Offline Sicherheitsrichtlinien editieren - Erstellen einer eigenen Sicherheitsvorlage

09.01.2013 | Autor: Mark Heitbrink

Zentrale Vergabe lokaler Berechtigungen - Offline

Stellen wir uns vor ihr möchtet in aller Ruhe die Liste aller Programme abarbeiten, für die ihr die vorhandenen NTFS Rechte erweitern müsst. Ich wollt in aller Ruhe alle Dienste eintragen deren Startart auf  Deaktiviert oder Automatisch steht. Das schafft man kaum an einem Tag und hat ein paar unschöne Nebeneffekte, wenn ich das in einer verlinkten GPO mache.

Sobald die Gruppenrichtlinien an eine OU verlinkt ist, ist sie produktiv. Fehlerhafte Änderung führen generell zu Problemen, das ist immer eine Gefahr, das kann man nicht abfangen. Jeder Schreibvorgang, jeder Eintrag in der Richtlinie erhöht die Version der Richtlinien und kann dazu führen daß nun verschiedenste Versionen immer wieder von den Clients übernommen werden, bis ich endlich mit der Arbeit fertig bin.

Ich habe für einen unbestimmten Zeitraum keine konsitente Konfiguration auf meinen Clients.

Lösung: Offline editieren und im Ganzen an einem Stück in die produktive GPO importieren

  1. Ihr habt schon eine vorhandene Sicherheitsrichtlinie, die erweitert werden soll.Ihr habt noch keine, dann gehts zu Punkt 5. und ihr erstellt eine leere Neue.
  2. GPMC öffnen - Richtlinie auswählen - Reiter:Details - Eindeutige ID (GUID der GPO) merken oder markieren
  3. Navigation zu \\name-eurer.dom\sysvol\name-eurer.dom\policies\{GUID der GPO}\MACHINE\Microsoft\Windows NT\SecEdit
  4. Kopie der darin liegenden GptTmpl.inf auf den Desktop
  5. start - ausführen - mmc.exe
  6. SnapIn hinzufügen - Sicheheitsvorlagen, das System bietet euch ".\Dokumente\Security\Templates" (bei Win8) als Pfad an
  7. Im Kontext Menü der Sicherheitsvorlange könnt ihr einen beliebigen Pfad angeben, dieser wird im MMC cache gespeichert und beim nächsten Öffnen bereitgestellt.
  8. Wir fügen für das Beispiel den Desktop des aktuellen Benutzers hinzu.
  9. Darunter liegt jetzt unsere kopierte GptTmpl.inf. In der MMC könnt ihr diese jetzt manipulieren wie immer ihr wollt.

Import der eigenen Sicherheitsvorlage in eine Gruppenrichtlinie:

  1. Öffnen der gewünschten Gruppenrichtlinie
  2. Computerkonfiguration \ Windows-Einstellungen \ Sicherheitseinstellungen
  3. Kontextmenü -> Richtlinie importieren 

Eventuell kommt ihr zu dem Punkt, daß ihr denkt: Das mit der Maus ist schon lästig und ist das nicht leichter? Ja, es geht leichter. Ihr könnt auch die INF Datei direkt editieren.

Ich gebe zu, daß ich die "kryptischen" Zeichen nicht per Hand edtieren möchte, aber ich erkenne Pfade und Einträgem die per Copy&Paste leicht zu verdoppeln und abzuändern sind. Wenn ich in der MMC (SnapIn Sicherheitsvorlagen oder GPEditor) für ein Programm die "richtigen" Werte definiert habe, die auch für ein anderen gelten, dann ist es leicht: Zeile verdoppeln, Pfad anpassen, fertig.

 

----- GptTmpl.inf -----
[Unicode]
Unicode=yes
[Version]
signature="$CHICAGO$"
Revision=1
[Service General Setting]
"Browser",4,""
"Spooler",2,"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;RPWPDTRC;;;PO)(A;;CCLCSWLOCRRC;;;IU)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
[Registry Keys]
"MACHINE\SOFTWARE\EineSoftware",0,"D:PAR(A;CI;KR;;;S-1-15-2-1)(A;CI;KA;;;S-1-5-21-2298044157-3592318524-475324433-1105)(A;CIIO;KA;;;CO)(A;CI;KA;;;SY)(A;CI;KA;;;BA)(A;CI;KR;;;BU)"
"MACHINE\SOFTWARE\3rd Party",0,"D:PAR(A;CI;KR;;;S-1-15-2-1)(A;CIIO;KA;;;CO)(A;CI;KA;;;SY)(A;CI;KA;;;BA)(A;CI;KA;;;BU)"
[File Security]
"%ProgramFiles% (x86)\Program Files (x86)\EineSoftware",0,"D:PAR(A;OICI;0x1200a9;;;S-1-15-2-1)(A;OICI;0x1200a9;;;S-1-5-21-2298044157-3592318524-475324433-1104)(A;OICIIO;FA;;;CO)(A;OICI;FA;;;SY)(A;OICI;FA;;;BA)"
"%ProgramFiles%\3rd Party",0,"D:PAR(A;OICI;0x1200a9;;;S-1-15-2-1)(A;OICIIO;FA;;;CO)(A;OICI;FA;;;SY)(A;OICI;FA;;;BA)(A;OICI;0x1301bf;;;BU)"
---- GptTmpl.inf -----

 

Die kryptischen Einträge:
Das ist die SDDL, die man normalerweise mit dem SDDI editiert.

SDDL - Security Descriptor Definition Language
SDDI - Security Descriptor Definition Interface (der Sicherheitsreiter, den ihr kennt)

Am Ende des Eintrages findet ihr immer die Sicherheitskonten, die ihr verwendet habt. Die SID sind relativ leicht zu erkennen, Microsoft verwendet aber gerne für die vorhandenen eine abgekürzte Varianten, die nicht auf den ersten Blick erkennbar ist:

  • BU = BuiltIn User
  • BA = BuiltIn Administrator
  • CO = Creator Owner

Vollständige Liste der SID Strings