(30.04.2024)
Diese Konfigurationsanweisungen beziehen sich auf neue Windows 2016 und 2019-Domänen
Hinweise
- GPOs sprechend benennen, das erleichtert Dritten die Administration
- nur spezifische, zusammengehörige Einstellungen in eine GPO
- Regeln werden ggf. aktualisiert
Benötigte WMI-Filter
- Clients: select * from Win32_OperatingSystem where ProductType="1"
- Server: select * from Win32_OperatingSystem where ProductType="2" or ProductType="3"
- Clients+Memberserver: select * from Win32_OperatingSystem where ProductType="1" or ProductType="3"
Policies
- Default Domain Policy
- Computerkonfiguration / Richtlinien / Windows-Einstellungen / Sicherheitseinstellungen
- Kontorichtlinien
- Kennwortrichtlinien1
- Kennwort muss Komplexitätsvoraussetzungen entsprechen: Aktiviert
- Kennwortchronik erzwingen\ngespeicherte Kennwörter: 02
- Kennwörter mit umkehrbarer Verschlüsselung speichern: Deaktiviert
- Maximales Kennwortalter: 0 Tage
- Minimale Kennwortlänge: Standard verwenden, keine Anpassung3
- Minimales Kennwortalter: Standard verwenden, keine Anpassung
- Kontosperrungsrichtlinien
- Kontensperrungsschwelle: 5 ungültige Anmeldeversuche
- Kontosperrdauer: 10 Minuten
- Zurücksetzungsdauer des Kontosperrungszählers: 10 Minuten
- Kerberos-Richtlinie: keine Anpassung
- Kennwortrichtlinien1
- Zuweisung von Benutzerrechten
- Hinzufügen von Arbeitsstationen zur Domäne: VORDEFINIERT\Administratoren
- Lokale Richtlinien/Sicherheitsoptionen
- Microsoft-Netzwerk (Client)4
- Microsoft-Netzwerk (Client): Kommunikation digital signieren (wenn Server zustimmt): Aktiviert
- Microsoft-Netzwerk (Server)4
- Microsoft-Netzwerk (Server): Kommunikation digital signieren (wenn Client zustimmt): Aktiviert
- Netzwerksicherheit: keine Anpassung
- Netzwerkzugriff: kein Anpassung
- Andere: Kennwortlängenbeschränkungen lockern: Deaktiviert
- Microsoft-Netzwerk (Client)4
- Sonstige: keine Anpassung
- Kontorichtlinien
- Computerkonfiguration / Richtlinien / Windows-Einstellungen / Sicherheitseinstellungen
- Remoteverwaltung: RDP aktivieren
- Computerkonfiguration / Administrative Vorlagen / Windows-Komponenten / Remotedesktopdienste / Remotedesktopsitzungs-Host
- Sicherheit
- Benutzerauthentifizierung mit Authentifizierung auf Netzwerkebene ist für Remoteverbindungen erforderlich: Deaktiviert5
- Verschlüsselungsstufe der Clientverbindung festlegen: Aktiviert, Höchste Stufe
- Verbindungen
- RDP-Transportprotokolle auswählen: Aktiviert, TCP und UDP
- Remoteverbindungen für Benutzer mithilfe der Remotedesktopdienste zulassen: Aktiviert
- Sicherheit
- Computerkonfiguration / Administrative Vorlagen / Windows-Komponenten / Remotedesktopdienste / Remotedesktopsitzungs-Host
- Remoteverwaltung: Remotezugriff auf PNP aktivieren
- Computerkonfiguration / Richtlinien / Administrative Vorlagen / System / Geräteinstallation / Remotezugriff auf die Plug & Play-Schnittstelle zulassen: Aktiviert
- Remoteverwaltung: WinRM aktivieren
- Computerkonfiguration / Richtlinien / Administrative Vorlagen / Windows-Komponenten / Windows-Remoteverwaltung (Windows Remote Management, WinRM) / WinRM-Dienst / Remoteserververwaltung über WinRM zulassen: Aktiviert
- IPv4-Filter: <IP>-<IP> (Bereich Administrationsrechner)
