Security Compliance Manager 4: Einstellungen für Windows 10 und Server 2016 härten

    Microsoft Security Compliance ManagerMicrosoft ver­öffent­lichte den Security Compliance Manger 4.0. Das Tool dient dazu, die Konfi­gu­ra­tion von Windows, Hyper-V, Office, IE und anderer Soft­ware mit den Sicher­heits­richt­linien von Micro­soft abzu­gleichen. Die neue Version unter­stützt Windows 10 bis Version 1511 und Server 2016.

    Der Security Compliance Manager ist ein so genannter Solution Accelerator, der Administratoren dabei helfen soll, ihre Systeme anhand von Microsofts Empfehlungen zu schützen. Diese Vorgaben beruhen auf der Dokumen­tation und Best Practices des Herstellers, sowie auf den Erfahrungen aus Anwender­projekten.

    Baselines für Win 10 und Server 2016 nachladen

    Das Tool implementiert diese Richtlinien in Form von Baselines, die es nach der Installation von Microsofts Website herunterlädt. Allerdings wird man darunter keine für Windows 10, Server 2016, IE11 oder neuere Office-Versionen finden, vielmehr muss man diese unter File => Check for Updates erst explizit anfordern.

    Die von Microsoft empfohlenen Einstellungen könnte man theoretisch unbe­sehen exportieren und auf die Zielsysteme übertragen. In der Regel wird man aber seine eigenen Konfigurationen nicht auf diese Weise überschreiben, sondern sie mit den Baselines des Herstellers vergleichen.

    GPOs importieren

    Die vorhandenen Einstellungen von Windows, Office und diverser anderer Microsoft-Produkte lassen sich als Backups von GPOs importieren, die für die jeweiligen Rechner wirksam sind. Solche Sicherungen kann man der Gruppen­richt­linien­verwaltung oder mit PowerShell erstellen.

    Der SCM enthält ausführliche Erläuterungen zu jeder Einstellung.

    Der SCM hilft anschließend mit einer Compare-Funktion, Abweichungen zwischen Ist- und Soll-Zustand zu finden. Die Erläuterungen für jede Einstellung helfen bei der Entscheidung, ob man die vorge­schlagene Konfiguration übernehmen soll oder die vorhandene beibehalten will.

    Versionierung für eigene Baselines

    Das Tool bietet eine Library für das Speichern der Baselines, und zwar für die des Herstellers und für jene, die man selbst auf Basis importierter GPOs erstellt hat. Bei häufigen Änderungen hilft der SCM, den Überblick zu behalten, weil er eine Versionierung bietet und die Rückkehr zu einem früheren Zustand erlaubt.

    Um die modifizierten Einstellungen auf die Zielsysteme zu übertragen, exportiert man sie entweder wieder als GPO-Backups. Alternativ unterstützt der SCM das DCM-Format für den System Center Configuration Manager, der damit die Abweichungen von definierten Standard­konfigurationen (Configuration Drift) überwacht und korrigiert.

    Microsoft vernachlässigt SCM-Entwickung

    Der SCM selbst hat sich trotz des Major Release auf Version 4.0 praktisch nicht verändert. Im Gegenteil, selbst überfällige Anpassungen unterblieben. So beruht das Tool immer noch auf einem lokalen SQL Server 2008 Express, der bei der Installation automatisch eingerichtet wird. Auch die Dokumentation ist weitgehend auf einem alten Stand.

    Der SCM 4.0 verlangt nach wie vor eine lokale Instanz von SQL Server 2008 Express.

    Die geringen Ressourcen, die Microsoft der Entwicklung des SCM spendiert, zeigen sich auch darin, dass die Baselines für mehrere wichtige Produkte nicht auf der Höhe der Zeit sind. Das gilt etwa für Office oder SQL Server.

    Dennoch handelt es sich beim Security Compliance Manager um ein nützliches und häufig unterschätztes Tool zur Härtung der Microsoft-Infrastruktur. Die Version 4.0 des SCM kann kostenlos von Microsofts Download-Site heruntergeladen werden.

    Keine Kommentare