Gruppenrichtlinie
Zentrales Konfigurationswerkzeug in Active Directory, mit dem Sicherheitseinstellungen, Softwarerichtlinien und Systemkonfigurationen auf alle Domänencomputer verteilt werden.
Gruppenrichtlinien (Group Policy Objects, GPOs) sind das zentrale Werkzeug zur Konfigurationsverwaltung in Active Directory-Umgebungen. Über GPOs lassen sich Sicherheitseinstellungen, Softwareinstallationen, Firewall-Regeln, Passwortrichtlinien und nahezu jeder Aspekt der Windows-Konfiguration zentral definieren und auf alle domänenverbundenen Computer und Benutzer verteilen. Für die IT-Sicherheit sind GPOs unverzichtbar — sie sind das primäre Instrument, um Härtungsmaßnahmen wie das Tiering-Modell technisch durchzusetzen.
Wie GPOs funktionieren
GPOs werden in der Group Policy Management Console (GPMC) erstellt und mit Organizational Units (OUs), Domänen oder Standorten verknüpft. Alle Computer und Benutzer in der verknüpften OU wenden die Richtlinie automatisch an — standardmäßig alle 90 Minuten im Hintergrund und bei jedem Systemstart oder Benutzeranmeldung.
Die Verarbeitungsreihenfolge folgt dem LSDOU-Prinzip: Lokale Richtlinie → Standort (Site) → Domäne → Organizational Unit. Bei Konflikten gewinnt die zuletzt angewendete Richtlinie, also die der am tiefsten verschachtelten OU. Über Sicherheitsfilterung und WMI-Filter lässt sich zusätzlich steuern, auf welche Computer oder Benutzer eine GPO tatsächlich angewendet wird.
Sicherheitsrelevante GPO-Einstellungen
GPOs decken ein breites Spektrum an Sicherheitskonfigurationen ab. Die folgende Übersicht zeigt die wichtigsten Bereiche für die Absicherung einer Active-Directory-Umgebung.
| Bereich | Typische Einstellungen | Sicherheitswirkung |
|---|---|---|
| Kontosperrung | Sperrungsschwelle, Sperrdauer, Zurücksetzungszähler | Verhindert Brute-Force-Angriffe auf Konten |
| Passwortrichtlinien | Mindestlänge, Komplexität, maximales Alter | Erschwert Credential-Diebstahl und Offline-Cracking |
| Anmelderechte | „Lokal anmelden verweigern", „Anmelden über RDP verweigern" | Kernmechanismus des Tiering-Modells |
| Softwareeinschränkung | AppLocker, Windows Defender Application Control (WDAC) | Verhindert Ausführung nicht autorisierter Software |
| Audit-Richtlinien | Anmeldeereignisse, Objektzugriff, Richtlinienänderungen | Grundlage für Erkennung und Forensik im SIEM |
| Firewall-Regeln | Windows Defender Firewall mit erweiterter Sicherheit | Einschränkung der Netzwerkkommunikation zwischen Tiers |
| LAPS-Konfiguration | Passwortlänge, Rotationsintervall, verwaltetes Konto | Automatische Rotation lokaler Admin-Passwörter |
GPOs als Sicherheitsrisiko
GPOs sind nicht nur ein Sicherheitswerkzeug, sondern auch ein potenzielles Angriffsziel. Ein Angreifer mit Schreibzugriff auf ein GPO kann über die nächste Aktualisierungsrunde Schadcode auf allen betroffenen Computern ausführen — ein Angriff, der in der Praxis als GPO Abuse bekannt ist. Besonders kritisch sind GPOs, die auf Domain Controller oder Tier-0-Systeme wirken.
Die häufigsten Schwachstellen in der Praxis: zu weitreichende Berechtigungen auf GPO-Objekte (etwa wenn Helpdesk-Gruppen GPOs bearbeiten können, die auf Domain Controller wirken), fehlende Überwachung von GPO-Änderungen und verwaiste GPOs mit unsicheren Einstellungen, die nie aufgeräumt wurden. Ein regelmäßiges Audit der GPO-Berechtigungen und -Verknüpfungen ist daher Teil jeder AD-Härtung.
GPOs und Härtungsstandards
Organisationen wie das Center for Internet Security (CIS) und das BSI veröffentlichen detaillierte Härtungsempfehlungen als GPO-Vorlagen. Die CIS Benchmarks liefern für jede Windows-Version einen vollständigen Satz an GPO-Einstellungen, der als Baseline importiert und an die eigene Umgebung angepasst werden kann. Das BSI stellt im Rahmen des IT-Grundschutzes vergleichbare Empfehlungen bereit. Diese Vorlagen sind der effizienteste Einstieg in die Systemhärtung, da sie hunderte Einzeleinstellungen in einem konsistenten Paket liefern.
GPOs vs. Intune/Endpoint Manager
In Cloud-first- oder hybriden Umgebungen übernimmt Microsoft Intune (Endpoint Manager) zunehmend die Rolle der Gruppenrichtlinien. Intune verwaltet Geräte ohne Domänenmitgliedschaft über MDM-Profile und Compliance-Richtlinien. Für reine Entra-ID-Umgebungen (ehemals Azure AD) gibt es keine GPO-Unterstützung — hier ist Intune die einzige zentrale Konfigurationsmöglichkeit. In hybriden Umgebungen mit On-Premise-AD und Cloud-Anbindung werden häufig beide Systeme parallel eingesetzt, wobei die Tier-0-Härtung per GPO und die Endgeräteverwaltung über Intune erfolgt.
Relevanz für KMUs
GPOs sind das mächtigste Werkzeug, das vielen KMUs bereits zur Verfügung steht — und dennoch in der Praxis stark untergenutzt wird. Häufig existieren nur rudimentäre Passwortrichtlinien, während Anmelderechte, Softwareeinschränkungen und Audit-Konfiguration fehlen. Schon die Implementierung einer GPO-Baseline nach CIS Benchmarks und die Einschränkung der Anmelderechte für privilegierte Konten (Kernstück des Tiering-Modells) verbessern die Sicherheitslage erheblich — ohne zusätzliche Lizenzkosten, da Gruppenrichtlinien in jeder Windows-Server-Lizenz enthalten sind.