Bereitstellen der Sicherheitsrichtlinien
.gif "Wichtiger Hinweis") Wichtig |
|---|
In .NET Framework, Version 4 ist es nicht mehr die Aufgabe der CLR (Common Language Runtime), Sicherheitsrichtlinien für Computer bereitzustellen.Microsoft empfiehlt die Verwendung von Windows-Richtlinien für die Softwareeinschränkung anstelle der CLR-Sicherheitsrichtlinie.Die Informationen in diesem Thema gelten für .NET Framework, Version 3.5 oder früher, nicht für Version 4 oder höher.Weitere Informationen über diese und andere Änderungen finden Sie unter Änderungen der Sicherheit in .NET Framework 4. |
Sicherheitsrichtlinien können problemlos als Windows Installer-Datei (.msi) bereitgestellt werden. Eine MSI-Datei ist ein unabhängiges Installationspaket, das auf unterschiedliche Weise bereitgestellt, installiert und deinstalliert werden kann. MSI-Dateien können z. B. auf folgende Arten bereitgestellt werden:
Durch Ausführen der MSI-Datei von der lokalen Festplatte oder einer Freigabe aus auf dem Computer, auf dem Sie die Richtlinien bereitstellen möchten.
Durch Verwendung von Gruppenrichtlinien für Microsoft Windows-Server.
Durch Verwendung von Microsoft Systems Management Server (SMS).
Erstellen von Windows Installer-Dateien
Mscorcfg.msc (.NET Framework-Konfigurationstool) stellt einen Assistenten zum Erstellen von Windows Installer-Dateien bereit. Der Assistent kann Installationsdateien erstellen, die jeweils einer der drei konfigurierbaren Richtlinienebenen entsprechen. Diese können jedoch nicht alle zur gleichen Zeit erstellt werden. Wenn Sie Sicherheitsrichtlinien für alle drei konfigurierbaren Ebenen verwalten, müssen Sie drei verschiedene Windows Installer-Dateien erstellen und diese einzeln bereitstellen.
Der Assistent erstellt die Installationsdatei mit den aktuellen Richtlinieneinstellungen des Computers, auf dem der Computer ausgeführt wird. Wenn Sie z. B. Benutzerrichtlinien für die Bereitstellung an eine Benutzergruppe erstellen möchten, konfigurieren Sie die Benutzerrichtlinien auf dem aktuellen Computer, erstellen die Installationsdatei mit dem Assistenten und setzen dann die Benutzerrichtlinien des aktuellen Computers in ihren ursprünglichen Zustand zurück.
So erstellen Sie eine Windows Installer-Datei
Führen Sie das .NET Framework-Konfigurationstool (Mscorcfg.msc) aus.
Geben Sie in .NET Framework, Versionen 1.0 und 1.1, Folgendes an der Eingabeaufforderung ein: %Systemroot%\Microsoft.NET\Framework\versionNumber\Mscorcfg.msc.
Starten Sie in .NET Framework 2.0 und höher die Visual Studio- und Windows SDK-Eingabeaufforderungen, und geben Sie mscorcfg.msc ein. Die SDK-Eingabeaufforderung, von der die SDK-Umgebungsvariablen automatisch festgelegt werden, erleichtert Ihnen das Verwenden von .NET Framework-Tools. Sie ist im .NET Framework SDK (Software Development Kit) 2.0 enthalten. Nachfolgende Versionen von .NET Framework sind inkrementelle Erweiterungen von .NET Framework, Version 2.0. Infolgedessen bildet die SDK-Eingabeaufforderung aus dem .NET Framework SDK 2.0 die neueste verfügbare eigenständige SDK-Eingabeaufforderung. Sie können auch die Visual Studio-Eingabeaufforderungen verwenden, die mit Visual Studio 2005 und späteren Versionen bereitgestellt werden.
Klicken Sie im linken Bereich mit der rechten Maustaste auf den Knoten Laufzeitsicherheitsrichtlinie.
Wählen Sie im Menü Bereitstellungspaket erstellen aus.
Befolgen Sie die Anweisungen des Assistenten für Bereitstellungspakete, um die MSI-Datei zu erstellen.
