Bereitstellen von Sicherheitsvorlagen

Vorwort
Die Bereitstellung von Sicherheitsvorlagen kann eine weitaus komplexere und zeitaufwändigere Angelegen-
heit sein als ihre Erstellung. Je nach Netzwerkumgebung können Sie unter mehreren verschiedenen
Möglichkeiten zur Bereitstellung von Sicherheitsvorlagen wählen:

Manuelles Importieren der Vorlagen in die lokalen Gruppenrichtlinien der einzelnen Computer
Automatisches Importieren der Vorlagen mithilfe des Scriptings
Importieren der Vorlagen in Gruppenrichtlinienobjekte, die mit dem Active Directory-Verzeichnisdienst
verknüpft sind.

Außerdem verfügen Sie, wenn Sie konfigurieren, welche Vorlagen auf welche Computer angewendet werden,
über eine Menge Flexibilität. Die verschiedenen Möglichkeiten der Verknüpfung und Filterung von Gruppen-
richtlinienobjekten zu kennen, ist für die Administration eines Windows Server 2003 Netzwerkes
extrem wichtig.

 

Bereitstellen von Sicherheitsvorlagen mithilfe von Active Directory
In den meisten Umgebungen, deren Sicherheitsanforderungen komplex genug sind, um einen Einsatz
von Sicherheitsvorlagen vorzusehen, wird zur Vereinfachung der Verwaltung von Computern auch
Active Directory eingesetzt werden. Active Directory erleichtert die Anwendung einer Sicherheits-
vorlage auf Comutern in Ihrer Domäne mithilfe von Gruppenrichtlinien.

 

Verwenden der Gruppenrichtlinien
Windows XP, Windows 2000 und Windows Server 2003 verwenden Gruppenrichtlinien zur Konfigura-
tion einer Vielzahl von sicherheitsrelevanten und anderen Einstellungen. Alle Systeme verfügen über eine
lokale Gruppenrichtlinie, die bei Nichtvorhandensein einer Gruppenrichtlinieneinstellung mit höherer
Priorität zur Definition von Konfigurationseinstellungen verwendet wird. In einer Domäne vereinfachen
die Gruppenrichtlinien die Verwaltung einer großen Anzahl von Computern, indem sie Administratoren
gestatten, Softwarekonfigurationen zu definieren, neue Software zu installieren, Updates aufzuspielen
und viele andere Aufgaben sowohl für Server als auch für Benutzercomputer durchzuführen. Mithilfe
von Gruppenrichtlinien kann ein Administrator Richtlinien konfigurieren, die für einen Standort, eine
Gruppe von Organisationseinheiten oder sogar für eine ganze Domäne gelten. Diese netzwerkbezog-
enen Gruppenrichtlinieneinstellungen haben, sofern vorhanden, Vorrang vor den lokalen Gruppen-
richtlinien.

Ein Gruppenrichtlinienobjekt (Group Policy Object, GPO) ist eine Ansammlung von Gruppenricht-
lienieneinstellungen. Im Wesentlichen sind GPOs Dokumente, die mit dem Gruppenrichtlinien-
objekt-Editor erstellt werdne. GPOs werden auf der Domänenebene gespeichert und betreffen
Benutzer und Computer an Standorten, in Domänen und Organisationseinheiten.

Kurz gesagt, lassen sich eine oder mehrere Sicherheitsvorlagen in ein GPO importieren. Wird das
GPO dann auf Clientsystemen bereitgestellt, dann wenden diese Systeme automatisch die
Einstellungen an, die in den importierten Sicherheitsvorlagen enthalten sind.


Importieren von Vorlagen In GPOs
Nach der Erscheinung von Windows Server 2003 wurde schnell klar, dass die Oberflächen
zur Administration von Gruppenrichtlinien nicht effizient genug sind. Deshalb brachte
Microsoft das Tool Gruppenrichtlinienverwaltung (Group Policy Management Console, GPMC)
auf den Markt. Dieses kostenlose Tool welches Sie aus dem Microsoft Downloadcenter
http://www.microsoft.com/downloads herunterladen können, eignet sich bestens zur Administration
von Gruppenrichtlinien und Sicherheitsvorlagen.

