Lesezeit
2 Minuten
Seite 2 - Windows Server 2016 härten (2)
Security Compliance Manager 4.0
Mit dem Security Compliance Manager (SCM) [9] erstellen Sie Gruppenrichtlinienvorlagen, mit denen sich Server und Arbeitsstationen optimal absichern lassen. Vorteil beim Einsatz ist, dass die Vorlagen bereits mit den Sicherheitseinstellungen vorkonfiguriert sind, die Microsoft für die einzelnen Serverlösungen empfiehlt. Sie können die Einstellungen anpassen, klonen, kopieren oder auch sichern. Die Verteilung der Einstellungen kann dabei nicht nur über Gruppenrichtlinien und lokale Richtlinien erfolgen, sondern auch über System Center Configuration Manager (SCCM).
Die Installation des Programms erfolgt normalerweise auf einer Arbeitsstation. Diese sollte über eine Internetverbindung verfügen, damit die notwendigen Vorlagen und Aktualisierungen bei Microsoft heruntergeladen werden können. Für die SCM-Installation ist das .NET-Framework auf dem Rechner notwendig. Ein Assistent überprüft dazu die Voraussetzungen und startet auch die Installation der zusätzlichen Komponenten.
Baselines sind die Grundlage von SCM. Hier sind alle Empfehlungen von Microsoft hinterlegt, um Server wie Windows Server 2016 oder Plattformen wie Exchange, SQL und SharePoint abzusichern. Die Baselines lassen sich anpassen und einzelne Sicherheitseinstellungen anders setzen, als Microsoft das vorsieht. Für jede Einstellung stellt SCM in der Mitte des Fensters Informationen zur Verfügung. Bei "Default" zeigt SCM die standardmäßige Konfiguration an, in der Spalte "Microsoft" ist die Empfehlung von Microsoft zu sehen. Passen Sie die Einstellung an, ist diese bei "Customized" aufgeführt. Die Spalte "Severity" zeigt die Wichtigkeit an, die Microsoft der entsprechenden Option beimisst.
Um eine Baseline umzusetzen, sollten Sie diese über "Duplicate" zunächst kopieren. Dadurch bleiben die originalen Einstellungen erhalten und es besteht die Möglichkeit, selbst Änderungen durchzuführen. Neue Baselines erscheinen bei "Custom Baselines". Die neue Baseline lässt sich anschließend bearbeiten. Die meisten Einstellungen sind bereits automatisch gesetzt, Änderungen lassen sich jederzeit vornehmen. Für jede Baseline lassen sich Dokumente und Informationen hinterlegen. Soll eine Baseline nicht mehr änderbar sein, sperren Sie diese mit "Lock". Natürlich lassen sich gesperrte Baselines jederzeit wieder freischalten. Die Sperrung verhindert lediglich das versehentliche Abändern.
Danach exportieren Sie die Einstellungen und verteilen sie auf die Server. Dazu stellt SCM verschiedene Exportarten zur Verfügung. Diese sind auf der rechten Seite des Fensters im Befehlsbereich zu sehen:
Ist kein Active Directory im Einsatz oder soll die Absicherung über eine lokale Richtlinie erfolgen, unterstützt SCM Administratoren mit dem Tool LocalGPO. Dieses kann die exportierten Gruppenrichtlinieneinstellungen auf lokalen Servern umsetzen, ohne dass eine Gruppenrichtlinie vorhanden ist. Der Export von SCM entspricht beim Einsatz einer lokalen Richtlinie dem Export beim Einsatz von Gruppenrichtlinien.
Die Daten werden anschließend auf den Server kopiert, der abgesichert werden soll. Danach erfolgt die Umsetzung auf dem Server mit LocalGPO. Die Installationsdatei befindet sich im Installationsverzeichnis von SCM auf dem Rechner. Nach der Installation ist LocalGPO in der gleichnamigen Programmgruppe zu finden oder direkt im Installationsverzeichnis von LocalGPO. Der Befehl zur Umsetzung ist:
Seite 2: Security Compliance Manager 4.0
Im dritten Teil geht es um weitere Sicherheitstools von Microsoft. Außerdem zeigen wir, wie Sie SSL in WSUS nutzen. Im ersten Teil blockierten wir Skripte per PowerShell, installierten FSRM und wappneten uns gegen Ransomware.
ln/Thomas Joos
[1] www.microsoft.com/en-us/download/details.aspx?id=53353
Mit dem Security Compliance Manager (SCM) [9] erstellen Sie Gruppenrichtlinienvorlagen, mit denen sich Server und Arbeitsstationen optimal absichern lassen. Vorteil beim Einsatz ist, dass die Vorlagen bereits mit den Sicherheitseinstellungen vorkonfiguriert sind, die Microsoft für die einzelnen Serverlösungen empfiehlt. Sie können die Einstellungen anpassen, klonen, kopieren oder auch sichern. Die Verteilung der Einstellungen kann dabei nicht nur über Gruppenrichtlinien und lokale Richtlinien erfolgen, sondern auch über System Center Configuration Manager (SCCM).
Die Installation des Programms erfolgt normalerweise auf einer Arbeitsstation. Diese sollte über eine Internetverbindung verfügen, damit die notwendigen Vorlagen und Aktualisierungen bei Microsoft heruntergeladen werden können. Für die SCM-Installation ist das .NET-Framework auf dem Rechner notwendig. Ein Assistent überprüft dazu die Voraussetzungen und startet auch die Installation der zusätzlichen Komponenten.
