Hardening Checkliste. Windows XP. 28. October 2003

Transkript

1 Hardening Checkliste Windows XP 28. October 2003 Name des Dokument: Checkliste_WinXP_V1.5.doc Version: V 1.5 Autoren: Adrian Leuenberger, Compass Security AG Christoph Schnidrig, Compass Security AG Erstellungsdatum: 30. Juni 2003 Änderungsdatum: 28. Oktober 2003 Lizenznehmer: [Name des Kunden]

2 Inhaltsverzeichnis 1 ÜBERSICHT Audienz Sprache Dokumentstruktur Weitere Checklisten Versionskontrolle 5 2 EINFÜHRUNG Disclaimer Aspekte der Client-Sicherheit Hardening (Get Secure) Übersicht Bestandteile Vorgehen Top Schwachstellen bei Windows Systemen 12 3 PLANUNG Berechtigungen OU-Plan Priorität der Group Policy Security Management (Stay Secure) 15 4 DOMÄNENBASIERTE EINSTELLUNGEN Account Policies Security Options 18 5 HARDWARE-EINSTELLUNGEN (BIOS) BIOS Passworte Systemstart Einstellungen 20 6 INSTALLATION COMPUTERBASIERTE EINSTELLUNGEN (WINDOWS SETTINGS) Baseline Gültig für alle Client-Geräte Audit Policy User Rights Assignment Security Options Event Log System Services Zusätzliche Registry Settings Desktop Spezifisch Notebook Spezifisch 61 8 BENUTZERBASIERTE EINSTELLUNGEN (WINDOWS SETTINGS) Datum: 28. Okt. 2003

3 8.1 Internet Explorer Maintenance Einstellungen der Sicherheitszonen 63 9 COMPUTERBASIERTE EINSTELLUNGEN (ADMINISTRATIVE TEMPLATES) Windows Komponenten Netmeeting Internet Explorer Internet Informations Services Terminal Services Windows Messenger Windows Media DRM Internet Access Windows Media Player System Einstellungen für lokale Administratoren BENUTZERBASIERTE EINSTELLUNGEN (ADMINISTRATIVE TEMPLATES) Windows Components Internet Explorer Windows Media Player Start Menu and Taskbar Desktop Control Panel Shared Folders Network System Outlook Settings Einstellungen für lokale Administratoren Internet Explorer Start Menu and Taskbar Control Panel System ANHANG Security Templates Default Templates Import von Security Templates (Standard) Group Policy Management Console (GPMC) Administrative Templates (.adm) files for Office Group Policy Tools Forcing a Group Policy Update Viewing the Resultant Set of Policies Administrative Tools Installationsmechanismen Time Service Server Workstations Relevante Servicepacks und Hotfixes Service Packs für Windows Hotfixes für Windows Service Packs für Internet Explorer Security Rollup Packages für Internet Explorer 100 Datum: 28. Okt. 2003

4 Hotfixes für Internet Explorer Weitere Hotfixes Kompatibilität mit NT Referenzen 102 Datum: 28. Okt. 2003

5 1 Übersicht 1.1 Audienz Diese Checkliste richtet sich an technische Sachverständige. Grundwissen im Bereich von Windows XP sowie Windows 2003 wird vorausgesetzt. Die Anleitung wurde für die deutsche Version von Windows XP erstellt. 1.2 Sprache Dieser Guide ist zweisprachig. Das heisst, dass diejenigen Teile, die auf der Domäne eingestellt werden müssen in Englisch gehalten sind. Diejenigen Teile, die direkt auf den XP Clients eingestellt werden müssen, sind in Deutsch gehalten. Dies entspricht nach Erfahrung den meist eingesetzten Sprachversionen. 1.3 Dokumentstruktur Kapitel Inhalt 1 Übersicht über dieses Dokument. 2 Einführung in das Vorgehen beim Hardening 3 Vorschläge zur Planung 4 Hardware Einstellungen 6 Installation 7 Computerbasierte Einstellungen (Windows Settings) 8 Benutzerbasierte Einstellungen (Windows Settings) 9 Computerbasierte Einstellungen (Administrative Templates) 10 Benutzerbasierte Einstellungen (Administrative Templates) 11ff Anhang Seite: 4 Datum: 28. Okt. 2003

6 1.4 Weitere Checklisten Compass Security bietet nebst dieser Hardeninganleitung folgende verwandte Listen an. Alle diese Listen sind für Intranet-Systeme optimiert. Wenden Sie sich bei Interesse an Hardeninganleitung Windows 2003 Intranet Basis Exchange 2003 SQL 2003 Internet Information Server 6.0 for Intranet Windows XP Professional Beschreibung Hardeningempfehlungen für Memberserver, Domaincontroller sowie ADS. Hardeningempfehlungen für Exchange 2003 Server. Vorausgesetzt wird das Hardening des Betriebsystems (siehe Intranet Basis Liste) Hardeningempfehlungen für SQL 2003 Server. Vorausgesetzt wird das Hardening des Betriebsystems (siehe Intranet Basis Liste) Hardeningempfehlungen für IIS 6.0 Server. Vorausgesetzt wird das Hardening des Betriebsystems (siehe Intranet Basis Liste) Hardeningempfehlungen für domänenzugehörige Workstations mit Windows XP Proffessional 1.5 Versionskontrolle Version Datum Änderungen Autor Erste Version Adrian Leuenberger Christoph Schnidrig Outlook 2003 Empfehlungen eingefügt. Gesamtes Kapitel 10.8 wurde überarbeitet. Update des Kapitels (Bestandteile) Update der relevanten Hoftixes (siehe Kapitel 11.7) Update der Linkliste Kapitel 11.8 (Kompatibilität mit NT4) eingefügt Diverse textuelle Anpassungen SANS Top List erneuert Update der relevanten Hoftixes (siehe Kapitel 11.7) Einfügen der domänenbasierten Einstellungen Kapitel Weiter Checklisten Sortierung der Listen (Änderung der Nummerierung!) Christoph Schnidrig Christoph Schnidrig Christoph Schnidrig Jan P. Monsch Seite: 5 Datum: 28. Okt. 2003

7 Version Datum Änderungen Autor Lizenznehmer in Seitenkopf eingefügt Jan P. Monsch Seite: 6 Datum: 28. Okt. 2003

8 2 Einführung 2.1 Disclaimer Im folgenden ein Auszug aus dem Vertragsvereinbarungen zwischen dem Kunden und Compass bezüglich Gewährleistung und Haftung: Compass gewährleistet, dass der Vertragsgegenstand sämtlichen Compass zum Zeitpunkt des Vertragsschlusses bekannten technischen Standards entspricht. Compass übernimmt jedoch keinerlei Gewähr dafür, dass der Vertragsgegenstand fehlerfrei ist; dass durch den Einsatz des Vertragsgegenstandes sämtliche Angriffsmöglichkeiten in das System des Kunden ausgeschlossen werden; dass das System des Kunden nach dem Einsatz des Vertragsgegenstandes in jedem Falle einwand-frei funktioniert. Compass lehnt sodann jede Gewährleistung ab, falls der Kunde den Vertragsgegenstand entgegen ausdrücklichen Anweisungen von Compass eingesetzt hat. Compass lehnt jede Haftung für direkte oder indirekte Schäden, die beim Einsatz des Vertragsgegenstandes entstanden sind, ab. Vorbehalten bleiben Fälle, bei de-nen Compass Absicht oder Grobfahrlässigkeit nach-gewiesen werden kann. Seite: 7 Datum: 28. Okt. 2003

