Windows 10 härten mit der Security Baseline

    Privileged Admini­strative WorkstationMicrosoft veröffent­licht für jedes Release von Windows 10 eine eigene Security Baseline. Es handelt sich dabei um empfoh­lene GPO-Einstellungen, die das OS weniger angreif­bar machen. Ein unge­prüftes Aus­rollen auf alle PCs ist nicht ratsam, aber die komplette Baseline empfiehlt sich zum Härten von Admin-PCs.

    Die Security Baseline umfasst nicht nur Sicherheits­einstellungen im engeren Sinne (wie jene im GPO-Editor unter Richtlinien => Windows-Einstellungen), sondern auch solche für den IE, Bitlocker, Defender oder Credential Guard.

    Aktivierung von Auditing und Device Guard

    Die Härtung der Rechner erfolgt somit nicht nur durch eine restriktive Konfiguration der UAC, des interaktiven Logons oder der Passwort­regeln, sondern auch durch die Aktivierung von Logging und Auditing oder von Features wie Device Guard (das die Enterprise Edition voraussetzt).

    In ihrer Gesamtheit kann sich die Baseline negativ auf den Benutzer­komfort und die Verfügbarkeit von Services auswirken (beispielsweise durch Abschalten von SMB1). Daher wird man die vom Hersteller empfohlene Sicherheits­konfiguration nicht pauschal auf alle Rechner im Netzwerk verteilen. Vielmehr sollte man sie auf ihre Tauglich­keit für die jeweilige Umgebung prüfen und proble­matische Einstel­lungen entfernen.

    Excel-Tabelle und HTML-Reports als Dokumentation

    Einen ersten Überblick erhält man durch die umfangreiche Excel-Tabelle, die sich nach dem Entpacken der Security Baseline im Verzeichnis Documentation findet. Sie enthält eine eigene Registerkarte für jedes mitge­lieferte GPO. Die Spalte MS Baseline zeigt den von Microsoft vorge­schlagenen Wert.

    Die mitgelieferte Excel-Tabelle dokumentiert alle Einstellungen der Security Baseline.

    Zum Inhalt der Baseline gehören im Unterverzeichnis GP Reports zudem Berichte im HTML-Format für jedes GPO, so wie man sie aus der Gruppen­richtlinien­verwaltung kennt. Auch aus ihnen kann man die Einstellungen der Baseline entnehmen.

    Aktuelle Konfiguration mit Baseline vergleichen

    In diesem Ordner findet sich zudem eine Datei mit der Endung .policy, die für den Import in den Group Policy Analyzer gedacht ist. Dort kann man sie mit einem Backup der aktuell verwendeten Einstellungen vergleichen (siehe dazu meinen Beitrag zum GPO Analyzer 3.1).

    Nach dem Import in Policy Rules lassen sich GPOs anzeigen und vergleichen.

    Baseline für Admin-Workstations

    Microsoft hat für System­verwalter das Konzept der Privileged Admini­strative Workstation (PAW) entwickelt, die ausschließlich dem IT-Management dienen soll (siehe dazu: Best Practice: Sichere Rechner für Administratoren ein­richten).

    Dabei sollte es sich um physische Rechner handeln, die auch VMs ausführen können. In den virtuellen Maschinen darf der Admin anderen Aufgaben wie dem Versenden von E-Mails oder dem Browsen im Web nachgehen, aber nicht direkt auf der PAW.

    Zu den empfohlenen Maßnahmen für die Absicherung einer PAW gehört auch die Anwendung der Security Baseline. Da auf einer solchen Maschine ohnehin keine Anwen­dungen außer Admin-Tools laufen sollen und keine größere Zahl an End­benutzern betroffen ist, sind mögliche unerwünschte Neben­wirkungen hier leichter in der Griff zu bekommen.

    Import über Gruppenrichtlinienverwaltung

    Die Baseline sieht zwei Varianten für den Import vor. Wenn sich die PAWs in einer eigenen OU befinden, dann lassen sich die Einstellungen der Security Baseline über die Gruppen­richtlinien­verwaltung in GPOs importieren.

