Security Compliance Manager und Security Configuration Wizard

Windows-Praxis: Systeme mit kostenlosen Microsoft-Tools absichern

Wer die Konfiguration von Servern, Systemen und Anwendungen in Sachen Sicherheit optimieren will, findet bei Microsoft eine Reihe hilfreicher und kostenloser Tools. Den Schwerpunkt legen wir in diesem Praxisbeitrag auf den Security Compliance Manager und den Security Configuration Wizard.

In der aktuellen Version 3.0 beherrscht der Security Compliance Manager neben den Windows Servern (2003/2008/2008 R2/2012) auch die Absicherung von Exchange Server 2007 SP3/2010 SP2. Bei den Client-Betriebssystemen finden Windows 8, Windows 7 sowie Vista und XP Unterstützung. Das Absichern von entsprechenden Microsoft-Anwendungen klappt ebenfalls, und zwar mit Internet Explorer 8/9 und Explorer 10 sowie Microsoft Office 2007/2010. Bislang keine Berücksichtigung findet die Anwendung Office 2013. Für die Betriebssysteme Windows 8.1 und Windows Server 2012 R2 soll laut Microsoft ein Update Ende Q1 2014 kommen.

Damit Sie das Tool verwenden können, müssen Sie das .NET Framework 4.0 installieren - am besten gleich auch noch die kostenlose Datenbank SQL Server 2008 R2 Express Edition.

Gehen Sie mit dem Tool wie folgt vor: Laden Sie zunächst den Security Compliance Manager herunter, der in der Version 3.0 verfügbar ist. Sie installieren das Tool auf einem Server, importieren die bestehenden Gruppenrichtlinien in Active Directory in das Tool und können anschließend die Einstellungen der Richtlinien mit den Konfigurations-Empfehlungen aus dem SCM vergleichen.

Sie können den Security Compliance Manager auch auf einer Arbeitsstation aufspielen, für den Betrieb ist kein Server oder Agent notwendig. Die Absicherung erfolgt komplett über eine Gruppenrichtlinieninfrastruktur. Alleinstehende Server können Sie aber auch absichern. Dazu lesen Sie die Richtlinien von SCM in eine lokale Sicherheitsrichtlinie ein.

Nachdem Sie das Tool installiert haben, starten Sie es und lassen die Vorlagen der Richtlinien einlesen. Auf der linken Seite wählen Sie das System aus, das Sie absichern wollen, in der Mitte des Fensters nehmen Sie die Einstellungen vor.

Um einen Server abzusichern, kopieren Sie über das Kontextmenü eine vorhandene Standard-Baseline und erstellen eine neue. In dieser nehmen Sie die Einstellungen vor. Die Standard-Baselines sind schreibgeschützt und bleiben immer unverändert.

Mit dem Befehl Duplicate im Kontextmenü einer Basisrichtlinie führen Sie den Kopiervorgang durch. Der nächste Schritt besteht darin, dass Sie die Einstellungen der Richtlinie an Ihre Bedürfnisse anpassen. Die meisten Einstellungen belassen Sie am besten so, wie sie sind, um den entsprechenden Server optimal abzusichern.