9 2.2 Aspekte der Client-Sicherheit Bei der Installation der Client Geräte gibt es diverse Punkte zu beachten. Im Mindmap auf der folgenden Seite sind die wichtigsten Punkte zusammengestellt. Erwartet man den Angreifer im Internet sind sicherlich die Komponenten mit welchem der Benutzer mit dem Internet kommuniziert besonders zu beachten. Es sind dies der Internet Explorer und Outlook. Folgende Punkte sind dabei wichtig: Der Client darf nicht direkt mit dem Internet kommunizieren können (Proxy einsetzen, starke Firewallregeln) Der HTTP- (Browsen) und SMTP-Verkehr (Mailen) müssen auf den Gateway zum Internet gefiltert werden. Dazu gehört: o Ein Content Filter, welcher bösartige Inhalte wegfiltert (z.b ActiveX oder EXE- Dateien). o Ein Virenscanner, welcher die Dateien nach bekannten Viren untersucht. Seite: 8 Datum: 28. Okt. 2003

10 2.3 Hardening (Get Secure) Standard-Installationen bergen eine Unmenge von sicherheitstechnischen Problemen. Die Ursachen dazu sind: Rückwärts-Kompatibilität Funktionalität Hinzu kommen weitere Sicherheitslücken, die von Administratoren und Benutzern während dem Betrieb geschaffen werden: Schlechte Rechtevergabe Schwache Passwörter Sicherheitstechnisch schwache Konfigurationen Veralteter Patchlevel usw. Man sieht eine Unmenge von Bereichen die von Hackern ausgenutzt werden können. Brisant ist, dass auch ein Nichts tun Probleme verursachen kann (z.b. Installation des neusten Servicepacks). Um ein neu installiertes System auf einen sicheren Stand zu bringen, wird es einem Hardening unterzogen. Beim Hardening werden unter anderem die oben genannten Punkte angegangen. Dabei erscheinen die einzelnen Schritte als unnötig. Die Güte von Sicherheit wird mittels Anreihung von Hürden erhöht. Jede noch so kleine Hürde ist eine weitere Massnahme, die den Weg eines Angreifers erschwert resp. versperrt. Seite: 9 Datum: 28. Okt. 2003

11 2.3.1 Übersicht Untenstehende Abbildung illustriert die verschiednen Tätigkeiten, welche in dieser Hardeninganleitung beschrieben werden. Leider können nicht alle Einstellungen automatisiert angewendet werden. Im Group Policy Object Editor sind diejenigen Einstellung die nicht unter Windows Settings-Security Settings gemacht werden können, manuell einzugeben. Die meisten Settings unter Windows Settings-Security Settings können automatisiert und einfach mittels einer INF-Datei eingelesen werden. Die Importierung von ADM-Dateien erweitern die Einstellungsmöglichkeiten unter Administrative Templates. So können umfangreiche Einstellungen auf dem Client einfach über die ganze Firma verteilt werden. Anwendung: Manuelle Einstellungen auf dem AD im Group Policy Object Editor (insb. Office Restrictions) Anwendung: Direkt auf der Maschine oder auf dem AD im Group Policy Object Editor (insb. Installation vom Patches) Bearbeitung: Security Templates MMC-Snap-in oder Editor Anwendung: Via Group Policies auf OU s Administrative Templates (ADM) Manuelle Tätigkeiten Security Templates (INF) Hardened System Seite: 10 Datum: 28. Okt. 2003

12 2.3.2 Bestandteile Das Hardening von Office 2003 ist nicht Bestandteil dieser Liste. Diese Liste deckt das Betriebssystem sowie dessen Standardkomponenten inkl. Internet Explorer und Outlook ab. Es wird jedoch empfohlen weitergehende Massnahmen bezüglich MS Office zu treffen, um die Client- Sicherheit zu erhöhen. Es wird hier auf den Windows XP Security Guide (Seiten ) von Microsoft verwiesen. Es wurden in dieser Liste nur die sicherheitrelevanten Einstellungen aufgelistet! Im Office Resource Kit kommen Administrative Templates mit, mit welchen viele Einstellungen auf den Office Produkten per Group Policy verteilt werden können. Es wird empfohlen diese Einstellungen durchzugehen und zu nutzen. Vorallem im Bereich der Makrosicherheit in Word, Excel und Powerpoint könnte noch einiges an Sicherheit gewonnen werden Vorgehen Weil beim Hardening oftmals die Funktionalität gegen Sicherheit ersetzt wird, können vielseitige und komplexe Probleme auftreten. Wenn nicht genau verstanden wird, was welche Einstellung bezweckt und blind einer Checkliste gefolgt wird, könnten Applikationen den Dienst quittieren. Deshalb ist es wichtig das Hardening auf das entsprechende Unternehmungsnetzwerk anzupassen. Obwohl die vordefinierten Sicherheitsvorlagen (.inf-dateien) zu einem zügigen Vorgehen einladen, wird dringend empfohlen, die in dieser Checkliste aufgeführten Punkte durchzugehen und zu hinterfragen. Folgende Punkte sollten bei einem Hardening beachtet werden: Adaption von Empfehlungen auf das eigenen Unternehmensnetzwerk Strukturiertes Vorgehen in Teilschritten Vorgängiges Überprüfen (Testumgebung) Dokumentation von geprüften Konfigurationen (Sicherstellen der Wiederverwendbarkeit) Hilfestellungen bei Problemen: Einkreisung des Problems Was könnte dieses Problem verursachen (Vergleich mit der Checkliste) Strukturierte Suche und Unhardening in Teilschritten (Achtung: Keine zusätzliche Sicherheitsprobleme schaffen wie z.b. Zuordnung von Administrator-Rechten oder Everyone-Zugriffen) Eventlogs und Fehlermeldungen auswerten und in der Technet Knowledgebase nach Lösungen suchen Seite: 11 Datum: 28. Okt. 2003

