Um Windows-Server mit SCM abzusichern, ist kein Active Directory notwendig, die Einstellungen lassen sich auch in lokale Richtlinien einlesen. Dazu stellt SCM das Zusatztool
»LocalGPO
«
zur Verfügung. Mit dem Tool aus der Programmgruppe
»Microsoft Security Compliance Manager
«
lassen sich Einstellungen lokal aus SCM in eine Richtlinie auf dem Server importieren.
Das Tool arbeitet in der Befehlszeile und stellt verschiedene Optionen für den Import zur Verfügung. LocalGPO ist vor allem für Server gedacht, die über keine Domänenanbindung verfügen. Im ersten Schritt installieren Sie das Tool auf dem Server und können anschließend auf der Befehlszeile die Einstellungen importieren.
Nach der Installation starten Sie dazu
»LocalGPO Command-line
«
in der Programmgruppe
»LocalGPO
«
. Um die Einstellungen einer SCM-Baseline auf einem lokalen Server zu importieren, erstellen Sie zunächst die Baseline, wie zuvor beschrieben. Anschließend exportieren Sie diese als GPO-Backup in ein Verzeichnis. Dieses kopieren Sie auf den Server, auf dem Sie die Richtlinien umsetzen wollen. Anschließend geben Sie den Befehl
»cscript LocalGPO.wsf /Path:<Pfad zur GPO-Sicherung>
«
ein (
Abbildung 3
).
Bei der Umsetzung der neuen Einstellungen, speichert LocalGPO die Einstellungen der lokalen Richtlinie. So können Sie diese jederzeit wiederherstellen. Um die ursprünglichen Einstellungen auf dem Server wiederherzustellen, verwenden Sie den Befehl
»cscript LocalGPO.wsf /Restore
«
.
Mit LocalGPO haben Sie auch die Möglichkeit, die Einstellungen der lokalen Sicherheitsrichtlinie in eine GPO-Datensicherung zu sichern. Diese können Sie zum einen ebenfalls zum Wiederherstellen nutzen, indem Sie sie auf einem Server wieder importieren. Zum anderen können Sie diese Sicherung auf anderen lokalen Servern importieren. Außerdem ist es möglich, auf Basis dieser Sicherung eine neue Active-Directory-Gruppenrichtlinie zu erstellen und diese Einstellungen zu importieren. Verwenden Sie dazu den Befehl
»cscript LocalGPO.wsf /Path: <Pfad> /Export
«
. Importieren können Sie diese Sicherung entweder mit LocalGPO, oder Sie verwenden die Gruppenrichtlinienverwaltungskonsole.
Sie können aber auch die lokale Sicherheitsrichtlinie eines Servers in ein
»GPOPack
«
exportieren. Mit diesem können Sie die Sicherheitseinstellungen auf einem anderen Server importieren, ohne dass Sie LocalGPO auf dem Zielsystem installieren müssen. Verwenden Sie dazu den Befehl
»cscript LocalGPO.wsf /Path: "<Pad>" /Export /GPOPack
«
. Mehr zu diesem Thema lesen Sie auf der Internetseite
[5]
.
(ofr)
Infos