Windows Server: Mehr Sicherheit mit Gruppenrichtlinien

Mit dem Microsoft Security Compliance Manager können Unternehmen ihre Windows-Server und Arbeitsstationen mit Gruppenrichtlinien absichern.

Mit dem kostenlosen Security Compliance Manager (SCM) erstellen Administratoren Gruppenrichtlinienvorlagen, mit denen sich Windows-Server und Arbeitsstationen optimal absichern lassen. Der Vorteil beim Einsatz von SCM ist, dass die Vorlagen bereits mit den Sicherheitseinstellungen vorkonfiguriert sind, die Microsoft für die einzelnen Serverlösungen empfiehlt.

Administratoren können die Einstellungen natürlich beliebig anpassen, klonen, kopieren, oder auch sichern. Die Verteilung der Einstellungen kann dabei nicht nur über Gruppenrichtlinien und lokale Richtlinien erfolgen, sondern auch über System Center Configuration Manager (SCCM). Welche Variante dabei gewählt wird, spielt keine Rolle.

Installation auf einer Arbeitsstation reicht aus

Die Installation des Programmes erfolgt normalerweise auf einer Arbeitsstation. Diese sollte über eine Internetverbindung verfügen, damit die notwendigen Vorlagen und Aktualisierungen bei Microsoft heruntergeladen werden können. Microsoft veröffentlicht in regelmäßigen Abständen Updates und neue Vorlagen für das Tool, zum Beispiel, wenn Windows 10 oder Windows Server 2012 R2/2016 neue Funktionen bieten. Die Daten lassen sich direkt in die Verwaltungskonsole integrieren.

Windows-Server absichern

Zunächst wird SCM auf einer Arbeitsstation installiert. Im Rahmen der Installation wird auch die Express-Edition von Microsoft SQL Server installiert. In dieser speichert SCM die Konfigurationsdaten für die Gruppenrichtlinien.

Das hat den Vorteil, dass alle Daten immer sofort verfügbar und jederzeit wieder abrufbar sind. Sollen die Daten verteilt werden, exportiert ein Administrator die empfohlenen Sicherheitseinstellungen in eine Gruppenrichtlinie und bindet diese in Active Directory oder auf den lokalen Servern ein. Dieser Vorgang wird ohne SCM durchgeführt, wie beim Erstellen herkömmlicher Gruppenrichtlinien.

Bevor das Tool produktiv genutzt wird, sollte nach der Installation immer zuerst eine Aktualisierung erfolgen. Dadurch ist sichergestellt, dass alle neuen Versionen und Empfehlungen auch berücksichtigt wurden. Der Download kann automatisiert werden. Die entsprechenden Optionen sind über den Link Download Microsoft baselines automatically zu finden.

Abbildung 1: Nach dem Start von SCM kann das Tool neue Vorlagen herunterladen und integrieren.

Nachdem die Vorlagen heruntergeladen sind, lassen sie sich als neue Baselines in SCM importieren. Diese werden dann wiederum als Gruppenrichtlinien exportiert. Die unterstützten Produkte und ihre Versionen sind auf der linken Seite des Fensters zu sehen.

Microsoft Baselines verstehen

Baselines sind die Grundlage von SCM. Hier sind alle Empfehlungen von Microsoft hinterlegt, um Server wie Windows Server 2012 R2 oder Exchange abzusichern. Die Baselines lassen sich natürlich anpassen und einzelne Sicherheitseinstellungen anders setzen, als Microsoft das vorsieht. Für jede Einstellung stellt SCM in der Mitte des Fensters Informationen zur Verfügung. Bei Default zeigt SCM die standardmäßige Einstellung an, in der Spalte Microsoft ist die Empfehlung von Microsoft zu sehen, wie die Einstellung angepasst werden soll. Passen Administratoren die Einstellung an, ist diese bei Customized aufgeführt.

