Grundlagen
Mit den Sicherheitsvorlagen ist es möglich, wie bei den ADM Templates, Richtlinien und Sicherheitskonfigurationen Domänenweit zu publizieren.
Im Gegensatz zu ADM Templates, ist es möglich in den Security Templates auch Reg_Binary oder Reg_Multi_SZ Werte zu übergeben, allerdings mit der Einschränkung, das diese nicht auf den Benutzeranteil der Registry (HKCU), sondern nur auf MACHINE-Ebene (HKLM) eingesetzt werden können.
Die Syntax des Security Templates unterscheidet sich von dem eine ADM Templates, sodass eine Anwendung des vorhandenen Wissens über ADM´s nicht so leicht umzusetzen ist.
Vorhandenes:
Microsoft liefert mit dem Betriebsystem schon 9 verschiedene Sicherheitsvorlagen aus, die aber von ihrem Inhalt und den Möglichkeiten von einer Datei abhängig sind, die wir später im Text verändern und beeinflussen werden. Die vorhandenen Sicherheitsvorlagen sind im Grunde genommen nichts anderes als Vorschläge, die sich auf eine Umgebung einsetzen lassen und sich in ihren Strenge, Restriktion und Einsatz auf Workstation, Server oder DomänenController unterscheiden
Die vorhandenen Templates befinden sich in %systemroot%\security\templates als INF Datei und können anhand des Namens schon ganz gut unterschieden werden und lassen anhand der beiden Namensbestandteile die Anwendung schon erkennen.
|
Primärer Anteil |
Quelle im Netz, bzw. in aus der internen Hilfe: Vordefinierte Sicherheitsvorlagen - mk:@MSITStore:C:\WINNT\Help\sceconcepts.chm::/sag_SCEdefaultpols.htm |
|
Basic* |
Mit den Vorlagen für die Basiskonfiguration kann die Anwendung einer anderen Sicherheitskonfiguration aufgehoben werden. Die Basiskonfigurationen wenden die Standardsicherheitseinstellungen von Windows 2000 auf alle Sicherheitsbereiche an. Eine Ausnahme bilden die Sicherheitsbereiche, die sich auf Benutzerrechte beziehen. Diese werden nicht in den Basisvorlagen geändert, da Benutzerrechte üblicherweise durch Setupprogramme von Anwendungen angepasst werden, um eine erfolgreiche Verwendung der Anwendung zu ermöglichen. Solche Anpassungen sollen nicht durch die Basiskonfigurationsdateien rückgängig gemacht werden. |
|
Compat* |
In der Standardeinstellung sind die Sicherheitsfunktionen von Windows 2000 so konfiguriert, dass Mitglieder der lokalen Benutzergruppe über strenge Sicherheitseinstellungen verfügen, während die Sicherheitseinstellungen für die Mitglieder der lokalen Hauptbenutzergruppe mit den Windows NT 4.0-Benutzerzuweisungen kompatibel sind. Mit Hilfe dieser Standardkonfiguration werden zertifizierte Windows 2000-Anwendungen in der Windows-Standardumgebung für Benutzer ausgeführt. Anwendungen, die nicht für den Einsatz mit Windows 2000 zertifiziert sind, können dabei in der weniger sicheren Konfiguration für die Hauptbenutzer ausgeführt werden. In einigen Arbeitsumgebungen leidet die Sicherheit, falls Windows 2000-Benutzer zur Hauptbenutzergruppe gehören, um bestimmte, nicht für Windows 2000 zertifizierte Anwendungen zu nutzen. In bestimmten Fällen sollten Sie die Benutzer standardmäßig nur der Benutzergruppe als Mitglieder zuweisen und dann die Sicherheitsrechte für die Benutzergruppe auf ein Niveau senken, mit dem auch Anwendungen ausgeführt werden können, die nicht für Windows 2000 zertifiziert sind. Die kompatible Vorlage ist für solche Unternehmen konzipiert. Durch das Heruntersetzen der Sicherheitsstufen bei bestimmten Dateien, Ordnern und Registrierungsschlüsseln, auf die Anwendungen häufig zugreifen, ermöglicht die kompatible Vorlage ein erfolgreiches Ausführen der meisten Anwendungen im Benutzerkontext. Weil davon ausgegangen wird, dass der Administrator, der die kompatiblen Vorlagen zuordnet, keine Benutzer als Hauptbenutzer haben möchte, werden außerdem alle Mitglieder der Hauptbenutzergruppe entfernt. |
|
Secure* |
Die sicheren Vorlagen implementieren die empfohlenen Sicherheitseinstellungen für alle Sicherheitsbereiche, mit Ausnahme von Dateien, Ordnern und Registrierungsschlüsseln. Diese werden nicht geändert, da Dateisystem- und Registrierungsberechtigungen standardmäßig sicher konfiguriert werden. |
|
Hisec* |
Die sehr sicheren Vorlagen definieren Standardeinstellungen für die Netzkonfiguration unter Windows 2000. Die Sicherheitsbereiche bieten maximalen Schutz für den Netzwerkverkehr sowie für Netzwerkprotokolle für Computer, auf denen Windows 2000 ausgeführt wird. Im Ergebnis können solche Computer, für die eine sehr sichere Vorlage verwendet wird, nur mit anderen Windows 2000-Computern kommunizieren. Eine Kommunikation mit Computern, auf denen Windows 95 oder 98 bzw. Windows NT ausgeführt wird, ist in diesem Fall nicht möglich. |
|
Dedica* |
Die Sicherheit für lokale Benutzer auf Domänencontrollern, auf denen Windows 2000 ausgeführt wird, ist in der Standardeinstellung nicht unbedingt optimal. Dadurch hat ein Administrator die Möglichkeit, vorhandene serverbasierte Anwendungen auf Domänencontrollern abwärtskompatibel auszuführen (nicht empfehlenswert). Wenn Sie keine serverbasierten Anwendungen auf Domänencontrollern ausführen (empfehlenswert), können die Standarddateisystem- und Registrierungsberechtigungen für die lokale Benutzergruppe genauso optimal definiert werden, wie dies in der Standardeinstellung bei Arbeitsstationen und eigenständigen Servern mit Windows 2000 der Fall ist. Durch das Implementieren einer dedizierten Sicherheitsvorlage werden diese idealen Sicherheitseinstellungen für lokale Benutzer von Domänencontrollern mit Windows 2000 angewandt. |
|
|
|
|
Sekundärer Anteil |
|
|
*wk.inf |
Workstation |
|
*sv.inf |
Server |
|
*dc.inf |
DomänenController |
|
*ws.inf |
Workstation oder Server |
|
|
|
|
Setup security,inf bzw. defltwk.inf und defltsv.inf |
Dieses Template stellt eine Besonderheit dar, denn diese Datei wird vom Setup ver- und angewendet um die grundsätzliche Sicherheit eines Systems am Ende der Installation zu setzen. Also welche NTFS Berechtigungen voreingestellt sind, welche Berechtigungen in der Registry vorhanden sind, etc. Wer also sein System etwas „verbastelt“ hat, der kann mit dieser Datei die Richtlinien wieder in den Ur-Zustand zurücksetzten.
Die Anwendung der StandardSicherheitseinstellungen kann über das MMC Snap-In Sicherheitskonfiguration und Analyse per GUI appliziert werden, oder in der CMD. Mehr dazu im Menüpunkt: SECEDIT in der CMD
Die security setup.inf befindet sich im Templates Ordner, die letztlich benutzten INF Dateien liegen in %systemroot%\inf und unterscheiden sich in Workstation (defltwk.inf) und Server (defltsv.inf) |