MMC: Snap-in "Sicherheitskonfiguration und -analyse"

#1 Hallo zusammen,

Mit Hilfe der MMC und den Snap-ins "Sicherheitskonfiguration und -analyse", sowie dem Snap-in "Sicherheitsvorlagen" kann man sehr komfortabel - nicht nur sicherheitsrelevante - Systemeinstellungen verwalten und je nach Einsatzbereich eines Rechners auf diesen oder mehrere Rechner anwenden.
Ich interessiere mich hier vor allem für die Sektion dieser Sicherheitsvorlagen, welche eine Konfiguration der Systemdienste möglich macht.
Meine Frage ist, ob es möglich ist die aktuelle Konfiguration der Systemdienste eines Rechners in eine solche Sicherheitsvorlage _automatisiert_ zu importieren. Ich würde mir gerne die Arbeit sparen eine Sicherheitsvorlage von Hand zu erstellen, welche die aktuelle Konfiguration eines System beinhaltet.

Vielen Dank!

#2 Du schriebst:

Zitat

Meine Frage ist, ob es möglich ist die aktuelle Konfiguration der Systemdienste eines Rechners in eine solche Sicherheitsvorlage _automatisiert_ zu importieren

Meine Frage: Ist es dir gelungen, die aktuelle Sicherheitskonfiguration vorab irgendwie komplett
zu exportieren? Wenn ja, wie? Unabgängig von den Diensten als solchen konnte ich kein "Backup" der momentan
gültigen Einstellungen erstellen. Weder händisch per "secedit" noch über die MMC. Das einzige was diesbezüglich
klappt, ist das Generieren einer neuen, leeren Sicherheitsvorlage in der sämtliche(!) Richtlinien und Dienste
einmalig manuell konfiguriert werden müssen. Danach könnte diese neue Sicherheitsvorlage durchaus als
Konfiguration für spätere Hosts genutzt werden.

Bis jetzt endete jeder Versuch immer damit, dass ich eine Kopie der vorher deklarierten und bereits existenten
Sicherheitsvorlage erhielt.

Gruß,

Sepia

#3 Ich danke dir für deine Antwort Sepia.

Dem was du da sagst, kann ich kaum etwas hinzufügen.
Wenn es möglich wäre eine komplette Vorlage und nicht nur die Sektion "Systemdienste" einer Vorlage aus der aktuellen Computerkonfiguration zu erstellen, so wäre mir das auch Recht. Ich weiss aber auch hierfür keinen Weg.

Die einmalige manuelle Konfiguration von der du sprichst, möchte ich eben sparen. Ich habe das mal gemacht für sämtliche Dienste. Spass macht das nicht, aber wenn man es nur einmal machen muss, geht es gerade noch so.

Eine neue Vorlage erstelle ich über das Snap-In "Sicherheitsvorlagen". Diese importiere ich dann in das Snap-in "Sicherheitskonfiguration und -analyse". Wenn man das System mit dieser Vorlage prüfen lässt werden einem in Anschluss für alle Kategorien komfortabel nebeneinander Ist-Wert und Soll-Wert einer beliebigen definierten Einstellung ausgegeben. Jetzt bin ich von Hand hingegangen und habe alle Sollwerte auf den Ist-Wert gestellt. Nur für die Kategorie "Systemdienste" natürlich, alles andere artet ja in unendlich viel Arbeit aus.
Wenn man danach die Sicherheitsvorlage exportiert, hat man eine Vorlage die der aktuellen Konfiguration entspricht, aber man hat es mit einer Menge Arbeit bezahlt.

Hintergrund ist, dass ich im Zusammenhang mit der bekannten "Diensteproblematik von Windows" verschiedene Konfigurationen der Dienste testen und eventuell für unterschiedliche Arbeitsumgebungen (Laptop) verschiedene Vorlagen definieren möchte.
Eine entsprechende Strategie verfolgt das Projekt http://ntsvcfg.de/ mit seinem Script.
Ich werde wohl eine erste Vorlage manuell erstellen müssen, mir daraus dann weitere Vorlagen durch Abänderungen erschaffen und diese dann je nach Aufgabe auf das System anwenden.

