Microsoft stellt Security Compliance Manager ein, bringt Baselines für Windows 10 1703

Microsoft hat angekündigt, dass der Support für das Tool Security Compliance Manager (SCM) endet. Das Tool ist seit 2010 verfügbar und dient dazu, GPO-basierte Sicher­heits­konfi­gura­tionen mit den empfoh­lenen Ein­stel­lungen des Her­stellers zu vergleichen. Diese lassen sich damit in die eigenen Systeme übernehmen.

Zu den Funktionen für das Abgleichen von Policies kommen solche für das Importieren, Exportieren und Sichern von GPO-Daten (siehe dazu: Security Compliance Manager 4: Einstellungen für Windows 10 und Server 2016 härten.

Zu hoher Aufwand und Komplexitätsgrad

Der SCM muss der Ankündigung zufolge mit relativ hohem Aufwand an jede Windows-Version angepasst werden. Außerdem müsste das Tool Set massiv überarbeitet werden, um mit Desired State Configuration (DSC) oder mit den Einstellungen für das Mobile Device Management (MDM) zurechtzukommen.

Als Alternative empfiehlt Microsoft in erste Linie das Security-Configuration-Toolkit. Es liegt in Version 1.0 vor. Mit ihm können IT-Security-Administratoren vorhandene GPO-Baselines mit den von Microsoft empfohlenen Richtlinien vergleichen, sie editieren und im GPO-Backup-Format sichern.

Hauptbestandteile

Das Security-Configuration-Toolkit besteht aus drei Hauptkomponenten. Die erste ist das Policy-Analyzer-Tool. Seine Aufgaben sind die Analyse und der Vergleich von Sets von GPOs. Die Software ermittelt Inkonsistenzen und redundante Einstellungen (siehe dazu: Group Policy Analyzer 3.1: Support für deutsche ADML und Central Store).

Außerdem vergleicht Policy Analyzer GPOs mit lokalen Policies und Registry-Einträgen. Die Ergebnisse der Analyse werden in Excel-Spreadsheets exportiert.

Die zweite Komponente ist das LGPO-Tool (siehe dazu auch diesen Beitrag auf WindowsPro). Es ist über die Kommandozeile zugänglich und ersetzt das LocalGPO-Werkzeug von SCM. Mit LGPO.exe können Administratoren unter anderem eine neue Registry Policy aufsetzen, lokale Regelwerke in ein GPO-Backup überführen und Einstellungen von einem GPO-Backup-File in eine lokale Group-Policy importieren.

Als Ergänzung bietet Microsoft zudem diverse Security Baselines zum Herunterladen an. Sie stehen als Excel-Dateien oder in Form von GPO-Backupdaten zur Verfügung. Unterstützt werden Windows 10 (Versionen 1507, 1511, 1607) sowie Windows Server 2012 R2 und Windows Server 2016.

Limitierungen

Zu den Limitierungen des Security-Configuration-Toolkit zählt, dass kein Desired Configuration Management (DCM) in SCCM unterstützt wird. Stattdessen empfiehlt Microsoft den Einsatz von Desired State Configuration (DSC).

Außerdem, so ein FAQ-Dokument zum neuen Toolkit, werden auch keine Policies unterstützt, die auf dem Security Content Automation Protocol (SCAP) basieren. Allerdings will Microsoft beide Einschränkungen beseitigen. Wann das der Fall ist, ist jedoch offen.

Baselines für Windows 10 Creators Update

Die Baselines für Windows 10 1703 veröffentlichte der Hersteller als Draft kurz nach der Anlündigung des Aus für SCM. Sie enthalten die Excel-Tabelle mit allen Einstellungen, und zwar für GPOs und MDM. Hinzu kommen GPO-Backups, die den Best Practicies entsprechen. Das SCM-spezifische XML-Format ist nicht mehr an Bord.

Zu den wesentlichen Neuerungen zählen ein Custom ADMX zum Abschalten von SMB 1.0, die Deaktivierung von VBScript (in den Zonen Internet sowie Eingeschränkte Sites) und von TLS 1.0 im Internet Explorer.