Windows Server Homelab: Implementierung von Sicherheitsrichtlinien

Dieses Repository ist eine Fortsetzung meiner Windows-Server-Homelab-Reihe. Wir konzentrieren uns hier auf Sicherheitseinstellungen (Security Policies). Wir implementieren die wesentlichen Sicherheitsmaßnahmen für alle Rechner am Arbeitsplatz. In diesem Repository zeige ich, wie man Sicherheitsrichtlinien umsetzt. Sicherheitsrichtlinien sind eine Sammlung von Konfigurationen, die auf Desktop-Systeme angewendet werden, um deren Sicherheit zu erhöhen.

Voraussetzungen

Wenn du die Sicherheitsrichtlinien in diesem Homelab mit umsetzen möchtest, prüfe bitte zuerst die Voraussetzungen. Du solltest Folgendes bereits eingerichtet haben:

• Einen Windows Server mit Active-Directory-Tools
• Die Group Policy Management Console (GPMC)
• Einen Windows-Client zum Testen, der der Domäne beigetreten ist

Kennwortrichtlinie konfigurieren

Wir konfigurieren und erzwingen eine starke Kennwortrichtlinie für alle AD-Benutzer. Das ist grundlegend: Wir setzen Mindestlänge, Komplexität und Kennwortalter.

Standardmäßig liegt die minimale Kennwortlänge in Windows Server bei 8 Zeichen – das gilt nicht mehr als „stark“. In der heutigen Zeit sollten es mindestens 12 Zeichen sein. Durch diese Richtlinie schützen wir unsere Nutzer besser vor Angriffen.

Vorgehen (GPMC):

1. Auf dem Windows Server die Group Policy Management Console öffnen.

2. Entweder ein neues GPO erstellen oder die Default Domain Policy bearbeiten.

   Für diesen Fall bearbeiten wir die Default Domain Policy, damit die Regeln für alle Benutzer in der Domäne gelten.

3. Rechtsklick auf die Richtlinie → Bearbeiten.

4. Computerkonfigurationen → Richtlinien → Windows-Einstellungen→ Sicherheitseinstellungen → Kontorichtlinien→ Kennwortrichtlinien.

5. Folgende Einstellungen setzen:

   • Kennwortchronik erzwingen: Anzahl der gemerkten Kennwörter festlegen.
   • Kennwort muss Komplexitätsanforderungen entsprechen: Aktivieren, um einfache Kennwörter zu verhindern (z. B. Kombination aus Groß-/Kleinbuchstaben, Zahl, Symbol).
   • Maximales Kennwortalter: Ablaufintervall, z. B. quartalsweise – abhängig von der Unternehmensrichtlinie.
   • Minimale Kennwortlänge: z. B. mindestens 12 Zeichen. Zu Testzwecken: 7 Zeichen zulässig.
   • (Kennwort muss Komplexitätsanforderungen entsprechen): Aktivieren, um einfache Kennwörter zu verhindern (z. B. Kombination aus Groß-/Kleinbuchstaben, Zahl, Symbol).

Kennwortrichtlinie.konfigurieren.mp4

Test:

• Testbenutzer anlegen und beim ersten Anmelden die Option Benutzer muss Kennwort bei der nächsten Anmeldung ändern setzen.
• Beim Kennwortwechsel zunächst ein schwaches Kennwort (z. B. „1234567“) eingeben.
• Zum Client wechseln und Login durchführen.
• Die erwartete Meldung weist darauf hin, dass die Komplexitätsanforderungen nicht erfüllt sind.
• Anschließend ein den Anforderungen entsprechendes Kennwort setzen – der Wechsel sollte erfolgreich sein.

Kennwortrichtlinie.konfigurieren.Test.mp4

Kontosperrungsrichtlinie

Wir konfigurieren eine Kontosperrung zum Schutz vor Brute-Force-Angriffen: Schwellenwert für Fehlversuche, Sperrdauer und Zählerzurücksetzung.

Hinweis: Je höher der Schwellenwert, desto mehr Rateversuche sind möglich – und desto größer die Erfolgschance eines Brute-Force-Angriffs.

