Microsoft Security Compliance Manager härtet kostenlos Serversysteme ab

Unternehmen haben beim Einsatz mehrerer Windows-Server oft das Problem, Sicherheitseinstellungen einheitlich zu verteilen und optimal zu gestalten. Der kostenlose Microsoft Security Compliance Manager (SCM) enthält Vorlagen und Empfehlungen für eine Absicherung von Servern über Gruppenrichtlinien und PowerShell-Skripte. Im Fokus steht dabei die Absicherung des Windows-Betriebssystems. In der neuen Version beherrscht das Tool auch die Absicherung von Exchange Server 2007 SP3/2010 SP2.

Im Grunde genommen erstellt das Tool Vorlagen für Gruppenrichtlinien, die bereits Empfehlungen von Microsoft integriert haben. Administratoren können die Richtlinien noch an das eigene Unternehmen anpassen und anschließend in neue Richtlinien über Gruppenrichtlinien integrieren und an Server verteilen. Das Tool unterstützt aber nicht nur Active-Directory-Server, sondern auch alleinstehende Server. Hier bietet SCM auch ein Befehlszeilentool, mit dem Administratoren über Batchdateien Server absichern können.

Kostenloses Tool

Microsoft stellt den Security Compliance Manager (SCM) kostenlos auf [1] zum Download bereit. Sie installieren das Tool, importieren auf Wunsch die bestehenden Gruppenrichtlinien von Active Directory und können anschließend die Einstellungen der Richtlinien mit den Konfigurations-Empfehlungen aus dem SCM vergleichen. Anschließend können Sie die angepassten Richtlinien wieder in Active Directory importieren. Haben Sie noch keine Gruppenrichtlinien im Einsatz, können Sie aber auch problemlos neue Richtlinien über das SCM erstellen oder einzelne Server auch mit SCM über lokale Sicherheitsrichtlinien absichern.

SCM unterstützt die Absicherung von Windows Server 2003/2008/2008 R2 sowie die Client-Betriebssysteme Windows XP/Vista und Windows 7 inklusive Service Pack 1. In der Version 2.5 des SCM fehlt derzeit noch die Unterstützung für Windows 8 und Windows Server 2012. Bei Veröffentlichung dieser beiden Betriebssysteme im letzten Quartal 2012 wird Microsoft aber wohl eine entsprechend aktualisierte Version des SCM anbieten. Ebenfalls absichern lassen sich aber Internet Explorer 8/9, Office 2007/2010 und Exchange Server 2007/2010 inklusive der aktuellsten Service Packs, vor allem Exchange Server 2010 SP2.

Administratoren können SCM problemlos auf der eigenen Arbeitsstation betreiben ( Abbildung 1 ). Allerdings muss auf der Arbeitsstation Windows 7 als 64-Bit-Version installiert sein. Wollen Sie später Einstellungen von SCM in eine Exceltabelle exportieren, muss auf dem entsprechenden Computer Excel 2007/2010 installiert sein. Das ist allerdings optional und nur dann notwendig, wenn Sie verschiedene Einstellungen aus dem SCM in Excel importieren wollen.

Abbildung 1: Starten des Microsoft Security Compliance Manager.

Security Compliance Manager in der Praxis

SCM benötigt das .NET Framework 4.0 [2] . Auch die kostenlose Datenbank SQL Server 2008 R2 Express Edition [3] ist auf dem Server notwendig. Diese Voraussetzungen sollten Sie vor dem SCM installieren. Verwenden Sie bei beiden die Standardeinstellungen zur Installation. In SQL Server 2008 R2 speichert SCM seine Konfigurationsdaten, Baselines, die Einstellungen und Dokumentationen.

Der nächste Schritt ist die SCM-Installation auf einer Arbeitsstation oder einem Server. Eine Installation unter Windows 8 oder Windows Server 2012 ist derzeit nicht möglich. Nach der Installation steht das Verwaltungstool des SCM zur Verfügung. Beim ersten Start liest das Tool die entsprechenden Konfigurationsempfehlungen, Baselines genannt, für die Serversysteme ein und startet die SCM-Verwaltungsoberfläche. Links wählen Sie die Empfehlungen (Baselines) aus, in der Mitte des Fensters lassen sich Einstellungen vornehmen und ändern. Rechts finden Sie Aktionen, um die Vorlagen zu sichern und später in eine Gruppenrichtlinie einzulesen.

Sie sollten in regelmäßigen Abständen die SCM-Baselines in SCM über das Internet aktualisieren lassen. Verwenden Sie dazu den Link »Download Microsoft Baselines manually« im Startbildschirm des SCM. Das Tool öffnet den Internet Explorer und schlägt neue Baselines zur Installation vor. Über die Seite [4] können Sie Baselines auch manuell herunterladen und in SCM integrieren.