Ich empfehle Ihnen häuptsächlich mit GPMC zu arbeiten, da mit diesem Tool keine Gruppenrichtlinien
übersehen werden können und ebenfalls das Tool Richtlinienergebnissatz integriert ist, mit welchem Sie
die Effekte einer angewandten Richtlinie überprüfen oder Simulieren können.

Sollten sie dennoch noch mit der alten Oberfläche arbeiten, gehen sie wie folgt vor
um eine Sicherheitsvorlage in ein GPO zu importieren (arbeiten Sie mit GPMC
so, wählen oder erstellen Sie Ihr GPO und fahren mit Punkt 5 fort):

  1. Öffnen Sie die Konsole Active Directory- Benutzer und -Computer.

  2. Klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf die Domäne, den Standort
    oder die Organisationseinheit, für die Sie Gruppenrichtlinien einsetzen wollen.

  3. Klicken Sie auf Eigenschaften und dann auf die Registerkarte Gruppenrichtlinie.
    (Sollte das Register Gruppenrichtlinie nicht angezeigt werden, so aktivieren Sie in dem Menü
    "Ansicht" die Erweiterte Ansicht).

  4. Wenn Sie ein vorhandenes GPO bearbeiten, klicken Sie auf das GPO, in das Sie die Sicherheitsvorlage
    importieren wollen. Müssen Sie ein neues GPO erstellen, dann klicken Sie auf Neu und geben dann
    einen Namen für das GPO ein.

  5. Klicken Sie auf Bearbeiten, um das GPO zu öffnen.

  6. Erweitern Sie Computerkonfiguration und dann Windows Einstellungen.

  7. Klicken Sie mit der rechten Maustaste auf Sicherheitseinstellungen und wählen Sie dann
    Richtlinie importieren.

  8. Navigieren Sie nun zur zu importierenden Sicherheitsvorlage. Wenn Sie Sicherheitseinstellungen
    entfernen wollen, die bereits im GPO vorhanden sind, aktivieren Sie das Kontrollkästchen
    Datenbank vor dem Importieren aufräumen    . Klicken Sie auf Öffnen.

  9. Schließen Sie den Gruppenrichtlinienobjekt-Editor.

Nun weist das GPO die Einstellungen auf, die Sie in Ihrer Sicherheitsvorlage definiert haben.
Allerdings kann es sein, dass auf den Systemen nciht die aktuelle Version des GPO vorhanden ist.
Mithilfe des Programms Gpupdate.exe (gpupdate /?) können Sie die Vorlage direkt auf ein einzelnes
System anwenden. Sie können aber auch warten, bis das aktualisierte GPO automatisch angewendet wird.
Standardmäßig werden die Sicherheitseinstellungen auf einer Arbeitsstation alle 90 Minuten (auch diesen
Wert können Sie in einer Gruppenrichtlinie anpassen) und auf einem Domänencontroller alle 5 Minuten
aktualisiert. Diese Aktualisierung findet statt, wenn in der Zwischenzeit Änderungen vorgenommen wurden.
Die Einstellungen werden außerdem alle 16 Stunden unabhängig davon aktualisiert, ob Änderungen
vorliegen oder nicht.

Wenn mehrere GPOs mit einer einzelnen Domäne, einem Standort oder einer Organisationseinheit
verknüpft sind, müssen Sie sicherstellen, dass die Reihenfolge, in der die Richtlinien angewendet werden,
korrekt ist. Enthalten die verschiedenen Richtlinien widersprüchliche Einstellungen, dann hat die
Richtlinie, die in der Liste weiter oben steht, Vorrang und überschreibt Einstellungen anderer Richtlinien.
Mithilfe der Schaltflächen Nach oben und Nach unten auf der Registerkarte Gruppenrichtlinie im
Dialogfeld Eigenschaften (oder in der Übersicht rechts, bei markierter GP links, bei Verwendung von
GPMC) können Sie die Reihenfolge der GPOs bestimmen.