Vorgehen (GPMC):

1. GPMC öffnen, Default Domain Policy bearbeiten (oder neues GPO).
2. Computerkonfigurationen → Richtlinien→ Windows-Einstellungen→ Sicherheitseinstellungen→Kontosperrungsrichtlinie
3. Beispielwerte für das Lab:
   • Kontosperrungsschwelle: 3 ungültige Anmeldeversuche
   • Kontosperrdauer: 30 Minuten
   • Zurücksetzungsdauer des Kontosperrungszählers: 30 Minuten

Kontosperrungsrichtlinie.mp4

Test:

• Mit einem Testkonto mehrfach falsche Kennwörter eingeben.
• Erwartet wird die Meldung, dass das Konto vorübergehend gesperrt ist.

Kontosperrungsrichtlinie.Test.mp4

Zuweisung von Benutzerrechten

Wir weisen bzw. beschränken Benutzerrechte, um die Sicherheit zu erhöhen. Das entspricht rollenbasierter Zugriffskontrolle. Beispiele:

• Standardbenutzern das lokale Anmelden an Servern verweigern.
• Zugriffe via Remote Desktop Services (RDS) nur bestimmten Gruppen erlauben (z. B. IT).

Vorgehen (neues GPO):

1. In der GPMC ein neues GPO erstellen, z. B. „Benutzerrechte“.
2. Rechtsklick → Bearbeiten → Computerkonfigurationen → Richtlinien → Windows-Einstellungen→ Sicherheitseinstellungen→ Lokale Richtlinien → Zuweisen von Benutzerrechten.
3. Lokal anmelden verweigern: Richtlinie definieren und passende Gruppen hinzufügen, damit diese sich nicht interaktiv an Servern anmelden können.
4. Anmelden über Remotedesktopdienste verweigern: Richtlinie definieren und die Gruppen hinzufügen, die RDS nutzen dürfen.

Zuweisung.von.Benutzerrechten.mp4

Tests:

• Lokal anmelden verweigern: Auf dem Windows Server von Admin abmelden, mit einem regulären Benutzer anmelden – erwartete Fehlermeldung bestätigt die Richtlinie.
• Anmelden über Remotedesktopdienste verweigern: Als regulärer Benutzer per Remotedesktop auf den Server verbinden – wenn nicht berechtigt, erscheint eine Fehlermeldung; damit ist die Richtlinie wirksam.

Zuweisung.von.Benutzerrechten.Test.mp4

Fine-Grained Password Policies (FGPP)

Wir setzen unterschiedliche Kennwortrichtlinien für verschiedene Benutzergruppen um (z. B. strengere Regeln für Administratoren, weniger strenge für Standardbenutzer – oder umgekehrt). In Windows Server heißt das Fine-Grained Password Policies und wird nicht über GPOs, sondern über das Active Directory Administrative Center (ADAC) konfiguriert.

Vorgehen (ADAC):

1. Active Directory Administrative Center öffnen.
2. Links die Domäne wählen → System → Password Settings Container.
3. Rechts oben Neu → Kennworteinstellungen wählen, um ein Password Settings Object (PSO) zu erstellen.

Beispiel – Benutzer-Kennwortrichtlinie:

Erstes PSO für Standardbenutzer anlegen.

Rangfole z. B. 20 (geringer priorisiert als Admin-PSO).

Einstellungen nach Bedarf weniger oder stärker restriktiv setzen.

Zugehörige Gruppen hinzufügen → OK.

Beispiel – Admin-Kennwortrichtlinie:

• Name: z. B. „Admins_Passwort_Richtlinie“

• Rangfolge: Bestimmt die Priorität, wenn mehrere PSOs greifen. Kleinere Zahl = höhere Priorität.

  Beispiel: Ein Benutzer hat PSO mit Priorität 20 und 30 → es gilt die mit 20.

  Für Admin-PSO z. B. 1 setzen.

• Einstellungen festlegen (z. B. Minimale Kennwortläng erzwingen = 16, Minimales Kennwortalter erzwingen= 3, Kontosperrungsrichtlinie erzwingen=3).

• Unten Hinzufügen→ relevante Gruppen (z. B. IT-Admins) zuweisen → OK.

Damit sind unterschiedliche Kennwortrichtlinien pro Gruppe aktiv.

Fine-Grained.Password.Policies.mp4