Microsoft Security Configuration Baselines Sicherheitsempfehlungen für Windows 10 und Server 2019

Autor / Redakteur: Thomas Joos / Peter Schmitz |

Windows sicher im Netzwerk zu betreiben erfordert einen gewissen administrativen Aufwand. Microsoft stellt über das Security Compliance Toolkit sogenannte Security Configuration Baselines, also Vorlagen für Sicherheitseinstellungen zur Verfügung. Mit den Security Baselines lassen sich Windows Server 2019, aber auch Windows 10 sicher im Netzwerk betreiben. Wir zeigen die Vorgehensweise.

Anbieter zum Thema

Mit dem Microsoft Security Compliance Toolkit erhalten Admins Sicherheitsempfehlungen von Microsoft um Windows 10 und Windows Server 2019 sicher im Netzwerk zu betreiben.
Mit dem Microsoft Security Compliance Toolkit erhalten Admins Sicherheitsempfehlungen von Microsoft um Windows 10 und Windows Server 2019 sicher im Netzwerk zu betreiben.
(Bild: gemeinfrei)

Über das Microsoft Security Compliance Toolkit stellt Microsoft Vorlagen und Tools zur Verfügung, mit denen Administratoren Sicherheitseinstellungen für Windows Server 2019 und Windows 10 umsetzen können. Die Umsetzung der Einstellungen erfolgt in den meisten Fällen über Gruppenrichtlinien. Der Download besteht aus Tools und Zip-Dateien, für die verschiedenen Windows-Versionen. Für Windows 10 Version 1809 und Windows Server 2019 stellt Microsoft eine eigene Zip-Datei zur Verfügung.

Bildergalerie
Bildergalerie mit 6 Bildern

Microsoft Security Compliance Toolkit nutzen

Mit dem Policy Analyzer aus dem “Microsoft Security Compliance Toolkit” werden Gruppenrichtlinien analysiert und Empfehlungen lassen sich umsetzen. Das Tool ist sinnvoll, wenn mehrere Gruppenrichtlinien im Einsatz sind und Server sicher betrieben werden sollen, da alle Einstellungen parallel überprüft werden. Das Tool hilft dabei festzustellen, in welcher Richtlinie Probleme auftreten und welche Sicherheitseinstellungen umgesetzt werden sollten, damit diese den Empfehlungen von Microsoft entsprechen. Policy Analyzer liest die Richtlinien ein und zeigt in einer Tabelle Registry-Einstellungen an, die umgesetzt werden. Das Tool muss nicht installiert werden. Nach dem Download muss lediglich die Exe-Datei des Tools gestartet werden.

Im Policy Analyzer werden die Sicherungsdateien der GPOs eingelesen, die im Unternehmen eingesetzt werden. Diese sollten zuvor also in der Gruppenrichtlinienverwaltung gesichert werden. Bestandteil des Zip-Archivs der Sicherheitsempfehlungen von Microsoft sind Dateien mit der Endung „PolicyRules“. Dabei handelt es sich um die Dateien, die Policy-Analyzer-Daten der neuen Gruppenrichtlinien enthalten, die Microsoft dann im Zip-Archiv zur Verfügung stellt.

Gruppenrichtlinieneinstellungen verstehen und planen

Natürlich ist es selten sinnvoll alle Richtlinieneinstellungen umzusetzen, ohne zumindest zu verstehen welche Einstellungen durch die Richtlinien gesetzt werden. Microsoft hat dazu im Verzeichnis „Documentation“ des Zip-Archivs die Excel-Tabelle „MS Security Baseline Windows 10 v1809 and Server 2019.xlsx“ integriert. Hier sind alle Einstellungen aufgelistet, die wiederum über die Gruppenrichtlinienvorlagen umgesetzt werden.

Über die Registerkarten im unteren Bereich wird zwischen den verschiedenen Einstellungen in der Dokumentation umgeschaltet. Bei „Security Template“ werden die Sicherheitseinstellungen angezeigt, die mit Gruppenrichtlinien umgesetzt werden. Die Tabelle zeigt die Einstellungen für Arbeitsstationen mit Windows 10 und Mitgliedsserver sowie Domänencontroller auf Basis von Windows Server 2019 jeweils in eigenen Spalten an. In weiteren Spalten werden die Einstellungen lokale Computer und Server, der Windows Defender Firewall und für Applocker angezeigt.

Zusätzlich ist im Verzeichnis „GP Reports“ für jede Richtlinie ein Bericht als HTML-Datei zu finden. So ist schnell erkennbar welche Einstellungen auf den Servern umgesetzt werden, wenn Richtlinienvorlagen eingesetzt werden sollen.

Gruppenrichtlinienvorlagen manuell importieren

Um Gruppenrichtlinien auf Basis der von Microsoft empfohlenen Vorlagen zu erstellen, besteht der einfachste Weg zunächst darin in der Gruppenrichtlinienverwaltung eine neue GPO zu erstellen. Solange die GPO noch nicht mit einem Container verknüpft ist, werden die Einstellungen auch nicht umgesetzt. Um die Richtlinieneinstellungen von Microsoft in die neu erstellte Richtlinie zu integrieren wird über das Kontextmenü der neu erstellten Richtlinie der Befehl „Einstellungen importieren“. Über den Assistenten kann schließlich das Verzeichnis ausgewählt werden, in dem sich die Gruppenrichtlinien befinden („GPOs“). Anschließend werden alle Richtlinien angezeigt. Durch Auswahl der entsprechenden Sicherung werden diese Einstellungen in die Richtlinie importiert. Mit „Einstellungen anzeigen“ werden die Einstellung der zu importierenden Richtlinie angezeigt. Hierbei handelt es sich im Grunde genommen aber auch nur um den Bericht, der auch in „GP Reports“ zu finden ist.

Empfehlungen von DISA und CIS

Neben den Baselines, die Microsoft für Windows 10 und Windows Server 2016/2019 zur Verfügung stellt, bieten auch Drittanbieter Empfehlungen für den sicheren Betrieb von Windows in Unternehmensnetzwerken. Bekannte Drittanbieter in diesem Bereich sind Defense Information System Agency (DISA) und Center for Internet Security (CIS). Generell lohnt sich auch diese Empfehlungen sorgfältig durchzuarbeiten und an die eigenen Anforderungen anzupassen.

Fazit

Generell ist es in allen Unternehmen sinnvoll zumindest die Sicherheitseinstellungen umzusetzen, die Microsoft für Windows Server 2019 und Windows 10 empfiehlt. Wer seine Umgebung noch sicherer betreiben will, sollte sich auch die Einstellungen von Defense Information System Agency (DISA) (und Center for Internet Security (CIS) ansehen. Wer es sich einfach machen will übernimmt einfach die Empfehlungen von Microsoft. Allerdings sollte in jedem Fall eine eigene Gruppenrichtlinie angelegt werden, in der die Richtlinien von Microsoft über die Gruppenrichtlinienverwaltung umgesetzt werden. Erst wenn diese GPO mit einer OU verknüpft wird, werden die Einstellungen von den entsprechenden Servern umgesetzt.

(ID:45862394)