10
CIS Härtung Server 2019
Hallo zusammen,
wie fange ich an?! So viele Fragen.
Wir haben verschiedene WinServer2019 Maschinen. Diese sind alle stand-alone.
Der Auftrag von unserem Kunden lautet, diese Server mit CIS zu härten.
Zu den Fragen: (Bedenkt das die Lokalen Gruppenrichtlinien verwendet werden, ein AD ist nicht vorhanden)
Fragen über Fragen
Ich hoffe Ihr könnt mir etws helfen. Sehe den Wald vor lauter Bäumen nicht mehr.
Vielen Dank Vorab für eure Mühe und Hilfe.
Danke
Gruß
Andreas
wie fange ich an?! So viele Fragen.
Wir haben verschiedene WinServer2019 Maschinen. Diese sind alle stand-alone.
Der Auftrag von unserem Kunden lautet, diese Server mit CIS zu härten.
Zu den Fragen: (Bedenkt das die Lokalen Gruppenrichtlinien verwendet werden, ein AD ist nicht vorhanden)
- 1. Kennt jemand ein Schulungs-/Beratungsunternehmen welches Schulungen auf Deutsch zu CIS Härtung anbietet?
- 2. Wenn ich das aktuelle CIS BuildKit2019v1.2.1 für Server 2019 MS-L1 verwende - wie kann ich die GPO´s welche ich nicht importieren möchte deaktivieren/entfernen/übergehen bei nem lgpo import etc.
- 2.1 {020C3780-4D7A-4F7F-B592-0A80ADCE983C}
- 2.2 ja ich kann diese importieren mit lgpo.exe und im nachhinein ändern und dann wieder exportieren etc. aber gibt es eine Möglichkeit diese in den oben genannten Ordner vorhandenen xml oder registy.pol bzw. audit.csv vorab zu entfernen. Wenn ja wie. Bei mir hat das nicht geklappt. Was muss ich in den/der jeweiligen Dateien "entfernen" damit diese Richtilinie beim Import mit lgpo.exe nicht angelangt wird.
- 3. Wie finde ich in den LOKALEN GPO´s die Policy welche etwas nach einem Neustart wieder zurückstellt. (z.B. Autologin)
- 3.1 egal ob ich Autologon in der Regedit oder per GPO aktiviere, nach dem Neustart ist irgendeine/mehrere GPO welche mir das wieder disabled. Ich finde leider nicht welche.
- 4. Wir haben ein Server-System welches wir vorab schon LEICHT 26% geährtet von einem Lieferanten bekommen, (von dem bekommen wir keine Info wie wo was, anderes Thema) daher ist es wichtig, das die vorhandenen GPO´s nicht überschrieben nach dem CIS Build import.
- 4.1 Gibt es ggf. eine andere Möglichkeit zu sagen das man nur GPO´s importieren möchte welche noch nicht geändert wurden.
Fragen über Fragen
Ich hoffe Ihr könnt mir etws helfen. Sehe den Wald vor lauter Bäumen nicht mehr.
Vielen Dank Vorab für eure Mühe und Hilfe.
Danke
Gruß
Andreas
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 1259722949
Url: https://administrator.de/contentid/1259722949
Printed on: April 24, 2024 at 13:04 o'clock
10 Comments
Latest comment
Hallo Andreas,
Du solltest Deine Fragen nicht als Code formatieren, das ist schlecht lesbar.
Auch wäre es besser, wenn Du nicht alle Fragen in ein Thread packen würdest.
Härtung und StandAlone kann man auch diskutieren. Stichworte Authentifizierung und saubere Verwaltung.
Grüße
lcer
Du solltest Deine Fragen nicht als Code formatieren, das ist schlecht lesbar.
Auch wäre es besser, wenn Du nicht alle Fragen in ein Thread packen würdest.
Härtung und StandAlone kann man auch diskutieren. Stichworte Authentifizierung und saubere Verwaltung.
Grüße
lcer
Danke für deinen Hinweis, du hast recht. Habe den Codeblock entfernt.
Härtung und StandAlone- jup kann man diskutieren aber der Kunde verlang das, daher schwierig eine Grundsatzdiskusion zu führen mit dem Kunden.
Härtung und StandAlone- jup kann man diskutieren aber der Kunde verlang das, daher schwierig eine Grundsatzdiskusion zu führen mit dem Kunden.
Moin,
das CIS ist größten Teil von verschiedenen Organisationen aus den USA erstellt worden.