13 2.3.4 Top Schwachstellen bei Windows Systemen Die grosse Mehrheit von erfolgreichen Attacken nützt eine kleine Anzahl von Schwachstellen aus. Es wird immer der Weg des geringsten Widerstandes gesucht. Oftmals existieren für solche Schwachstellen einfache Tools, die von jedem Hobby-Hacker angewendet werden können. Werden auf dieser Basis Würmer gebaut resultieren draus fatale Folgen. SANS hat in Zusammenarbeit mit dem FBI eine Liste zusammengestellt, in welcher auf die grössten und meist ausgenutzten Schwachstellen für Unix und Windows hingewiesen wird. Untenstehend sind die entsprechenden Punkte für Windows Systeme abgedruckt. # Schwachstelle Gegenmassnahmen 1 Internet Information Services (IIS) Hardening Regelmässiges Patchen 2 Microsoft SQL Server (MSSQL) Hardening Regelmässiges Patchen 3 Windows Authentication Hardening (Kapitel 7) 4 Internet Explorer (IE) Hardening (Kapitel 9 und 10) Regelmässiges Patchen Proxy mit Content Filter und Virenscanner 5 Windows Remote Access Services Hardening (Kapitel 7) 6 Microsoft Data Access Components (MDAC) -- Remote Data Services Patchen oder Deinstallation (Kapitel 7) 7 Windows Scripting Host (WSH) Content Filtering (Blocken von Scripts und Executables auf dem Mail-GW) 8 Microsoft Outlook and Outlook Express Deinstallation von Outlook Express. Hardening von Outlook gemäss Kapitel Windows Peer to Peer File Sharing (P2P) Interne Richtlinien sollten den Gebrauch solcher Software verbieten. Firewall sollte die benutzen Protokolle blocken. 10 Simple Network Management Protocol (SNMP) Hardening (Kapitel 7) Seite: 12 Datum: 28. Okt. 2003

14 3 Planung 3.1 Berechtigungen Auf Berechtigungen auf Freigabeebene wird hier nicht genauer eingegangen. Es möchte hier nur auf folgende goldene Regel der Sicherheit aufmerksam gemacht werden. Least Privilege Prinzip - Genau soviel wie nötig So kann nicht nur Datenklau und unberechtigter Dateneinsicht verhindert werden, sondern auch der Wirkungskreis von Viren eingegrenzt werden. Z.b. Iloveyou (Loveletter virus) überschrieb viele Dateien auch auf Netzlaufwerken! 3.2 OU-Plan Mittels Organisationseinheiten (Organizational Unit) werden Objekte im Active Directory organisiert. Gleiches wird dabei gruppiert. Es handelt sich dabei um: Benutzer Computer Drucker andere OUs OU s werden für folgende Tätigkeiten eingesetzt: Delegieren der Verwaltung an AD-Objekte (Admin Gruppen Rechte zuweisen) OUs sind keine sind keine Sicherheitsprincipals Organisieren von Ressourcen, nicht Festlegen von Berechtigungen (Dies wird über Gruppen bewerkstelligt) Gruppenrichtlinien wird auf OU Gruppenrichtlinien festgelegt OU s sind für die Verwaltung bestimmt und für Benutzer unsichtbar Wie nun die OU Struktur festgelegt wird, muss im Einzelnen entschieden werden. Rudimentär betrachtet müssen folgende Punkte beachtet werden (untenstehende Aufteilung soll lediglich als Beispiel betrachtet werden): Erstellen von OU s zum Delegieren von Verwaltungsaufgaben o OU s nach physischen Standort (Vorteilhaft für Drucker und Computer) o OU s nach Geschäftsbereich (Geeigneter für Benutzerkonten) Erstellen von OU s für die Zuweisung von Gruppenrichtlinien (Security Templates) o OU s nach Funktion oder Aufgabe (Benutzer und Server) Möchten die Einstellungen von Workstations via OU s appliziert werden sind dabei folgende Sachverhalte zu beachten: Benutzerbasierte Einstellungen Zu beachten gilt hier, dass z.b. Administratoren nicht so stark eingegrenzt werden sollen, wie normale benutzer. Seite: 13 Datum: 28. Okt. 2003

15 Computerbasierte Einstellungen Hier kann zum Beispiel zwischen Notebooks und Desktops unterschieden werden. Untenstehende Abbildung zeigt ein Beispiel für die Anwendung der Security Templates auf Workstations und Benutzer auf. Domain Root XP Workstations Baseline Client Policy Desktop Desktop Policy Computerbasierte Einstellungen Notebook Notebook Policy XP Users Baseline User Policy User User Policy Benutzerbasierte Einstellungen Admin Admin Policy Seite: 14 Datum: 28. Okt. 2003

16 3.3 Priorität der Group Policy Mittels Group Policies können die einzelnen Einstellungen angewendet werden. Da diese Policy einer Gruppe (OU) zugeordnet wird, werden die Einstellungen auf allen Servern in der entsprechenden OU übernommen. Werden neue Objekte in OU s mit aktiven Group Policies verschoben, erhalten diese Objekte automatisch die definierten Einstellungen. Group Policies können auf verschiedenen Stufen angelegt werden. Folgende Liste zeigt die Reihenfolge der Zuordnung der Policies. 1. Local Policy 2. Site Policy 3. Domain Policy 4. Parent OU Policy 5. Child OU Policy (geschachtelte OU) Werden die gleichen Einstellungen in verschiedenen Stufen festgelegt, entspricht die zu letzt Zugeordnete der effektiven Einstellung. In den Eigenschaften der Group Policy kann die Option No Override angewählt werden. In diesem Fall wird die entsprechende Policy nicht überschrieben. 3.4 Security Management (Stay Secure) Das Hardening und somit die Empfehlungen in diesem Dokument konzentrieren sich auf die Sicherung eines Systems zu einem bestimmten Zeitpunkt. Da im Laufe der Zeit neue Erkenntnisse und Schwachstellen auftauchen, schwindet der Sicherheitslevel. Zudem ist das System selber einem Wandel ausgesetzt. D.h. Software wird installiert und Konfigurationen werden geändert. Aus diesen Gründen ist ein Security Management, welches folgende Tätigkeiten beinhaltet, unablässig. Zweckmässiges Logging und Kontrolle der Logs (siehe Anhang) Installation und Betrieb eines IDS Abonnieren aller relevanten Security Newsletter (siehe Anhang) Regelmässige Updates (Hotfixes, Updates) Regelmässige Vulnerability Scans im Intranet (z.b. Nessus, LanGuard, ) Regelmässige Passwort Audits (z.b. L0pht, Cain, ) Seite: 15 Datum: 28. Okt. 2003

17 4 Domänenbasierte Einstellungen Wirkungskreis Anwendung Compass Template Name Dieses Kapitel beschreibt die domänenweiten Sicherheitseinstellungen. Diese wird auf jedes System, welches der Domäne oder einer Subdomäne angehört, angewendet. Die entsprechende INF-Datei wird auf die Root-Domäne angewendet. Intranet_Baseline_Security_Domain_CSNC_V1.0.inf 4.1 Account Policies Nr. Schwachstelle Elimination Gewichtung Referenz 4100 Erzwingen einer Kennwortchronik Password Policy: Enforce password history 24 passwords remembered 4101 Maximales Kennwortalter Password Policy: Maximum password age 60 days 4102 Minimales Kennwortalter Password Policy: Minimum password age 2 days 4103 Minimale Kennwortlänge Password Policy: Minimum password length 8 characters Seite: 16 Datum: 28. Okt. 2003

