Microsoft Security Configuration Baselines

Sicherheitsempfehlungen für Windows 10 und Server 2019

| Autor / Redakteur: Thomas Joos / Peter Schmitz

Mit dem Microsoft Security Compliance Toolkit erhalten Admins Sicherheitsempfehlungen von Microsoft um Windows 10 und Windows Server 2019 sicher im Netzwerk zu betreiben.
Mit dem Microsoft Security Compliance Toolkit erhalten Admins Sicherheitsempfehlungen von Microsoft um Windows 10 und Windows Server 2019 sicher im Netzwerk zu betreiben. (Bild: gemeinfrei)

Windows sicher im Netzwerk zu betreiben erfordert einen gewissen administrativen Aufwand. Microsoft stellt über das Security Compliance Toolkit sogenannte Security Configuration Baselines, also Vorlagen für Sicherheitseinstellungen zur Verfügung. Mit den Security Baselines lassen sich Windows Server 2019, aber auch Windows 10 sicher im Netzwerk betreiben. Wir zeigen die Vorgehensweise.

Über das Microsoft Security Compliance Toolkit stellt Microsoft Vorlagen und Tools zur Verfügung, mit denen Administratoren Sicherheitseinstellungen für Windows Server 2019 und Windows 10 umsetzen können. Die Umsetzung der Einstellungen erfolgt in den meisten Fällen über Gruppenrichtlinien. Der Download besteht aus Tools und Zip-Dateien, für die verschiedenen Windows-Versionen. Für Windows 10 Version 1809 und Windows Server 2019 stellt Microsoft eine eigene Zip-Datei zur Verfügung.

Microsoft Security Compliance Toolkit nutzen

Mit dem Policy Analyzer aus dem “Microsoft Security Compliance Toolkit” werden Gruppenrichtlinien analysiert und Empfehlungen lassen sich umsetzen. Das Tool ist sinnvoll, wenn mehrere Gruppenrichtlinien im Einsatz sind und Server sicher betrieben werden sollen, da alle Einstellungen parallel überprüft werden. Das Tool hilft dabei festzustellen, in welcher Richtlinie Probleme auftreten und welche Sicherheitseinstellungen umgesetzt werden sollten, damit diese den Empfehlungen von Microsoft entsprechen. Policy Analyzer liest die Richtlinien ein und zeigt in einer Tabelle Registry-Einstellungen an, die umgesetzt werden. Das Tool muss nicht installiert werden. Nach dem Download muss lediglich die Exe-Datei des Tools gestartet werden.

Im Policy Analyzer werden die Sicherungsdateien der GPOs eingelesen, die im Unternehmen eingesetzt werden. Diese sollten zuvor also in der Gruppenrichtlinienverwaltung gesichert werden. Bestandteil des Zip-Archivs der Sicherheitsempfehlungen von Microsoft sind Dateien mit der Endung „PolicyRules“. Dabei handelt es sich um die Dateien, die Policy-Analyzer-Daten der neuen Gruppenrichtlinien enthalten, die Microsoft dann im Zip-Archiv zur Verfügung stellt.

Gruppenrichtlinieneinstellungen verstehen und planen

Natürlich ist es selten sinnvoll alle Richtlinieneinstellungen umzusetzen, ohne zumindest zu verstehen welche Einstellungen durch die Richtlinien gesetzt werden. Microsoft hat dazu im Verzeichnis „Documentation“ des Zip-Archivs die Excel-Tabelle „MS Security Baseline Windows 10 v1809 and Server 2019.xlsx“ integriert. Hier sind alle Einstellungen aufgelistet, die wiederum über die Gruppenrichtlinienvorlagen umgesetzt werden.

Über die Registerkarten im unteren Bereich wird zwischen den verschiedenen Einstellungen in der Dokumentation umgeschaltet. Bei „Security Template“ werden die Sicherheitseinstellungen angezeigt, die mit Gruppenrichtlinien umgesetzt werden. Die Tabelle zeigt die Einstellungen für Arbeitsstationen mit Windows 10 und Mitgliedsserver sowie Domänencontroller auf Basis von Windows Server 2019 jeweils in eigenen Spalten an. In weiteren Spalten werden die Einstellungen lokale Computer und Server, der Windows Defender Firewall und für Applocker angezeigt.

