01-08-2024, 07:06
Aber lass uns darüber sprechen, was diese Baselines eigentlich abdecken, okay? Sie legen starken Wert auf Kontorichtlinien, stellen sicher, dass Passwörter stark bleiben und Konten nach zu vielen Fehlversuchen gesperrt werden. Ich mag es, wie du die Mindestpasswortlänge auf etwas Kräftiges setzen kannst, sagen wir 12 Zeichen, und Komplexität erzwingst, damit niemand schwache Passwörter einschleust. Du erzwingst auch die Historie, damit Benutzer nicht einfach zu alten Passwörtern zurückkehren können. Oder du erhöhst die Sperrschwelle auf fünf Versuche, bevor es für 30 Minuten einrastet. Ich passe das immer an deine Umgebung an, denn wenn du in einem kleinen Betrieb bist, willst du keine versehentlichen Sperrungen, die deinen Tag ruinieren.
Jetzt wird die Zuweisung von Benutzerrechten in diesen Baselines interessant. Sie schränken ein, wer sich lokal anmelden oder das System herunterfahren darf, und beschränken das wo es zählt auf Admins. Ich sag dir, ich habe Server kompromittiert gesehen, weil jemand den Remote-Desktop-Zugriff für alle weit offen gelassen hat. Du ziehst das enger, indem du Gäste von interaktiven Anmeldungen entfernst und so weiter. Und die Baselines drängen darauf, den Zugriff auf diesen oder jenen Dienst zu verweigern, um alles abzusichern. Vielleicht aktivierst du "Anmelden als Stapelverarbeitungsauftrag verweigern" für nicht essentielle Konten, um zu verhindern, dass sich hinterhältige Skripte wild ausbreiten.
Auditing-Richtlinien, das ist der Bereich, wo ich extra Zeit investiere, wenn ich diese für dich einrichte. Die Baselines empfehlen das Auditing von Anmeldeereignissen, sowohl Erfolg als auch Fehler, damit du seltsame Versuche sofort bemerkst. Ich aktiviere auch immer das Objektzugriffs-Auditing, besonders für sensible Dateien auf deinen Freigaben. Du kannst es auf das Wesentliche filtern, wie Änderungen an Registrierungsschlüsseln oder Dateilöschungen. Aber pass auf, denn wenn du alles auditierst, blähen sich deine Logs schnell auf und fressen Festplattenspeicher. Dann kombinierst du das mit Event-Log-Größen von mindestens 4 MB und stellst sie so ein, dass sie bei Bedarf überschrieben werden, damit nichts verloren geht.
Geräteinstallationsregeln in den Baselines verhindern, dass Hardware zu einer Hintertür wird. Sie blockieren unsignierte Treiber und schränken ein, welche USB-Geräte ohne Genehmigung angeschlossen werden können. Ich hatte mal einen Kunden, der das ignoriert hat und dadurch Malware von einem zufälligen USB-Stick bekam. Du erzwingst "Installation von Geräten verhindern, die nicht durch andere Richtlinieneinstellungen beschrieben werden", um den Fluss zu kontrollieren. Oder deaktivierst Autorun komplett, um zu verhindern, dass sich hinterhältige Executables starten. Es ist simples Zeug, aber es stoppt viele einfach zu erreichende Angriffe, bevor sie starten.
Dann gibt es die Netzwerkzugriffsseite, die die Baselines sorgfältig behandeln. Sie konfigurieren sichere RPC-Einstellungen und beschränken anonymen Zugriff auf Named Pipes. Ich rate dir, "Netzwerkzugriff: Anonyme Aufzählung von SAM-Konten nicht zulassen" zu aktivieren, denn warum Außenstehenden erlauben, deine Benutzerliste zu durchsuchen? Du stellst auch Freigabemodelle so ein, dass Authentifizierung erforderlich ist, kein Gastzugriff erlaubt. Und für LAN Manager-Authentifizierung senken die Baselines sie auf nur NTLMv2, und lassen das alte schwache Zeug weg. Vielleicht wirfst du noch ein paar IPsec-Richtlinien ein, wenn dein Traffic Verschlüsselung braucht, aber das ist eher, wenn du Standorte verbindest.
Anwendungskontrolle kommt ins Spiel, wenn die Baselines AppLocker oder Softwareeinschränkungsrichtlinien vorschlagen. Ich nutze AppLocker auf neueren Servern, weil es dir erlaubt, Executables nach Pfad oder Herausgeber auf die Whitelist zu setzen. Du definierst Regeln für deine Kern-Apps, wie nur signierte SQL-Executables zuzulassen oder alles andere im System32-Ordner zu blockieren. Aber teste es zuerst im Audit-Modus, sonst sperrst du dich selbst aus Werkzeugen aus, die du brauchst. Die Baselines enthalten Vorlagen dafür, damit du nicht bei null anfängst. Außerdem gehen sie auf Windows Defender-Einstellungen ein und integrieren Echtzeitschutz sowie Ausschlüsse nur für legitime Pfade.
