Zur Beachtung - Anleitungen

Bitte beachten Sie, daß die bereitgestellten Informationen zum Zeitpunkt der Erstellung im Rahmen von durchgeführten Arbeiten dokumentiert und validiert wurden. In einer geänderten Systemumgebung können für die Schritte Anpassungen erforderlich sein. Dies gilt insbesonders, falls die Informationen Workarounds oder Fehlerbehebungen betreffen. Die Informationen sind entsprechend spezifisch für die Systemumgebung und Version der Systeme zum Zeitpunkt der Arbeiten. Schritte, die sich für uns von selbst erschließen, sind ggf. nicht in den Anleitungen enthalten. Dasselbe gilt auch für konzeptionelle Anleitungen. Diese sind für spezifische Umgebungen und spezifische Erfordernisse erstellt und müssen vor Anwendung überprüft werden, ob sie für die angedachte Umgebung passend sind. Die Verwendung erfolgt auf eigene Gefahr.

Wir raten in jedem Fall dazu, vorab ein Backup in einem Umfang zu erstellen, der die Wiederherstellung der Systeme im Fehlerfall sichert. Dies betrifft bei Active-Directory-integrierten Diensten auch das Active-Directory.

 

(30.04.2024)

Diese Konfigurationsanweisungen beziehen sich auf neue Windows 2016 und 2019-Domänen

Hinweise

  • GPOs sprechend benennen, das erleichtert Dritten die Administration
  • nur spezifische, zusammengehörige Einstellungen in eine GPO
  • Regeln werden ggf. aktualisiert

Benötigte WMI-Filter

  • Clients: select * from Win32_OperatingSystem where ProductType="1"
  • Server: select * from Win32_OperatingSystem where ProductType="2" or ProductType="3"
  • Clients+Memberserver: select * from Win32_OperatingSystem where ProductType="1" or ProductType="3"

