Security Compliance Manager 2: GPOs prüfen und Systeme absichern

Der SCM 2 überwindet die Beschränkung auf den reinen Export und ermöglicht einen vollständigen Kreislauf vom Import vorhandener Gruppen­richtlinien, ihren Vergleich mit den Microsoft-Vorgaben, die Modifikation der eigenen Konfiguration anhand der Empfehlungen des Herstellers bis zum Export in die produktiven Systeme. Die Vorgaben stammen übrigens nicht nur von Microsoft, sondern in sie flossen auch Erkenntnisse von verschiedenen Anwenderprojketen ein.

Aufgrund der relativ einfachen Bedienung des SCM 2.0 und des damit erzielbaren Nutzens sollten alle, die für Desktops und Server unter Windows verantwortlich sind, einen Blick auf diese deutlich verbesserte Version des Tools werfen.

Microsoft-Vorgaben für Windows und Office

Nach der Installation lädt der Security Compliance Manager 2 eine Reihe von Musterkonfigurationen, so genannte Baselines, von Microsofts Website herunter und bietet hier gleich die Möglichkeit, künftige Aktualisierungen automatisch nachzuladen. Sie berücksichtigen Windows XP SP3 bis Windows 7, Windows Server 2003 SP2 bis Windows Server 2008 R2 SP1 sowie Office 2007 SP2 und 2010.

Möchte man sie als Grundlage für individuell angepasste Baselines nehmen, dann muss man davon mit dem Duplicate-Befehl eine Kopie erstellen, weil die Originale schreibgeschützt sind.

Baselines für diverse Rollen und Anforderungen

Die Auswahl an Baselines beschränkt sich nicht auf die einzelnen Produkte und Versionen, sondern ist zudem nach Anwendungsrollen und Sicherheits­anforderungen unterteilt. So gibt es eigene Vorlagen für File- und Web-Server, Hyper-V, Domänen-Controller oder die Remote Desktop Services.

Außerdem liegen die Baselines für Windows XP, Vista und 7 in den Ausführungen Specialized Security - Limited Funcionality (für hohe Sicherheits­anforderungen) sowie Enterprise Client oder auch für Notebooks vor.

GPO-Transfer über Gruppenrichtlinienverwaltung

Möchte man nicht bloß die Microsoft-Empfehlungen auf die eigenen Umgebung anwenden, sondern die vorhandenen Konfigurationen prüfen, dann beginnt die Prozedur mit dem Sichern der betreffenden GPOs in der Gruppen­richt­linien­verwaltung.

Dabei werden sie in eine eigene Ordnerstruktur geschrieben, in der jedes GPO unter einem Verzeichnis mit dessen GUID gespeichert wird. Diesen Verzeichnisbaum lässt man anschließend von der Import-Funktion des SCM einlesen, die alle GPOs innerhalb der Gesamtstruktur unter Custom Baselines einträgt.

GPOs mit Empfehlungen vergleichen

Der nächste Schritt besteht typischerweise darin, dass man die importierten GPOs mit einer der von Microsoft stammenden Baseline vergleicht.

Die dafür zuständige Compare/Merge-Funktion sortiert die Einstellungen in 4 Kategorien: in solche, die nur in der einen oder der anderen Baseline vorkommen und solche, die beiden gemeinsam sind, aber voneinander abweichen bzw. die identisch sind.

Treten, wie meist üblich, Abweichungen auf, dann kann man pauschal alle Einstellungen aus den Microsoft-Baselines in die eigene Konfiguration übernehmen. Diese Merge-Option bezieht sich nur auf die Schnittmenge der beiden Baselines, gibt es keine, dann steht der Befehl nicht zur Verfügung.

Empfohlene Einstellungen einzeln übernehmen

Alternativ zu einer solchen gesamten Übernahme besteht die Möglichkeit, einzelne Einstellungen hinzuzufügen. Auch in diesem Fall wählt man eine zur eigenen Baseline passende Vorgabe von Microsoft aus und übernimmt anschließend alle gewünschten Einstellungen aus der Liste.

Dieses Verfahren hat im Vergleich zum notorisch unübersichtlichen Gruppen­richt­linien­verwaltungs-Editor den Vorteil, dass man die einzelnen Optionen über eine Volltextsuche filtern kann und dabei noch sieht, welchen Wert Microsoft in seinen Baselines empfiehlt.

Entgegen seiner Bezeichnung lässt sich der Security Compliance Manager nicht nur einsetzen, um die kritische Sicherheitseinstellungen zu prüfen und zu härten. Vielmehr enthalten die Baselines eine ganze Reihe von Konfigurationoptionen, deren Bedeutung nur als optional eingestuft wird.

Versionierung importierter GPOs

Nach der Anpassung der eigenen Baselines gemäß den Vorgaben von Microsoft besteht die Möglichkeit, diese durch den Lock-Befehl gegen weitere Änderungen zu schützen. Dieses Sperre lässt sich nicht mehr aufheben.

Wenn man die eigenen Konfigurationen dennoch weiter bearbeiten möchte, dann legt der SCM eine neue Version derselben an. Daher eignet sich das Tool als Repository für Sicherheitsrichtlinien, in dem man notfalls auch auf ältere Versionen zurückgreifen kann.

Export nach Gruppen­richt­linien­verwaltung und SCCM

Um die modifizierten Baselines auf die produktiven Systeme anwenden zu können, muss man sie exportieren. Zur Auswahl steht hier wie schon beim Import das Backup-Format der Gruppen­richt­linien­verwaltung, über die sie sich wieder einspielen lassen.

Alternativ unterstützt der SCM das DCM-Format für den System Center Configuration Manager, der auf Basis dieser Informationen die Abweichungen von definierten Standardkonfigurationen (configuration drift) überwacht und korrigiert. Schließlich unterstützt der SCM noch den SCAP-Standard und kennt ein eigenes Format, das primär dem Austausch zwischen SCM-Installationen dient.

Installation und Systemvoraussetzungen

Der Security Compliance Manager 2 setzt mindestens Vista oder Windows Server 2008 voraus und verlangt das .NET-Framework 4.0. Darüber hinaus benötigt er den SQL Server Express ab Version 2005, wobei er anders als vorher nicht zwingend seine eigene Instanz installiert, sondern eine lokal vorhandene Datenbank nutzen kann.

Falls es aber notwendig ist, richtet der SCM-Installer SQL Server Express gleich mit ein. Der SCM ist aber nicht in der Lage, einen SQL Server Express remote anzusprechen, der auf einem anderen Rechner läuft.

Da der Datenaustausch mit dem Active Directory via Import und Export erfolgt, benötigt der Security Compliance Manager 2 auch keinen PC, der Mitglied in der Domäne ist. Zusammen mit seiner eigenen Datenbank ist das Tool somit weitgehend autark.