Standardmäßige Gruppenrichtlinienvererbung
Im Allgemeinen werden Gruppenrichtlinien von übergeordneten Containern an untergeordnete Container
in einer Domäne weitergegeben. Gruppenrichtlinien werden hingegen nicht von übergeordneten an unter-
geordnete Domänen vererbt. So würden Gruppenrichtlinien der Domäne datasystems.at nicht auf die
Domäne buchhaltung.datasystems.at weitergegeben. Wenn Sie aber einen Container auf hoher Ebene
eine spezielle Gruppenrichtlinieneinstellung zuweisen, dann wird diese Gruppenrichtlinieneinstellung auf
alle Container unterhalb des übergeordneten Containers angewendet, d.h. auch auf Benutzer- und
Computerobjekte in allen Containern. Wenn eine Richtlinieneinstellung für eine Organisationseinheit
definiert wird und dieselbe Einstellung für eine untergeordnete Organisationseinheit ncih definiert ist, dann
erbt die untergeordnete Organisationseinheit die aktivierte bzw. deaktivierte Richtlinieneinstellung
der ihr übergeordneten Organisationseinheit. Legen Sie hingegen eine Gruppenrichtlinieneinstellung
für einen untergeordneten Ordner explizit fest, dann hat die Gruppenrichtlinieneinstellung dieses Containers
Vorrang vor der entsprechenden Einstellung des übergeordneten Containers. Gelten mehrere GPOs und liegt
keine Ordnungsbeziehung zwischen diesen vor, dann werden die Richtlinien in der folgenen Reihenfolge
verarbeitet: lokale Richtlinie, Standort, Domäne, Organisationseinheit.

Wenn eine Richtlinieneinstellung, die auf eine Organisationseinheit angewendet wird, und eine Richtlinien-
einstellung, die auf eine dieser Organisationseinheit untergeordnete Organisationseinheit angewendet wird,
kompatibel sind, dann erbt die untergeordnete Organisationseinheit die Richtlinieneinstellung der über-
geordneten Organisationseinheit, und die Einstellungen der untergeordneten Organisationseinheit
wird ebenfalls angewendet. Wenn eine Richtlinieneinstellung kompatible ist, die für eine untergeordnete
Organisationseinheit konfiguriert wurde (etwa weil die Einstellung bei einer Organisationseinheit aktiviert
ist und bei der anderen nicht), dann erbt die untergeordnete Organisationseinheit die Richtlinieneinstellung
nicht von der übergeordneten Organisationseinheit. Es wird die Richtlinieneinstellung der untergeordneten
Organisationseinheit angewendet.

Sie können die Richtlinienvererbung auf der Domänen- oder Organisationseinheitsebene sperren, indem
Sie das Dialogfeld Eigenschaften der Domäne oder Organisationseinheit öffnen und das Kontrollkästchen
Richtlinienvererbung deaktivieren aktivieren. So können Sie umgekehrt die Richtlinienvererbung auch
erzwingen, indem Sie die Option Kein Vorrang für eine GPO Verknüpfung aktivieren. Auf diese Weise
erzwingen Sie die Vererbung der Richtlinien der übergeordneten Domäne oder Organisationseinheit
an alle Untergeordneten Container und zwar auch dann, wenn diese Richtlinie im Widerspruch zur
Richtlinie des untergeordneten Containers steht, und die Option Richtlinienvererbung deaktivieren für den
untergeordneten Container aktiviert wurde. Sie können die Option Kein Vorrang für eine GPO-
Verknüpfung aktivieren, indem Sie das Dialogfeld Eigenschaften des Standorts, der Domäne oder der
Organisationseinheit öffnen und unter "Optionen" ggf. das Kontrollkästchen Kein Vorrang aktivieren.
Praktischer und einfacher, doch mit selben Wortlaut können Sie dies ebenfalls in der bereits
erwähnten GPMC einstellen.


