Windows Clients absichern via Security Compliance Toolkit (SCT)

Installiert man Windows, ob 10 oder 11, sind viele Funktionen und Einstellungen aktiv, die dem User zwar die Arbeit erleichtern, aber auch gewissen Risiken in Bezug auf Sicherheit und Integrität des Systems mit sich bringen. Im privaten Umfeld mag dies nicht weiter problematisch sein, jedoch gelten im Unternehmensumfeld andere Prämissen. Dort es ist es um so wichtiger, Schädlinge oder schädliches Verhalten fernzuhalten. Der erste Schritt dies zu erreichen ist es, den Einzelplatzsystemen so wenig Rechte wie möglich, aber auch so viele Rechte wie nötig einzuräumen. Dabei kommt das Microsoft Compliance Toolkit ( SCT ) zum Einsatz.

Das SCT bringt neben Tools zum Vergleich diverser GPO Einstellungen auch schon fertige GPOs mit. Diese GPOs werden auch als Security Baselines Bezeichnet. Sie Stellen die Grundlage für ein sicheres Betriebssystem dar. Diese Baselines gelten als Industriestandard und wurden ausgiebig getestet.

In diesem Howto zeige ich euch, wie Ihr die Baselines zu euren Windows Clients via GPO bringt.

Das SCT lässt sich von folgender Microsoft Seiter herunterladen -> Link

Der Klick auf den Download Button führt uns zu einer Übersicht der wählbaren Komponenten.

Nach dem Download entpacken wir alle Archive in ein Verzeichnis.

Wer sich die GPO vorab anschauen möchte bzw. diese mit schon vorhanden Einstellungen vergleichen möchte, der kann für diese Aufgabe den Policy Analyzer verwenden. Für meine Testumgebung lade ich die WIN 10 Baseline in den Policy Analyzer. Diesen finde wir im zugehörigen Verzeichnis.

Nach dem Starten des Policy Analyzers erhalten wir folgende Übersicht.

Wir wählen „Add“ aus.

Unter „File“ wählen wir „Add files from GPO(s)“.

Dort geben wir das Verzeichnis an, in dem sich die Baseline GPOs für z.B. WIN 10 befinden.

Es werden dann alle Einstellungen geladen. Nun markieren wir alle Policies und bestätigen mit einem Klick auf „Import“.

Nun markieren wir alle Policies und bestätigen mit einem Klick auf „Import“.

Nach dem Klick auf OK werden wir aufgefordert, die Policy Rules abzuspeichern.

Sollte der Speicherort der Policy Rules noch nicht richtig eingetragen sein, kann man diesen unter „Reset“ ändern.

Anschließend markieren wir unsere Baseline und wählen „View/Compare“

Hier sind wir in der Lage alle Einstellungen, die in der Baseline enthalten sind, einzusehen. Wir können die Baseline auch mit dem Ist-Zustand des ausführenden Systems vergleichen, Dazu lediglich auf die Schaltfläche „Compare to effective State“ klicken.

Im darauf folgenden Fenster sind alle Unterschiede in gelb markiert.

Nachdem wir nun jede einzelne Einstellung überprüft habe ( hihi, nur Spaß ) wird es Zeit, diese in AD zu laden, damit wir diese dann im großen Umfang an die Clients ausrollen können.

Auf dem AD Controller habe ich eine PowerShell mit administrativen Rechten gestartet. Wir müssen für den Import der GPOs ein Skript ausführen. Dieses Skript ist nicht signiert, daher ändern wir die Ausführungsrichtlinie temporär auf „unrestricted“. Damit wir die Richtlinie im Nachgang wieder auf den ursprünglichen Wert einstellen können, fragen wir ihn mit „Get-ExecutionPolicy“ ab

In dem Fall steht die Policy auf „AllSigned“

Zum Import der GPOs sind die Schritte, wie im folgenden Screenshot zu erkennen, auszuführen.

Wie schon weiter oben geschrieben müssen wir unsignierte Skripte erlauben(1). Anschließend wechseln wir in das Verzeichnis der jeweiligen Baseline, die das Import-Skript enthält(2).

Nachdem das Skript ohne Fehler durchgelaufen ist sehen wir das Ergebnis im Gruppenlinieneditor.

Nun können wir je nach Bedürfnis die Objekte an die gewünschte OU verlinken.

Bevor Ihr diese neuen GPOs nun in eure Produktivumgebung einbringt empfehle ich, diese erst in einer Testumgebung auszuprobieren, um zu ermitteln, ob die gemachten Einstellungen in eurer Umgebung auch funktionieren.

Das soll es nun gewesen. Ihr wisst nun, wie Security Baselines geladen und via GPO verteilt werden.