18 Nr. Schwachstelle Elimination Gewichtung Referenz 4104 Kennwort muss einer gewissen Komplexität entsprechen. Die Passwörter müssen dabei folgende Kriterien erfüllen: Der Username oder Teile davon sind nicht erlaubt Kennwort Minimumlänge 6 Zeichen Drei von den folgenden Zeichenkategorien müssen im Kennwort vorhanden sein: (A-Z, a-z, 0-9, Sonderzeichen) Password Policy: Password must meet complexity requirements 4105 Passwörter sollen nicht mit einer reversiblen Verschlüsselung gespeichert werden. Password Policy: Store passwords using reversible encryption 4106 Kontosperrdauer Account Lockout Policy: Account lockout duration 30 minutes 4107 Kontosperrungsschwelle Account Lockout Policy: Account lockout threshold 5 invalid logon attempts 4108 Zurücksetzungsdauer des Kontosperrungszählers Account Lockout Policy: Reset account lockout counter after 30 minutes Seite: 17 Datum: 28. Okt. 2003

19 4.2 Security Options Nr. Schwachstelle Elimination Gewichtung Referenz 4200 Die Verbindung von Benutzer denen die Login-Zeit beschränkt wurde soll nach Ablauf der entsprechenden Zeitgrenze unterbrochen werden. Microsoft network server: Disconnect clients when logon hours expire 4201 Anonymen Benutzern wird eine SID/Benutzernamen Umsetzung verweigert. Network access: Allow anonymous SID/Name translation 4202 Die Verbindung von Benutzer denen die Login-Zeit beschränkt wurde soll nach Ablauf der entsprechenden Zeitgrenze unterbrochen werden. Network security: Force logoff when logon hours expire Seite: 18 Datum: 28. Okt. 2003

20 5 Hardware-Einstellungen (BIOS) Wirkungskreis Anwendung Dieses Kapitel beschreibt die empfohlenen Einstellungen, die im Computer BIOS vorgenommen werden können. Es werden lediglich die relevanten Einstellungen beschrieben, die sich aber von Gerät zu Gerät unterscheiden können. Die Einstellungen müssen von Hand bei jedem Gerät vorgenommen werden. 5.1 BIOS Passworte 1100 BIOS Setup oder Admin Passwort Dieses Passwort sollte in jedem BIOS gesetzt werden. Es verhindert, dass Einstellungen im BIOS durch Benutzer verändert werden. Dieses Passwort sollte bei jedem Gerät anders gesetzt werden. Es empfiehlt sich, z.b. auf Grund der Gerätenummer über einen Algorithmus ein einmaliges Passwort zu generieren. Es sollen alle möglichen Stellen für das Passwort verwendet werden Startup oder User Passwort Wenn es sich um ein Notebook handelt, sollte dieses Passwort durch den User gesetzt werden. Es muss ihm ebenfalls möglich sein, das Passwort regelmässig zu ändern. - Seite: 19 Datum: 28. Okt. 2003

21 1102 Harddisk Passworte Diese Option ist nicht bei allen BIOS vorhanden. Falls sie aber vorhanden ist, sollte das Passwort gesetzt werden. Damit ist es nicht mehr möglich, die Daten in einem anderen Gerät zu lesen, ohne das Passwort zu kennen Abfrage des Passwortes beim Reboot Existiert diese Option, sollte sie gesetzt werden. Damit kann verhindert werden, dass über einen Reboot Zugriff ohne die Eingabe des User Passwortes erlangt werden kann. Dies kann ein Evaluations-Kriterium für neue Geräte sein Systemstart Einstellungen 1200 Start vom Diskettenlaufwerk Für die Installation wenn benötigt eingeschaltet. Nach der Installation ausgeschaltet Start vom CDROM Für die Installation wenn benötigt eingeschaltet. Nach der Installation ausgeschaltet Start von USB-Geräten Ausgeschaltet Start vom Netzwerk Ausgeschaltet Andere Startmechanismen Ausgeschaltet. - Seite: 20 Datum: 28. Okt. 2003

22 6 Installation Wirkungskreis Anwendung Dieses Kapitel beschreibt die empfohlenen Einstellungen, die während resp. nachdem Installieren des Computers vorgenommen werden sollten. Die Einstellungen müssen von Hand bei jedem Gerät vorgenommen werden Entfernen von unnötigen Programmen Entfernen von: Aktualisierung von Stammzertifikaten MSN Explorer Netzwerkdienste Outlook Express Windows Messenger Danach sind nur noch folgende Komponenten aktiv: Indexdienst, Internet Explorer, Windows Media Player und einige Zubehör- und Dienstprogramme. Manuell Systemsteuerung Software PS: Zusätzliche Komponenten können entfernt werden, werden aber in der Ansicht versteckt. Um das zu Umgehen editiert man die Datei C:\Windows\inf\sysoc.inf und entfernt überall das Wort HIDE Installation aller relevanten Patches und Servicepacks inkl. Betriebsystem, Internet Explorer und Office Siehe Kapitel Absicherung der Installationsmechanismen Siehe Kapitel Installation eines Virenscanners Benutzung eines XP zertifizierten Virenscanner. Min. täglicher Update. - Seite: 21 Datum: 28. Okt. 2003

23 2004 Entfernen unnötiger Benutzer Entfernen von: HelpAssistant Support_388945a0 Manueller Eingriff 2005 Keine Standard-Verzeichnisse wählen Z.b C:\WinXP Manueller Eingriff 2006 NTFS für alle Dateisysteme einsetzen Damit Berechtigungen vergeben können, müssen alle Partitionen mit NTFS formatiert werden. Bestehende FAT Partitionen können mittels convert konvertiert werden. Allerdings sollten die Disks richtig formatiert werden, um nicht durch die Migration Schwachstellen einzuführen. Manueller Eingriff 2007 Aufteilung der Programme und Daten auf separate Partitionen Die Benutzerdaten sollten auf eine separate Partition verschoben werden. Manueller Eingriff 2008 Löschen des Slackspace. Eine Datei, die nur 10 Bytes gross ist belegt auf der Disk trotzdem einen ganzen Block, welcher in der Regel 512 Bytes gross ist. Die nicht genutzten 502 Bytes werden als Slackspace bezeichnet und können Daten alter Files enthalten, die über spezielle Tools ausgelesen werden können. Deshalb sollte dieser Bereich ab und zu gelöscht werden. Dieser Vorgang kann einige Zeit dauern. Cipher.exe /W:C: Cipher.exe /W:D: Periodisch Skriptgesteuert (z.b. Wöchentlich ein Mal) 2009 Shared Documents Folder entfernen. Diese Funktionalität sollte entfernt werden. Einem Benutzer ist es darüber möglich auf dem lokalen Rechner Daten mit einem anderen lokalen User auszutauschen. Folgenden Registry-Key löschen: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersi on\explorer\my Computer\NameSpace\DelegateFolders {59031a47-3f72-44a7-89c5-5595fe6b30ee} Manueller Eingriff Seite: 22 Datum: 28. Okt. 2003