#4 Nachtrag:
Ich merke gerade, dass die "händische" Lösung sich wohl kaum mit vernünftigem Arbeitsaufwand in die Praxis umsetzen lässt, weil man anscheinend die anderen Kategorien (alle außer Systemdienste) nicht löschen, deaktivieren, neutralisieren, was-auch-immer kann.
Man müsste also auch alle anderen Kategorien von Hand anpassen. Das ist mir entschieden zu viel Aufwand.

#5 [Erstellen einer neuen Sicherheitsvorlage]

Zitat

Wenn man danach die Sicherheitsvorlage exportiert, hat man eine Vorlage die der aktuellen Konfiguration entspricht, aber man hat es mit einer Menge Arbeit bezahlt.

In der Tat, der Aufwand ist verdammt groß. Ehrlich gesagt verstehe ich es auch nicht, dass man seine aktuellen
Sicherheitseinstellungen nicht einfach exportieren kann. Stattdessen muß vorab eine Vorlage erstellt werden.
Das ist ungefähr so, als wenn man ein Pferd von hinten aufzäumen will und zusätzlich noch völlig unpraktikabel.
Aber warum einfach, wenn's auch umständlich geht...

Zitat

Ich merke gerade, dass die "händische" Lösung sich wohl kaum mit vernünftigem Arbeitsaufwand in die Praxis umsetzen lässt, weil man anscheinend die anderen Kategorien (alle außer Systemdienste) nicht löschen, deaktivieren, neutralisieren, was-auch-immer kann.

Laut Syntax von "secedit.exe" besteht angeblich die Möglichkeit, per 'secedit /export / areas (Bereich1 Bereich2 usw.)'
die gewünschten Sicherheitsbereiche separat zu exportieren. Die erwähnten Bereiche gliedern sich in

SECURITYPOLICY, GROUP_MGMT, USER_RIGHTS, REGKEYS, FILESTORE und eben SERVICES.

Wenn man dem Glauben schenkt, sollte sich aus einer (vorher erstellten, neuen) Sicherheitsvorlage z.B.
nur die Dienste-Konfiguration exportieren lassen. Ich hab's aber nicht ausprobiert, weil ich keine für die
konfigurierten Dienste passende Sicherheitsvorlage hatte.

Gruß,

Sepia

#6

Zitat

Das ist ungefähr so, als wenn man ein Pferd von hinten aufzäumen will und zusätzlich noch völlig unpraktikabel.

Nun ja, diese Schnittstelle scheint von M$ nur geschaffen worden zu sein um Sicherheitsvorlagen auf das System anzuwenden.
Das erstellen dieser Vorlagen soll anscheinend Handarbeit sein. Vielleicht haben sie das auch nur so gemacht, damit ausschliesslich Vollprofis Vorlagen erstellen. Vielleicht haben sie ach garnicht darüber nachgedacht, wo Vorlagen her kommen.

Allerdings scheint secedit zumindest in Windows 2003 eine Rollback funktion zu haben. Diese kann aber nur eine spezielle Vorlage rückgängig machen. argh ...

Zitat

secedit /GenerateRollback

Ermöglicht die Generierung einer Rollbackvorlage für eine Konfigurationsvorlage. Wenn Sie eine Konfigurationsvorlage auf einen Computer anwenden, haben Sie die Möglichkeit, eine Rollbackvorlage zu erstellen, mit der Sie die Sicherheitseinstellungen bei Bedarf auf die Werte vor Anwendung der Konfigurationsvorlage zurücksetzen können.

Quelle: http://www.microsoft.com/technet/prodtechnol/windowsserver2003/de/library/ServerHelp/5b388f78-b2a0-4ae6-898e-e06a91020899.mspx?mfr=true

Zitat

Laut Syntax von "secedit.exe" besteht angeblich die Möglichkeit, per 'secedit /export / areas (Bereich1 Bereich2 usw.)'
die gewünschten Sicherheitsbereiche separat zu exportieren.

