In der aktuellen Version 3.0 beherrscht der Security Compliance Manager neben den Windows Servern (2003/2008/2008 R2/2012) auch die Absicherung von Exchange Server 2007 SP3/2010 SP2. Bei den Client-Betriebssystemen finden Windows 8, Windows 7 sowie Vista und XP Unterstützung. Das Absichern von entsprechenden Microsoft-Anwendungen klappt ebenfalls, und zwar mit Internet Explorer 8/9 und Explorer 10 sowie Microsoft Office 2007/2010. Bislang keine Berücksichtigung findet die Anwendung Office 2013. Für die Betriebssysteme Windows 8.1 und Windows Server 2012 R2 soll laut Microsoft ein Update Ende Q1 2014 kommen.
Damit Sie das Tool verwenden können, müssen Sie das .NET Framework 4.0 installieren - am besten gleich auch noch die kostenlose Datenbank SQL Server 2008 R2 Express Edition.
Gehen Sie mit dem Tool wie folgt vor: Laden Sie zunächst den Security Compliance Manager herunter, der in der Version 3.0 verfügbar ist. Sie installieren das Tool auf einem Server, importieren die bestehenden Gruppenrichtlinien in Active Directory in das Tool und können anschließend die Einstellungen der Richtlinien mit den Konfigurations-Empfehlungen aus dem SCM vergleichen.
Sie können den Security Compliance Manager auch auf einer Arbeitsstation aufspielen, für den Betrieb ist kein Server oder Agent notwendig. Die Absicherung erfolgt komplett über eine Gruppenrichtlinieninfrastruktur. Alleinstehende Server können Sie aber auch absichern. Dazu lesen Sie die Richtlinien von SCM in eine lokale Sicherheitsrichtlinie ein.
Nachdem Sie das Tool installiert haben, starten Sie es und lassen die Vorlagen der Richtlinien einlesen. Auf der linken Seite wählen Sie das System aus, das Sie absichern wollen, in der Mitte des Fensters nehmen Sie die Einstellungen vor.
Um einen Server abzusichern, kopieren Sie über das Kontextmenü eine vorhandene Standard-Baseline und erstellen eine neue. In dieser nehmen Sie die Einstellungen vor. Die Standard-Baselines sind schreibgeschützt und bleiben immer unverändert.
Mit dem Befehl Duplicate im Kontextmenü einer Basisrichtlinie führen Sie den Kopiervorgang durch. Der nächste Schritt besteht darin, dass Sie die Einstellungen der Richtlinie an Ihre Bedürfnisse anpassen. Die meisten Einstellungen belassen Sie am besten so, wie sie sind, um den entsprechenden Server optimal abzusichern.
Richtlinie(n) ex- und importieren
Haben Sie alle Einstellungen vorgenommen, besteht der nächste Schritt darin, dass Sie die Baseline als Gruppenrichtlinie exportieren. Das Verzeichnis mit dem Export integrieren Sie dann in der Gruppenrichtlinienverwaltungskonsole entweder als neue Richtlinie, oder Sie fügen die Einstellungen einer bereits vorhandenen Richtlinie zu.
In eine bestehende Gruppenrichtlinie übernehmen Sie die Einstellungen durch Auswahl von Einstellungen importieren im Kontextmenü. Wenn Sie im Unternehmen System Center Configuration Manager einsetzen, können Sie die Einstellungen aber auch in einem kompatiblen Format für SCCM exportieren und einlesen.
Setzen Sie kein Active Directory ein, oder wollen Sie einen alleinstehenden Server absichern, haben Sie auch die Möglichkeit, die Baseline in eine lokale Sicherheitsrichtlinie zu integrieren. Dazu verwenden Sie das Befehlszeilen-Tool LocalGPO aus der Programmgruppe Microsoft Security Compliance Manager. Damit lassen sich Einstellungen lokal aus SCM in eine Richtlinie auf dem Server importieren.
Haben Sie mehrere Baselines im Einsatz, können Sie diese auch miteinander vergleichen oder zu einer gemeinsamen Baseline zusammenführen. Dazu verwenden Sie den Menüpunkt Compare\Merge in der Verwaltungsoberfläche des SCM. Generell ist der Umgang mit dem Tool nicht sehr kompliziert und weitgehend selbsterklärend.