Gruppenrichtlinienvererbung mit Sicherheitsgruppen
Sie können GPOs nciht direkt mit einer Sicherheitsgruppe verknüpfen. Was Sie allerdings tun können, ist
über die Sicherheitsgruppenmitgliedschaft Mitgliedern der Gruppe die Anwendung eines GPO zu erlauben
oder zu verbieten. Auf diese Weise können Sie steuern, welche Benutzer ein GPO erhalten, indem
Sie sie zur Mitgliedern bestimmter Gruppen machen.

Standardmäßig sind alle Mitglieder der Gruppe "Authentifizierter Benutzer" zur Anwendung eines GPO
autorisiert. Aus diesem Grund müssen Sie, um nur bestimmten Gruppen die Anwendung eines GPO zu
ermöglichen, zunächst die Standardberechtigungen für die Gruppe "Authentifizierter Benutzer" entfernen
und dann den gewünschten Gruppen die Berechtigung zur Anwendung des GPO gewähren.
Die gängigsten Möglichkeiten zur Bearbeitung der Eigenschaften und Berechtigungen für ein GPO
sind die folgenden:

  1. Verwenden der Gruppenrichtlinienverwaltung (Group Policy Management Console, GPMC)
    1. Herunterladen der Software GPMC von http://www.microsoft.com/downloads, Stichwort GPMC
      oder von http://www.microsoft.com/windowsserver2003/gpmc/default.mspx.
    2. Start des Programmes Gruppenrichtlinienverwaltung aus dem Menü "Verwaltung".
    3. Auswählen und erweitern der Domäne und/oder der betreffenden Organisationseinheit auf der
      linken Seite des MMC-Snap-Ins. Alternativ werden im Objekt "Gruppenrichtlinienobjekte"
      unterhalb der Domäne, sämtliche vorhandenen Gruppenrichtlinien angezeigt.
    4. Auswahl des betreffenden GPOs, und klicken mit der rechten Maustaste auf Bearbeiten.
    5. Klicken Sie auf das Register Sicherheit

     

  2. Verwenden der Konsole Active Directory Benutzer und Computer und Computer
    1. Öffnen Sie Active Directory Benutzer und Computer aus dem Menü Verwaltung oder per MMC.
    2. Klicken Sie mit der rechten Maustaste auf die Domäne oder Organisationseinheit und
      wählen Sie Eigenschaften.
    3. Klicken Sie auf die Registerkarte Gruppenrichtlinie.
    4. Klicken Sie auf das zu bearbeitende GPO und dann auf Eigenschaften.
    5. Klicken Sie auf die Registerkarte Sicherheit

    3.  

  3. Verwenden der Konsole Active Directory Standorte und Dienste
    1. Öffnen Sie Active Directory Standorte und Dienste aus dem Menü Verwaltung oder per MMC.
    2. Erweitern Sie den Knoten Sites, klicken Sie mit der rechten Maustaste auf den Standort
      mit dem das GPO verknüpft ist, und klicken Sie dann auf Eigenschaften.
    3. Klicken Sie auf die Registerkarte Gruppenrichtlinie.
    4. Klicken Sie auf das zu bearbeitende GPO und dann auf Eigenschaften.
    5. Klicken Sie auf die Registerkarte Sicherheit.

     

  4. Verwenden des Gruppenrichtlinienobjekt-Editors
    1. Öffnen Sie mit dem Gruppenrichtlinienobjekt-Editors das GPO, dessen Bereich Sie mithilfe
      von Sicherheitsgruppen steuern wollen.
    2. Klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf den GPO-Knoten
      und dann auf Eigenschaften.
    3. Klicken Sie auf die Registerkarte Sicherheit

     

Wenn Sie das Dialogfeld Eigenschaften für ein GPO geöffnet haben, aktivieren Sie wie folgt die Anwendung
eines GPO nur auf eine bestimmte Gruppe:

  1. Klicken SIe auf die Gruppe Authentifizierter Benutzer. Im Feld Bereichtigungen aktivieren Sie das
    Kontrollkästchen für die Berechtigung "Gruppenrichtlinie übernehmen verweigern".

