Tags: Sicherheit, Active Directory, Gruppenrichtlinien
Der Security Compliance Manager ist ein kostenloser Solution Accelerator von Microsoft, der es erlaubt, vorhandene Gruppenrichtlinien mit empfohlenen Einstellungen des Herstellers zu vergleichen. Bei vorhandenen Abweichungen lassen sich die Vorgaben von Microsoft einzeln oder pauschal übernehmen. Die solcherart gehärteten Einstellungen können anschließend in die produktive Umgebung exportiert werden, wobei das Tool hier mehrere Formate unterstützt.
Die erste Version des Security Compliance Manager erschien bereits in der ersten Halbjahr 2010 und erhielt nicht die Aufmerksamkeit, die sich ein derartiges Tool verdient. Das mag am Namen des Produkts liegen, aber auch an den Beschränkungen der Version 1.0. Die größte bestand darin, dass der SCM 1.0 nur die von Microsoft empfohlenen Einstellungen herunterladen und in verschiedene Formate exportieren konnte. Wer sich damit zufrieden gab, diese Best Practices komplett und unmodifiziert zu übernehmen, war damit gut bedient.
Import vorhandener Gruppenrichtlinien
Der SCM 2 überwindet die Beschränkung auf den reinen Export und ermöglicht einen vollständigen Kreislauf vom Import vorhandener Gruppenrichtlinien, ihren Vergleich mit den Microsoft-Vorgaben, die Modifikation der eigenen Konfiguration anhand der Empfehlungen des Herstellers bis zum Export in die produktiven Systeme. Die Vorgaben stammen übrigens nicht nur von Microsoft, sondern in sie flossen auch Erkenntnisse von verschiedenen Anwenderprojketen ein.
Aufgrund der relativ einfachen Bedienung des SCM 2.0 und des damit erzielbaren Nutzens sollten alle, die für Desktops und Server unter Windows verantwortlich sind, einen Blick auf diese deutlich verbesserte Version des Tools werfen.
Microsoft-Vorgaben für Windows und Office
Nach der Installation lädt der Security Compliance Manager 2 eine Reihe von Musterkonfigurationen, so genannte Baselines, von Microsofts Website herunter und bietet hier gleich die Möglichkeit, künftige Aktualisierungen automatisch nachzuladen. Sie berücksichtigen Windows XP SP3 bis Windows 7, Windows Server 2003 SP2 bis Windows Server 2008 R2 SP1 sowie Office 2007 SP2 und 2010.
Möchte man sie als Grundlage für individuell angepasste Baselines nehmen, dann muss man davon mit dem Duplicate-Befehl eine Kopie erstellen, weil die Originale schreibgeschützt sind.
Baselines für diverse Rollen und Anforderungen
Die Auswahl an Baselines beschränkt sich nicht auf die einzelnen Produkte und Versionen, sondern ist zudem nach Anwendungsrollen und Sicherheitsanforderungen unterteilt. So gibt es eigene Vorlagen für File- und Web-Server, Hyper-V, Domänen-Controller oder die Remote Desktop Services.
Außerdem liegen die Baselines für Windows XP, Vista und 7 in den Ausführungen Specialized Security - Limited Funcionality (für hohe Sicherheitsanforderungen) sowie Enterprise Client oder auch für Notebooks vor.
GPO-Transfer über Gruppenrichtlinienverwaltung
Möchte man nicht bloß die Microsoft-Empfehlungen auf die eigenen Umgebung anwenden, sondern die vorhandenen Konfigurationen prüfen, dann beginnt die Prozedur mit dem Sichern der betreffenden GPOs in der Gruppenrichtlinienverwaltung.
Dabei werden sie in eine eigene Ordnerstruktur geschrieben, in der jedes GPO unter einem Verzeichnis mit dessen GUID gespeichert wird. Diesen Verzeichnisbaum lässt man anschließend von der Import-Funktion des SCM einlesen, die alle GPOs innerhalb der Gesamtstruktur unter Custom Baselines einträgt.
GPOs mit Empfehlungen vergleichen
Der nächste Schritt besteht typischerweise darin, dass man die importierten GPOs mit einer der von Microsoft stammenden Baseline vergleicht.
