrechten, Sicherheitsoptionen und Ereignisprotokollrichtlinie.
In der Richtlinie zur Zuweisung von Benutzerrechten sollten Sie die folgenden Änderungen vornehmen, um die Sicherheit des Domänencontrollers zu verbessern:
Normalerweise empfehle ich, dass Sie keine Änderungen direkt an einem dieser beiden Standardgruppenrichtlinienobjekte vornehmen. Erstellen Sie stattdessen neue Gruppenrichtlinienobjekte auf derselben Containerebene wie diese und nehmen Sie Ihre Änderungen nur an Ihren neuen Gruppenrichtlinienobjekten vor. Wenn Sie die ursprünglichen Standardgruppenrichtlinienobjekte beibehalten, können Sie leichter zu einer Standardeinstellung zurückkehren, wenn Sie einen Konfigurationsfehler machen.
In meinem vorherigen Tipp habe ich Sicherheitsverbesserungen für das Gruppenrichtlinienobjekt der Standarddomäne untersucht. In diesem Tipp werde ich Sicherheitsverbesserungen des Standard-Gruppenrichtlinienobjekts für Domänencontroller untersuchen.
Das Gruppenrichtlinienobjekt des Standarddomänencontrollers hat Sicherheitsrichtlinieneinstellungen auf die Organisationseinheit des Domänencontrollers angewendet. Es gibt drei Bereiche des Gruppenrichtlinienobjekts, die wir untersuchen müssen: Zuweisung von Benutzerrechten, Sicherheitsoptionen und Ereignisprotokollrichtlinie.
In der Richtlinie zur Zuweisung von Benutzerrechten sollten Sie die folgenden Änderungen vornehmen, um die Sicherheit des Domänencontrollers zu verbessern:
| Benutzerrecht | Voreinstellung | Empfohlene Einstellung |
| Lokale Anmeldung zulassen | Kontobetreiber Administratoren Sicherungsoperatoren Druckoperatoren Server-Operatoren | Administratoren Sicherungsoperatoren Server-Operatoren |
| Fahren Sie das System herunter | Kontobetreiber Administratoren Sicherungsoperatoren Druckoperatoren Server-Operatoren | Administratoren Sicherungsoperatoren Server-Operatoren |
Wenn Sie die Anzahl der Personen reduzieren, die sich lokal bei einem Domänencontroller anmelden oder das System herunterfahren können, versuchen weniger Personen, physischen Zugriff auf die Domänencontroller zu erhalten.
In der Sicherheitsoptionsrichtlinie sind meine Empfehlungen zur Verbesserung der Sicherheit von Domänencontrollern aufgeführt:
| Sicherheitsoption | Voreinstellung | Empfohlene Einstellung |
| Audit: Audit des Zugriffs auf globale Systemobjekte | Nicht definiert | Deaktiviert |
| Audit: Überprüfen Sie die Verwendung der Berechtigungen zum Sichern und Wiederherstellen | Nicht definiert | Deaktiviert |
| Audit: Fahren Sie das System sofort herunter, wenn keine Sicherheitsaudits protokolliert werden können | Nicht definiert | Deaktiviert |
| Geräte: Ermöglichen Sie das Abdocken, ohne sich anmelden zu müssen | Nicht definiert | Deaktiviert |
| Geräte: Darf Wechselmedien formatieren und auswerfen | Nicht definiert | Administratoren |
| Geräte: Verhindern Sie, dass Benutzer Druckertreiber installieren | Nicht definiert | aktiviert |
| Geräte: Beschränken Sie den CD-ROM-Zugriff nur auf lokal angemeldete Benutzer | Nicht definiert | aktiviert |
| Geräte: Beschränken Sie den Diskettenzugriff nur auf lokal angemeldete Benutzer | Nicht definiert | aktiviert |
| Geräte: Nicht signiertes Treiberinstallationsverhalten | Nicht definiert | Installation nicht zulassen |