- IPv6-Filter: <IP>-<IP> (Bereich Administrationsrechner)
- Computerkonfiguration / Richtlinien / Administrative Vorlagen / Windows-Komponenten / Windows-Remoteverwaltung (Windows Remote Management, WinRM) / WinRM-Dienst / Remoteserververwaltung über WinRM zulassen: Aktiviert
- Sicherheit: Lokalen Administrator umbenennen
- Computerkonfiguration / Richtlinien / Windows-Eisntellungen / Sicherheitseinstellungen / Lokale Richtlinien / Sicherheitsoptionen
- Konten: Administrator umbenennen6
- Computerkonfiguration / Richtlinien / Windows-Eisntellungen / Sicherheitseinstellungen / Lokale Richtlinien / Sicherheitsoptionen
- Firewall: aktivieren
- Computerkonfiguration / Windows-Einstellungen / Sicherheitseinstellungen / Windows-Firewall mit erweiterter Sicherheit
- Domänenprofileinstellungen / Firewallstatus: Ein
- Private Profileinstellungen / Firewallstatus: Ein
- Öffentliche Profileinstellungen / Firewallstatus: Ein
- Computerkonfiguration / Administrative Vorlagen / Netzwerk / Netzwerkverbindungen / Windows Defender Firewall
- Domänenprofil / Windows Defender Firewall
- Alle Netzwerkverbindungen schützen: Aktiviert
- ICMP-Ausnahmen zulassen: Aktiviert (alle)
- Alle Netzwerkverbindungen schützen: Aktiviert
- Standardprofil / Windows Defender Firewall
- Alle Netzwerkverbindungen schützen: Aktiviert
- ICMP-Ausnahmen zulassen: Aktiviert (alle)
- Alle Netzwerkverbindungen schützen: Aktiviert
- Domänenprofil / Windows Defender Firewall
- Computerkonfiguration / Windows-Einstellungen / Sicherheitseinstellungen / Windows-Firewall mit erweiterter Sicherheit
- Server: NLA neu starten (WMI-Filter Server)
- Computerkonfiguration / Einstellungen / Systemsteuerungseinstellungen / Geplante Aufgaben / Geplante Aufgabe (mindestens Windows 7) (Name: Neustart NLA), Aktualisieren
- Aufgabe unabhängig von Benutzeranmeldung ausführen
- Benutzer-ID: NT-Autorität\System
- Trigger: beim Start, Aufgabe verzögern für 1 Minute
- powershell.exe -noninteractive -command "restart-service nlasvc -force"
- Computerkonfiguration / Einstellungen / Systemsteuerungseinstellungen / Geplante Aufgaben / Geplante Aufgabe (mindestens Windows 7) (Name: Neustart NLA), Aktualisieren
- Firewall: Administrative Zugriffe (Anm.: hierzu sind dedizierte Administrations-Hosts notwendig, deren IP-Adressen lt. Netzplan bekannt sind)
- Computerkonfiguration / Richtlinien / Administrative Vorlagen / Netzwerk / Netzwerkverbindungen / Windows Defender Firewall
- Domänenprofil
- Windows Defender Firewall: Eingehende Ausnahme für Datei- und Druckerfreigabe zulassen: <CIDR>,[<CIDR>[,...]]
- Windows Defender Firewall: Eingehende Portausnahmen festlegen:
3389:tcp:<CIDR>,[<CIDR>[,...]]:enabled:RDP7
3389:udp:<CIDR>,[<CIDR>[,...]]:enabled:RDP7
6568:tcp:<CIDR>,[<CIDR>[,...]]:enabled:Anydesk Listener
5985:tcp:<CIDR>,[<CIDR>[,...]]:enabled:WinRM HTTP7
5986:tcp:<CIDR>,[<CIDR>[,...]]:enabled:WinRM HTTPS7 - Windows Defender Firewall: Eingehende Remotedesktopausnahmen zulassen: <CIDR>,[<CIDR>[,...]]
- Windows Defender Firewall: Eingehende Remoteverwaltungsausnahme zulassen: <CIDR>,[<CIDR>[,...]]
- Windows Defender Firewall: Eingehende Ausnahme für Datei- und Druckerfreigabe zulassen: <CIDR>,[<CIDR>[,...]]
