Management by Gruppenrichtlinien

Mit SP2 für Windows XP wurden die Konfigurationsoptionen deutlich ausgebaut. Besonders effizient ist die Verwendung der Gruppenrichtlinien.

Artikel erschienen in Swiss IT Magazine 2005/22

     

Die Einrichtung des Service Pack 2 für Windows XP war für viele IT-Abteilungen eine Herausforderung. So verändert beispielsweise die automatisch aktivierte Windows-Firewall das Systemverhalten deutlich. Aber auch beim Internet Explorer und in anderen Bereichen gibt es viele Veränderungen. Um die Systeme optimal anpassen zu können und damit auch ein Maximum an Sicherheit zu erreichen, gleichzeitig das Systemverhalten aber auch so anzupassen, dass es den Anforderungen der jeweiligen IT-Infrastruktur entspricht, ist eine einheitliche Steuerung der Konfiguration erforderlich. Der effizienteste Mechanismus dafür sind die Gruppen-
richtlinien. Mit diesen lassen sich
die Änderungen zentral für alle
oder ausgewählte Clients, aber
auch für Server mit dem Service
Pack 1 des Windows Server 2003 durchführen.


Aktuelle Richtlinienvorlagen

Um die neuen Konfigurationsparameter des Service Pack 2 für Windows XP über Gruppenrichtlinien steuern zu können, sollte die Gruppenrichtlinien-Verwaltungskonsole (GPMC, Group Policy Management Console) installiert werden. Die aktuelle Version mit dem integrierten Service Pack 1 kann von Microsofts Download-Website geladen werden. Bei dieser Version sind die Richtlinienvorlagen für Windows XP SP2 respektive Windows Server 2003 SP1 bereits integriert.
Optional können die aktuellen Richtlinienvorlagen auch gesondert geladen und eingerichtet werden. Bei älteren Versionen der GPMC und des Gruppenrichtlinien-Editors kann es aber zu Fehlermeldungen kommen, weil einzelne Parameter in den Richtlinienvorlagen nicht korrekt verarbeitet werden. Daher empfiehlt sich die Verwendung eines Rechners mit Windows XP SP2 und der GPMC SP1 als Basis für die Administration der Gruppenrichtlinien.






Bevor man die Gruppenrichtlinien aktualisiert, sollte man neben der neuen Version der GPMC auch die Hotfixes, die im Artikel 842933 der Knowledgebase von Microsoft (support.micro soft.com) beschrieben sind, auf den Rechnern mit Windows 2000, Windows XP Service Pack 1 und Windows Server 2003 ohne Service Pack installieren.
Wenn diese Voraussetzungen geschaffen sind, können die neuen Einstellungen für das Service Pack 2 angewendet werden. Da in den Richtlinienvorlagen mit Abfragen auf die Betriebssystemversion gearbeitet wird, werden diese nur bei den Systemen angewendet, auf denen sie auch unterstützt werden.


Einstellungen für die Firewall

Ein neuer Bereich in den Gruppenrichtlinien sind die Festlegungen
für die Windows-Firewall. Diese Komponente wird wie erwähnt standardmässig aktiviert. Die Gruppenrichtlinien-Einstellungen finden sich bei Computerkonfiguration/ Administrative Vorlagen/Netzwerk/ Netzwerkverbindungen/Windows-Firewall. Die Einstellungen für in die Domäne integrierte Systeme nimmt man über das Domänenprofil vor.
Mit dem Standardprofil lassen sich zusätzliche Einstellungen vornehmen, die gelten, wenn ein Computer ak-tuell nicht über das Active Directory authentifiziert ist. Das ist beispielsweise bei mobilen Geräten typisch, für die in diesem Fall strengere Regeln konfiguriert werden könnten.






Aktiviert und deaktiviert wird die Windows-Firewall über den Parameter Windows-Firewall: Alle Netzwerkverbindungen schützen. Ausserdem lassen sich mit den weiteren Parametern alle wichtigen Einstellungen für die Windows-Firewall konfigurieren. Die Konfigurationsoptionen entsprechen denen in der Systemsteuerung.