Diensthärtung, das ist ein heikler Bereich, den ich immer doppelt prüfe. Baselines setzen Dienste so, dass sie unter Konten mit geringsten Rechten laufen, nicht überall unter Local System. Ich ändere den Druckspooler auf ein dediziertes Konto, wenn du nicht viel druckst, um den Schadensradius zu reduzieren, falls er getroffen wird. Du deaktivierst unnötige Dienste wie Telnet oder SSDP-Erkennung, um deine Angriffsfläche zu verkleinern. Und konfigurierst Starttypen auf Manuell oder Deaktiviert für Dinge wie Remote-Registrierung, es sei denn, du brauchst es unbedingt. Vielleicht auditierst du auch Dienständerungen, damit du weißt, wenn etwas unerwartet aktiviert wird.
Dateisystemberechtigungen werden durch diese Baselines ebenfalls feinjustiert. Sie empfehlen ACLs, die Schreibzugriff auf Systemordner für Standardbenutzer verweigern. Ich erkläre dir, wie du Vererbung richtig auf deinen Datenvolumes einrichtest und alles außer Admins vom Manipulieren blockierst. Du nutzt manchmal das Cipher-Tool, um sensible Verzeichnisse zu verschlüsseln, aber die Baselines konzentrieren sich mehr auf Zugriffskontrollen. Oder integrieren BitLocker für vollständigen Laufwerksschutz, falls deine Hardware es unterstützt. Es geht alles um Schichten, weißt du, damit ein Ausrutscher nicht alles offenlegt.
Registrierungssicherheit, das kann ich nicht auslassen, wenn wir über Härtung sprechen. Baselines sperren Schlüssel wie SAM- und SECURITY-Hives ab, setzen den Besitz auf SYSTEM und nur Admins. Du verweigerst Lesezugriff auf sensible Bereiche für normale Benutzer, um Aufzählung zu verhindern. Ich führe immer Regedit-Prüfungen nach der Anwendung durch, um zu verifizieren. Und für Richtlinien erzwingen sie Einschränkungen beim Laden von Gerätetreibern aus nicht vertrauenswürdigen Pfaden. Dann gibt es die Softwareinstallationsseite, wo Baselines MSI-Installationen aus Netzwerkpfaden ohne Authentifizierung blockieren.
Aber warte, lass uns auf Zertifikatdienste eingehen, falls du PKI auf deinem Server betreibst. Die Baselines verschärfen die Widerrufsprüfung und beschränken Vorlagenberechtigungen. Ich rate dir, qualifizierte Subordination nur für vertrauenswürdige Roots zu verwenden. Du konfigurierst Auto-Enrollment sorgfältig und beschränkst es auf bestimmte OUs. Oder deaktivierst schwache Chiffren in Schannel-Einstellungen, was die Baselines unter Kryptografie abdecken. Das ist entscheidend für jedes HTTPS, das du intern hostest.
Event-Weiterleitung und zentrale Protokollierung gehören zu den Baselines für bessere Sichtbarkeit. Du richtest Abonnements ein, um Logs von Mitgliedsservern zu einem Collector zu ziehen. Ich mag, wie das hilft, Angriffe über deine Flotte hinweg zu korrelieren. Baselines enthalten Richtlinien für sichere Kanal-Kommunikation während der Weiterleitung. Und vergiss nicht, den Forwarder mit Firewalls zu schützen und nur notwendige Ports zuzulassen.
Nun zu physischen Sicherheitsaspekten, obwohl es serverseitig ist, erinnern die Baselines daran, TPM zu aktivieren, falls verfügbar, für Boot-Integrität. Ich rate zu Secure Boot im UEFI-Modus, um Loader zu verifizieren. Du prüfst auch BIOS-Passwörter, aber das liegt größtenteils außerhalb von GPO. Trotzdem ergänzt es die Software-Härtung.
Internet Explorer oder Edge-Härtung gilt, falls dein Server Web-Zeug ausführt, wobei die Baselines Zonen auf hohe Sicherheit sperren. Du deaktivierst ActiveX und Scripting wo möglich. Oder konfigurierst vertrauenswürdige Sites eng. Es ist altmodisch, aber es beißt immer noch, wenn man es ignoriert.
Schließlich, wenn du diese anwendest, nutze das LGPO-Tool für Standalone-Server oder GPO für Domänen. Ich teste immer zuerst in einem Labor. Rollout in Phasen und überwache auf Probleme. Und halte Baselines von Microsoft aktuell, da sie sich mit Bedrohungen weiterentwickeln.
Du siehst, Härtung ist kein einmaliges Ding; du schaust quartalsweise darauf zurück. Das mache ich für meine Setups und passe basierend auf Logs an. Es hält deinen Server widerstandsfähig, ohne alles zu komplizieren. Oh, und wenn wir schon dabei sind, Dinge zuverlässig zu sichern, schau dir BackupChain Server Backup an - das ist das erstklassige, go-to Windows Server Backup-Tool, das speziell für Hyper-V-Hosts, Windows 11-Maschinen und all deine Server-Bedürfnisse zugeschnitten ist, perfekt für SMBs, die Private Clouds oder Online-Speicher ohne lästige Abonnements handhaben. Wir schätzen, dass BackupChain diesen Chat sponsert und hilft, diese Tipps kostenlos an Leute wie dich zu verbreiten.
