Mit dem Security Compliance Manager (SCM) bietet Microsoft ein Zusatztool, das bei der Absicherung von Microsoft-Netzwerken hilft. Dazu erstellt SCM angepasste Vorlagen für Gruppenrichtlinien, in denen empfohlene Sicherheitseinstellungen schon ideal gesetzt sind. Der Security Compliance Manager steht auch in der Version 4.x kostenlos zur Verfügung. Neben Betriebssystemen wie Windows Server 2016 und Windows 10 lassen sich mit der Anwendung aber auch Serverlösungen wie SQL-Server oder Exchange absichern. Auch hierzu stehen Gruppenrichtlinieneinstellungen zur Verfügung.

Einstieg in Security Compliance Manager

Das Tool erfordert keine Agenten-Software oder die Installation von Software auf einem Server. Administratoren können SCM also auch auf Arbeitsstationen installieren, um die notwendigen Einstellungen zu setzen. Die Sicherheits-Einstellungen werden als Gruppenrichtlinien-Vorlage gespeichert, die schnell und einfach im Netzwerk verteilt werden kann. Auch mit System Center kann SCM zusammenarbeiten. Die neue Version 4.0 unterstützt die neuen Funktionen in Windows Server 2016 und Windows 10 Version 1607 (Anniversary Update). Die neuen Funktionen von 1703 (Creators Update) sind aktuell noch nicht integriert. Da SCM aber Downloadmöglichkeiten für neue Vorlagen ermöglicht, lassen sich die neuen Funktionen schnell und einfach einlesen.

Installation und erste Einrichtung

Für den Betrieb von SCM ist der Betrieb der Express-Installation von Microsoft SQL-Server notwendig. Die Installation nimmt das Tool aber selbst auf dem jeweiligen Rechner vor. Nach der Installation des Tools erfolgt beim ersten Start zunächst eine Aktualisierung der Vorlagendateien. Anschließend sollte das Tool auf die neuste Version gebracht werden. Dazu wird auf den Link „Download Microsoft baselines automatically“ geklickt.

Der Rechner muss dazu über eine Internetverbindung verfügen. Der Assistent verbindet sich mit anschließend mit seiner Online-Datenbank und zeigt die neuen Security Baselines an, die sich nachladen lassen. Die Aktualisierung sollte in regelmäßigen Abständen wiederholt werden, damit immer die neusten Updates zur Verfügung stehen.

Über die Schaltfläche „Download“ werden die Updates in SCM eingelesen. Danach können die einzelnen Server- und Serverdienste effizient über Gruppenrichtlinienvorlagen abgesichert werden. In vielen Fällen erscheint eine Sicherheitswarnung, die bestätigt werden muss. Durch Aktivierung der Option „Immer Software von „Microsoft Corporation“ ausführen“, erscheinen weniger Meldungen, aber auch hier müssen noch einige Meldungen bestätigt werden. Sobald die neuen Vorlagen im Fenster angezeigt werden, lassen sich diese in SCM importieren.

Nachdem die Integration der neuen Baselines bestätigt wurde, liest SCM die einzelnen Erweiterungen ein, und zeigt Details an. Auf dem gleichen Weg werden weitere Erweiterungen eingelesen.

Sobald der Import-Vorgang abgeschlossen ist, erscheinen auf der linken Seite von SCM die neuen Produkte und Betriebssysteme, die sich mit SCM absichern lassen.

So funktioniert die Absicherung über SCM

Grundlage der Absicherung von Servern über SCM sind die Baselines, die in SCM eingelesen werden. Dabei handelt es sich um Einstellungen für Gruppenrichtlinien, die von Microsoft entsprechend empfohlen werden. Für jede Einstellung stellt SCM Informationen zur Verfügung. Dazu muss eine Einstellung angeklickt werden.

Zusätzlich werden in der Mitte des Fenster Informationen zur jeweiligen Einstellung angezeigt. Bei „Default“ zeigt SCM die standardmäßige Einstellung der entsprechenden Gruppenrichtlinieneinstellung an. In der Spalte „Microsoft“ ist die Empfehlung von Microsoft zu sehen. Diese Einstellung in der Gruppenrichtlinie verwendet werden. Passen Administratoren die Einstellung an, ist diese bei „Customized“ aufgeführt.

Baselines zur Absicherung verwenden

Grundsätzlich sollten die Standard-Baselines nicht angepasst werden. Soll ein neue Richtlinie erstellt werden, zum Beispiel auf Basis der Baseline „WS2016 Member Server Security Compliance“, kann die Standard-Baseline über den Befehl Duplicate auf der rechten Seite dupliziert werden. Dadurch erhalten Administratoren die Möglichkeit mehrere Baselines für verschiedene Arten von Servern zu erstellen und anzupassen. Jede duplizierte Baseline lässt sich natürlich auch umbenennen, sodass klar wird, welche Sicherheitseinstellungen in der Baseline gesetzt sind. Duplizierte Baselines erscheinen bei Custom Baselines. Für duplizierte Baselines können auch Beschreibungen hinterlegt werden.

Die neue, duplizierte, Baseline kann jetzt bearbeitet werden. Die meisten Einstellungen sind bereits so gesetzt, wie Microsoft diese empfiehlt. Änderungen lassen sich vornehmen und in der Baseline speichern. Für jede Baseline lassen sich außerdem Dokumente und Informationen hinterlegen. So können auch andere Administratoren die Einstellungen in einer Baseline nachvollziehen. Um Änderungen an einer Baseline zu verhindern, steht der Befehl „Lock“ zur Verfügung. Natürlich lassen sich gesperrte Baselines jederzeit wieder freischalten. Die Sperrung verhindert lediglich die versehentliche Änderung. Die Baselines selbst sichern noch keine Server ab, sondern legen lediglich fest, was auf dem Server abgesichert werden soll. Erst wenn aus der Baseline eine Gruppenrichtlinie gemacht wird, werden die Einstellungen umgesetzt. Über Setting/Add lassen sich darüber hinais neue Einstellungen in eine Baseline aufnehmen, mit Setting\Move werden Einstellungen aus der Baseline entfernt.

Baselines zusammenfassen

Liegen mehrere Baselines vor, können diese auch zu einer gemeinsamen Baseline zusammengefasst werden. Auf diesem Weg ist auch ein Vergleich der Einstellungen in Baselines möglich. Für diesen Vorgang steht der Befehl Compare/Merge auf der rechten Seite zur Verfügung. Zusammengefasste Baselines lassen sich dann wiederum exportieren, genauso wie normale Baselines auch. Absicherung auch ohne Active Directory möglich.

Absicherung mit Skript auch ohne Gruppenrichtlinien möglich

Im Fokus der Absicherung von Servern mit SCM stehen zwar Gruppenrichtlinien, allerdings können Administratoren auch mit lokalen Richtlinien arbeiten. Ist zum Beispiel kein Active Directory im Einsatz, oder soll die Absicherung über eine lokale Richtlinie erfolgen, unterstützt SCM bis Version 3.0 Administratoren mit dem Tool „LocalGPO“. Das Tool kann die exportierten Gruppenrichtlinieneinstellungen auf lokalen Servern aktivieren, ohne dass eine Gruppenrichtlinie notwendig ist. In SCM 4.0 wurde das Tool ersetzt.

Die Installationsdatei von LocalGPO befindet sich bis SCM 3.0 im Installationsverzeichnis von SCM auf dem Rechner. Nach der Installation ist LocalGPO in der Programmgruppe „LocalGPO“ zu finden, oder direkt im Installationsverzeichnis von LocalGPO. Der Befehl zur Umsetzung einer Baseline ist:

cscript LocalGPO.wsf /Path:<Pfad zur GPO-Sicherung>

Soll die lokale Sicherheitsrichtlinie exportiert werden, steht ebenfalls LocalGPO zur Verfügung:

cscript LocalGPO.wsf /Path: „<Pfad>“ /Export /GPOPack

Ab SCM 4.0 steht LocalGPO nicht mehr zur Verfügung. Hier können Administratoren aber mit dem neuen Tool „LGPO.exe“ arbeiten.

