Bundesamt für Sicherheit in der Informationstechnik

M 2.491 Nutzung von Rollen und Sicherheitsvorlagen unter Windows Server 2008

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator, Fachverantwortliche

Neuerungen von Windows Server 2008

Für die Nutzung von Rollen und Sicherheitsvorlagen ergeben sich ab Windows Server 2008 einige Neuerungen. Neben der Umstellung des Formats der administrativen Vorlagendateien (siehe M 2.368 Umgang mit administrativen Vorlagen unter Windows ab Server 2003 ) wurden weitere Veränderungen oder Ergänzungen insbesondere im Bereich Gruppenrichtlinienobjekte und Verwaltungstools vorgenommen. Generell sind Kriterien zu definieren, wie die Vorlagen auf die jeweiligen Systeme anzuwenden sind.

Server-Manager

Die Basis-Konfiguration von Rollen und Funktionalitäten erfolgt über das zentrale Werkzeug des Server-Managers. Er wurde im Vergleich zu den Vorgängerversionen deutlich aufgewertet. Vorlagen in Form von INF-Dateien oder sonstigen Vorlagen (Templates) können über den Server-Manager jedoch nicht bearbeitet werden.

Security Configuration Wizard

Mit Einführung von Windows Server 2008 wurde der Security Configuration Wizard (SCW) integraler Bestandteil des Systems (siehe M 4.416 Einsatz von Windows Server Core ). Allerdings geht die Bedeutung dieses Werkzeugs durch die Einführung des Server-Managers, der einen zentralen Zugang zu fast allen Konfigurationseinstellungen des Servers bietet, zurück. Darüber hinaus bietet der SCW keine oder nur eingeschränkte Möglichkeiten, Vorlagen zu erstellen oder zu verwalten. Grundsätzlich können die mit dem SCW erstellten XML-Dateien in Gruppenrichtlinienobjekte migriert werden, allerdings ist dieser Prozess aufwendig. Damit eignet sich der SCW eher für die Verwaltung von sogenannten Stand-Alone-Systemen.

Starter-Gruppenrichtlinienobjekte

Starter-Gruppenrichtlinienobjekte stellen eine Basis für weitere Konfigurationsvorlagen dar. Sie sind unter Windows Server 2008 integraler Bestandteil der Gruppenrichtlinienstruktur innerhalb der Gruppenrichtlinienverwaltung. Es ist zu beachten, dass ursprünglich keine Starterobjekte in Windows Server 2008 R2 und Windows 7 vorhanden sind. Diese wurden durch Microsoft erst später nachgeliefert.

Eine direkte Bearbeitung eines Starter-Gruppenrichtlinienobjektes ist nicht möglich. Für eine veränderbare Version der Vorlage muss die Option Neues Gruppenrichtlinienobjekt aus Starter-Gruppenrichtlinienobjekt... gewählt werden. Diese Option kopiert das gewünschte Objekt innerhalb des Active Directory in den Ordner Gruppenrichtlinienobjekte.

Das aus einem Starter-Gruppenrichtlinienobjekt erstellte neue Gruppenrichtlinienobjekt erhält alle zuvor vorhandenen Richtlinieneinstellungen für administrative Vorlagen sowie für die definierten Werte.

Alle in einer Domäne vorhandenen Starter-Gruppenrichtlinienobjekte werden im Verzeichnis StarterGPOs im Sysvol-Verzeichnis der Domäne gespeichert.

Security Compliance Manager

Zentrales Werkzeug zur Verwaltung von Vorlagen ist der Microsoft Security Compliance Manager (SCM). Er ist Bestandteil der frei verfügbaren Security Solution Accelerators, die von Microsoft bereitgestellt werden.

Der SCM konsolidiert die vormals vorhandenen Werkzeuge wie das Security Compliance Management Toolkit und den GPOAccelerator. Diese Werkzeuge werden nicht mehr weiterentwickelt und sind nicht mehr verfügbar.

Über eine Webschnittstelle werden aktualisierte Vorlagen des Herstellers Microsoft bereitgestellt. Darüber hinaus können Vorlagen weiterer Hersteller zugeführt werden.

Der SCM setzt auf Starter-Gruppenrichtlinienobjekte auf. Dabei handelt es sich um Vorlagen mit Standardeinstellungen für unterschiedliche Anwendungsszenarien, die sich in zwei Gruppen teilen:

  • Enterprise Client (EC)

Diese Vorlagen sind für Standard-Systeme im betrieblichen Anwendungsumfeld gedacht, die Mitglied in einer Domäne sind. WS08R2-EC-Member-Server ist die entsprechende Vorlage zur Konfiguration eines Mitgliedservers.

  • Specialized Security - Limited Functionality (SSLF)

Diese Vorlagen sind für Systeme mit höheren Sicherheitsanforderungen gedacht, bei denen Einschränkungen in der Funktionalität zugunsten einer erhöhten Sicherheit vorgenommen werden. WS08R2-SSLF-Member-Server ist die entsprechende Vorlage für Server-Systeme mit höheren Sicherheitsanforderungen.

Hauptaufgaben des SCM sind:

  • zentrale Speicherung von Sicherheitseinstellungen in sogenannten Baselines
  • zentrale Verwaltung von Sicherheitseinstellungen für die Domäne
  • Nutzung von Baselines von Dritt-Herstellern
  • Exportmöglichkeit der Baselines

Die folgenden Formate können durch den Security Compliance Manager erstellt und exportiert werden:

  • Desired Configuration Management (DCM) Packs
  • Security Content Automation Protocol (SCAP)
  • XLS (setzt Excel 2007 voraus)
  • Group Policy Objects (GPOs)

Es ist zu beachten, dass nur Kopien der Vorlagen bearbeitet werden sollten. Ebenso sind alle Sicherheitsvorlagen für den Windows Server 2008 an zentraler Stelle zu verwalten und zu bearbeiten. Die gewählten Sicherheitseinstellungen müssen dokumentiert werden.

Mit Einführung des SCM wurden die bisher fehlenden Baselines für Windows 7, Windows Server 2008 R2 oder Microsoft Office 2010 bereitgestellt. Für alle Systeme oder Produkte gilt weiterhin die Unterscheidung zwischen den beiden Vorlagen EC und SSLF.

Neben der Installation des Security Compliance Manager wird zusätzlich ein Werkzeug namens LocalGPO bereitgestellt Dieses dient der Transformation der lokalen Richtlinien in ein GPO-Backup. Das Backup kann für andere Systeme als Basiskonfiguration genutzt werden. Umgekehrt wandelt das Werkzeug GPO-Backups in eine lokale Richtlinie um. Das Tool LocalGPO muss bei Bedarf über ein bereitgestelltes MSI-Paket nachinstalliert werden.

Prüffragen:

  • Werden alle Sicherheitsvorlagen für Windows Server 2008 an zentraler Stelle verwaltet und bearbeitet?

  • Wurden Kriterien definiert, wie die Vorlagen auf die jeweiligen Systeme anzuwenden sind?

  • Existiert eine Dokumentation zu den gewählten Sicherheitseinstellungen des Windows Server 2008?

Stand: 13. EL Stand 2013