Um eine Baseline umzusetzen, sollte diese über Duplicate zunächst kopiert werden. Dadurch bleiben die originalen Einstellungen erhalten und es besteht die Möglichkeit selbst Änderungen durchzuführen. Neue Baselines erscheinen bei Custom Baselines.

Abbildung 2: Für jede Baseline sind in SCM Einstellungen zu sehen, die durch Richtlinien auf den Arbeitsstationen oder Servern umgesetzt werden.

Die neue Baseline kann jetzt bearbeitet werden. Die meisten Einstellungen sind bereits gesetzt, natürlich lassen sich Änderungen vornehmen. Für jede Baseline lassen sich Dokumente und Informationen hinterlegen. So können auch andere Administratoren die Änderungen nachvollziehen. Soll eine Baseline nicht mehr änderbar sein, kann diese mit Lock gesperrt werden. Selbstredend lassen sich gesperrte Baselines jederzeit wieder freischalten. Die Sperrung verhindert lediglich die versehentliche Änderung.

Baselines exportieren

Nur durch das Anpassen von Baselines werden noch keinerlei Server oder Arbeitsstationen abgesichert. Die Einstellungen müssen erst exportiert und schlussendlich mit anderen Mitteln auf die Server verteilt werden. Dazu stellt SCM verschiedene Export-Möglichkeiten zur Verfügung. Diese sind auf der rechten Seite des Fensters im Befehlsbereich zu sehen.

Als Export-Möglichkeit stellt SCM folgende Optionen zur Verfügung:

  • Excel - Hier erstellt SCM eine xlsm-Datei für Excel.
  • GPO Backup - Erstellt ein Verzeichnis mit einer GPO-Sicherung der Baseline. Diese lässt sich in eine Gruppenrichtlinie importieren.
  • SCAP - Erstellt eine Datei auf Basis von Security Content Automation Protocol (SCAP).
  • SCCM DCM - Erstellt Pakete, die kompatibel mit Microsoft System Center Configuration Manager sind.
  • SCM - Erstellt eine *.cab-Datei, die in anderen SCM-Installation importiert werden kann.

Baselines kombinieren

Wenn das den Anforderungen entspricht, können Administratoren auch mehrere Baselines miteinander kombinieren. Auch ein Vergleich von Baselines ist möglich. Dazu steht der Befehl Compare/Merge zur Verfügung. Zusammengefasste Baselines lassen sich dann wiederum zusammen exportieren. Wem die Einstellungen in der Baseline nicht ausreichen, kann über Setting/Add neue Einstellungen aufnehmen.

Absicherung auch ohne Active Directory möglich

Ist kein Active Directory im Einsatz, oder soll die Absicherung über eine lokale Richtlinie erfolgen, unterstützt SCM Administratoren mit dem Tool LocalGPO. Dieses kann die exportierten Gruppenrichtlinieneinstellungen auf lokalen Servern umsetzen, ohne dass eine Gruppenrichtlinie vorhanden ist. Der Export von SCM entspricht beim Einsatz einer lokalen Richtlinie dem Export beim Einsatz von Gruppenrichtlinien.

Die Daten werden anschließend auf den Server kopiert, der abgesichert werden soll. Danach erfolgt die Umsetzung auf dem Server mit LocalGPO. Die Installationsdatei befindet sich im Installationsverzeichnis von SCM auf dem Rechner. Nach der Installation ist LocalGPO in der Programmgruppe LocalGPO zu finden, oder direkt im Installationsverzeichnis von LocalGPO. Der Befehl zur Umsetzung ist:

cscript LocalGPO.wsf /Path:<Pfad zur GPO-Sicherung>

Soll die lokale Sicherheitsrichtlinie exportiert werden, steht ebenfalls LocalGPO zur Verfügung:

cscript LocalGPO.wsf /Path: "<Pfad>" /Export /GPOPack

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Artikel wurde zuletzt im Juli 2016 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Betriebssystemsicherheit

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close