Zusätzlich ist im Verzeichnis „GP Reports“ für jede Richtlinie ein Bericht als HTML-Datei zu finden. So ist schnell erkennbar welche Einstellungen auf den Servern umgesetzt werden, wenn Richtlinienvorlagen eingesetzt werden sollen.

Windows Updates mit Gruppenrichtlinien steuern

Windows 10 und Windows Server 2016/2019

Windows Updates mit Gruppenrichtlinien steuern

05.03.19 - Bei Windows 10 und Windows Server 2016 bzw. Windows Server 2019 läuft die Installation von Updates generell anders ab, als bei früheren Versionen. Mit Gruppenrichtlinien lassen sich viele dieser Einstellungen weitgehend zentral automatisieren. In diesem Artikel zeigen wir die Möglichkeiten und Vorgehensweisen. lesen

Gruppenrichtlinienvorlagen manuell importieren

Um Gruppenrichtlinien auf Basis der von Microsoft empfohlenen Vorlagen zu erstellen, besteht der einfachste Weg zunächst darin in der Gruppenrichtlinienverwaltung eine neue GPO zu erstellen. Solange die GPO noch nicht mit einem Container verknüpft ist, werden die Einstellungen auch nicht umgesetzt. Um die Richtlinieneinstellungen von Microsoft in die neu erstellte Richtlinie zu integrieren wird über das Kontextmenü der neu erstellten Richtlinie der Befehl „Einstellungen importieren“. Über den Assistenten kann schließlich das Verzeichnis ausgewählt werden, in dem sich die Gruppenrichtlinien befinden („GPOs“). Anschließend werden alle Richtlinien angezeigt. Durch Auswahl der entsprechenden Sicherung werden diese Einstellungen in die Richtlinie importiert. Mit „Einstellungen anzeigen“ werden die Einstellung der zu importierenden Richtlinie angezeigt. Hierbei handelt es sich im Grunde genommen aber auch nur um den Bericht, der auch in „GP Reports“ zu finden ist.

Empfehlungen von DISA und CIS

Neben den Baselines, die Microsoft für Windows 10 und Windows Server 2016/2019 zur Verfügung stellt, bieten auch Drittanbieter Empfehlungen für den sicheren Betrieb von Windows in Unternehmensnetzwerken. Bekannte Drittanbieter in diesem Bereich sind Defense Information System Agency (DISA) und Center for Internet Security (CIS). Generell lohnt sich auch diese Empfehlungen sorgfältig durchzuarbeiten und an die eigenen Anforderungen anzupassen.

Sicherheit in Microsoft-Umgebungen überwachen

Systemüberwachung mit Tools und Bordmitteln

Sicherheit in Microsoft-Umgebungen überwachen

17.10.18 - Geht es um die Analyse der Sicherheit in Microsoft-Umgebungen, greifen Administratoren oft auf teure,externe Lösungen zurück, dabei lässt sich in vielen Fällen schon mit den eingebauten Mitteln der Systeme viel erreichen. Wir zeigen in diesem Beitrag, wie man AD und Windows-Systeme mit Bordmitteln überwacht und welche praktischen Tools bei der Analyse helfen können. lesen

Fazit

Generell ist es in allen Unternehmen sinnvoll zumindest die Sicherheitseinstellungen umzusetzen, die Microsoft für Windows Server 2019 und Windows 10 empfiehlt. Wer seine Umgebung noch sicherer betreiben will, sollte sich auch die Einstellungen von Defense Information System Agency (DISA) (und Center for Internet Security (CIS) ansehen. Wer es sich einfach machen will übernimmt einfach die Empfehlungen von Microsoft. Allerdings sollte in jedem Fall eine eigene Gruppenrichtlinie angelegt werden, in der die Richtlinien von Microsoft über die Gruppenrichtlinienverwaltung umgesetzt werden. Erst wenn diese GPO mit einer OU verknüpft wird, werden die Einstellungen von den entsprechenden Servern umgesetzt.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 45862394 / Betriebssystem)