  2. Klicken Sie auf die Schaltfläche Hinzufügen und fügen Sie die gewünschte Gruppe der Liste
    Gruppen- oder Benutzernamen hinzu.

  3. Klicken Sie auf die neue Sicherheitsgruppe. Aktivieren Sie im Feld Berechtigungen der gewählten
    Sicherheitsgruppe das Kontrollkästchen für die Berechtigung "Gruppenrichtlinie übernehmen zulassen"
    um der gewählten Sicherheitsgruppe die Anwendung des GPO explizit zu erlauben.

 

Ändern der Vererbung von Gruppenrichtlinien mithilfe von WMI-Filtern
Wenn Sie die Anwendung von GPOs basierend auf einer Eigenschaft des Benutzers oder Computers
(statt auf der Mitgliedschaft in Sicherheitsgruppen) beschränken müssen, können Sie WMI-Filter (Windows
Management Instrumentation, Windows Verwaltungsinstrumentation) verwenden. Jedes GPO kann
mit genau einem WMI-Filter verknüpft werden, während umgekehrt ein WMI-Filter mit mehreren GPOs
verknüpft werden kann. Bevor Sie einen WMI-Filter mit einem GPO verknüpfen, müssen Sie den Filter
erst einmal erstellen. Der WMI-Filter wird dann auf dem Zielcomputer (sofern dieser unter Windows XP oder
Windows Server 2003 läuft) während der Verarbeitung der Gruppenrichtlinien ausgewertet.

Ein WMI-Filter besteht aus einer oder mehreren WQL-Abfragen (WMI Query Language, WMI Abfrage-
sprache). Er wird auf jede Einstellung im GPO angewendet, d.h. Administratoren müssen getrennte GPOs
erstellen, wenn sie unterschiedliche Filteranforderungen für verschiedene Einstellungen haben.
Die WMI Filter werden auf dem Zielcomputer ausgewertet, nachdem die Liste potenzieller GPOs ermittelt
und basierend auf der Sicherheitsgruppenmitgliedschaft gefiltert wurde. Windows XP und Windows
Server 2003 wenden das GPO nur an, wenn das Ergebnis der Auswertung durch den WMI Filter WAHR
ist. Windows 2000 unterstützt die WMI Filterung nciht, d.h. Computer unter Windows 2000 ignorieren
den WMI-Filter und wenden immer das GPO an.

Weil WMI Filter auf Computern unter Windows 2000 ignoriert werden, wird dort immer ein gefiltertes GPO
angewendet. Sie können diese Beschränkung allerdings umgehen, indem Sie zwei GPOs verwenden
und jemjenigen mit dem Windows 2000 Einstellungen eine höhere Priorität zuweisen. Dann verwenden
Sie für dieses Betriebssystem Windows 2000 GPO einen WMI FIlter und wenden dieses nur an, wenn
das Betriebssystem Windows 2000 (und nicht Windows XP Professional) ist. Der Computer unter
Windows 2000 erhält das Windows 2000 GPO und wird dann die Einstellungen im Windows XP Pro-
fessional GPO außer Kraft setzen. Der Client unter Windows XP Professional hingegen erhält alle
Einstellungen im Windows XP Professional GPO.

Gehen Sie wie folgt vor, um einen neuen WMI Filter zu definieren und anzuwenden:

Zeigen Sie das Dialogfeld Eigenschaften des GPO an.
Klicken Sie auf die Registerkarte WMI-Filter.
Klicken Sie auf Dieser Filter und dann auf Durchsuchen/Verwalten.
Klicken Sie im Fenster WMI Filter auf Erweitert und dann auf Neu.
Füllen Sie die Felder Name, Beschreibung und Abfragen aus und klicken Sie dann auf Speichern.
Klicken Sie nun auf den Filter, den Sie auf das GPO anwenden wollen, und dann auf OK,
um das Dialogfeld Eigenschaften für das GPO zu schließen.