Die Konfiguration des Internet Explorer

Die meisten neuen Einstellungen in den Gruppenrichtlinien gibt es aber für den Internet Explorer. Sie lassen sich in zwei Bereiche aufteilen: Zum einen gibt es die Einstellungen für die Sicherheitsseiten im Bereich Administrative Vorlagen/Windows-Komponenten/Internet Explorer/ Internetsystemsteuerung, zum anderen Richtlinien für die Anpassung der Aktionen, die beim Aufruf von URLs durchgeführt werden dürfen. Diese finden sich im Zweig Administrative Vorlagen/Windows-Komponenten/ Internet Explorer/Sicherheitsfunktionen. Beide Bereiche gibt es sowohl für die Computer- als auch die Benutzerkonfiguration.





Die Einstellungen für die Sicherheitsseiten werden verwendet, um die zulässigen Aktionen differenziert für die verschiedenen Sicherheitsseiten zu steuern. Dabei gibt es jeweils die Unterscheidung zwischen den Einstellungen für die Zone und denen für die Sperrung von Zonen. Letztere werden nur angezeigt, wenn eine Zone gesperrt ist und wenn die dort konfigurierten Anweisungen von den Standardeinstellungen abweichen. Der Benutzer kann entscheiden, mit welchen Einstellungen gearbeitet werden soll.
Der zweite Konfigurationsbereich sind die Sicherheitsfunktionen. Dort finden sich zusätzliche Einstellungen für viele Sicherheitsbereiche. So kann beispielsweise die MIME-Verarbeitung gesteuert, die ActiveX-Installation eingeschränkt und die Add-on-Verwaltung – also die Installation von Erweiterungen wie etwa der Macromedia Flash Player – eingeschränkt werden. In jedem der Bereiche lassen sich Listen von Prozessen definieren, für die die Einschränkungen gelten sollen.






Beide Konfigurationsbereiche sollten genutzt werden, um eine einheitliche Konfiguration des Internet Explorer auf allen Clients sicherzustellen. Da der Internet Explorer die Schnittstelle ist, über die die meisten Angriffe erfolgen, lässt sich das Sicherheitsrisiko für Unternehmen auf diese Weise deutlich einschränken. Der Aufwand dafür ist zwar erheblich, weil einige hundert Parameter gesetzt werden müssen, er ist aber immer noch wesentlich geringer als bei allen anderen Ansätzen für die Sicherheitskonfiguration des Internet Explorer.
Neue Einstellungen finden sich auch im Bereich Internetkommunikationsverwaltung inComputerkonfiguration/Administrative Vorlagen/ System respektive im parallelen Knoten unterhalb von Benutzerkonfiguration. Dort können ergänzende Festlegungen zu Internetzugriffen vorgenommen werden. So können beispielsweise die Funktionen für das Bestellen von Bildern oder das Herunterladen von Druckertreibern aus dem Web deaktiviert werden. Die meisten dieser Funktionen haben für die professionelle Nutzung von Windows XP keine Relevanz.


Weitere Bereiche

Neben diesen Einstellungen gibt es noch einige weitere Parameter, mit denen beispielsweise das Verhalten von DCOM (Distributed COM) oder der automatischen Updates angepasst werden kann. Eine vollständige Übersicht über die neuen Parameter gibt es im Microsoft-Whitepaper Managing Windows XP Service Pack 2 Features Using Group Policy, das von www.microsoft.com/technet/prodtechnol/winxppro/maintain/mangxpsp2/mngxpsp2.mspx heruntergeladen werden kann. Interessant ist ausserdem die Group Policy Settings Reference für den Windows Server 2003 mit Service Pack 1, die unter go.microsoft.com/fwlink/?linkid=22031 zu finden ist. Dort sind die verschiedenen Parameter in Gruppenrichtlinien umfassend dokumentiert.
Die Vielzahl an Parametern, die auch in diesem Artikel nur gestreift werden konnte, macht deutlich, wie wichtig die Gruppenrichtlinien als Administrationswerkzeug sind. Mit ihnen lassen sich auch grössere Umgebungen effizient verwalten. Neuerungen wie die deutlich differenzierteren Konfigurationsparameter für den Internet Explorer beim Service Pack 2 für Windows XP lassen sich überhaupt nur nutzen, wenn man mit den Gruppenrichtlinien arbeitet.




Artikel kommentieren
Kommentare werden vor der Freischaltung durch die Redaktion geprüft.

Anti-Spam-Frage: Vor wem mussten die sieben Geisslein aufpassen?
GOLD SPONSOREN
SPONSOREN & PARTNER