24 2010 Hybernation Mode deaktivieren. Der Systemstatus wird dabei auf die Disk geschrieben. Control Panel Power Options Hibernate Disable Hibernation Manueller Eingriff 2011 Einsatz von Syskey.exe Achtung: Dieser Eingriff kann nicht rückgängig gemacht werden. Ausführen von syskey.exe in der Command Shell. Verschlüsselung aktivieren Aktivieren Schlüssel für den Systemstart lokal speichern. Manueller Eingriff 2012 Dynamische Router-Entdeckung deaktivieren Die muss für jedes Interface eingestellt werden. HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\P arameters\interfaces{inferfaceid} REG_DWORD PerformRouterDiscovery=0 Manueller Eingriff Seite: 23 Datum: 28. Okt. 2003

25 7 Computerbasierte Einstellungen (Windows Settings) Wirkungskreis Anwendung Compass Template Name Dieses Kapitel beschreibt die domänenweiten Sicherheitseinstellungen auf Workstaions. Diese wird auf jedes System in der enstprechenden OU angewendet. Die entsprechende INF-Datei wird auf die XP- Workstations OU angewendet. Siehe Kapitel Baseline-XPClient-CSNC-V1.1.inf Einträge, die Not defined eingetragen haben, sind in der Default-Konfiguration in Ordnung und müssen nicht geändert werden. 7.1 Baseline Gültig für alle Client-Geräte Audit Policy 3100 Active Directory-Zugriff überwachen Audit directory service access No auditing 3101 Anmeldeereignisse überwachen Audit account logon events Success, Failure 3102 Anmeldeversuche überwachen Audit logon events Success, Failure Seite: 24 Datum: 28. Okt. 2003

26 3103 Kontenverwaltung überwachen Audit account management Success, Failure 3104 Objektzugriffsversuche überwachen Audit object access No auditing 3105 Prozessverfolgung überwachen Audit process tracking No auditing 3106 Rechteverwendung überwachen Audit privilege use Failure 3107 Richtlinienänderungen überwachen Audit policy change Success 3108 Systemereignisse überwachen Audit system events Success User Rights Assignment 3109 Als Dienst anmelden Log on as a service Not Defined 3110 Ändern der Systemzeit Change the system time Administrators Seite: 25 Datum: 28. Okt. 2003

27 3111 Anheben der Zeitplanungspriorität Increase scheduling priority Not Defined 3112 Anmelden als Stapelverarbeitungsauftrag Log on as a batch job Not Defined 3113 Anmeldung als Batchauftrag verweigern Deny log on as a batch job Not Defined 3114 Anmeldung als Dienst verweigern Deny log on as a service Not Defined 3115 Anmeldung über Terminaldienste verweigern Deny log on through Terminal Services Gäste, Benutzer 3116 Anmeldung über Terminaldienste zulassen Allow log on through Terminal Services Administrators 3117 Anpassen von Speicherkontingenten für einen Prozess Adjust memory quotas for a process Not Defined 3118 Auf diesen Computer vom Netzwerk aus zugreifen Access this computer from the network Administrators 3119 Auslassen der durchsuchenden Überprüfung Bypass traverse checking Users 3120 Debuggen von Programmen Debug programs 3121 Durchführen von Volumewartungsaufgaben Perform volume maintenance tasks Not Defined Seite: 26 Datum: 28. Okt. 2003

28 3122 Einsetzen als Teil des Betriebssystems Act as part of the operating system Not Defined 3123 Entfernen des Computers von der Dockingstation Remove computer from docking station Not Defined 3124 Ermöglichen, dass Computer- und Benutzerkonten für Delegierungszwecke vertraut wird Enable computer and user accounts to be trusted for delegation Not Defined 3125 Ersetzen eines Tokens auf Prozessebene Replace a process level token Not Defined 3126 Erstellen einer Auslagerungsdatei Create a pagefile Not Defined 3127 Erstellen eines Profils der Systemleistung Profile system performance Not Defined 3128 Erstellen eines Profils für einen Einzelprozess Profile single process Not Defined 3129 Erstellen eines Tokenobjekts Create a token object Not Defined 3130 Erstellen von dauerhaft freigegebenen Objekten Create permanent shared objects Not Defined 3131 Erstellen von globalen Objekten Create global objects Not Defined 3132 Erzwingen des Herunterfahrens von einem Remotesystem aus Force shutdown from a remote system Administrators Seite: 27 Datum: 28. Okt. 2003

29 3133 Generieren von Sicherheitsüberwachungen Generate security audits Not Defined 3134 Herunterfahren des Systems Shut down the system Users,Administrators 3135 Hinzufügen von Arbeitsstationen zur Domäne Add workstations to domain Not Defined 3136 Laden und Entfernen von Gerätetreibern Load and unload device drivers Not Defined 3137 Lokale Anmeldung erlauben Allow log on locally Users,Administrators 3138 Lokale Anmeldung verweigern Deny log on locally Not Defined 3139 Sichern von Dateien und Verzeichnissen Back up files and directories Not Defined 3140 Sperren von Seiten im Speicher Lock pages in memory Not Defined 3141 Starten von Programmen unter einem anderen Benutzer (runas) Achtung: Diese Privileg dürfen nur Administratoren besitzen! Impersonate a client after authentication Not Defined 3142 Synchronisieren von Verzeichnisdienstdaten Synchronize directory service data Not Defined Seite: 28 Datum: 28. Okt. 2003

30 3143 Übernehmen des Besitzes von Dateien und Objekten Take ownership of files or other objects Administrators 3144 Verändern der Firmwareumgebungsvariablen Modify firmware environment values Not Defined 3145 Verwalten von Überwachungs- und Sicherheitsprotokollen Manage auditing and security log Not Defined 3146 Wiederherstellen von Dateien und Verzeichnissen Restore files and directories Administrators 3147 Zugriff vom Netzwerk auf diesen Computer verweigern Deny access to this computer from the network Not Defined Security Options 3148 Änderung der Beschreibung des originalen Administrators Gesamte Beschreibung löschen oder so anpassen, dass dieser nicht erkannt wird. Manueller Eingriff (Local Users and Groups) 3149 Änderung der Beschreibung des originalen Gastkontos Text des originalen Administrators übernehmen Manueller Eingriff (Local Users and Groups) 3150 Domänencontroller: Änderungen von Computerkontenkennwörtern verweigern Domain controller: Refuse machine account password changes Not Defined - Security Template (Automatisch) Seite: 29 Datum: 28. Okt. 2003