Die Erstellung von WMI-Filterabfragen wird an dieser Stelle nicht behandelt. Es ist aber wichtig zu
wissen, dass Computer unter Windows 2000 und früher die WMI-Filterung nicht unterstützen und
bei der WMI-Filterung immer ein GPO anwenden. Ferner sollten Sie wissen, dass Sie mithilfe
von WMI-Filtern ein GPO auf Computer basierend auf dem Betriebssystem, der Hardware
und anderen Faktoren anwenden können. Wenn Sie ein Problem bezüglich eines GPO bearbeiten
das nicht auf einen Computer unter Windows XP Professional oder Windows Server 2003 angewendet
wird, überprüfen Sie, ob nicht etwa ein WMI-Filter die Ursache ist.


Bereitstellen von Sicherheitsvorlagen ohne Active Directory
Die Verwendung von Active Directory erleichtert die Verwaltung eines großen Netzwerkes mit Windows
Computern erheblich. Allerdings wird Active Directory leider nicht in allen Netzwerken eingesetzt.
Trotzdem kann man glücklicherweise mihilfe von Hilfsmitteln, die nich auf Active Directory angewiesen
sind, Sicherheitsvorlagen einsetzen. Zu diesen Programmen gehören der Gruppenrichtlinienobjekt-
Editor das Snap-In Sicherheitskonfiguration und Analyse und Secedit.

 

Verwenden des Gruppenrichtlinien-Editors
Sie können den Gruppenrichtlinienobjekt-Editor benutzen, um Konfigurationseinstellungen direkt auf das
lokale GPO anzuwenden. Gehen Sie zu diesem Zweck wie folgt vor:

  1. Öffnen Sie eine leere MMC-Konsole. Klicken Sie hierzu zunächst auf Start->Ausführen.
    Geben Sie mmc in das Fenster Ausführen ein und klicken Sie dann auf OK.
  2. Klicken Sie im Menü Datei auf Snap-In hinzufügen/entfernen.
  3. Klicken Sie auf Hinzufügen, dann auf Gruppenrichtlinienobjekt-Editor und dann auf Hinzufügen.
    Das Dialogfeld Gruppenrichtlinienobjekt auswählen wird angezeigt. Das GPO Lokaler Computer
    ist standardmäßig selektiert.

    Tipp: Sparen Sie sich Punkt 2 und 3 indem Sie gleich bei Start->Ausführen "gpedit.msc" eingeben.
    Somit öffnen Sie immer die lokale GPO.
  4. Klicken Sie auf Fertig stellen.
  5. Erweitern Sie nacheinander die Knoten Richtlinien für Lokaler Computer, Computerkonfiguration
    und dann Windows-Einstellungen.
  6. Klicken Sie mit der Rechten Maustaste auf Sicherheitseinstellungen und wählen Sie dann
    Richtlinie importieren.
  7. Navigieren Sie zur gewünschten Sicherheitsvorlage und klicken Sie dann auf Öffnen.

 

Verwenden des Snap-Ins Sicherheitskonfiguration und -Analyse
Sie können auch das Snap-In Sicherheitskonfiguration und -Analyse verwendne, um Konfigurations-
einstellungen direkt auf einen Computer anzuwenden. Gehen Sie zu diesem Zweck wie folgt vor:

