Sicherheitsempfehlungen von Microsoft automatisiert umsetzen Security-Baseline für Windows Server 2022 und Windows 11

Von Thomas Joos

Mit dem Microsoft Security Compliance Toolkit ist es kostenlos möglich Sicherheitsempfehlungen von Microsoft für Windows Server 2022 über Gruppenrichtlinien im Netzwerk zu verteilen. Wir zeigen, wie das geht.

Anbieter zum Thema

Microsoft hilft Admins mit dem Microsoft Security Compliance Toolkit dabei, Sicherheitseinstellungen für Windows Server 2022 und Windows 11 im Netzwerk über Gruppenrichtlinien zu verteilen.
Microsoft hilft Admins mit dem Microsoft Security Compliance Toolkit dabei, Sicherheitseinstellungen für Windows Server 2022 und Windows 11 im Netzwerk über Gruppenrichtlinien zu verteilen.
(© Gorodenkoff - stock.adobe.com)

Das Microsoft Security Compliance Toolkit ist ein kostenloses Werkzeug von Microsoft, mit dem Sicherheitseinstellungen im Netzwerk über Gruppenrichtlinien verteilt werden können. Microsoft stellt jetzt auch die dazu notwendigen Vorlagen für Windows Server 2022 zur Verfügung. In den Baselines sind auch Sicherheitseinstellungen für Windows 11 berücksichtigt.

Bei der Umsetzung der Richtlinien werden vor allem Einstellungen bezüglich der Sicherheit und auch der Überwachung auf Windows-Servern verteilt. In der neuen Baseline hat Microsoft auch Verbesserungen für Domänencontroller mit Windows Server 2022 integriert.

Bildergalerie
Bildergalerie mit 5 Bildern

Mehr Schutz gegen PrintNightmare und Domänencontroller

In der neuen Version der Baselines für Windows-Server legt Microsoft auch einen Schwerpunkt auf die Sicherheitslücke "PrintNightmare" (CVE-2021-34527). So lässt sich mit den neuen Richtlinien die Installation von Druckertreiber von Administratoren auf PCs blockieren.

Wir sind bereits in den beiden Beiträgen „Wichtiges Update für PrintNightmare“ (https://www.security-insider.de/wichtiges-update-fuer-printnightmare-a-1046918) und „Microsoft schließt fast 120 schwere Sicherheitslücken“ auf „PrintNightmare“ eingegangen.

Auch die Sicherheits-Optimierung von Microsoft Edge und Microsoft Defender sind wichtige Bereiche in den neuen Security-Baselines für Windows Server 2022. Mit den Security-Baselines kann zum Beispiel auch Microsoft Edge auf Domänencontrollern komplett blockiert werden.

Drei wichtige Neuerungen in den Security Baselines für Windows Server 2022

Die maßgeblichen Neuerungen in den Security Baselines für Windows Server 2022 besteht aus drei Neuerungen, die bis zur aktuellen Version kein Bestandteil waren.

In der Liste für das Blockieren von Browsern auf Domänencontrollern sind in der neuen Version Microsoft Internet Explorer, Mozilla Firefox, Google Chrome und Microsoft Edge enthalten.

Die neue Version nutzt eine automatische Aktivierung der Skriptüberprüfung ("Administrative Vorlagen\Windows-Komponenten\Microsoft Defender Antivirus\Echtzeitschutz\Skriptüberprüfung aktivieren"). Diese Funktion kann auch für Windows 11 aktiviert werden.

Die dritte Einstellung betrifft die bereits beschriebene Aktivierung der Einschränkung von Treiberinstallationen für Drucker durch Administratoren. Die Einstellungen dazu befinden sich in der ADMX-Datei "SecGuide.admx".

Bestandteil des Microsoft Security Compliance Toolkit und der neuen Gruppenrichtlinien sind auch die vier Skripte:

  • Baseline-ADImport.ps1
  • Baseline-LocalInstall.ps1
  • Remove-EPBaselineSettings.ps1
  • MapGuidsToGpoNames.ps1

Teilweise gibt es in den Skripten, zum Beispiel "Baseline-ADImport.ps1" Fehler in den Versionen, bezüglich Microsoft Edge. Es ist daher sinnvoll das Skript mit einem Editor zu überprüfen und zum Beispiel die eingesetzte Edge-Version zu aktualisieren.