Baselines in Gruppenrichtlinien überführen

Damit Baselines aus SCM zur Absicherung von Servern genutzt werden können, müssen diese aus SCM exportiert werden. Anschließend können die exportierten Baselines als herkömmliche Gruppenrichtlinien wieder importiert werden. Um eine Baseline zu exportieren, wird diese angeklickt. Anschließend steht auf der rechten Seite von SCM der Bereich „Export“ zur Verfügung. Dieser bietet verschiedene Möglichkeiten zum exportieren an:

Als Export-Möglichkeit stellt SCM folgende Optionen zur Verfügung:

Excel – Hier erstellt SCM eine xlsm-Datei für Excel. Diese wird normalerweise nur zur Dokumentation genutzt, nicht zur Absicherung.

GPO Backup – Erstellt ein Verzeichnis mit einer GPO-Sicherung der Baseline. Diese lässt sich in eine Gruppenrichtlinie importieren. Der Vorgang dazu entsprecht der Datensicherung und dem Import von Gruppenrichtlinien auch ohne SCM.

SCAP – Erstellt eine Datei auf Basis von Security Content Automation Protocol (SCAP). Solche Dateien werden von einigen Werkzeugen für die Systemautomatisierung genutzt.

SCCM DCM erstellt Pakete, die kompatibel mit Microsoft System Center Configuration Manager sind. Dadurch lassen sich die Einstellungen bereits bei der Bereitstellung von Servern umsetzen.

SCM erstellt eine *.cab-Datei, die in anderen SCM-Installation importiert werden kann.

Datensicherung und Wiederherstellung von Gruppenrichtlinien

Beim Einsatz von Gruppenrichtlinien sollten diese in regelmäßigen Abständen gesichert werden. Vor allem wenn eigene Richtlinien erstellt werden, bietet sich eine solche Sicherung an. Um Baselines aus SCM in Gruppenrichtlinien zu importieren, sollten sich Administratoren mit dem Thema auseinandersetzen.

Die Vorgänge der Datensicherung werden auch für den Import der Gruppenrichtlinienvorlagen von SCM verwendet. Denn der Export-Assistent von SCM erstellt schlussendlich eine Vorlage zur Wiederherstellung. Am besten werden die Gruppenrichtlinie in einen Ordner auf der lokalen Festplatte gesichert. SCM erstellt einen solchen Ordner auf dem Rechner, auf dem der Exportvorgang stattfinden. Durch das Kopieren des Ordners auf einen Datenträger im Netzwerk, stehen die Daten für den Import zur Verfügung.

Mit der Gruppenrichtlinienverwaltung (GPMC) können Gruppenrichtlinien gesichert und wiederhergestellt werden. Da die Datensicherung von Gruppenrichtlinien in Dateien gespeichert wird, kann die Sicherung auch zum Erstellen neuer Gruppenrichtlinien verwendet werden, indem die gesicherte Gruppenrichtlinie in eine neu erstellte importiert wird. Genau diese Funktion nutzt SCM.

Um eine Datensicherung einzelner oder aller Gruppenrichtlinien durchzuführen, wird in der GPMC auf den Knoten Gruppenrichtlinienobjekte geklickt. Dieser Knoten enthält alle Gruppenrichtlinien. Durch einen Klick mit der rechten Maustaste auf eine Gruppenrichtlinie, kann über das Kontextmenü eine Sicherung durchgeführt werden. Nachdem SCM-Richtlinien importiert wurde, sollten auch diese regelmäßig gesichert werden. Im Rahmen der Sicherungsverwaltung lassen sich dadurch ältere Versionen von GPOs wiederherstellen.

Bei der Sicherung von Gruppenrichtlinien werden die Einstellungen in eine Datei exportiert. Der Vorgang entspricht dem Exportieren der Baselines im SCM. Diese Datei kann zur Wiederherstellung importiert werden. Administratoren können auch direkt auf den Knoten Gruppenrichtlinienobjekte klicken und im Kontextmenü den Eintrag Alle sichern auswählen, um sämtliche Gruppenrichtlinien einer Domäne auf einmal zu sichern. Bei der Sicherung eines GPOs werden folgende Informationen gesichert:

Einstellungen des GPOs als XML-Datei

Der Globally Unique Identifier (GUID) des GPOs

Die Berechtigungen des GPOs

WMI-Filter und deren Verlinkung

Zeitstempel der Datensicherung

Benutzerdefinierte Information zum gesicherten GPO

Beim Aufrufen der Sicherung erscheint ein Fenster, in dem ein Ordner auf der Festplatte ausgewählt und eine Beschreibung der Sicherung hinterlegt werden kann. Nach der Bestätigung der Eingaben beginnt der Sicherungs-Assistent mit der Datensicherung der Gruppenrichtlinie und speichert diese im ausgewählten Ordner der Festplatte. Jede Datensicherung wird auf der Festplatte mit einer eindeutigen GUID im ausgewählten Ordner abgelegt.

