DerNeuling 10 Geschrieben 28. Januar 2004 Melden Teilen Geschrieben 28. Januar 2004 Hi @ll, also folgendes: Ich habe in mühevoller Klickarbeit eine Grouppolicyvorlage erstellt. Diese wurde auch erfolgreich gespeichert. Das Problem ist nur das ich diese nicht wieder per MMC öffnen lässt sprich sich somit auch nicht auf dem DC hinzufügen lässt.... Einer eine Idee woran das liegen kann ??? Gruß Zitieren Link zu diesem Kommentar
wSam 10 Geschrieben 28. Januar 2004 Melden Teilen Geschrieben 28. Januar 2004 was kommt denn so für eine meldung beim öffnen? Zitieren Link zu diesem Kommentar
DerNeuling 10 Geschrieben 28. Januar 2004 Autor Melden Teilen Geschrieben 28. Januar 2004 einfach nur Datei lässt sich nicht öffnen Zitieren Link zu diesem Kommentar
wSam 10 Geschrieben 28. Januar 2004 Melden Teilen Geschrieben 28. Januar 2004 hmm komisch bist du als admin drin? Zitieren Link zu diesem Kommentar
günterf 45 Geschrieben 28. Januar 2004 Melden Teilen Geschrieben 28. Januar 2004 Hi! Wo hast Du die GPO erstellt, Server (DC?) oder WS? Wird sie ausgeführt? Zitieren Link zu diesem Kommentar
DerNeuling 10 Geschrieben 28. Januar 2004 Autor Melden Teilen Geschrieben 28. Januar 2004 Erstellt wurde Sie auf ´ner Workstation (XP)... Nachdem erstellen wurde Sie von mir gespeichert und sollte dann dem DC als Domain Policy hinzugefügt werden.... Zum Hintergrund MS bietet in der knowledge Base folgende Erweiterungen der Administrativen Vorlagen: ;================================ MSS Values ================================MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\ EnableICMPRedirect,4,%EnableICMPRedirect%,0 MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\ SynAttackProtect,4,%SynAttackProtect%,3,0|%SynAttackProtect0%,1| %SynAttackProtect1% MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\ EnableDeadGWDetect,4,%EnableDeadGWDetect%,0 MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\ EnablePMTUDiscovery,4,%EnablePMTUDiscovery%,0 MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\ KeepAliveTime,4,%KeepAliveTime%,3,150000|%KeepAliveTime0%,300000| %KeepAliveTime1%,600000|%KeepAliveTime2%,1200000|%KeepAliveTime3%, 2400000|%KeepAliveTime4%,3600000|%KeepAliveTime5%,7200000| %KeepAliveTime6% MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\ DisableIPSourceRouting,4,%DisableIPSourceRouting%,3,0| %DisableIPSourceRouting0%,1|%DisableIPSourceRouting1%,2| %DisableIPSourceRouting2% MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\ TcpMaxConnectResponseRetransmissions,4, %TcpMaxConnectResponseRetransmissions%,3,0| %TcpMaxConnectResponseRetransmissions0%,1| %TcpMaxConnectResponseRetransmissions1%,2| %TcpMaxConnectResponseRetransmissions2%,3| %TcpMaxConnectResponseRetransmissions3% MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\ TcpMaxDataRetransmissions,4,%TcpMaxDataRetransmissions%,1 MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\ PerformRouterDiscovery,4,%PerformRouterDiscovery%,0 MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\ TCPMaxPortsExhausted,4,%TCPMaxPortsExhausted%,1 MACHINE\System\CurrentControlSet\Services\Netbt\Parameters\ NoNameReleaseOnDemand,4,%NoNameReleaseOnDemand%,0 MACHINE\System\CurrentControlSet\Control\FileSystem\ NtfsDisable8dot3NameCreation,4,%NtfsDisable8dot3NameCreation%,0 MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\ Explorer\NoDriveTypeAutoRun,4,%NoDriveTypeAutoRun%,3,0| %NoDriveTypeAutoRun0%,255|%NoDriveTypeAutoRun1% MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\Security\ WarningLevel,4,%WarningLevel%,3,50|%WarningLevel0%,60| %WarningLevel1%,70|%WarningLevel2%,80|%WarningLevel3%,90| %WarningLevel4% MACHINE\SYSTEM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\ ScreenSaverGracePeriod,4,%ScreenSaverGracePeriod%,1 MACHINE\System\CurrentControlSet\Services\AFD\Parameters\ DynamicBacklogGrowthDelta,4,%DynamicBacklogGrowthDelta%,1 MACHINE\System\CurrentControlSet\Services\AFD\Parameters\ EnableDynamicBacklog,4,%EnableDynamicBacklog%,0 MACHINE\System\CurrentControlSet\Services\AFD\Parameters\ MinimumDynamicBacklog,4,%MinimumDynamicBacklog%,1 MACHINE\System\CurrentControlSet\Services\AFD\Parameters\ MaximumDynamicBacklog,4,%MaximumDynamicBacklog%,3,10000| %MaximumDynamicBacklog0%,15000|%MaximumDynamicBacklog1%,20000| %MaximumDynamicBacklog2%,40000|%MaximumDynamicBacklog3%,80000| %MaximumDynamicBacklog4%,160000|%MaximumDynamicBacklog5% MACHINE\SYSTEM\CurrentControlSet\Control\ Session Manager\SafeDllSearchMode,4,%SafeDllSearchMode%,0 Diese werden in der Datei %systemroot%\inf\sceregvl.inf unter dem Unterpunkt "Register Regestry Values" hinzugefügt. Die Sektion "STRINGS" erweitert man um folgende Einträge: Danach speichert man die gemachten Änderungen und registriert die scecli.dll wieder. Danach sollte es dann eigentlich los gehen. Eigentlich ;) Aber bevor jetzt einer auf die Idee kommt, das mein Problem irgend etwas mit der Änderung zu tun hat. Das trifft nicht zu! Ich habe Testweise die Änderungen rückgängig gemacht und wiederum versucht ein Template zu speichern ---> Vergebens .... Auch ja lokal hat das Template funktioniert.... Lasst mich nicht im Stich ;) :) ;) Zitieren Link zu diesem Kommentar
DerNeuling 10 Geschrieben 28. Januar 2004 Autor Melden Teilen Geschrieben 28. Januar 2004 Hier noch schnell die Einträge unter STRINGS (Waren doch ein paar mehr als 5000 Zeichen) ;================================ MSS Settings ================================ EnableICMPRedirect = "MSS: (EnableICMPRedirect) Allow ICMP redirects to override OSPF generated routes" SynAttackProtect = "MSS: (SynAttackProtect) Syn attack protection level (protects against DoS)" SynAttackProtect0 = "No additional protection, use default settings" SynAttackProtect1 = "Connections time out sooner if a SYN attack is detected" EnableDeadGWDetect = "MSS: (EnableDeadGWDetect) Allow automatic detection of dead network gateways (could lead to DoS)" EnablePMTUDiscovery = "MSS: (EnablePMTUDiscovery ) Allow automatic detection of MTU size (possible DoS by an attacker using a small MTU)" KeepAliveTime = "MSS: How often keep-alive packets are sent in milliseconds" KeepAliveTime0 ="150000 or 2.5 minutes" KeepAliveTime1 ="300000 or 5 minutes (recommended)" KeepAliveTime2 ="600000 or 10 minutes" KeepAliveTime3 ="1200000 or 20 minutes" KeepAliveTime4 ="2400000 or 40 minutes" KeepAliveTime5 ="3600000 or 1 hour" KeepAliveTime6 ="7200000 or 2 hours (default value)" DisableIPSourceRouting = "MSS: (DisableIPSourceRouting) IP source routing protection level (protects against packet spoofing)" DisableIPSourceRouting0 = "No additional protection, source routed packets are allowed" DisableIPSourceRouting1 = "Medium, source routed packets ignored when IP forwarding is enabled" DisableIPSourceRouting2 = "Highest protection, source routing is completely disabled" TcpMaxConnectResponseRetransmissions = "MSS: (TcpMaxConnectResponseRetransmissions) SYN-ACK retransmissions when a connection request is not acknowledged" TcpMaxConnectResponseRetransmissions0 = "No retransmission, half-open connections dropped after 3 seconds" TcpMaxConnectResponseRetransmissions1 = "3 seconds, half-open connections dropped after 9 seconds" TcpMaxConnectResponseRetransmissions2 = "3 & 6 seconds, half-open connections dropped after 21 seconds" TcpMaxConnectResponseRetransmissions3 = "3, 6, & 9 seconds, half-open connections dropped after 45 seconds" TcpMaxDataRetransmissions = "MSS: (TcpMaxDataRetransmissions) How many times unacknowledged data is retransmitted (3 recommended, 5 is default)" PerformRouterDiscovery = "MSS: (PerformRouterDiscovery) Allow IRDP to detect and configure Default Gateway addresses (could lead to DoS)" TCPMaxPortsExhausted = "MSS: (TCPMaxPortsExhausted) How many dropped connect requests to initiate SYN attack protection (5 is recommended)" NoNameReleaseOnDemand = "MSS: (NoNameReleaseOnDemand) Allow the computer to ignore NetBIOS name release requests except from WINS servers" NtfsDisable8dot3NameCreation = "MSS: Enable the computer to stop generating 8.3 style filenames" NoDriveTypeAutoRun = "MSS: Disable Autorun for all drives" NoDriveTypeAutoRun0 = "Null, allow Autorun" NoDriveTypeAutoRun1 = "255, disable Autorun for all drives" WarningLevel = "MSS: Percentage threshold for the security event log at which the system will generate a warning" WarningLevel0 = "50%" WarningLevel1 = "60%" WarningLevel2 = "70%" WarningLevel3 = "80%" WarningLevel4 = "90%" ScreenSaverGracePeriod = "MSS: The time in seconds before the screen saver grace period expires (0 recommended)" DynamicBacklogGrowthDelta = "MSS: (AFD DynamicBacklogGrowthDelta) Number of connections to create when additional connections are necessary for Winsock applications (10 recommended)" EnableDynamicBacklog = "MSS: (AFD EnableDynamicBacklog) Enable dynamic backlog for Winsock applications (recommended)" MinimumDynamicBacklog = "MSS: (AFD MinimumDynamicBacklog) Minimum number of free connections for Winsock applications (20 recommended for systems under attack, 10 otherwise)" MaximumDynamicBacklog = "MSS: (AFD MaximumDynamicBacklog) Maximum number of 'quasi-free' connections for Winsock applications" MaximumDynamicBacklog0 = "10000" MaximumDynamicBacklog1 = "15000" MaximumDynamicBacklog2 = "20000 (recommended)" MaximumDynamicBacklog3 = "40000" MaximumDynamicBacklog4 = "80000" MaximumDynamicBacklog5 = "160000" SafeDllSearchMode = "MSS: Enable Safe DLL search mode (recommended)" Also eure Meinungen bzw. Ratschläge sind gefragt... Gruß :D Zitieren Link zu diesem Kommentar
günterf 45 Geschrieben 28. Januar 2004 Melden Teilen Geschrieben 28. Januar 2004 Hi! Kannst Du bitte einmal den Link zur KB posten. Zitieren Link zu diesem Kommentar
DerNeuling 10 Geschrieben 28. Januar 2004 Autor Melden Teilen Geschrieben 28. Januar 2004 Also hier der Link: http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/topics/hardsys/tcg/tcgch00.asp Das Thema welches von mir beschrieben wurde wird im Chapter 10 behandelt. Gruß Zitieren Link zu diesem Kommentar
DerNeuling 10 Geschrieben 28. Januar 2004 Autor Melden Teilen Geschrieben 28. Januar 2004 @ günterf hast Du es Dir mal anschauen können ??? Vielleicht auch mal ausprobiert ? Wäre ganz Interessant auch mal die Meinung von einer 2. Person zu hören.... Gruß Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.