Policies

  1. Default Domain Policy
    1. Computerkonfiguration / Richtlinien / Windows-Einstellungen / Sicherheitseinstellungen
      1. Kontorichtlinien
        1. Kennwortrichtlinien1
          • Kennwort muss Komplexitätsvoraussetzungen entsprechen: Aktiviert
          • Kennwortchronik erzwingen\ngespeicherte Kennwörter: 02
          • Kennwörter mit umkehrbarer Verschlüsselung speichern: Deaktiviert
          • Maximales Kennwortalter: 0 Tage
          • Minimale Kennwortlänge: Standard verwenden, keine Anpassung3
          • Minimales Kennwortalter: Standard verwenden, keine Anpassung
        2. Kontosperrungsrichtlinien
          • Kontensperrungsschwelle: 5 ungültige Anmeldeversuche
          • Kontosperrdauer: 10 Minuten
          • Zurücksetzungsdauer des Kontosperrungszählers: 10 Minuten
        3. Kerberos-Richtlinie: keine Anpassung
      2. Zuweisung von Benutzerrechten
        • Hinzufügen von Arbeitsstationen zur Domäne: VORDEFINIERT\Administratoren
      3. Lokale Richtlinien/Sicherheitsoptionen
        1.  Microsoft-Netzwerk (Client)4
          • Microsoft-Netzwerk (Client): Kommunikation digital signieren (wenn Server zustimmt): Aktiviert
        2. Microsoft-Netzwerk (Server)4
          • Microsoft-Netzwerk (Server): Kommunikation digital signieren (wenn Client zustimmt): Aktiviert
        3. Netzwerksicherheit: keine Anpassung
        4. Netzwerkzugriff: kein Anpassung
        5. Andere: Kennwortlängenbeschränkungen lockern: Deaktiviert
      4. Sonstige: keine Anpassung
  2. Remoteverwaltung: RDP aktivieren
    1. Computerkonfiguration / Administrative Vorlagen / Windows-Komponenten / Remotedesktopdienste / Remotedesktopsitzungs-Host
      1. Sicherheit
        • Benutzerauthentifizierung mit Authentifizierung auf Netzwerkebene ist für Remoteverbindungen erforderlich: Deaktiviert5
        • Verschlüsselungsstufe der Clientverbindung festlegen: Aktiviert, Höchste Stufe
      2.  Verbindungen
        • RDP-Transportprotokolle auswählen: Aktiviert, TCP und UDP
        • Remoteverbindungen für Benutzer mithilfe der Remotedesktopdienste zulassen: Aktiviert
  3. Remoteverwaltung: Remotezugriff auf PNP aktivieren
    1. Computerkonfiguration / Richtlinien / Administrative Vorlagen / System / Geräteinstallation / Remotezugriff auf die Plug & Play-Schnittstelle zulassen: Aktiviert
  4. Remoteverwaltung: WinRM aktivieren
    1. Computerkonfiguration / Richtlinien / Administrative Vorlagen / Windows-Komponenten / Windows-Remoteverwaltung (Windows Remote Management, WinRM) / WinRM-Dienst / Remoteserververwaltung über WinRM zulassen: Aktiviert
      • IPv4-Filter: <IP>-<IP> (Bereich Administrationsrechner)
      • IPv6-Filter: <IP>-<IP> (Bereich Administrationsrechner)
  5. Sicherheit: Lokalen Administrator umbenennen
    1. Computerkonfiguration / Richtlinien / Windows-Eisntellungen / Sicherheitseinstellungen / Lokale Richtlinien / Sicherheitsoptionen
      • Konten: Administrator umbenennen6
  6. Firewall: aktivieren
    1. Computerkonfiguration / Windows-Einstellungen / Sicherheitseinstellungen / Windows-Firewall mit erweiterter Sicherheit
      • Domänenprofileinstellungen / Firewallstatus: Ein
      • Private Profileinstellungen / Firewallstatus: Ein
      • Öffentliche Profileinstellungen / Firewallstatus: Ein
    2. Computerkonfiguration / Administrative Vorlagen / Netzwerk / Netzwerkverbindungen / Windows Defender Firewall
      1. Domänenprofil / Windows Defender Firewall
        • Alle Netzwerkverbindungen schützen: Aktiviert
        • ICMP-Ausnahmen zulassen: Aktiviert (alle)
      2. Standardprofil / Windows Defender Firewall
        • Alle Netzwerkverbindungen schützen: Aktiviert
        • ICMP-Ausnahmen zulassen: Aktiviert (alle)
  7. Server: NLA neu starten (WMI-Filter Server)
    1. Computerkonfiguration / Einstellungen / Systemsteuerungseinstellungen / Geplante Aufgaben / Geplante Aufgabe (mindestens Windows 7) (Name: Neustart NLA), Aktualisieren
      • Aufgabe unabhängig von Benutzeranmeldung ausführen