Datensicherung von Gruppenrichtlinien verwalten

Die Verwaltung der gesicherten Gruppenrichtlinien findet ebenfalls mit der GPMC statt. Im Kontextmenü des Knoten Gruppenrichtlinienobjekte steht der Befehl Sicherungen verwalten zur Verfügung. Mit diesem Kontextmenübefehl können Sie alle Datensicherungen der Gruppenrichtlinien an zentraler Stelle verwalten.

Wenn mehrere Sicherungen vorhanden sind und zahlreiche Gruppenrichtlinien verwaltet werden müssen, kann in diesem Fenster auch das Kontrollkästchen „Für jedes Gruppenrichtlinienobjekt nur die neueste Version anzeigen“ aktivieren. In diesem Fall werden aus dem Fenster alle Datensicherungen ausgeblendet, die vor der aktuellsten Sicherung des einzelnen GPOs angelegt wurden.

Administratoren können einzelne Sicherungen markieren und sich über die Schaltfläche „Einstellungen anzeigen“ die Einstellungen in der Richtlinie anzeigen lassen, die zum Zeitpunkt der Sicherung gesetzt sind. Das ist bei der Sicherung von importierten SCM-Richtlinien besonders sinnvoll, da hier zahlreiche Einstellungen gesetzt sind.

Die Einstellungen werden als .html-Datei angezeigt. Bei der Wiederherstellung einer Gruppenrichtlinie, oder dem Import einer SCM-Export-Datei, werden die Daten der exportierten Datei in die produktive Richtlinie importiert. Administratoren können eine Wiederherstellung durchführen, falls sie die Gruppenrichtlinie versehentlich gelöscht haben oder einen älteren Versionsstand der Einstellungen der Gruppenrichtlinie wiederherstellen möchten.

Gruppenrichtlinien wiederherstellen – SCM-Baselines importieren

Bei der Wiederherstellung einer Gruppenrichtlinie stellt Windows, neben den Einstellungen der Richtlinien, auch die Berechtigungen für das Gruppenrichtlinienobjekt sowie, falls vorhanden, die Verknüpfungen der WMI-Filter wieder her. Um eine Gruppenrichtlinie zu restaurieren, klicken Sie in der Verwaltung der Sicherungen auf die Schaltfläche Wiederherstellen.

In der GPMC lassen sich Guppenrichtlinien auch kopieren. Bei einem Kopiervorgang erstellt Windows eine neue Gruppenrichtlinie mit neuer GUID und importiert die Einstellungen der Quellrichtlinie. Nach diesem Vorgang sind die beiden Gruppenrichtlinien vollkommen unabhängig voneinander, haben aber identische Einstellungen. Außerdem lassen sich Gruppenrichtlinien auf diesem Weg auch importieren.

Um eine SCM-Richtlinie zu importieren, wird zunächst ein Export-Vorgang in SCM durchgeführt. Danach erstellen Sie in der Gruppenrichtlinienverwaltungskonsole eine neue GPO. Über das Kontextmenü der GPO steht der Befehl „Einstellungen importieren“ zur Verfügung. Hierüber startet ein Assistent, mit dem das Verzeichnis ausgewählt wird, in dem die SCM-Exportdaten liegen. Im Assistenten lassen sich die Einstellungen anzeigen, die in der SCM-Richtlinie gesetzt sind. Anschließend werden die Einstellungen in der neuen Richtlinie importiert, und die Anpassungen von SCM werden über die Richtlinie umgesetzt. Natürlich muss auch hier darauf geachtet werden, dass die Richtlinie mit einem Container verknüpft wird.