- Standardprofil
- Windows Defender Firewall: Eingehende Ausnahme für Datei- und Druckerfreigabe zulassen: <CIDR>,[<CIDR>[,...]]
- Windows Defender Firewall: Eingehende Portausnahmen festlegen:
3389:tcp:<CIDR>,[<CIDR>[,...]]:enabled:RDP7
3389:udp:<CIDR>,[<CIDR>[,...]]:enabled:RDP7
6568:tcp:<CIDR>,[<CIDR>[,...]]:enabled:Anydesk Listener
5985:tcp:<CIDR>,[<CIDR>[,...]]:enabled:WinRM HTTP7
5986:tcp:<CIDR>,[<CIDR>[,...]]:enabled:WinRM HTTPS7 - Windows Defender Firewall: Eingehende Remotedesktopausnahmen zulassen: <CIDR>,[<CIDR>[,...]]
- Windows Defender Firewall: Eingehende Remoteverwaltungsausnahme zulassen: <CIDR>,[<CIDR>[,...]]
- Windows Defender Firewall: Eingehende Ausnahme für Datei- und Druckerfreigabe zulassen: <CIDR>,[<CIDR>[,...]]
- Domänenprofil
- Computerkonfiguration / Richtlinien / Administrative Vorlagen / Netzwerk / Netzwerkverbindungen / Windows Defender Firewall
- Umgebung: BGInfo
- an zentralem Ablageort BGINFO und entsprechende bgi-Datei ablegen. NETLOGON bietet sich an (\\<domain>\netlogon\bginfo\...).
- Computerkonfiguration / Einstellungen / Windows-Einstellungen
- Ordner: c:\bginfo (aktualisieren)
- Dateien:
- Quelle: <ad-domain>\netlogon\bginfo\bginfo64.exe, Zieldatei: c:\bginfo\Bginfo64.exe
- Quelle: <ad-domain>\netlogon\bginfo\info.bgi, Zieldatei: c:\bginfo\info.bgi
- Verknüpfungen:
- bginfo, Dateisystemsobjekt, Verknüpfungspfad Alle Benutzer - Starten, zielpfad c:\bginfo\bginfo64.exe, Argumente c:\bginfo\info.bgi /timer:0 /silent /NOLICPROMPT
- Ordner: c:\bginfo (aktualisieren)
- Umgebung: Desktophintergrund+Sperre Domänen-Admins; Sicherheitsfilterung Domänen-Admins
- an zentralem Ort Hintergrundbild anlegen, z.B. \\<domäne>\netlogon\hgr\domainadmin.bmp
- Benutzerkonfiguration / Richtlinien / Administrative Vorlagen
- Desktop / Desktop / Desktophintergrund
- Hintergrundname: \\<domain>\netlogon\hgr\domainadmin.bmp
- Hintergrundstil: Nebeneinander
- Systemsteuerung / Anpassung
- Wartezeit (in Sekunden) bis Bildschirmschoner aktiviert wird: 300
- Desktop / Desktop / Desktophintergrund
1Einstellung bezieht sich auf SAM, d.h. auf Accounts von Domänenmitgliedern. Einstellungen für Domänengruppen werden über das Active-Directory-Verwaltungscenter verwaltet. (Domäne / System / Password Settings Container)
2Es handelt sich um administrative Kennwörter. Eine Einstellung ist hier nicht notwendig.
3Administrative Kennwörter mit Kennwortgenerator mit 15 oder mehr Zeichen erzeugen.
4Alternativ kann die digitale Signierung erzwungen werden. Erfolgt das, so sind Zugriffe von Hosts, die dies nicht unterstützen nicht mehr möglich. (Bsp.: altes Gerümpel an Produktionsanlagen)
5Nur aktivieren, wenn ausschließlich domänenauthentifizierte Benutzer Zugriff haben sollen. Für remotegemenagte Systeme aus.
6Diese Einstellung hat seit Windows 8 nur Einfluß auf Clientsysteme, wenn der lokale Administrator aktiviert wird. Standardmäßig ist das Konto deaktiviert.
7Ggf. doppelt angegeben.