Es ist aber auch möglich nach dem Download müssen die ADMX-Dateien mit den Einstellungen sowie die dazugehörigen Sprachdateien (ADML) auf die Domänencontroller manuell zu kopieren. Das Standardverzeichnis dafür ist „C:\PolicyDefinitions“. Im Richtlinien-Editor sind anschließend die neuen Einstellungen verfügbar. Die ADML-Dateien müssen in die entsprechenden Unterordner für die Sprache. Es bietet sich an, neben den ADMX-Dateien und den deutschen ADML-Dateien, auch die englischen ADML-Dateien zu kopieren.

Bildergalerie
Bildergalerie mit 5 Bildern

Neue Gruppenrichtlinien mit Baseline-ADImport.ps1 in AD integrieren

Einfacher geht es, wenn Sie das Verzeichnis für die Baselines in ein Verzeichnis auf einem Domänencontroller kopieren und danach im Verzeichnis "Scripts" das Skript "Baseline-ADImport.ps1" ausführen. Bei diesem Vorgang kopiert das Skript die notwendigen Dateien automatisch in das richtige Verzeichnis und legt auch gleich neue Gruppenrichtlinien an, die aber noch nicht mit einem Container verknüpft sind.

Sicherheitsempfehlungen umsetzen

Mit dem Policy Analyzer aus dem “Microsoft Security Compliance Toolkit” lassen sich vorhandene Gruppenrichtlinien analysieren und nach Schwachstellen untersuchen. Policy Analyzer liest Richtlinien ein und zeigt in einer Tabelle Registry-Einstellungen an, die umgesetzt werden sollten. Das Tool muss nicht installiert werden. Nach dem Download muss lediglich die Datei "PolicyAnalyzer.exe" gestartet werden.

Zur Analyse nutzt Policy Analyzer aber nicht die tatsächlichen Richtlinien auf den Domänencontrollern, sondern Sicherungsdateien. Zuvor muss also eine Sicherung der zu analysierenden Sicherung in der Gruppenrichtlinienverwaltungskonsole (gpmc.msc) erstellt werden. Wir sind im Beitrag „BSI bietet Hilfe bei der Absicherung von Windows“ auf das Thema eingegangen. In der Gruppenrichtlinienverwaltungskonsole lassen sich Sicherungen der Gruppenrichtlinien schnell und einfach über das Kontextmenü von "Gruppenrichtlinienobjekte" erstellen.

Bestandteil des Zip-Archivs der Sicherheitsempfehlungen von Microsoft sind Dateien mit der Endung „PolicyRules“. Dabei handelt es sich um die Dateien, die Policy-Analyzer-Daten der neuen Gruppenrichtlinien enthalten.

Bildergalerie
Bildergalerie mit 5 Bildern

Gruppenrichtlinienvorlagen manuell importieren

Die Vorlagen umfassen auch GPO-Vorlagen die in der Gruppenrichtlinienverwaltungskonsole importiert werden können, ein PowerShell-Skript zum Anwenden der GPOs auf lokale Richtlinien, benutzerdefinierte ADMX-Dateien für Gruppenrichtlinieneinstellungen, Dokumentationen in Tabellenkalkulationsform und verschiedene Policy Analyzer-Dateien.

Der einfachste Weg, um die Richtlinien umzusetzen, besteht darin diese in neue GPOs zu importieren. Hier besteht der beste Weg darin neue Richtlinien anzulegen und die Richtlinienvorgaben über das Kontextmenü zu importieren. Der Vorgang wird über einen Assistenten vorgenommen. Hier ist es auch möglich die Einstellungen der Richtlinien anzuzeigen. Bis die GPO noch nicht mit einem Container verknüpft ist, wendet kein Computer die Einstellungen an.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

(ID:48109635)