Video-Tipp: Gruppenrichtlinien Sichere Server mit Microsoft Security Compliance Manager
Mit dem Microsoft Security Compliance Manager (SCM) können Administratoren Gruppenrichtlinien erstellen und diese GPOs zur Absicherung von Windows Server und Windows Clients nutzen. Das Tool gibt es kostenlos zum Download. Wie man es einsetzt zeigt dieser Video-Tipp.
Anbieter zum Thema

Mit dem Security Compliance Manager (SCM) bietet Microsoft ein Tool, mit dem Administratoren Gruppenrichtlinien für Sicherheitseinstellungen kreieren können. Diese enthalten auf Wunsch Sicherheitsempfehlungen von Microsoft. Die Umsetzung erfolgt über Standard-Gruppenrichtlinien oder durch Einbindung in System Center Configuration Manager.
Microsoft stellt SCM kostenlos zum Download zur Verfügung. Mit der Oberfläche des SCM werden die gewünschten Richtlinien erstellt und auf die Domänencontroller oder System Center Configuration Manager (SCCM) übertragen. Neben Gruppenrichtlinien und der Anbindung an System Center Configuration Manager besteht aber auch die Möglichkeit die Richtlinieneinstellungen auf alleinstehende Server zu importieren. In diesem Fall ist kein Active Directory notwendig. Wir zeigen die Vorgehensweisen im Video zu diesem Beitrag.
SCM nutzen - Richtlinien erstellen
Nach dem Start besteht die Möglichkeit neue Produkte und Baselines herunterzuladen. Die entsprechenden Optionen sind über den Link „Download Microsoft baselines automatically“ zu finden. Durch einen Klick auf eine Baseline auf der linken Seite des Fensters, sind in der Mitte des Fensters die Einstellungen zu sehen, die durch diese Baseline umgesetzt werden. Hier sind auch die genauen Pfade zu den entsprechenden Gruppenrichtlinieneinstellungen hinterlegt. Mehr dazu ist im Video zu diesem Beitrag zu sehen.
Um eine neue Baseline zu erstellen, steht im Aktionsmenü der bereits vorhandenen Standard-Baselines, im Bereich Baseline, auf der rechten Seite des Fensters, der Menüpunkt Duplicate zur Verfügung. Dadurch wird eine Kopie der Baseline erstellt, die Grundlage zur weiteren Konfiguration ist. Die neue Richtlinie erscheint nach der Erstellung bei Custom Baselines im oberen Bereich der Konsole. Die Konfiguration zeigen wir ebenfalls im Video zu diesem Training.
Richtlinien umsetzen und absichern
Sind die Einstellungen so umgesetzt, dass diese in das entsprechende Netzwerk passen, besteht der nächste Schritt darin die Einstellungen zu exportieren. Dieser Export kann später als Gruppenrichtlinie über die Gruppenrichtlinienverwaltungskonsole in das produktive Netzwerk übernommen werden.
Um nach der Fertigstellung einer Baseline diese vor ungewollten Änderungen zu schützen, steht im Aktionsbereich der Menüpunkt Lock zur Verfügung. Durch Aktivierung dieser Funktion können keinerlei Änderungen mehr an dieser Baseline mehr vorgenommen werden. Alle Export-Funktionen, die SCM beherrscht, sind auf der rechten Seite bei Export zu sehen. Hier stehen vor allem die folgenden Optionen zur Verfügung:
- Excel - Hier erstellt das Tool eine xlsm-Datei, die mit Excel kompatibel ist.
- GPO Backup - Erstellt ein Verzeichnis mit einer GPO-Sicherung der Baseline. Diese lässt sich in der produktiven Umgebung wieder importieren, wie eine normale Gruppenrichtlinie. Dazu erstellen Administratoren zum Beispiel eine neue Gruppenrichtlinie in Active Directory und stellen die Einstellungen aus dem Export in dieser neuen Sicherung wieder her.
- SCAP - Diese Option erstellt eine Datei auf Basis von Security Content Automation Protocol (SCAP). Dieses kann auch in anderen Systemen verwendet werden.
- SCCM DCM erstellt Pakete, die kompatibel mit Microsoft System Center Configuration Manager sind. Sie lassen sich zur Überwachung und Konfiguration der angebundenen Ziel-Computer nutzen.
- SCM wiederum erstellt eine *.cab-Datei, die in anderen SCM-Installation wieder importiert werden kann. Der Import startet entweder über den Menübereich Import auf der rechten Seite im SCM-Fenster, oder über die Tastenkombination STRG+I.
- Wir zeigen die Einstellungen im Video zu diesem Training.
(ID:44311692)