Mit dem Security Configuration Wizard Server absichern
Mit dem integrierten Sicherheitskonfigurations-Assistenten (Security Configuration Wizard, SCW) in Windows Server 2008 R2 und 2012 können Sie ebenfalls Server absichern. Der Assistent deaktiviert verschiedene Systemdienste und Registry-Einträge und setzt Firewall-Einstellungen.
Neben den Standardrollen bietet Microsoft auch Erweiterungen für die verschiedenen Serverdienste an. Der Sicherheitskonfigurations-Assistent dient der Absicherung eines Servers über einen Assistenten, der Sicherheitsrichtlinien anwendet. Änderungen, die der SCW an einem System durchführt, können Sie leicht auch wieder rückgängig machen. Der Security Configuration Wizard verfügt über einen integrierten Assistenten, mit dem sich die Einstellungen eines Servers einfach steuern lassen.
Microsoft hat in den Security Configuration Wizard eine automatische Erkennung von Microsoft-Serverdiensten eingebaut. Zusätzliche Serverdienste binden Sie über Manifeste ein, wie im Fall von SharePoint Server 2010. Diese können Sie entweder direkt bei Microsoft herunterladen, oder die Dateien befinden sich im Installationsordner der entsprechenden Lösung. Mit dem kostenlosen SharePoint 2010 Administration Toolkit erhalten Sie die entsprechende Datei für SharePoint. Das Manifest fügt SharePoint zum Sicherheitskonfigurations-Assistenten von Windows Server 2008 x64 SP2 oder Windows Server 2008 R2 hinzu.
Sie können bei der Absicherung des Servers mit dem Security Configuration Wizard hauptsächlich mit der grafischen Oberfläche arbeiten. Das Befehlszeilen-Tool Scwcmd dient zum Automatisieren des SCW. Mit ihm können Sie Skripts erstellen und damit mehrere Server mit einer Sicherheitsrichtlinie versorgen.
Mit dem Werkzeug lassen sich auch Richtlinien wieder rückgängig machen, wenn Probleme auftreten. Sie finden im Ordner \Windows\Security\Msscw\KBs eine Sammlung von XML-Dateien. Diese Dateien enthalten alle wichtigen Informationen über Dienste, Serverrollen und Ports, mit deren Hilfe Sie den Server absichern können. Um SharePoint 2010 in den Security Configuration Wizard einzubinden, müssen Sie zunächst das Administration Toolkit installieren. Anschließend können Sie die Manifestdateien zur Absicherung wie folgt registrieren:
Starten Sie eine Eingabeaufforderung mit Administratorrechten.
Geben Sie den folgenden Befehl ein:
cd C:\Programme\Microsoft\SharePoint 2010 Administration Toolkit\SCWManifests
Wenn Sie Windows Server 2008 Service Pack 2 verwenden, geben Sie ein:
scwcmd register /kbname:SPF2010 /kbfile:SPF2010W2K8.xml
Wenn Sie Windows Server 2008 R2 einsetzen, geben Sie ein:
scwcmd register /kbname:SPF2010 /kbfile:SPF2010W2K8R2.xml
Die letzten beiden Befehle enthalten die Sicherheitseinstellungen für SharePoint Foundation 2010. Um auch die Funktionalitäten von SharePoint Server 2010 zu unterstützen, müssen Sie weitere Dateien integrieren:
Wollen Sie Windows Server 2008 Service Pack 2 ein, dann geben Sie als Nächstes ein:
scwcmd register /kbname:MSS2010 /kbfile:MSS2010W2K8.xml
Beim Einsatz von Windows Server 2008 R2 verwenden, geben Sie ein:
scwcmd register /kbname:MSS2010 /kbfile:MSS2010W2K8R2.xml
Nach dieser Maßnahme können Sie Sicherheitsrichtlinien für SharePoint 2010 erstellen, um den Server abzusichern. Der SCW arbeitet bei der Absicherung von Servern über Sicherheitsrichtlinien. Haben Sie auf einem Server eine Richtlinie erstellt und abgespeichert, können Sie diese auf einem anderen Server mithilfe des Tools importieren.