31 3151 Domänencontroller: Serveroperatoren das Einrichten von geplanten Tasks erlauben Domain controller: Allow server operators to schedule tasks Not Defined 3152 Domänencontroller: Signaturanforderungen für LDAP-Server Domain controller: LDAP server signing requirements Not Defined - Security Template (Automatisch) 3153 Domänenmitglied: Änderungen von Computerkontenkennwörtern deaktivieren Domain member: Disable machine account password changes Not Defined 3154 Domänenmitglied: Daten des sicheren Kanals digital signieren (wenn möglich) Domain member: Digitally sign secure channel data (when possible) 3155 Domänenmitglied: Daten des sicheren Kanals digital verschlüsseln oder signieren (immer) Domain member: Digitally encrypt or sign secure channel data (always) 3156 Domänenmitglied: Daten des sicheren Kanals digital verschlüsseln (wenn möglich) Domain member: Digitally encrypt secure channel data (when possible) 3157 Domänenmitglied: Maximalalter von Computerkontenkennwörtern Domain member: Maximum machine account password age Not Defined 3158 Domänenmitglied: Starker Sitzungsschlüssel erforderlich (Windows 2000 oder höher) Domain member: Require strong (Windows 2000 or later) session key Seite: 30 Datum: 28. Okt. 2003

32 3159 Geräte: Anwendern das Installieren von Druckertreibern nicht erlauben Devices: Prevent users from installing printer drivers 3160 Geräte: Entfernen ohne vorherige Anmeldung erlauben Devices: Allow undock without having to log on - Security Template (Automatisch) 3161 Geräte: Formatieren und Auswerfen von Wechselmedien zulassen Devices: Allowed to format and eject removable media Administrators and Interactive Users 3162 Geräte: Verhalten bei der Installation von nichtsignierten Treibern Devices: Unsigned driver installation behavior Do not allow installation 3163 Geräte: Zugriff auf CD-ROM-Laufwerke auf lokal angemeldete Benutzer beschränken Devices: Restrict CD-ROM access to locally loggedon user only 3164 Geräte: Zugriff auf Diskettenlaufwerke auf lokal angemeldete Benutzer beschränken Devices: Restrict floppy access to locally logged-on user only 3165 Herunterfahren: Auslagerungsdatei des virtuellen Arbeitspeichers löschen Shutdown: Clear virtual memory pagefile - Security Template (Automatisch) 3166 Herunterfahren: Herunterfahren des Systems ohne Anmeldung zulassen Shutdown: Allow system to be shut down without having to log on 3167 Interaktive Anmeldung: Anwender vor Ablauf des Kennworts zum Ändern des Kennworts auffordern Interactive logon: Prompt user to change password before expiration 10 days Seite: 31 Datum: 28. Okt. 2003

33 3168 Interaktive Anmeldung: Anzahl zwischenzuspeichernder vorheriger Anmeldungen (für den Fall, dass der Domänencontroller nicht verfügbar ist) Interactive logon: Number of previous logons to cache (in case domain controller is not available) 2 logons 3169 Interaktive Anmeldung: Domänencontrollerauthentifizierung zum Aufheben der Sperrung der Arbeitsstation erforderlich Interactive logon: Require Domain Controller authentication to unlock workstation 3170 Interaktive Anmeldung: Kein STRG+ALT+ENTF erforderlich Interactive logon: Do not require CTRL+ALT+DEL 3171 Interaktive Anmeldung: Letzten Benutzernamen nicht anzeigen Interactive logon: Do not display last user name 3172 Interaktive Anmeldung: Nachricht für Benutzer, die sich anmelden wollen Interactive logon: Message text for users attempting to log on Dieser Computer, sowie das gesamte Netzwerk eigeschlossen allen Daten sind Firmeneigentum und gesetzlich geschützt. Der Zugriff ist ausschliesslich berechtigten Personen vorbehalten. Die Benutzung dieses Computers sowie dem Netzwerk wird überwacht Interaktive Anmeldung: Nachrichtentitel für Benutzer, die sich anmelden wollen Interactive logon: Message title for users attempting to log on WARNUNG!!! 3174 Interaktive Anmeldung: Verhalten beim Entfernen von Smartcards Interactive logon: Smart card removal behavior Lock Workstation 3175 Interaktive Anmeldung: Zur Anmeldung wird eine SmartCard benötigt Interactive logon: Require smart card - Security Template (Automatisch) Seite: 32 Datum: 28. Okt. 2003

34 3176 Konten: Administrator umbenennen Accounts: Rename administrator account lawroot (-> local admin workstation root) 3177 Konten: Administratorkontostatus Accounts: Administrator account status Not Defined 3178 Konten: Gastkontenstatus Accounts: Guest account status 3179 Konten: Gastkonto umbenennen Accounts: Rename guest account Administrator - Security Template (Automatisch) 3180 Konten: Lokale Kontenverwendung mit leeren Kennwörtern auf Konsolenanmeldung beschränken Accounts: Limit local account use of blank passwords to console logon only 3181 Microsoft-Netzwerk (Client): Kommunikation digital signieren (immer) Microsoft network client: Digitally sign communications (always) 3182 Microsoft-Netzwerk (Client): Kommunikation digital signieren (wenn Server zustimmt) Microsoft network client: Digitally sign communications (if server agrees) 3183 Microsoft-Netzwerk (Client): Unverschlüsseltes Kennwort an SMB-Server von Drittanbietern senden Microsoft network client: Send unencrypted password to third-party SMB servers 3184 Microsoft-Netzwerk (Server): Clientverbindungen aufheben, wenn die Anmeldezeit überschritten wird Microsoft network server: Disconnect clients when logon hours expire Seite: 33 Datum: 28. Okt. 2003

35 3185 Microsoft-Netzwerk (Server): Kommunikation digital signieren (immer) Microsoft network server: Digitally sign communications (always) 3186 Microsoft-Netzwerk (Server): Kommunikation digital signieren (wenn Client zustimmt) Microsoft network server: Digitally sign communications (if client agrees) 3187 Microsoft-Netzwerk (Server): Leerlaufzeitspanne bis zum Anhalten der Sitzung Microsoft network server: Amount of idle time required before suspending session 15 minutes 3188 Netzwerksicherheit: Abmeldung nach Ablauf der Anmeldezeit erzwingen Network security: Force logoff when logon hours expire Not Defined - Security Template (Automatisch) 3189 Netzwerksicherheit: Keine LAN Manager-Hashwerte für nächste Kennwortänderung speichern Network security: Do not store LAN Manager hash value on next password change 3190 Netzwerksicherheit: LAN Manager- Authentifizierungsebene Network security: LAN Manager authentication level Send NTLMv2 response only\refuse LM & NTLM 3191 Netzwerksicherheit: Minimale Sitzungssicherheit für NTLM-SSP-basierte Clients (einschließlich sicherer RPC-Clients) Network security: Minimum session security for NTLM SSP based (including secure RPC) clients Require NTLMv2 session security,require 128-bit encryption 3192 Netzwerksicherheit: Minimale Sitzungssicherheit für NTLM-SSP-basierte Server (einschließlich sicherer RPC-Server) Network security: Minimum session security for NTLM SSP based (including secure RPC) servers Require NTLMv2 session security,require 128-bit encryption Seite: 34 Datum: 28. Okt. 2003

