MMC: Snap-in "Sicherheitskonfiguration und -analyse" |
||
---|---|---|
#0
| ||
29.07.2007, 00:33
Member
Beiträge: 145 |
||
|
||
29.07.2007, 15:40
Member
Beiträge: 546 |
#2
Du schriebst:
Zitat Meine Frage ist, ob es möglich ist die aktuelle Konfiguration der Systemdienste eines Rechners in eine solche Sicherheitsvorlage _automatisiert_ zu importierenMeine Frage: Ist es dir gelungen, die aktuelle Sicherheitskonfiguration vorab irgendwie komplett zu exportieren? Wenn ja, wie? Unabgängig von den Diensten als solchen konnte ich kein "Backup" der momentan gültigen Einstellungen erstellen. Weder händisch per "secedit" noch über die MMC. Das einzige was diesbezüglich klappt, ist das Generieren einer neuen, leeren Sicherheitsvorlage in der sämtliche(!) Richtlinien und Dienste einmalig manuell konfiguriert werden müssen. Danach könnte diese neue Sicherheitsvorlage durchaus als Konfiguration für spätere Hosts genutzt werden. Bis jetzt endete jeder Versuch immer damit, dass ich eine Kopie der vorher deklarierten und bereits existenten Sicherheitsvorlage erhielt. Gruß, Sepia |
|
|
||
29.07.2007, 20:46
Member
Themenstarter Beiträge: 145 |
#3
Ich danke dir für deine Antwort Sepia.
Dem was du da sagst, kann ich kaum etwas hinzufügen. Wenn es möglich wäre eine komplette Vorlage und nicht nur die Sektion "Systemdienste" einer Vorlage aus der aktuellen Computerkonfiguration zu erstellen, so wäre mir das auch Recht. Ich weiss aber auch hierfür keinen Weg. Die einmalige manuelle Konfiguration von der du sprichst, möchte ich eben sparen. Ich habe das mal gemacht für sämtliche Dienste. Spass macht das nicht, aber wenn man es nur einmal machen muss, geht es gerade noch so. Eine neue Vorlage erstelle ich über das Snap-In "Sicherheitsvorlagen". Diese importiere ich dann in das Snap-in "Sicherheitskonfiguration und -analyse". Wenn man das System mit dieser Vorlage prüfen lässt werden einem in Anschluss für alle Kategorien komfortabel nebeneinander Ist-Wert und Soll-Wert einer beliebigen definierten Einstellung ausgegeben. Jetzt bin ich von Hand hingegangen und habe alle Sollwerte auf den Ist-Wert gestellt. Nur für die Kategorie "Systemdienste" natürlich, alles andere artet ja in unendlich viel Arbeit aus. Wenn man danach die Sicherheitsvorlage exportiert, hat man eine Vorlage die der aktuellen Konfiguration entspricht, aber man hat es mit einer Menge Arbeit bezahlt. Hintergrund ist, dass ich im Zusammenhang mit der bekannten "Diensteproblematik von Windows" verschiedene Konfigurationen der Dienste testen und eventuell für unterschiedliche Arbeitsumgebungen (Laptop) verschiedene Vorlagen definieren möchte. Eine entsprechende Strategie verfolgt das Projekt http://ntsvcfg.de/ mit seinem Script. Ich werde wohl eine erste Vorlage manuell erstellen müssen, mir daraus dann weitere Vorlagen durch Abänderungen erschaffen und diese dann je nach Aufgabe auf das System anwenden. |
|
|
||
29.07.2007, 20:57
Member
Themenstarter Beiträge: 145 |
#4
Nachtrag:
Ich merke gerade, dass die "händische" Lösung sich wohl kaum mit vernünftigem Arbeitsaufwand in die Praxis umsetzen lässt, weil man anscheinend die anderen Kategorien (alle außer Systemdienste) nicht löschen, deaktivieren, neutralisieren, was-auch-immer kann. Man müsste also auch alle anderen Kategorien von Hand anpassen. Das ist mir entschieden zu viel Aufwand. |
|
|
||