Das war mir bisher garnicht bewusst. Dieses Feature löst schon mal einen Teil meines Problems.
Hier werden ein paar Beispielbefehle genannt:
http://www.gruppenrichtlinien.de/index.html?/sec/secedit_in_der_CMD.htm

Ich habe die Sache jetzt mal von Hand für meinen Windows2000 Rechner durchgezogen. Das ging eigentlich.
Jetzt wollte ich den Spass aber auch noch auf einem Windows Vista Home Premium System durchziehen. Dort gibt es noch drei mal so viele Dienste und es existieren überhaupt keine vordefinierten Vorlagen. Das hat mich dazu gebracht dieses kleine Sicherheitsvorlagen-Gedöns-Projekt aufzugeben und statt dessen über die entsprechenden registryzweige die Konfiguration zu sichern.
Das wird zB hier beschrieben (ganz unten):
http://www.pc-experience.de/wbb2/thread.php?threadid=14361

Zitat

Ein Tipp zur Speicherung der optimierten Dienste:

Da es sehr mühsam und unkomfortabel ist, die vormals optimierten Dienste nach einer Neuinstallation eures Betriebssystems wieder zu konfigurieren, liegt es nahe diese Optimierungen zu speichern, zumal das Rüstzeug dafür vorhanden ist und sehr einfach genutzt werden kann.

1. Öffnet dazu die Windows-Registrierung in dem ihr auf “Start/Ausführen” klickt und "regedit" eingebt.

2. Navigiert anschließend zum Schlüssel "HKEY_LOCAL_MACHINE\SYSTEM\ CurrentControlSet\Services" und klickt dort auf “Datei/Exportieren”.

Vielleicht bringt mich das ja weiter.

#7 Der Tipp bzgl. des Sicherns des gesamten Registry-Zweiges der Dienste ist vorab erstmal sehr gut. Auf einem mit
absolut identischer Hardware ausgestattetem PC sehe ich eigentlich auch keine auftretenden Probleme nach dem
anschließenden Import des Backups der Reg.-Schlüssel.

Je nachdem, wann der Export angestossen wurde (direkt nach einer frischen Installation mit vorheriger Dienste-
Konfiguration oder erst x-Tage/Wochen/Monate später), könnte sich jedoch auch viel "Müll" in dieser Sicherung
befinden:
Da im Laufe der Zeit verschiedene Programme installiert werden, die teilweise ihre eigenen Dienste installieren,
werden deren Einstellungen natürlich beim Export mitgesichert. Ebenso würden diese Konfigurationen auf einer
frisch aufgesetzten Maschine wieder importiert werden obwohl das eigentliche Programm noch gar nicht installiert
wurde. Wahrscheinlich wird Windows auf der "neuen" Maschine diesen Umstand aber verarbeiten können.

Schwieriger wird's imho in Verbindung mit...

Zitat

Hintergrund ist, dass ich im Zusammenhang mit der bekannten "Diensteproblematik von Windows" verschiedene Konfigurationen der Dienste testen und eventuell für unterschiedliche Arbeitsumgebungen (Laptop) verschiedene Vorlagen definieren möchte.

...werden.
Ich prognostiziere einfach mal, dass der Import einer Reg-Datei, welche vorher von einem hardwaremässig komplett
anderen Host exportiert wurde, arge Schwierigkeiten ins Leben ruft. Da nicht nur sämtliche Dienste, sondern vor allem
auch sehr systemnahe Einstellungen (z.B. nicht PnP-Geräte, verwendete Hardware usw.) in die Registrierung der
"neuen" Maschine geschrieben werden würden, erwarte ich enormen Trouble beim nächsten Warmstart.

Zitat

Jetzt wollte ich den Spass aber auch noch auf einem Windows Vista Home Premium System durchziehen. Dort gibt es noch drei mal so viele Dienste und es existieren überhaupt keine vordefinierten Vorlagen.

Das wußte ich gar nicht. Scheint so, als sei die Home Premium Version in diesem Punkt wieder ähnlich wie die
XP-Home Version. Oder existieren bei Vista etwa überhaupt keine Sicherheitsvorlagen mehr, unabhängig der
verwendeten Version?

Gruß,

Sepia

Edit:

Zitat

Im Gegensatz zu älteren Versionen des Windows-Betriebssystems umfasst Windows Vista keine vordefinierten Sicherheitsvorlagen. Sie können die vorhandenen Sicherheitsvorlagen bei Bedarf jedoch weiter verwenden.

(http://www.microsoft.com/austria/technet/windowsvista/security/specialized_security.mspx)