36 3193 Netzwerksicherheit: Signaturanforderungen für LDAP-Clients Network security: LDAP client signing requirements Negotiate signing 3194 Netzwerkzugriff: Anonyme Aufzählung von SAM- Konten nicht erlauben Network access: Do not allow anonymous enumeration of SAM accounts 3195 Netzwerkzugriff: Anonyme Aufzählung von SAM- Konten und Freigaben nicht erlauben Network access: Do not allow anonymous enumeration of SAM accounts and shares 3196 Netzwerkzugriff: Anonyme SID- /Namensübersetzung zulassen Network access: Allow anonymous SID/Name translation 3197 Netzwerkzugriff: Die Verwendung von 'Jeder'- Berechtigungen für anonyme Benutzer ermöglichen Network access: Let Everyone permissions apply to anonymous users 3198 Netzwerkzugriff: Freigaben, auf die anonym zugegriffen werden kann Network access: Shares that can be accessed anonymously 3199 Netzwerkzugriff: Modell für gemeinsame Nutzung und Sicherheitsmodell für lokale Konten Network access: Sharing and security model for local accounts Classic - local users authenticate as themselves 3200 Netzwerkzugriff: Named Pipes, auf die anonym zugegriffen werden kann Network access: Named Pipes that can be accessed anonymously Seite: 35 Datum: 28. Okt. 2003

37 3201 Netzwerkzugriff: Registrierungspfade, auf die von anderen Computern aus zugegriffen werden kann Network access: Remotely accessible registry paths System\CurrentControlSet\Control\ProductOptions,S ystem\currentcontrolset\control\server Applications,Software\Microsoft\Windows NT\CurrentVersion - Security Template (Automatisch) 3202 Netzwerkzugriff: Registrierungsunterpfade, auf die von anderen Computern aus zugegriffen werden kann Network access: Remotely accessible registry paths and sub-paths Software\Microsoft\Windows NT\CurrentVersion\Print,Software\Microsoft\Window s NT\CurrentVersion\Windows,System\CurrentControl Set\Control\Print\Printers,System\CurrentControlSet\ Services\Eventlog,Software\Microsoft\OLAP Server,System\CurrentControlSet\Control\ContentIn dex,system\currentcontrolset\control\terminal Server,System\CurrentControlSet\Control\Terminal Server\UserConfig,System\CurrentControlSet\Contr ol\terminal Server\DefaultUserConfiguration,Software\Microsoft\ Windows NT\CurrentVersion\Perflib,System\CurrentControlSe t\services\sysmonlog - Security Template (Automatisch) 3203 Netzwerkzugriff: Speicherung von Anmeldeinformationen oder.net-passports für die Netzwerkauthentifikation nicht erlauben Network access: Do not allow storage of credentials or.net Passports for network authentication 3204 Netzwerkzugriff: Verbieten von anonymen Verbindungen auf Named Pipes und Freigaben Network access: Restrict anonymous access to Named Pipes and Shares Seite: 36 Datum: 28. Okt. 2003

38 3205 Systemeinstellungen: Benutzen von Zertifikatregeln bei ausführbaren Dateien bei der Benutzung von Software Richtlinien System settings: Use Certificate Rules on Windows Executables for Software Restriction Policies Not Defined - Security Template (Automatisch) 3206 Systemeinstellungen: Optionale Subsysteme System settings: Optional subsystems 3207 Systemkryptografie: Benutzerspezifische Schlüssel (z.b. SSL Clientcertifikate) sollen mit einen starken Schlüssel geschützt werden System cryptography: Force strong key protection for user keys stored on the computer User is prompted when the key is first used 3208 Systemkryptografie: FIPS-konformen Algorithmus für Verschlüsselung, Hashing und Signatur verwenden System cryptography: Use FIPS compliant algorithms for encryption, hashing, and signing 3209 Systemobjekte: Groß-/Kleinschreibung für Nicht- Windows-Subsysteme ignorieren System objects: Require case insensitivity for non- Windows subsystems - Security Template (Automatisch) 3210 Systemobjekte: Standardberechtigungen interner Systemobjekte (z. B. symbolischer Verknüpfungen) verstärken System objects: Strengthen default permissions of internal system objects (e.g. Symbolic Links) 3211 Systemobjekte: Standardbesitzer für Objekte, die von Mitgliedern der Administratorengruppe erstellt werden System objects: Default owner for objects created by members of the Administrators group Object creator 3212 Überwachung: Die Verwendung des Sicherungsund Wiederherstellungsrechts überprüfen Audit: Audit the use of Backup and Restore privilege - Security Template (Automatisch) 3213 Überwachung: System sofort herunterfahren, wenn Sicherheitsüberprüfungen nicht protokolliert werden können Audit: Shut down system immediately if unable to log security audits Not Defined - Security Template (Automatisch) Seite: 37 Datum: 28. Okt. 2003

39 3214 Überwachung: Zugriff auf globale Systemobjekte prüfen Audit: Audit the access of global system objects Not Defined - Security Template (Automatisch) 3215 Wiederherstellungskonsole: Automatische administrative Anmeldungen zulassen Recovery console: Allow automatic administrative logon 3216 Wiederherstellungskonsole: Kopieren von Disketten und Zugriff auf alle Laufwerke und alle Ordner zulassen Recovery console: Allow floppy copy and access to all drives and all folders - Security Template (Automatisch) Event Log 3217 Ereignisse nach Bedarf überschreiben (Anwendungsprotokoll) Retention method for application log As needed 3218 Ereignisse nach Bedarf überschreiben (Sicherheitsprotokoll) Retention method for security log As needed 3219 Ereignisse nach Bedarf überschreiben (Systemprotokoll) Retention method for system log As needed 3220 Ergreignisse überschreiben, die älter als x-tage sind (Anwendungsprotokoll) Retain application log Not Defined 3221 Ergreignisse überschreiben, die älter als x-tage sind (Sicherheitsprotokoll) Retain security log Not Defined Seite: 38 Datum: 28. Okt. 2003

40 3222 Ergreignisse überschreiben, die älter als x-tage sind (Systemprotokoll) Retain system log Not Defined 3223 Maximale Protokollgrösse (Anwenung) Maximum application log size kilobytes 3224 Maximale Protokollgrösse (Sicherheit) Maximum security log size kilobytes 3225 Maximale Protokollgrösse (System) Maximum system log size kilobytes 3226 Sperren des Zugriffs auf die Anwendungsprotokolierung für Gäste Prevent local guests group from accessing application log 3227 Sperren des Zugriffs auf die Sicherheitsprotokolierung für Gäste Prevent local guests group from accessing security log 3228 Sperren des Zugriffs auf die Systemprotokolierung für Gäste Prevent local guests group from accessing system log Seite: 39 Datum: 28. Okt. 2003

