Erster Eindruck: Microsoft Security Compliance Manager

    Microsoft Security Compliance Manager LogoDer Security Compliance Manager soll helfen, von Microsoft und Dritt­an­bie­tern empfohlene Sicher­heits­richtlinien im Unter­nehmen oder der Organisation durchzusetzen. Er gehört zur Gruppe der von Microsoft frei zum Download angebotenen Solution Accelerators, also Tool- und Do­ku­men­ten­samm­lungen, die Aufgaben rund um Planung und Deployment unterstützen sollen.

    Zu seinen wichtigsten Funktionen gehören

    • die zentrale Speicherung der Baselines,
    • die zentrale Verwaltung eines Sicher­heits­port­folios für die gesamte Infrastruktur,
    • die Möglichkeit, externe Sicherheits­empfehlungen auf den eigenen Bedarf anzupassen,
    • Exportmöglichkeit für die Baselines, etwa in GPOs oder Excel-Dateien (für letzteres ist Excel ab 2007 erforderlich).

    Download und Installation

    Nach der Installation importiert man zunächst die Baselines von MicrosoftDer Security Compliance Manager steht bei Microsoft zum freien Download bereit. Er hängt von SQL Server 2008 Express ab und versucht auch gleich im Zuge der Installation, Version 2008 herunterzuladen und zu installieren, falls er keine Instanz davon findet.

    Das geht nicht immer gut; in der Praxis hat es sich als schneller und zuverlässiger erwiesen, die Datenbank separat herunterzuladen, das Installationsprogramm bietet eine Option, einen bereits vorhandenen Download einzubinden. Zur Installation gehört, dass man seine eigene Organisation als Publisher einträgt, deren angepasste Baselines später neben denen von Microsoft und Dritt­an­bie­tern ausgelistet werden.

    Beim ersten Start bietet das Tool alle aktuellen Baselines von Microsoft zum Download und zur Integration an. Vorgesehen sind auch Baselines von Dritt­an­bie­tern, die entsprechende Liste ist derzeit jedoch noch leer. Importieren sollte man die, deren Zielplattformen man im Hause hat; nicht jeder Administrator wird etwa die für Windows Vista benötigen.

    Verwendung des Security Compliance Managers

    Die von Microsoft oder – eventuell später bereitgestellten – Dritt­an­bie­ter-Baselines sind nur zum Lesen vorgesehen. Dies kann man bereits beim Import so modifizieren, dass änderbare Kopien jeder Baseline erstellt werden – der Übersicht ist dies jedoch nicht zuträglich und ist nur dann empfohlen, wenn man vorhätte, sehr viele der importierten Baselines zu ändern.

    Eigene Baselines erstellt man in Kopien der importiertenBearbeitet man die Baselines, indem man sie per Rechtsklick und den Kontextmenüpunkt „Customize“ dupliziert. Die Kopie wandert ins eigene Repositorium, landet gleich in der richtigen Kategorie und kann nun bearbeitet werden. Das Bearbeiten der Einstellungen selbst geschieht auf dem Reiter „Definition“.

    In der Darstellung sieht man jederzeit die pro Baseline-Einstellung voreingestellte, vom Anbieter der Baseline empfohlene und in der letzten Spalte die selbst angepasste Einstellung. Hinter dem Reiter „Documents“ verbergen sich jeweils Word-Dokumente mit der detaillierten Erläuterung, die auch in den Kopien der Baselines jeweils nur einen Klick entfernt sind. Mit „Publish“ beendet man die Arbeit an einer Kopie und übernimmt sie dadurch schreibgeschützt ins eigene Repositorium.

    Jede Baseline, ob unter Bearbeitung oder nicht, kann exportiert werden. Besonders interessant hierbei ist, dass man eine Einstellung auch gleich als GPO für die Verteilung im Active Directory speichern kann.

    Zusatz-Tool zum Bearbeiten lokaler Richtlinien

    Das Tool „LocalGPO“ erlaubt u.a. die Anwendung exportierter GPOs aus die lokalen Richtlinien eines PCsUnter dem Namen „LocalGPO“ enthält der Security Compliance Manager ein zusätzliches Tool in Form eines Scripts. Hiermit kann man die lokalen Richtlinien eines PCs in ein GPO-Backup exportieren und umgekehrt das exportierte GPO-Backup einer Baseline den lokalen Richtlinien applizieren.

    Das Tool wird bei der Installation des Security Compliance Manager nicht komplett installiert, sondern als MSI-Paket zur nachträglichen Installation abgelegt, so dass man es auch auf anderen PCs einsetzen kann. Zusammen mit dem Einsatz virtueller Maschinen ergibt sich so eine komfortable Gelegenheit, angepasste Richtlinien zunächst lokal zu testen, bevor man sie verteilt.

    Keine Kommentare