Haben Sie den SCW gestartet, fragt der Assistent, ob er eine bestehende Richtlinie importieren, eine neue Richtlinie erstellen, eine vorhandene Richtlinie vor dem Importieren bearbeiten oder schließlich die Durchführung der letzten Richtlinie zurücknehmen soll. Sie starten den Assistenten über den Server-Manager. Klicken Sie im Bereich Serverübersicht/Sicherheitsinformationen auf Sicherheitskonfigurations-Assistenten ausführen.
Mit Sicherheitsrichtlinien arbeiten
Die Konfiguration der Sicherheitsrichtlinie unterteilt sich in unterschiedliche Bereiche. Sie sollten in jedem Fenster genau überprüfen, ob der Assistent alle Dienste und Funktionen erkannt hat. Sie können jederzeit einzelne Punkte aktivieren oder deaktivieren. Nach dem Start erstellen Sie zunächst eine neue Sicherheitsrichtlinie, wählen den Server aus und wechseln zur Seite Serverrollen auswählen.
Der erste Bereich, den Sie konfigurieren, ist der Bereich der rollenbasierten Konfiguration. Hier untersucht der Assistent die einzelnen Dienste und Funktionen des Servers und teilt diese den Rollen zu, die in der Sicherheitskonfigurationsdatenbank hinterlegt sind. Auch wenn Sie hier falsche Eingaben machen und diese später anwenden, sollte kein Problem auftreten, da Sie die Richtlinie jederzeit wieder deaktivieren können.
Um Administratoren bei der Auswahl von Serverrollen zu unterstützen, hat Microsoft in SCW für jede verfügbare Rolle eine Beschreibung hinterlegt, die helfen soll, entsprechende Rollen eindeutig zuzuordnen.
Sie können die Anwendung einer Sicherheitsrichtlinie wieder zurücknehmen. Auch diesen Vorgang nehmen Sie über den Security Configuration Wizard vor. Wenden Sie die Richtlinie sofort an, führt der SCW die XML-Datei aus und legt die eingestellten Sicherheitsvorgaben fest. Nach Abschluss der Anwendung müssen Sie den Server neu starten. Am besten erstellen Sie eine Sicherheitsrichtlinie in einer Testumgebung und speichern diese ab. Die abgespeicherte Sicherheitsrichtlinie können Sie dann entweder manuell über die grafische Oberfläche installieren oder per Batch-Datei und Befehlszeilen-Tool Scwcmd verteilen lassen.
Um eine Richtlinie lokal anzuwenden, geben Sie den Befehl
scwcmd configure /p:<Pfad zur XML-Datei>
ein. Um eine Sicherheitsrichtlinie auf einem Remotecomputer ausführen zu können, verwenden Sie ebenfalls das Befehlszeilen-Tool Scwcmd. Geben Sie dazu in der Eingabeaufforderung den Befehl
scwcmd configure /m:<IP oder Name des Remoteservers> /p: <Pfad zur XML-Datei>
ein. Wenn Sie in der Eingabeaufforderung
scwcmd configure
eingeben, erhalten Sie weitere Informationen über die Anwendung des Sicherheitskonfigurations-Assistenten über die Eingabeaufforderung.
Haben Sie auf einem Server eine Sicherheitsrichtlinie angewendet, sehen Sie zunächst keine Änderung. Eine Analyse führen Sie wieder am besten mit dem Befehlszeilen-Tool Scwcmd durch. Geben Sie dazu in der Eingabeaufforderung den Befehl
scwcmd analyze /m:<IP oder Name des Servers> /p:<Pfad zur Richtliniendatei> /o:<Ausgabeordner der Analyse>
ein. Die Analyse erstellt eine XML-Datei, die die Änderung der Richtlinie enthält.
Haben Sie die Datei erstellt, können Sie entweder die XML-Datei betrachten oder über den Befehl
scwcmd view /x:<Name der erstellten XML-Datei>
die Anzeige durch den SCW formatieren und anzeigen lassen.