41 7.1.5 System Services 3229 Ablagemappe Ermöglicht der Ablagemappe, Informationen zu speichern und mit Remotecomputern auszutauschen. Wenn dieser Dienst beendet wird, wird die Ablagemappe keine Informationen mehr mit Remotecomputern austauschen können. Wenn dieser Dienst deaktiviert wird, werden alle von diesem Dienst explizit abhängigen Dienste nicht gestartet werden können. ClipBook 3230 Administrativer Dienst für den Verwaltungsdienst für die Verwaltung logischer Datenträger Ist zusammen mit dem Logical Disk Manager für die Einrichtung neuer Festplatten zuständig. Dieser Dienst wird nur zu Konfigurationszwecken ausgeführt und anschließend beendet. Logical Disk Manager Administrative Service Manual 3231 Anmeldedienst Unterstützt Durchsatzauthentifizierung von Kontoanmeldungsereignissen für Computer in einer Domäne. Net Logon Automatic Der Anmeldediest wird unbedingt benötigt Anwendungsverwaltung Bietet Softwareinstallationsdienste wie Zuweisung, Veröffentlichung, und Deinstallation. Application Management Wird benötigt wenn über Group Policy Programme installiert werdem Seite: 40 Datum: 28. Okt. 2003

42 3233 Arbeitsstationsdienst Erstellt und wartet Clientnetzwerkverbindungen mit Remoteservern. Diese Verbindungen sind nicht mehr verfügbar, falls dieser Dienst beendet wird. Falls dieser Dienst deaktiviert wird, können die Dienste, die von diesem Dienst ausschließlich abhängig sind, nicht mehr gestartet werden. Workstation Automatic - Security Template (Automatisch) 3234 Automatische Updates Aktiviert den Download und die Installation für wichtige Updates von Windows Update. Das Betriebssystem kann manuell über die Windows Update-Website aktualisiert werden, falls der Dienst deaktiviert wird. Automatic Updates Nur im Zusammenhang mit SUS zu verwenden COM+-Ereignissystem Unterstützt den Systemereignis- Benachrichtigungsdienst (SENS, System Event Notification Service), der die automatische Verteilung von Ereignissen an abonnierende COM- Komponenten zur Verfügung stellt. Wenn der Dienst beendet ist, wird SENS beendet und ist nicht in der Lage Anmelde- und Abmeldebenachrichtigungen zur Verfügung zu stellen. Wenn der Dienst deaktiviert ist, können abhängige Dienste nicht gestartet werden. COM+ Event System Manual Seite: 41 Datum: 28. Okt. 2003

43 3236 COM+-Systemanwendung Verwaltet die Komponentenkonfiguration und - überwachung von COM+-basierten Komponenten. Nach dem Beenden des Dienstes sind die meisten COM+-basierten Komponenten nicht ordnungsgemäß funktionsfähig. Nach dem Deaktivieren dieses Dienstes werden alle Dienste nicht gestartet, die explizit auf diesem Dienst basieren. COM+ System Application Manual 3237 Computerbrowser Führt eine aktuelle Liste der Computer im Netzwerk und gibt diese an als Browser fungierende Computer weiter. Diese Liste wird nicht aktualisiert oder gewartet, falls der Dienst beendet wird. Falls dieser Dienst deaktiviert wird, können die Dienste, die von diesem ausschließlich Dienst abhängig sind, nicht mehr gestartet werden. Computer Browser Automatic - Security Template (Automatisch) 3238 Datei Replikation Repliziert Dateien über verschiedene Server. File Replication Service Wird auf Clients nicht benötigt Designs Stellt die Designverwaltung zur Verfügung. Themes Automatic 3240 DHCP-Client Verwaltet die Netzwerkkonfiguration, indem IP- Adressen und DNS-Namen registriert und aktualisiert werden. DHCP Client Automatic - Security Template (Automatisch) Seite: 42 Datum: 28. Okt. 2003

44 3241 Distributed Transaction Coordinator Koordiniert Transaktionen, die sich über mindestens zwei Ressourcenverwaltungen wie Datenbanken, Nachrichtenwarteschlangen oder Dateisysteme erstrecken. Wenn der Dienst beendet ist, treten diese Transaktionen nicht auf. Wenn der Dienst deaktiviert ist, können abhängige Dienste nicht gestartet werden. Distributed Transaction Coordinator 3242 DNS Server Stellt ein Dienst zur Namensauflösung zur Verfügung. DNS Server 3243 DNS-Client Wertet DNS-Namen (Domain Name System) für diesen Computer aus und speichert sie zwischen. Falls dieser Dienst beendet wird, kann der Computer keine DNS-Namen auflösen und Active Directory-Domänencontroller ermitteln. Falls dieser Dienst deaktiviert wird, können die Dienste, die von diesem Dienst ausschließlich abhängig sind, nicht mehr gestartet werden. DNS Client Automatic - Security Template (Automatisch) 3244 Druckwarteschlange Lädt die Dateien in den Arbeitsspeicher, um sie später zu drucken. Print Spooler Manual Wird nur benötigt, wenn lokale Drucker angeschlossen sind. Seite: 43 Datum: 28. Okt. 2003

45 3245 Eingabegerätezugang Ermöglicht einen Standardeingabezugang für Eingabegeräte (HID-Geräte), welcher die Verwendung von vordefinierten Schnelltasten auf Tastaturen, Fernbedienungen und anderen Multimediageräten aktiviert und unterstützt. Wenn dieser Dienst beendet wird, werden die von diesem Dienst gesteuerten Schnelltasten nicht mehr funktionieren. Wenn dieser Dienst deaktiviert wird, werden alle von diesem Dienst explizit abhängigen Dienste nicht gestartet werden können. Human Interface Device Access Allenfalls kann es nötig sein, bei Spezialtastaturen diesen Dienst einzuschalten Ereignisprotokoll Ermöglicht die Ansicht von Ereignisprotokollmeldungen von Windows-basierten Programmen und Komponenten in der Ereignisanzeige. Dieser Dienst kann nicht beendet werden. Event Log Automatic 3247 Fax Dienst Stellt Fax Funktionalität zur Verfügung. Fax 3248 Fehlerberichterstattungsdienst Ermöglicht die Fehlerberichterstattung für Dienste und Anwendungen, die in nicht standardgemäßen Umgebungen ausgeführt werden. Error Reporting Service 3249 Gatewaydienst auf Anwendungsebene Bietet Unterstützung für Protokoll-Plug-Ins von Drittanbietern für die gemeinsame Nutzung der Internetverbindung und den Internetverbindungsdfirewall. Application Layer Gateway Service Diese Funktionalität wird auf den Clients nicht benötigt! Seite: 44 Datum: 28. Okt. 2003