    Dazu legt man in der betreffenden OU ein neues GPO an. Dabei übernimmt man sinnvoller­weise den Namen des GPO, welches man von den Baseline importiert. Zur Auswahl stehen hier:

    • MSFT Windows 10 RS4 - Computer
    • MSFT Windows 10 RS4 - User
    • MSFT Windows 10 RS4 - BitLocker
    • MSFT Windows 10 and Server 2016 - Defender Antivirus
    • MSFT Windows 10 and Server 2016 - Credential Guard
    • MSFT Internet Explorer 11 - User
    • MSFT Windows 10 and Server 2016 - Domain Security
    • MSFT Internet Explorer 11 - Computer

    Diese Liste kann man sich übrigens anzeigen lassen, indem man ein dafür mitgeliefertes Script ausführt. Dazu gibt man im Wurzel­verzeichnis der Baseline diesen Befehl ein:

    .\Local_Script\Tools\MapGuidsToGpoNames.ps1 $PWD

    Ein mitgeliefertes PowerShell-Script übersetzt die GUIDs in die Namen der GPOs.

    Import-Assistent starten

    Anschließend wechselt man in der Baumstruktur der GPO-Verwaltung zum Abschnitt Gruppen­richtlinien­objekte und öffnet dort das Kontext­menü des gerade eben angelegten GPO. Über den Befehl Einstellungen importieren startet man nun den Wizard zum Einlesen der Baseline.

    Wizard zum Import der Baseline in der Gruppenrichtlinienverwaltung starten.

    Der Assistent bietet nach der Willkommen-Seite an, das neue GPO zu sichern. Da es aber keine Einstellungen enthält, überspringt man das Backup. Der nächste Dialog fordert dazu auf, das Verzeichnis auszu­wählen, in dem sich die GPOs befinden. Im Fall der Security Baseline handelt es sich dabei um das Unterverzeichnis GPOs.

    GPOs aus der Baseline importieren

    In der nun angezeigten Liste wählt man das gewünschte Objekt aus und klickt auf Weiter. Nach der folgenden Prüfung erhält man möglicher­weise die Nachricht, dass der Import Verweise auf Sicherheits­prinzipale oder UNC-Pfade enthält.

    Namen der Prinzipale übersetzen

    Im nächsten Dialog entscheidet man dann, wie man diese Verweise übertragen möchte. Wenn man eine deutsche Windows-Umgebung verwendet, dann muss man hier eine Übersetzungs­tabelle für die Konto- und Gruppennamen bereitstellen. In der englischen Version wählt man einfach die Option Identisch von der Quelle kopieren.

    Die englischen Verweise auf Sicherheitsprinzipale erfordert das Bereitstellen einer Übersetzungstabelle für deutsche Umgebungen.

    Die Übersetzungen trägt man in eine Tabelle ein, die man mit dem Migrations­tabellen-Editor erstellt. Diesen startet man aus dem Kontext­menü von Domänen in der Gruppen­richtlinien­verwaltung.

    Migrationstabellen-Editor in der Gruppenrichtlinienverwaltung öffnen

    Der folgende Screenshot zeigt die Einträge, welche für den Import des GPO MSFT Windows 10 RS4 - Computer benötigt werden.

    Migrationstabelle für das Baseline-GPO mit den Computer-Einstellungen.

    In der jetzt folgenden Zusammen­fassung kann man den Vorgang starten. Nach dessen Abschluss überzeugt man sich in der Registerkarte Einstellungen des neuen GPO vom Erfolg der Maßnahme.

    Nach dem erfolgreichen Import der Baseline kann man die Einstellungen des neuen GPO prüfen.

    Import per Script

    Alternativ zum Einlesen der Baseline in ein GPO gibt es die Möglich­keit, die Einstel­lungen lokal auf ein­zelnen Rechnern zu über­nehmen. Für diesen Zweck existieren im Unter­verzeichnis Local_Script die Batch-Dateien Client_Install_DomainJoined.cmd und Client_Install_NonDomainJoined.cmd.

    Die Installation der Baseline per Script schreibt die Einstellungen mit LGPO.exe in die Registry.

    Letztere ist für Workgroup-PCs gedacht und dürfte für PAWs keine Rolle spielen. Die Scripts nutzen das Utility LGPO.exe, um die Einstellungen in die lokalen Richtlinien zu kopieren. Es ist wie der Policy Analyzer Bestandteil des Security Compliance Toolkit und muss nach dem Herunterladen in das Tools-Verzeichnis kopiert werden.

    Das Übersetzungs­problem tritt hier nicht auf, weil LGPO.exe die Einstellungen direkt in die Registry schreibt.

    Keine Kommentare