29.07.2007, 23:11
Member
Beiträge: 546 |
#5
[Erstellen einer neuen Sicherheitsvorlage]
Zitat Wenn man danach die Sicherheitsvorlage exportiert, hat man eine Vorlage die der aktuellen Konfiguration entspricht, aber man hat es mit einer Menge Arbeit bezahlt.In der Tat, der Aufwand ist verdammt groß. Ehrlich gesagt verstehe ich es auch nicht, dass man seine aktuellen Sicherheitseinstellungen nicht einfach exportieren kann. Stattdessen muß vorab eine Vorlage erstellt werden. Das ist ungefähr so, als wenn man ein Pferd von hinten aufzäumen will und zusätzlich noch völlig unpraktikabel. Aber warum einfach, wenn's auch umständlich geht... Zitat Ich merke gerade, dass die "händische" Lösung sich wohl kaum mit vernünftigem Arbeitsaufwand in die Praxis umsetzen lässt, weil man anscheinend die anderen Kategorien (alle außer Systemdienste) nicht löschen, deaktivieren, neutralisieren, was-auch-immer kann.Laut Syntax von "secedit.exe" besteht angeblich die Möglichkeit, per 'secedit /export / areas (Bereich1 Bereich2 usw.)' die gewünschten Sicherheitsbereiche separat zu exportieren. Die erwähnten Bereiche gliedern sich in SECURITYPOLICY, GROUP_MGMT, USER_RIGHTS, REGKEYS, FILESTORE und eben SERVICES. Wenn man dem Glauben schenkt, sollte sich aus einer (vorher erstellten, neuen) Sicherheitsvorlage z.B. nur die Dienste-Konfiguration exportieren lassen. Ich hab's aber nicht ausprobiert, weil ich keine für die konfigurierten Dienste passende Sicherheitsvorlage hatte. Gruß, Sepia |
|
|
||
31.07.2007, 00:11
Member
Themenstarter Beiträge: 145 |
#6
Zitat Das ist ungefähr so, als wenn man ein Pferd von hinten aufzäumen will und zusätzlich noch völlig unpraktikabel.Nun ja, diese Schnittstelle scheint von M$ nur geschaffen worden zu sein um Sicherheitsvorlagen auf das System anzuwenden. Das erstellen dieser Vorlagen soll anscheinend Handarbeit sein. Vielleicht haben sie das auch nur so gemacht, damit ausschliesslich Vollprofis Vorlagen erstellen. Vielleicht haben sie ach garnicht darüber nachgedacht, wo Vorlagen her kommen. Allerdings scheint secedit zumindest in Windows 2003 eine Rollback funktion zu haben. Diese kann aber nur eine spezielle Vorlage rückgängig machen. argh ... Zitat secedit /GenerateRollbackQuelle: http://www.microsoft.com/technet/prodtechnol/windowsserver2003/de/library/ServerHelp/5b388f78-b2a0-4ae6-898e-e06a91020899.mspx?mfr=true Zitat Laut Syntax von "secedit.exe" besteht angeblich die Möglichkeit, per 'secedit /export / areas (Bereich1 Bereich2 usw.)'Das war mir bisher garnicht bewusst. Dieses Feature löst schon mal einen Teil meines Problems. Hier werden ein paar Beispielbefehle genannt: http://www.gruppenrichtlinien.de/index.html?/sec/secedit_in_der_CMD.htm Ich habe die Sache jetzt mal von Hand für meinen Windows2000 Rechner durchgezogen. Das ging eigentlich. Jetzt wollte ich den Spass aber auch noch auf einem Windows Vista Home Premium System durchziehen. Dort gibt es noch drei mal so viele Dienste und es existieren überhaupt keine vordefinierten Vorlagen. Das hat mich dazu gebracht dieses kleine Sicherheitsvorlagen-Gedöns-Projekt aufzugeben und statt dessen über die entsprechenden registryzweige die Konfiguration zu sichern. Das wird zB hier beschrieben (ganz unten): http://www.pc-experience.de/wbb2/thread.php?threadid=14361 Zitat Ein Tipp zur Speicherung der optimierten Dienste:Vielleicht bringt mich das ja weiter. |
