Windows-Praxis: Systeme mit kostenlosen Microsoft-Tools absichern

Mit Sicherheitsrichtlinien arbeiten

Die Konfiguration der Sicherheitsrichtlinie unterteilt sich in unterschiedliche Bereiche. Sie sollten in jedem Fenster genau überprüfen, ob der Assistent alle Dienste und Funktionen erkannt hat. Sie können jederzeit einzelne Punkte aktivieren oder deaktivieren. Nach dem Start erstellen Sie zunächst eine neue Sicherheitsrichtlinie, wählen den Server aus und wechseln zur Seite Serverrollen auswählen.

Der erste Bereich, den Sie konfigurieren, ist der Bereich der rollenbasierten Konfiguration. Hier untersucht der Assistent die einzelnen Dienste und Funktionen des Servers und teilt diese den Rollen zu, die in der Sicherheitskonfigurationsdatenbank hinterlegt sind. Auch wenn Sie hier falsche Eingaben machen und diese später anwenden, sollte kein Problem auftreten, da Sie die Richtlinie jederzeit wieder deaktivieren können.

Um Administratoren bei der Auswahl von Serverrollen zu unterstützen, hat Microsoft in SCW für jede verfügbare Rolle eine Beschreibung hinterlegt, die helfen soll, entsprechende Rollen eindeutig zuzuordnen.

Sie können die Anwendung einer Sicherheitsrichtlinie wieder zurücknehmen. Auch diesen Vorgang nehmen Sie über den Security Configuration Wizard vor. Wenden Sie die Richtlinie sofort an, führt der SCW die XML-Datei aus und legt die eingestellten Sicherheitsvorgaben fest. Nach Abschluss der Anwendung müssen Sie den Server neu starten. Am besten erstellen Sie eine Sicherheitsrichtlinie in einer Testumgebung und speichern diese ab. Die abgespeicherte Sicherheitsrichtlinie können Sie dann entweder manuell über die grafische Oberfläche installieren oder per Batch-Datei und Befehlszeilen-Tool Scwcmd verteilen lassen.

Um eine Richtlinie lokal anzuwenden, geben Sie den Befehl

scwcmd configure /p:<Pfad zur XML-Datei>

ein. Um eine Sicherheitsrichtlinie auf einem Remotecomputer ausführen zu können, verwenden Sie ebenfalls das Befehlszeilen-Tool Scwcmd. Geben Sie dazu in der Eingabeaufforderung den Befehl

scwcmd configure /m:<IP oder Name des Remoteservers> /p: <Pfad zur XML-Datei>

ein. Wenn Sie in der Eingabeaufforderung

scwcmd configure

eingeben, erhalten Sie weitere Informationen über die Anwendung des Sicherheitskonfigurations-Assistenten über die Eingabeaufforderung.

Haben Sie auf einem Server eine Sicherheitsrichtlinie angewendet, sehen Sie zunächst keine Änderung. Eine Analyse führen Sie wieder am besten mit dem Befehlszeilen-Tool Scwcmd durch. Geben Sie dazu in der Eingabeaufforderung den Befehl

scwcmd analyze /m:<IP oder Name des Servers> /p:<Pfad zur Richtliniendatei> /o:<Ausgabeordner der Analyse>

ein. Die Analyse erstellt eine XML-Datei, die die Änderung der Richtlinie enthält.

Haben Sie die Datei erstellt, können Sie entweder die XML-Datei betrachten oder über den Befehl

scwcmd view /x:<Name der erstellten XML-Datei>

die Anzeige durch den SCW formatieren und anzeigen lassen.

Wollen Sie die Ausführung einer Sicherheitsrichtlinie wieder vollständig zurücknehmen, können Sie entweder wieder über die grafische Oberfläche die Maßnahme durchführen oder über die Eingabeaufforderung die Sicherheitsrichtlinie zurücknehmen.

Wollen Sie die Sicherheitsrichtlinie über die grafische Oberfläche zurücknehmen, starten Sie den Sicherheitskonfigurations-Assistenten. Wählen Sie die Option Rollback für letzte angewendete Sicherheitsrichtlinie durchführen. In diesem Fall wird die letzte Sicherheitsrichtlinie komplett zurückgenommen. Haben Sie zuvor keine Sicherheitsrichtlinie durchgeführt, erhalten Sie exakt den Stand vor der Einführung der Richtlinie.

Alternativ können Sie auch eine Sicherheitsrichtlinie in der Eingabeaufforderung zurücknehmen. Geben Sie dazu in der Eingabeaufforderung den Befehl

scwcmd rollback /m:<Name oder IP des Servers>

ein.