      • Benutzer-ID: NT-Autorität\System
      • Trigger: beim Start, Aufgabe verzögern für 1 Minute
      • powershell.exe -noninteractive -command "restart-service nlasvc -force"
  8. Firewall: Administrative Zugriffe (Anm.: hierzu sind dedizierte Administrations-Hosts notwendig, deren IP-Adressen lt. Netzplan bekannt sind)
    1. Computerkonfiguration / Richtlinien / Administrative Vorlagen / Netzwerk / Netzwerkverbindungen / Windows Defender Firewall
      1. Domänenprofil
        • Windows Defender Firewall: Eingehende Ausnahme für Datei- und Druckerfreigabe zulassen: <CIDR>,[<CIDR>[,...]]
        • Windows Defender Firewall: Eingehende Portausnahmen festlegen:
          3389:tcp:<CIDR>,[<CIDR>[,...]]:enabled:RDP7
          3389:udp:<CIDR>,[<CIDR>[,...]]:enabled:RDP7
          6568:tcp:<CIDR>,[<CIDR>[,...]]:enabled:Anydesk Listener 
          5985:tcp:<CIDR>,[<CIDR>[,...]]:enabled:WinRM HTTP7
          5986:tcp:<CIDR>,[<CIDR>[,...]]:enabled:WinRM HTTPS7
        • Windows Defender Firewall: Eingehende Remotedesktopausnahmen zulassen: <CIDR>,[<CIDR>[,...]]
        • Windows Defender Firewall: Eingehende Remoteverwaltungsausnahme zulassen: <CIDR>,[<CIDR>[,...]]
      2. Standardprofil
        • Windows Defender Firewall: Eingehende Ausnahme für Datei- und Druckerfreigabe zulassen: <CIDR>,[<CIDR>[,...]]
        • Windows Defender Firewall: Eingehende Portausnahmen festlegen:
          3389:tcp:<CIDR>,[<CIDR>[,...]]:enabled:RDP7
          3389:udp:<CIDR>,[<CIDR>[,...]]:enabled:RDP7
          6568:tcp:<CIDR>,[<CIDR>[,...]]:enabled:Anydesk Listener 
          5985:tcp:<CIDR>,[<CIDR>[,...]]:enabled:WinRM HTTP7
          5986:tcp:<CIDR>,[<CIDR>[,...]]:enabled:WinRM HTTPS7
        • Windows Defender Firewall: Eingehende Remotedesktopausnahmen zulassen: <CIDR>,[<CIDR>[,...]]
        • Windows Defender Firewall: Eingehende Remoteverwaltungsausnahme zulassen: <CIDR>,[<CIDR>[,...]]
  9. Umgebung: BGInfo
    1. an zentralem Ablageort BGINFO und entsprechende bgi-Datei ablegen. NETLOGON bietet sich an (\\<domain>\netlogon\bginfo\...).
    2. Computerkonfiguration / Einstellungen / Windows-Einstellungen
      1. Ordner: c:\bginfo (aktualisieren)
      2. Dateien:
        • Quelle: <ad-domain>\netlogon\bginfo\bginfo64.exe, Zieldatei: c:\bginfo\Bginfo64.exe
        • Quelle: <ad-domain>\netlogon\bginfo\info.bgi, Zieldatei: c:\bginfo\info.bgi
      3. Verknüpfungen:
        • bginfo, Dateisystemsobjekt, Verknüpfungspfad Alle Benutzer - Starten, zielpfad c:\bginfo\bginfo64.exe, Argumente c:\bginfo\info.bgi /timer:0 /silent /NOLICPROMPT
  10. Umgebung: Desktophintergrund+Sperre Domänen-Admins; Sicherheitsfilterung Domänen-Admins
    1. an zentralem Ort Hintergrundbild anlegen, z.B. \\<domäne>\netlogon\hgr\domainadmin.bmp
    2. Benutzerkonfiguration / Richtlinien / Administrative Vorlagen
      1. Desktop / Desktop / Desktophintergrund
        • Hintergrundname: \\<domain>\netlogon\hgr\domainadmin.bmp
        • Hintergrundstil: Nebeneinander
      2. Systemsteuerung / Anpassung
        • Wartezeit (in Sekunden) bis Bildschirmschoner aktiviert wird: 300

 

1Einstellung bezieht sich auf SAM, d.h. auf Accounts von Domänenmitgliedern. Einstellungen für Domänengruppen werden über das Active-Directory-Verwaltungscenter verwaltet. (Domäne / System / Password Settings Container)
2Es handelt sich um administrative Kennwörter. Eine Einstellung ist hier nicht notwendig.
3Administrative Kennwörter mit Kennwortgenerator mit 15 oder mehr Zeichen erzeugen.
4Alternativ kann die digitale Signierung erzwungen werden. Erfolgt das, so sind Zugriffe von Hosts, die dies nicht unterstützen nicht mehr möglich. (Bsp.: altes Gerümpel an Produktionsanlagen)
5Nur aktivieren, wenn ausschließlich domänenauthentifizierte Benutzer Zugriff haben sollen. Für remotegemenagte Systeme aus.
6Diese Einstellung hat seit Windows 8 nur Einfluß auf Clientsysteme, wenn der lokale Administrator aktiviert wird. Standardmäßig ist das Konto deaktiviert.
7Ggf. doppelt angegeben.