|
|
||
31.07.2007, 14:16
Member
Beiträge: 546 |
#7
Der Tipp bzgl. des Sicherns des gesamten Registry-Zweiges der Dienste ist vorab erstmal sehr gut. Auf einem mit
absolut identischer Hardware ausgestattetem PC sehe ich eigentlich auch keine auftretenden Probleme nach dem anschließenden Import des Backups der Reg.-Schlüssel. Je nachdem, wann der Export angestossen wurde (direkt nach einer frischen Installation mit vorheriger Dienste- Konfiguration oder erst x-Tage/Wochen/Monate später), könnte sich jedoch auch viel "Müll" in dieser Sicherung befinden: Da im Laufe der Zeit verschiedene Programme installiert werden, die teilweise ihre eigenen Dienste installieren, werden deren Einstellungen natürlich beim Export mitgesichert. Ebenso würden diese Konfigurationen auf einer frisch aufgesetzten Maschine wieder importiert werden obwohl das eigentliche Programm noch gar nicht installiert wurde. Wahrscheinlich wird Windows auf der "neuen" Maschine diesen Umstand aber verarbeiten können. Schwieriger wird's imho in Verbindung mit... Zitat Hintergrund ist, dass ich im Zusammenhang mit der bekannten "Diensteproblematik von Windows" verschiedene Konfigurationen der Dienste testen und eventuell für unterschiedliche Arbeitsumgebungen (Laptop) verschiedene Vorlagen definieren möchte....werden. Ich prognostiziere einfach mal, dass der Import einer Reg-Datei, welche vorher von einem hardwaremässig komplett anderen Host exportiert wurde, arge Schwierigkeiten ins Leben ruft. Da nicht nur sämtliche Dienste, sondern vor allem auch sehr systemnahe Einstellungen (z.B. nicht PnP-Geräte, verwendete Hardware usw.) in die Registrierung der "neuen" Maschine geschrieben werden würden, erwarte ich enormen Trouble beim nächsten Warmstart. Zitat Jetzt wollte ich den Spass aber auch noch auf einem Windows Vista Home Premium System durchziehen. Dort gibt es noch drei mal so viele Dienste und es existieren überhaupt keine vordefinierten Vorlagen.Das wußte ich gar nicht. Scheint so, als sei die Home Premium Version in diesem Punkt wieder ähnlich wie die XP-Home Version. Oder existieren bei Vista etwa überhaupt keine Sicherheitsvorlagen mehr, unabhängig der verwendeten Version? Gruß, Sepia Edit: Zitat Im Gegensatz zu älteren Versionen des Windows-Betriebssystems umfasst Windows Vista keine vordefinierten Sicherheitsvorlagen. Sie können die vorhandenen Sicherheitsvorlagen bei Bedarf jedoch weiter verwenden.(http://www.microsoft.com/austria/technet/windowsvista/security/specialized_security.mspx) Dieser Beitrag wurde am 31.07.2007 um 14:36 Uhr von Sepia editiert.
|
|
|
||
Mit Hilfe der MMC und den Snap-ins "Sicherheitskonfiguration und -analyse", sowie dem Snap-in "Sicherheitsvorlagen" kann man sehr komfortabel - nicht nur sicherheitsrelevante - Systemeinstellungen verwalten und je nach Einsatzbereich eines Rechners auf diesen oder mehrere Rechner anwenden.
Ich interessiere mich hier vor allem für die Sektion dieser Sicherheitsvorlagen, welche eine Konfiguration der Systemdienste möglich macht.
Meine Frage ist, ob es möglich ist die aktuelle Konfiguration der Systemdienste eines Rechners in eine solche Sicherheitsvorlage _automatisiert_ zu importieren. Ich würde mir gerne die Arbeit sparen eine Sicherheitsvorlage von Hand zu erstellen, welche die aktuelle Konfiguration eines System beinhaltet.
Vielen Dank!