| Domänencontroller: Ermöglichen Sie Serverbetreibern, Aufgaben zu planen | Nicht definiert | Deaktiviert |
| Domänencontroller: Kennwortänderungen des Computerkontos ablehnen | Nicht definiert | Deaktiviert |
| Domänenmitglied: Verschlüsseln oder signieren Sie sichere Kanaldaten digital (immer) | aktiviert | aktiviert |
| Domänenmitglied: Deaktivieren Sie die Kennwortänderungen des Computerkontos | Nicht definiert | Deaktiviert |
| Domänenmitglied: Maximales Alter des Computerkontokennworts | Nicht definiert | 30 Tage |
| Domänenmitglied: Benötigen Sie einen starken Sitzungsschlüssel (Windows 2000 oder höher) | Nicht definiert | aktiviert |
| Interaktive Anmeldung: Der letzte Benutzername wird nicht angezeigt | Nicht definiert | aktiviert |
| Interaktive Anmeldung: Benötigen Sie nicht STRG + ALT + ENTF | Nicht definiert | Deaktiviert |
| Interaktive Anmeldung: Anzahl der vorherigen Anmeldungen im Cache (falls der Domänencontroller nicht verfügbar ist) | Nicht definiert | 0 Anmeldungen |
| Interaktive Anmeldung: Benutzer auffordern, das Kennwort vor Ablauf zu ändern | Nicht definiert | 14 Tage |
| Interaktive Anmeldung: Zum Entsperren der Workstation ist eine Domänencontrollerauthentifizierung erforderlich | Nicht definiert | aktiviert |
| Interaktive Anmeldung: Smartcard erforderlich | Nicht definiert | Aktiviert (Erfordert PKI-Umgebung und Smartcard-Geräte) |
| Interaktive Anmeldung: Verhalten beim Entfernen von Smartcards | Nicht definiert | Abmeldung erzwingen |
| Microsoft-Netzwerkclient: Kommunikation digital signieren (immer) | Nicht definiert | aktiviert |
| Microsoft-Netzwerkclient: Kommunikation digital signieren (wenn der Server zustimmt) | Nicht definiert | aktiviert |
| Microsoft-Netzwerkclient: Senden Sie ein unverschlüsseltes Kennwort an SMB-Server von Drittanbietern | Nicht definiert | Deaktiviert |
| Microsoft-Netzwerkserver: Erforderliche Leerlaufzeit, bevor die Sitzung unterbrochen wird | Nicht definiert | 15 Minuten |
| Microsoft-Netzwerkserver: Kommunikation digital signieren (immer) | aktiviert | aktiviert |
| Microsoft-Netzwerkserver: Kommunikation digital signieren (wenn der Client zustimmt) | aktiviert | aktiviert |
| Microsoft-Netzwerkserver: Trennen Sie die Clients, wenn die Anmeldestunden abgelaufen sind | Nicht definiert | aktiviert |
| Netzwerkzugriff: Die Speicherung von Anmeldeinformationen oder .NET-Pässen für die Netzwerkauthentifizierung ist nicht zulässig | Nicht definiert | aktiviert |
| Netzwerkzugriff: Beschränken Sie den anonymen Zugriff auf Named Pipes und Shares | Nicht definiert | aktiviert |
| Netzwerksicherheit: Speichern Sie den LAN Manager-Hashwert bei der nächsten Kennwortänderung nicht | Nicht definiert | Aktiviert (erfordert aktualisierte Legacy-Clients) |
| Netzwerksicherheit: LAN Manager-Authentifizierungsstufe | Nur NTLM-Antwort senden | Senden von NTLMv2-Antworten / Ablehnen von LM (erfordert aktualisierte Legacy-Clients) |
| Netzwerksicherheit: LDAP-Client-Signaturanforderungen | Nicht definiert | Signatur erforderlich (oder Negotiate-Signatur verwenden, wenn Domänencontroller vor Windows 2000 SP3 verwendet werden) |
| Wiederherstellungskonsole: Ermöglichen Sie die automatische Administratoranmeldung | Nicht definiert | Deaktiviert |