Wenn Sie eine Richtlinie mithilfe einer Installationsdatei bereitstellen, die von Mscorcfg.msc (.NET Framework-Konfigurationstool) erstellt wurde, gilt Folgendes:
Die Richtlinieninstallation betrifft nur die Laufzeitversion, die Sie beim Erstellen der Installationsdatei vorgesehen haben. Wenn Sie beispielsweise das .NET Framework-Konfigurationstool, Version 2.0, verwenden, ändert die Installationsdatei nur die Richtlinie für .NET Framework, Version 2.0.
In einigen Fällen generiert das Installationsprogramm keinen Fehler, wenn die Installation einer neuen Richtlinie fehlschlug. Um die erfolgreiche Installation der Richtlinie zu überprüfen, untersuchen Sie die Richtlinie mit dem .NET Framework-Konfigurationstool, dem Caspol.exe (Richtlinientool für die Codezugriffssicherheit) oder durch manuelle Überprüfung der Richtliniendateien in einem Texteditor nach der Bereitstellung.
Um die durch das .NET Framework-Konfigurationstool angezeigte Richtlinie zu aktualisieren, müssen Sie das Tool beenden und wieder starten.
Benutzerdefinierte Bereitstellung
Sie können Windows Installer-Dateien auf unterschiedliche Weise bereitstellen, u. a. als Startskript, per E-Mail oder über ein freigegebenes Laufwerk. Am einfachsten können Sicherheitsrichtlinien als Windows Installer-Datei bereitgestellt werden, indem die Datei auf dem Computer ausgeführt wird, auf dem die Sicherheitsrichtlinien aktualisiert werden sollen. Dazu können Sie einfach auf die MSI-Datei doppelklicken. Klicken Sie zum Rückgängigmachen der Installation mit der rechten Maustaste auf die MSI-Datei, und wählen Sie Deinstallieren aus.
Das Benutzerkonto, unter dem die Richtlinien installiert werden, muss über ausreichende Berechtigungen für den Zugriff auf die zu bearbeitenden Konfigurationsdateien verfügen. Wenn Sie derzeit z. B. unter einem Konto angemeldet sind, das keine Berechtigung für die Änderung der Konfigurationsdatei der Organisation besitzt, und die weiterzugebende MSI-Datei diese Konfigurationsdatei ändern muss, schlägt die Installation fehl. Beachten Sie, dass das Windows Installer-Paket keinen Fehler ausgibt, wenn das aktuelle Konto keine für die Änderung der Konfigurationsdatei ausreichenden Berechtigungen besitzt.
Bereitstellung von Gruppenrichtlinien
Wenn Sie für die Verwaltung von Richtlinien einen Windows-Server verwenden, können Sie mithilfe von Gruppenrichtlinien und einer Windows Installer-Datei Sicherheitsrichtlinien auf den Arbeitsstationen im Netzwerk bereitstellen. Importieren Sie einfach die Installationsdatei, indem Sie das Gruppenrichtlinien-Snap-In der MMC verwenden oder die Installationsdatei in einem bereits vorhandenen Verzeichnis platzieren und dieses als Installationsort verwenden. Nachdem Sie die Gruppenrichtlinien konfiguriert haben, um die Installationsdatei zu veröffentlichen, werden die Sicherheitsrichtlinien bei der nächsten Netzwerkanmeldung eines Benutzers aktualisiert. Beachten Sie, dass im Netzwerk ein Domänencontroller vorhanden sein muss, um die Sicherheitsrichtlinien mithilfe von Gruppenrichtlinien weiterzugeben. Weitere Informationen über die Verwendung von Gruppenrichtlinien finden Sie in der Hilfe für Microsoft Windows-Server.
Bereitstellung mit SMS
Sie können Sicherheitsrichtlinie mit Microsoft Systems Management Server (SMS) auf Computern in einem Netzwerk veröffentlichen. SMS ist ein eigenständiges Serverprodukt, das Softwareinstallation und -konfiguration in großen Organisationen verwaltet. SMS ist in Windows Server-basierten Netzwerken besonders nützlich, da es die Funktionalität der Gruppenrichtlinien von Windows Server-basierten Netzwerken bereitstellt. Konvertieren Sie die MSI-Datei mit einer der geeigneten Methoden in ein SMS-Softwarepaket, und installieren Sie das Paket dann mit SMS wie jedes andere Softwarepaket. Weitere Informationen zum Erstellen und Bereitstellen von SMS-Softwarepaketen finden Sie in der SMS-Dokumentation.