Die dafür zuständige Compare/Merge-Funktion sortiert die Einstellungen in 4 Kategorien: in solche, die nur in der einen oder der anderen Baseline vorkommen und solche, die beiden gemeinsam sind, aber voneinander abweichen bzw. die identisch sind.
Treten, wie meist üblich, Abweichungen auf, dann kann man pauschal alle Einstellungen aus den Microsoft-Baselines in die eigene Konfiguration übernehmen. Diese Merge-Option bezieht sich nur auf die Schnittmenge der beiden Baselines, gibt es keine, dann steht der Befehl nicht zur Verfügung.
Empfohlene Einstellungen einzeln übernehmen
Alternativ zu einer solchen gesamten Übernahme besteht die Möglichkeit, einzelne Einstellungen hinzuzufügen. Auch in diesem Fall wählt man eine zur eigenen Baseline passende Vorgabe von Microsoft aus und übernimmt anschließend alle gewünschten Einstellungen aus der Liste.
Dieses Verfahren hat im Vergleich zum notorisch unübersichtlichen Gruppenrichtlinienverwaltungs-Editor den Vorteil, dass man die einzelnen Optionen über eine Volltextsuche filtern kann und dabei noch sieht, welchen Wert Microsoft in seinen Baselines empfiehlt.
Entgegen seiner Bezeichnung lässt sich der Security Compliance Manager nicht nur einsetzen, um die kritische Sicherheitseinstellungen zu prüfen und zu härten. Vielmehr enthalten die Baselines eine ganze Reihe von Konfigurationoptionen, deren Bedeutung nur als optional eingestuft wird.
Versionierung importierter GPOs
Nach der Anpassung der eigenen Baselines gemäß den Vorgaben von Microsoft besteht die Möglichkeit, diese durch den Lock-Befehl gegen weitere Änderungen zu schützen. Dieses Sperre lässt sich nicht mehr aufheben.
Wenn man die eigenen Konfigurationen dennoch weiter bearbeiten möchte, dann legt der SCM eine neue Version derselben an. Daher eignet sich das Tool als Repository für Sicherheitsrichtlinien, in dem man notfalls auch auf ältere Versionen zurückgreifen kann.
Export nach Gruppenrichtlinienverwaltung und SCCM
Um die modifizierten Baselines auf die produktiven Systeme anwenden zu können, muss man sie exportieren. Zur Auswahl steht hier wie schon beim Import das Backup-Format der Gruppenrichtlinienverwaltung, über die sie sich wieder einspielen lassen.
Alternativ unterstützt der SCM das DCM-Format für den System Center Configuration Manager, der auf Basis dieser Informationen die Abweichungen von definierten Standardkonfigurationen (configuration drift) überwacht und korrigiert. Schließlich unterstützt der SCM noch den SCAP-Standard und kennt ein eigenes Format, das primär dem Austausch zwischen SCM-Installationen dient.
Installation und Systemvoraussetzungen
Der Security Compliance Manager 2 setzt mindestens Vista oder Windows Server 2008 voraus und verlangt das .NET-Framework 4.0. Darüber hinaus benötigt er den SQL Server Express ab Version 2005, wobei er anders als vorher nicht zwingend seine eigene Instanz installiert, sondern eine lokal vorhandene Datenbank nutzen kann.
Falls es aber notwendig ist, richtet der SCM-Installer SQL Server Express gleich mit ein. Der SCM ist aber nicht in der Lage, einen SQL Server Express remote anzusprechen, der auf einem anderen Rechner läuft.
Da der Datenaustausch mit dem Active Directory via Import und Export erfolgt, benötigt der Security Compliance Manager 2 auch keinen PC, der Mitglied in der Domäne ist. Zusammen mit seiner eigenen Datenbank ist das Tool somit weitgehend autark.
Täglich Know-how für IT-Pros mit unserem Newsletter
Verwandte Beiträge
- Zugriff auf Domain Controller über lokale Richtlinien absichern
- Active Directory absichern: Passwortregeln, priviligierte Gruppen prüfen, Baselines vergleichen
- Häufige Missverständnisse zu Gruppenrichtlinien
- Erster Eindruck: Microsoft Security Compliance Manager
- Sicherheitseinstellungen für Windows verwalten: Ansible und Gruppenrichtlinien im Vergleich
Weitere Links