| Wiederherstellungskonsole: Ermöglichen Sie das Kopieren von Disketten und den Zugriff auf alle Laufwerke und alle Ordner | Nicht definiert | Deaktiviert |
| Herunterfahren: Ermöglicht das Herunterfahren des Systems, ohne dass Sie sich anmelden müssen | Nicht definiert | Deaktiviert |
| Herunterfahren: Löscht die Auslagerungsdatei des virtuellen Speichers | Nicht definiert | aktiviert |
| Systemobjekte; Stärkung der Standardberechtigungen für interne Systemobjekte (z. B. symbolische Links) | Nicht definiert | aktiviert |
| Systemeinstellungen: Optionale Subsysteme | Nicht definiert | Aktiviert (leere Liste der Subsysteme erstellen) |
| Systemeinstellungen: Verwenden Sie Zertifikatregeln unter Windows Executables für Richtlinien zu Softwareeinschränkungen | Nicht definiert | Aktiviert (erfordert PKI) |
Die dritte und letzte Richtlinie, die geändert werden muss, ist die Ereignisprotokollrichtlinie. Hier sind meine Empfehlungen:
| Ereignisprotokollrichtlinie | Voreinstellung | Empfohlene Einstellung |
| Maximale Größe des Anwendungsprotokolls | Nicht definiert | (Keine Änderung) |
| Maximale Größe des Sicherheitsprotokolls | Nicht definiert | 131.072 KB (oder größer) |
| Maximale Systemprotokollgröße | Nicht definiert | (Keine Änderung) |
| Verhindern Sie, dass lokale Gästegruppen auf das Anwendungsprotokoll zugreifen | Nicht definiert | aktiviert |
| Verhindern Sie, dass lokale Gästegruppen auf das Sicherheitsprotokoll zugreifen | Nicht definiert | aktiviert |
| Verhindern Sie, dass lokale Gästegruppen auf das Systemprotokoll zugreifen | Nicht definiert | aktiviert |
| Bewahren Sie das Anwendungsprotokoll auf | Nicht definiert | (Keine Änderung) |
| Sicherheitsprotokoll aufbewahren | Nicht definiert | (Keine Änderung) |
| Systemprotokoll aufbewahren | Nicht definiert | (Keine Änderung) |
| Aufbewahrungsmethode für das Anwendungsprotokoll | Nicht definiert | (Keine Änderung) |
| Aufbewahrungsmethode für das Sicherheitsprotokoll | Nicht definiert | Überschreiben Sie Ereignisse nach Bedarf |
| Aufbewahrungsmethode für das Systemprotokoll | Nicht definiert | Überschreiben Sie Ereignisse nach Bedarf |
Die einzige zusätzliche Einschränkung dieser Empfehlungen für Ereignisprotokollrichtlinien ist die Notwendigkeit, das Sicherheitsprotokoll regelmäßig zu sichern und zu löschen. Durch wöchentliches oder monatliches Sichern und Löschen wird sichergestellt, dass Sie nicht den gesamten verfügbaren Speicherplatz auf dem Laufwerk des Servers belegen und dass alle Sicherheitsereignisse beibehalten und nicht überschrieben werden. Der Grund, warum ich nicht empfehle, die Aufbewahrungsmethode auf “Nicht überschreiben” zu setzen, besteht darin, dass Sicherheitsereignisse möglicherweise nicht aufgezeichnet werden und ein Herunterfahren des Systems erzwungen wird, falls die Sicherheitsprotokolle voll werden. Indem Sie das Sicherheitsprotokoll regelmäßig sichern, bevor es sich selbst überschreibt, können Sie all diese Probleme vermeiden. Passen Sie die maximale Größe des Sicherheitsprotokolls so an, dass sie etwa 20% größer ist, als Sie normalerweise während Ihres Sicherungszyklus (wöchentlich oder monatlich) benötigen.
James Michael Stewart ist Partner und Forscher bei ITinfopros, einer technologieorientierten Schreib- und Schulungsorganisation.