Bild 3: Jede Baseline in SCM umfasst Einstellungen, die durch Richtlinien auf den Arbeitsstationen oder Servern umgesetzt werden.
Microsoft veröffentlicht in regelmäßigen Abständen Updates und neue Vorlagen für das Tool, zum Beispiel, wenn Windows 10 oder Windows Server 2016 neue Funktionen bieten. Die Daten lassen sich direkt in die Verwaltungskonsole integrieren. Bevor Sie das Werkzeug produktiv nutzen, sollten Sie nach der Installation immer an eine Aktualisierung denken. Dadurch ist sichergestellt, dass alle neuen Versionen und Empfehlungen berücksichtigt wurden. Die entsprechenden Optionen sind über den Link "Download Microsoft baselines automatically" zu finden. Nachdem die Vorlagen heruntergeladen sind, lassen sie sich als neue Baselines in SCM importieren. Diese exportieren Sie nach der Anpassung wiederum als Gruppenrichtlinien. Die unterstützten Produkte und ihre Versionen sind auf der linken Seite des Fensters zu sehen.
Baselines sind die Grundlage von SCM. Hier sind alle Empfehlungen von Microsoft hinterlegt, um Server wie Windows Server 2016 oder Plattformen wie Exchange, SQL und SharePoint abzusichern. Die Baselines lassen sich anpassen und einzelne Sicherheitseinstellungen anders setzen, als Microsoft das vorsieht. Für jede Einstellung stellt SCM in der Mitte des Fensters Informationen zur Verfügung. Bei "Default" zeigt SCM die standardmäßige Konfiguration an, in der Spalte "Microsoft" ist die Empfehlung von Microsoft zu sehen. Passen Sie die Einstellung an, ist diese bei "Customized" aufgeführt. Die Spalte "Severity" zeigt die Wichtigkeit an, die Microsoft der entsprechenden Option beimisst.
Um eine Baseline umzusetzen, sollten Sie diese über "Duplicate" zunächst kopieren. Dadurch bleiben die originalen Einstellungen erhalten und es besteht die Möglichkeit, selbst Änderungen durchzuführen. Neue Baselines erscheinen bei "Custom Baselines". Die neue Baseline lässt sich anschließend bearbeiten. Die meisten Einstellungen sind bereits automatisch gesetzt, Änderungen lassen sich jederzeit vornehmen. Für jede Baseline lassen sich Dokumente und Informationen hinterlegen. Soll eine Baseline nicht mehr änderbar sein, sperren Sie diese mit "Lock". Natürlich lassen sich gesperrte Baselines jederzeit wieder freischalten. Die Sperrung verhindert lediglich das versehentliche Abändern.
Danach exportieren Sie die Einstellungen und verteilen sie auf die Server. Dazu stellt SCM verschiedene Exportarten zur Verfügung. Diese sind auf der rechten Seite des Fensters im Befehlsbereich zu sehen:
- Excel: Hier erstellt SCM eine XLSM-Datei für Excel.
- GPO Backup: Schafft ein Verzeichnis mit einer GPO-Sicherung der Baseline. Diese lässt sich in eine Gruppenrichtlinie importieren.
- SCAP: Erstellt eine Datei auf Basis des Security Content Automation Protocol (SCAP).
- SCCM DC: Schnürt Pakete, die kompatibel mit Microsoft System Center Configuration Manager sind.
- SCM: erstellt eine CAB-Datei, die sich in andere SCM-Installationen importieren lässt.
Ist kein Active Directory im Einsatz oder soll die Absicherung über eine lokale Richtlinie erfolgen, unterstützt SCM Administratoren mit dem Tool LocalGPO. Dieses kann die exportierten Gruppenrichtlinieneinstellungen auf lokalen Servern umsetzen, ohne dass eine Gruppenrichtlinie vorhanden ist. Der Export von SCM entspricht beim Einsatz einer lokalen Richtlinie dem Export beim Einsatz von Gruppenrichtlinien.
Die Daten werden anschließend auf den Server kopiert, der abgesichert werden soll. Danach erfolgt die Umsetzung auf dem Server mit LocalGPO. Die Installationsdatei befindet sich im Installationsverzeichnis von SCM auf dem Rechner. Nach der Installation ist LocalGPO in der gleichnamigen Programmgruppe zu finden oder direkt im Installationsverzeichnis von LocalGPO. Der Befehl zur Umsetzung ist:
cscript LocalGPO.wsf /Path: Pfad zur GPO-SicherungSoll die lokale Sicherheitsrichtlinie exportiert werden, steht ebenfalls LocalGPO zur Verfügung:
cscript LocalGPO.wsf /Path: "Pfad" /Export /GPOPackSeite 1: Netzwerke mit Nmap untersuchen
Seite 2: Security Compliance Manager 4.0
Im dritten Teil geht es um weitere Sicherheitstools von Microsoft. Außerdem zeigen wir, wie Sie SSL in WSUS nutzen. Im ersten Teil blockierten wir Skripte per PowerShell, installierten FSRM und wappneten uns gegen Ransomware.
<< Vorherige Seite | Seite 2 von 2 |
ln/Thomas Joos
[1] www.microsoft.com/en-us/download/details.aspx?id=53353