  1. Erstellen Sie eine neue MMC-Konsole und fügen SIe das Snap-In Sicherheitskonfiguraton und
    -analyse hinzu.
  2. Klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf Sicherheitskonfiguration und
    -analyse und wählen Sie dann Datenbank öffnen.
  3. Geben Sie in das Feld Dateiname einen Dateinamen ein und klicken Sie dann auf Öffnen.
  4. Navigieren SIe nun zur zu importierenden Sicherheitsvorlage. Wenn Sie Sicherheitseinstellungen
    entfernen wollen, die bereits im GPO vorhanden sind, aktivieren Sie das Kontrollkästchen
    Datenbank vor dem Importieren aufräumen. Klicken Sie dann auf Öffnen.
  5. Wenn Sie mehrere Sicherheitvorlagen auf den Computer anwenden wollen, klicken Sie mit der
    rechten Maustaste auf Sicherheitskonfiguration und -analyse und wählen Sie dann Vorlage
    importieren. Navigieren Sie zur gewünschten Sicherheitsvorlage und klicken Sie dann auf
    Öffnen. Wiederholen Sie diesen Schritt für jede zu importierende Sicherheitsvorlage.
  6. Klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf Sicherheitskonfiguration und
    -analyse und wählen Sie dann Computer jetzt konfigurieren.
  7. Akzeptieren Sie den voreingestellten Fehlerprotokollpfad, indem Sie auf OK klicken.

    Das Fenster Computersicherheit wird konfiguriert wird angezeigt, während die Sicherheits-
    vorlage angewendet wird. Die Sicherheitseinstellungen sind direkt gültig.

 

Verwenden von Secedit
Secedit.exe ist ein Befehlszeilenprogramm, welches eine ähnliche Funktionalität wie das grafik-
basierte Snap-In Sicherheitskonfiguration und -analyse bietet. Indem Sie das Befehlszeilenprogramm
Secedit.exe aus einer Batchdatei oder über den automatisierten Taskplaner aufrufen, können Sie Vorlagen
automatisch erstellen und anwenden und die Systemsicherheit analysieren. Sie können das Programm
auch dynamisch über die Befehlszeile ausführen. Secedit.exe ist insbesondere dann nützlich, wenn
Sie mehrere Computer haben, deren Sicherheit analysiert oder konfiguriert werden muss, und Sie diese
Aufgaben außerhalb der Geschäftszeiten durchführen müssen.

Gehen Sie wie folgt vor, um eine Sicherheitsvorlage mithilfe von Secedit anzuwenden:

  1. Öffnen Sie eine Eingebeaufforderung.
  2. Geben Sie an der Eingabeaufforderung "secedit /import /cfg Dateiname.inf" ein. Um beispielsweise
    die vordefinierte Sicherheitsvorlage Hisecdc.inf zu importieren, führen Sie den folgenden Befehl aus:

    "secedit /configure /db hisecws.sdb /cfg %windir%\security\templates\hisecdc.inf /overwrite /log hisecws.log"
  3. Wenn Sie dazu aufgefordert werden, geben Sie "J" ein.

Secedit bietet eine einmalige Funktion, die in anderen Programmen nicht enthalten ist: Es kann mithilfe des Parameters
/areas eine Sicherheitsvorlage auch teilweise importieren. Fügen Sie hinter dem Parameter /areas eine oder mehrere
der folgenden Optionen ein, um den jeweiligen Teil der Sicherheitsvorlage zu importieren:

SECURITYPOLICY
Importiert Kontorichtlinien, Überwachungsrichtlinien, Einstellungen für das Ereignisprotokoll und Sicherheitsoptionen.

GROUP_MGMT
Importiert Einstellungen für eingeschränkte Gruppen.

USER_RIGHTS
Importiert die Zuweisung von Benutzerrechten.

REGKEYS
Importiert Registrierungsberechtigungen.

FILESTORE
Importiert Dateisystemberechtigungen.

SERVICES
Importiert Einstellungen für die Systemdienste

Der folgende Befehl etwa importiert nur die für die Dienste und das Dateisystem zuständigen Bereiche der vordefinierten
Sicherheitsvorlage Hisecdc.inf:

"secedit /configure /db hisecws.sdb /cfg %windir%\security\templates\hisecdc.inf /overwrite /log hisecws.log /areas
SERVICES FILESTORE"

Um eine vollständige Beschreibung von Secedit zu erhalten, führen Sie den Befehl "secedit /?" an der Befehlszeile aus.

 

Erstellt von: Haßlinger Stefan
Im: Jahr 2006