Potentielles Problem mit GPO-Einstellung ‘Clear virtual memory pagefile’
Technorati-Tags: Microsoft
Zur Zeit arbeite ich mit meinem aktivsten IT Pro Momentum-Teilnehmer an der Konfiguration eines Hyper-V Clusters. Dabei gab es ein Problem, das zunächst völlig unerklärlich schien und den Projekterfolg in Frage stellte: die Hyper-V Hosts ließen sich nicht mehr herunterfahren. Sie blieben einfach im ‘Shutdown’-Bild scheinbar hängen.
Es drängte sich der Verdacht auf, daß hier ein Bug im Release-Kandidaten von Windows Server 2008 R2 vorliegt. Das Problem ließ sich jedoch auch mit Windows Server 2008 reproduzieren. Der wichtigste Hinweis war: das Problem trat auf, sobald die Server Mitglied einer Domäne wurden. Wahrscheinlich war also irgendeine Einstellung in den Gruppenrichtlinien verantwortlich. Also schauten wir uns mit ‘gpresult /r /v’ die angewendeten Gruppenrichtlinien an und wurden auch schnell fündig: Der ‘Schuldige’ war ‘Shutdown: Clear virtual memory pagefile’.
Diese Einstellung findet sich in den Computer-Richtlinien unter ‘Local Policies’ - ‘Security Options’. Für alle Computer, bei denen die Möglichkeit besteht, das Unbefugte physikalischen Zugriff bekommen, ist die Einstellung sehr sinnvoll und wird auch oft bei ISO-Zertifizierungen in Unternehmen gefordert, um die Sicherheit mobiler Systeme zu erhöhen. Sie beugt der Gefahr vor, daß ein Computer z.B. von CD mit einem anderen Betriebssystem gestartet und dann auf das Pagefile des eigentlich installierten Systems zugegriffen wird. Das kann die Einstellung zwar nicht verhindern, sie sorgt jedoch dafür, daß das Pagefile vollständig zurückgesetzt wird, indem es beim Herunterfahren mit ‘0’ überschrieben wird. Das Problem war nun ganz einfach, daß die Hyper-V Hosts jeweis 32GB Arbeitsspeicher haben und daher beim Herunterfahren 32GB schreiben mußten – und das braucht ein wenig Zeit!
Die grundlegende Frage, die hier zu beantworten wäre, ist: Welche Einstellungen sollten in welcher Gruppenrichtlinie enthalten sein, und worauf sollten sie angewendet werden? Darauf gibt es keine generell richtige Antwort, da die Anforderungen je nach IT-Infrastruktur sehr verschieden sind. Einige Empfehlungen sind jedoch in den meisten Fällen anwendbar:
- Die ‘Default Domain Policy’ sollte nur die Einstellungen enthalten, die wirklich für die gesamte Domäne gelten sollen. Paßwort-Richtlinien sind hierfür ein gutes Beispiel.
- Weitere Gruppenrichtlinien sollten sich sinnvoll ergänzen und möglichst nicht einander überschreiben.
- Unterscheiden Sie zwischen Computer-Einstellungen für Benutzer-Endgeräte (PCs, Notebooks) und Server. Server sind (hoffentlich!) physikalisch recht gut gesichert und nicht mobil. Sie haben daher andere Sicherheitsanforderungen. ‘Clear virtual memory pagefile’ (siehe oben) muß auf die meisten Server z.B. nicht angewendet werden.
- Unterscheiden Sie zwischen User-Einstellungen für Benutzer und Administratoren. Ordner-Umleitung ist z.B. für Benutzer eine sehr nützliche Funktion, für Administratoren und Dienst-Konten jedoch potentiell kontraproduktiv, wenn z.B. die Offline-Verfügbarkeit für Profil-Ordner konfiguriert ist.
Mit freundlichen Grüßen!
Ralf M. Schnell