Wollen Sie die Ausführung einer Sicherheitsrichtlinie wieder vollständig zurücknehmen, können Sie entweder wieder über die grafische Oberfläche die Maßnahme durchführen oder über die Eingabeaufforderung die Sicherheitsrichtlinie zurücknehmen.
Wollen Sie die Sicherheitsrichtlinie über die grafische Oberfläche zurücknehmen, starten Sie den Sicherheitskonfigurations-Assistenten. Wählen Sie die Option Rollback für letzte angewendete Sicherheitsrichtlinie durchführen. In diesem Fall wird die letzte Sicherheitsrichtlinie komplett zurückgenommen. Haben Sie zuvor keine Sicherheitsrichtlinie durchgeführt, erhalten Sie exakt den Stand vor der Einführung der Richtlinie.
Alternativ können Sie auch eine Sicherheitsrichtlinie in der Eingabeaufforderung zurücknehmen. Geben Sie dazu in der Eingabeaufforderung den Befehl
scwcmd rollback /m:<Name oder IP des Servers>
ein.
Microsoft Attack Surface Analyzer
Ein weiteres Tool, Server im Netzwerk abzusichern, ist der ebenfalls kostenlose Microsoft Attack Surface Analyzer. Das Tool scannt den lokalen Computer auf Sicherheitslücken. Haben Sie den Scan abgeschlossen, lassen Sie im nächsten Schritt einen Bericht erstellen. Dazu liest der Analyzer die erstellten .cab-Dateien der einzelnen Scanvorgänge ein und erstellt einen Bericht.
Nach der Installation startet das Tool zunächst einen baseline-Scan. In weiteren product-Scans überprüft das Tool, ob nach der Installation von Anwendungen Unterschiede vorhanden sind. Den Bericht zeigt das Tool im Browser an. Über verschiedene Schaltflächen und Unterteilungen in Sektionen sehen Sie, wie Sie die Sicherheit im System verbessern können
Microsoft Baseline Security Analyzer 2.3
MBSA 2.3 scannt einzelne Computer, IP-Bereiche oder Domänen auf Windows-Computer. Verfügen Sie über Administratorberechtigungen, scannt das Tool alle PCs auf fehlende Patches, Sicherheitslücken und fehlerhafte Sicherheitskonfigurationen. In der aktuellen Version 2.3 unterstützt MBSA die Betriebssysteme bis Windows 8.1 und Windows Server 2012 R2.
Laden Sie das Tool herunter, installieren es und scannen den gewünschten IP-Bereich. Anschließend erhalten Sie einen umfassenden Bericht, welche Patches auf den Computern fehlen und wie Sie die Sicherheit der Computer erhöhen.
Nach der Installation können Sie über die Option Mehrere Computer überprüfen das gesamte Netzwerk auf einmal nach fehlenden Patches und kritischen Sicherheitslücken durchsuchen. Nachdem Sie die Option Mehrere Computer überprüfen ausgewählt haben, können Sie entweder einen IP-Bereich oder eine Domäne angeben, die auf Sicherheitslücken untersucht wird.
Wenn Sie den Scanvorgang per Klick auf die Schaltfläche Suche starten aktivieren, lädt der MBSA zunächst aktuelle Sicherheitsinformationen aus dem Internet herunter. Danach beginnt das Tool, den konfigurierten IP-Bereich nach Sicherheitslücken zu durchsuchen. Im Anschluss zeigt es einen detaillierten Bericht über die fehlenden Aktualisierungen und Sicherheitslücken an. Aus diesem Bericht lässt sich ein Maßnahmenkatalog erarbeiten, zum Beispiel die Einführung der Windows Server Update Services 3.0. Der Scanvorgang des MBSA kann durchaus einige Minuten oder sogar Stunden dauern, abhängig von der Anzahl der Rechner, die im konfigurierten Subnetz integriert sind.
Die Berichte werden gespeichert und können über das Startfenster des Microsoft Baseline Security Analyzer jederzeit erneut angezeigt werden. Zu jedem Überprüfungspunkt zeigt der MBSA eine Detailansicht an. Gibt es Probleme oder findet das Tool Sicherheitsgefahren, erhalten Sie einen Hinweis zur Lösung des Problems für jeden einzelnen Rechner. (mje/hal)