Tags: Sicherheit, Gruppenrichtlinien, Windows 10, Windows Server 2016
Microsoft veröffentlichte den Security Compliance Manger 4.0. Er dient dazu, die Konfiguration von Windows, Hyper-V, Office, IE und anderer Software mit Microsofts Sicherheitsrichtlinien abzugleichen. Die neue Version unterstützt Windows 10 bis 1511 und Server 2016.
Der Security Compliance Manager ist ein so genannter Solution Accelerator, der Administratoren dabei helfen soll, ihre Systeme anhand von Microsofts Empfehlungen zu schützen. Diese Vorgaben beruhen auf der Dokumentation und Best Practices des Herstellers, sowie auf den Erfahrungen aus Anwenderprojekten.
Baselines für Win 10 und Server 2016 nachladen
Das Tool implementiert diese Richtlinien in Form von Baselines, die es nach der Installation von Microsofts Website herunterlädt. Allerdings wird man darunter keine für Windows 10, Server 2016, IE11 oder neuere Office-Versionen finden, vielmehr muss man diese unter File => Check for Updates erst explizit anfordern.
Die von Microsoft empfohlenen Einstellungen könnte man theoretisch unbesehen exportieren und auf die Zielsysteme übertragen. In der Regel wird man aber seine eigenen Konfigurationen nicht auf diese Weise überschreiben, sondern sie mit den Baselines des Herstellers vergleichen.
GPOs importieren
Die vorhandenen Einstellungen von Windows, Office und diverser anderer Microsoft-Produkte lassen sich als Backups von GPOs importieren, die für die jeweiligen Rechner wirksam sind. Solche Sicherungen kann man der Gruppenrichtlinienverwaltung oder mit PowerShell erstellen.
Der SCM hilft anschließend mit einer Compare-Funktion, Abweichungen zwischen Ist- und Soll-Zustand zu finden. Die Erläuterungen für jede Einstellung helfen bei der Entscheidung, ob man die vorgeschlagene Konfiguration übernehmen soll oder die vorhandene beibehalten will.
Versionierung für eigene Baselines
Das Tool bietet eine Library für das Speichern der Baselines, und zwar für die des Herstellers und für jene, die man selbst auf Basis importierter GPOs erstellt hat. Bei häufigen Änderungen hilft der SCM, den Überblick zu behalten, weil er eine Versionierung bietet und die Rückkehr zu einem früheren Zustand erlaubt.
Um die modifizierten Einstellungen auf die Zielsysteme zu übertragen, exportiert man sie entweder wieder als GPO-Backups. Alternativ unterstützt der SCM das DCM-Format für den System Center Configuration Manager, der damit die Abweichungen von definierten Standardkonfigurationen (Configuration Drift) überwacht und korrigiert.
Microsoft vernachlässigt SCM-Entwickung
Der SCM selbst hat sich trotz des Major Release auf Version 4.0 praktisch nicht verändert. Im Gegenteil, selbst überfällige Anpassungen unterblieben. So beruht das Tool immer noch auf einem lokalen SQL Server 2008 Express, der bei der Installation automatisch eingerichtet wird. Auch die Dokumentation ist weitgehend auf einem alten Stand.
Die geringen Ressourcen, die Microsoft der Entwicklung des SCM spendiert, zeigen sich auch darin, dass die Baselines für mehrere wichtige Produkte nicht auf der Höhe der Zeit sind. Das gilt etwa für Office oder SQL Server.
Dennoch handelt es sich beim Security Compliance Manager um ein nützliches und häufig unterschätztes Tool zur Härtung der Microsoft-Infrastruktur. Die Version 4.0 des SCM kann kostenlos von Microsofts Download-Site heruntergeladen werden.
Täglich Know-how für IT-Pros mit unserem Newsletter
Ähnliche Beiträge
- Windows 10 22H2: Neue Gruppenrichtlinien und Security Baseline, kein ADK
- Security Baseline für Windows 10 21H2: Neue Einstellung für PrintNightmare, Legacy Edge entfernt
- Security Baseline für Windows 10 2004: Zwei neue Einstellungen empfohlen, eine entfernt
- Security Baseline für Windows 10 und Server 1909: 4 Einstellungen aus 1903 entfernt
- Microsoft veröffentlicht Security Baseline für Windows 10 1809 und Server 2019
Weitere Links