Technische Richtlinien Verwaltung mit dem Microsoft Security Compliance Manager am Beispiel des Windows Server 2008 R2

  • Article

Microsoft bietet mit dem Security Compliance Manager (SCM) die Möglichkeit, technische Richtlinien für IT Systeme wie z.B. Windows Server oder Office zentral zu verwalten und in verschiedenste Formate zu exportieren. Diese Richtlinien enthalten Vorgaben die auf Basis der Expertise und Best Practices von Microsoft beruhen und entsprechend den Unternehmensvorgaben angepasst werden können.

image

Um eine Sicherheits-Richtlinie zu erstellen sind folgende vier Schritte vorab erforderlich:

  • Schritt 1: Aktualisierung der Richtlinien im SCM durch die “Check for Baselines” Funktion im “Tools” Menüpunkt:

image

  • Schritt 2: Auswahl und Download der relevanten Richtlinien:

image

  • Schritt 3: Auswahl der geladenen Pakete:

image

  • Schritt 4: Auswahl und Import der relevanten Richtlinien (Hilfestellung für die Relevanz bietet die Beschreibung bei Auswahl des Paketes):

image

image

Nach dem Import sind die Richtlinien im Security Compliance Manager (optional auch direkt als veränderbare Kopie) verfügbar:

image

Jede dieser Richtlinien verfügt über die drei Bereiche Einstellungen (Settings), Dokumente (Documents) und Allgemeines (General):

image

Das Herzstück dieser Richtlinien bilden die Einstellungen (Settings). Sie enthalten alle relevanten Objekte der entsprechenden Richtlinie. In der abgebildeten Richtlinie des Windows Server 2008 R2 “EC Member Server” sind unter anderem Parameter des Event Log Services oder Audit Richtlinien für Account Logon Aktivitäten verfügbar. Microsoft liefert hier auf Basis der relevanten Server Rollen vordefinierte Einstellungsgruppen mit den entsprechenden Einstellungen. Für Einstellungen sind teilweise weitere Beschreibungen wie z.B. die Beschreibung der Verwundbarkeit, Auswirkung und Maßnahmen zur Vermeidung verfügbar. Der Definitionsbereich enthält die entsprechenden Parameter die für die Konfiguration der Einstellung relevant sind.

Der Dokumentationsbereich beinhaltet den entsprechenden Security Guide und optional weiterführende Dokumente. Der Security Guide dient als Grundlage für den Einsatz von Sicherheitsrichtlinien und enthält detaillierte Beschreibungen für die Absicherung der entsprechenden Technologie.

Der Bereich Allgemeines beinhaltet nähere Informationen zur Richtlinie wie z.B. eine eindeutige Identifikation und Version.

Die im Security Compliance Manager definierten Richtlinien können in verschiedene Formate exportiert werden:

image

So werden die Richtlinien z.B. in Group Policy Objects oder in das CAB-Dateiformat für Backupzwecke exportiert. Zusätzlich besteht die Möglichkeit die Richtlinien direkt in Desired Configuration Management (DCM) Packs zu exportieren, um diese mittels des System Center Configuration Managers auf periodischer Basis automatisiert zu auditieren. Des weiteren kann auch das Security Content Automation Protocol (SCAP) als Exportformat verwendet werden. Auch die direkte Erstellung eines Excels für Dokumentationszwecke ist möglich. Aber auch der Vergleich von Richtlinien ist im SCM durchführbar.

Folgende Richtlinien sind aktuell verfügbar:

  • Windows Client: 7, Vista SP2, XP SP3
  • Windows Server: 2008 R2, 2008 SP2, 2003 SP2
  • Office: 2010, 2007 SP2
  • Internet Explorer: 8

Der Security Compliance Manager ist hier kostenlos verfügbar: https://go.microsoft.com/fwlink/?LinkId=182512

Ein Gastbeitrag von: