Windows-Praxis: Systeme mit kostenlosen Microsoft-Tools absichern

Mit dem Security Configuration Wizard Server absichern

Mit dem integrierten Sicherheitskonfigurations-Assistenten (Security Configuration Wizard, SCW) in Windows Server 2008 R2 und 2012 können Sie ebenfalls Server absichern. Der Assistent deaktiviert verschiedene Systemdienste und Registry-Einträge und setzt Firewall-Einstellungen.

Neben den Standardrollen bietet Microsoft auch Erweiterungen für die verschiedenen Serverdienste an. Der Sicherheitskonfigurations-Assistent dient der Absicherung eines Servers über einen Assistenten, der Sicherheitsrichtlinien anwendet. Änderungen, die der SCW an einem System durchführt, können Sie leicht auch wieder rückgängig machen. Der Security Configuration Wizard verfügt über einen integrierten Assistenten, mit dem sich die Einstellungen eines Servers einfach steuern lassen.

Microsoft hat in den Security Configuration Wizard eine automatische Erkennung von Microsoft-Serverdiensten eingebaut. Zusätzliche Serverdienste binden Sie über Manifeste ein, wie im Fall von SharePoint Server 2010. Diese können Sie entweder direkt bei Microsoft herunterladen, oder die Dateien befinden sich im Installationsordner der entsprechenden Lösung. Mit dem kostenlosen SharePoint 2010 Administration Toolkit erhalten Sie die entsprechende Datei für SharePoint. Das Manifest fügt SharePoint zum Sicherheitskonfigurations-Assistenten von Windows Server 2008 x64 SP2 oder Windows Server 2008 R2 hinzu.

Sie können bei der Absicherung des Servers mit dem Security Configuration Wizard hauptsächlich mit der grafischen Oberfläche arbeiten. Das Befehlszeilen-Tool Scwcmd dient zum Automatisieren des SCW. Mit ihm können Sie Skripts erstellen und damit mehrere Server mit einer Sicherheitsrichtlinie versorgen.

Mit dem Werkzeug lassen sich auch Richtlinien wieder rückgängig machen, wenn Probleme auftreten. Sie finden im Ordner \Windows\Security\Msscw\KBs eine Sammlung von XML-Dateien. Diese Dateien enthalten alle wichtigen Informationen über Dienste, Serverrollen und Ports, mit deren Hilfe Sie den Server absichern können. Um SharePoint 2010 in den Security Configuration Wizard einzubinden, müssen Sie zunächst das Administration Toolkit installieren. Anschließend können Sie die Manifestdateien zur Absicherung wie folgt registrieren:

Starten Sie eine Eingabeaufforderung mit Administratorrechten.

Geben Sie den folgenden Befehl ein:

cd C:\Programme\Microsoft\SharePoint 2010 Administration Toolkit\SCWManifests

Wenn Sie Windows Server 2008 Service Pack 2 verwenden, geben Sie ein:

scwcmd register /kbname:SPF2010 /kbfile:SPF2010W2K8.xml

Wenn Sie Windows Server 2008 R2 einsetzen, geben Sie ein:

scwcmd register /kbname:SPF2010 /kbfile:SPF2010W2K8R2.xml

Die letzten beiden Befehle enthalten die Sicherheitseinstellungen für SharePoint Foundation 2010. Um auch die Funktionalitäten von SharePoint Server 2010 zu unterstützen, müssen Sie weitere Dateien integrieren:

Wollen Sie Windows Server 2008 Service Pack 2 ein, dann geben Sie als Nächstes ein:

scwcmd register /kbname:MSS2010 /kbfile:MSS2010W2K8.xml

Beim Einsatz von Windows Server 2008 R2 verwenden, geben Sie ein:

scwcmd register /kbname:MSS2010 /kbfile:MSS2010W2K8R2.xml

Nach dieser Maßnahme können Sie Sicherheitsrichtlinien für SharePoint 2010 erstellen, um den Server abzusichern. Der SCW arbeitet bei der Absicherung von Servern über Sicherheitsrichtlinien. Haben Sie auf einem Server eine Richtlinie erstellt und abgespeichert, können Sie diese auf einem anderen Server mithilfe des Tools importieren.

Haben Sie den SCW gestartet, fragt der Assistent, ob er eine bestehende Richtlinie importieren, eine neue Richtlinie erstellen, eine vorhandene Richtlinie vor dem Importieren bearbeiten oder schließlich die Durchführung der letzten Richtlinie zurücknehmen soll. Sie starten den Assistenten über den Server-Manager. Klicken Sie im Bereich Serverübersicht/Sicherheitsinformationen auf Sicherheitskonfigurations-Assistenten ausführen.