Auf Grund deiner Beschreibung gehe ich davon aus, dass die meisten Kunden in Deutschland bzw. Europa sitzen. Daher wäre es durch aus sinnvoll den IT-Grundschutz des BSI in Kombiation mit den Security Baselines von Microsoft einzusetzen. Das ist auch hinsichtlich der EU-DSVGO noch ein Mehrwert.
Gruß,
Dani
das CIS ist größten Teil von verschiedenen Organisationen aus den USA erstellt worden.
Auf Grund deiner Beschreibung gehe ich davon aus, dass die meisten Kunden in Deutschland bzw. Europa sitzen. Daher wäre es durch aus sinnvoll den IT-Grundschutz des BSI in Kombiation mit den Security Baselines von Microsoft einzusetzen. Das ist auch hinsichtlich der EU-DSVGO noch ein Mehrwert.
Gruß,
Dani
Ok, bis jetzt waren alle Kommentare:
- Befasse dich nicht mit dem Thema wenn du es nicht kannst
- auch wenn dein Kunde will das du das machst, lass es
- Nimm lieber BSI / SB als CIS auch wenn dein Kunde vorschreibt das er die Härtung über CIS nachgewiesen haben möchte. Den Einwand von Dani kann ich sogar sehr gut verstehen, aber der Kunde hat dies ausdrücklich angewiesen.
Daher bringt mir das leider auch nichts.
An alle anderen die ggf. wollen das ich mich nicht mehr damit befassen soll oder ich etwas anderes nehmen soll. Nein, das geht nicht. Ich hatte einfach gehofft, hier im Forum auf wenigstens einer der Fragen einen Wink zu bekommen, der mir hilft.
Sorry wenn ich jetzt etwas "bollig" reagiere, aber Grundsatzdiskusionen führe ich ungern in einem Hilfe-Forum.
Lg
Andreas
- Befasse dich nicht mit dem Thema wenn du es nicht kannst
- auch wenn dein Kunde will das du das machst, lass es
- Nimm lieber BSI / SB als CIS auch wenn dein Kunde vorschreibt das er die Härtung über CIS nachgewiesen haben möchte. Den Einwand von Dani kann ich sogar sehr gut verstehen, aber der Kunde hat dies ausdrücklich angewiesen.
Daher bringt mir das leider auch nichts.
An alle anderen die ggf. wollen das ich mich nicht mehr damit befassen soll oder ich etwas anderes nehmen soll. Nein, das geht nicht. Ich hatte einfach gehofft, hier im Forum auf wenigstens einer der Fragen einen Wink zu bekommen, der mir hilft.
Sorry wenn ich jetzt etwas "bollig" reagiere, aber Grundsatzdiskusionen führe ich ungern in einem Hilfe-Forum.
Lg
Andreas
1
Moin,
Gruß,
Dani
- Befasse dich nicht mit dem Thema wenn du es nicht kannst
Jeder fängt klein an. Ob CIS, BSI Grundschutz oder KRITIS. Wichtig ist, kein (gefährliches) Halbwissen aufzubauen.Nimm lieber BSI / SB als CIS auch wenn dein Kunde vorschreibt das er die Härtung über CIS nachgewiesen haben möchte.
es kann natürlich sein, dass der Kunde widerrum Kunde ist und von dort der Wunsch/Anforderung gestellt wird. dazu kennen wir dich und deine Beziehungen zu wenig.Den Einwand von Dani kann ich sogar sehr gut verstehen, aber der Kunde hat dies ausdrücklich angewiesen.
Das ist nichts neues... meistens haben die Kunden/Abteilungen keine Ahnung davon. Der Begriff evtl. noch im Zusammenhang wo aufgeschappt. Aber keinerlei Beziehung und Vorstellung dazu.Gruß,
Dani
Zitat von @BloodyRulz:
Sorry wenn ich jetzt etwas "bollig" reagiere, aber Grundsatzdiskusionen führe ich ungern in einem Hilfe-Forum.
Moin,Sorry wenn ich jetzt etwas "bollig" reagiere, aber Grundsatzdiskusionen führe ich ungern in einem Hilfe-Forum.
leider eine Forensuche und/oder Berufskrankheit "antworte auf alles was nicht gefragt wurde", du kannst die Themen aber auch löschen lassen, einfach den Admin anschreiben.
Falls du aber noch die Muse hast, verlink doch bitte mal die Themen welche du abfackeln musst.
https://docs.microsoft.com/de-de/compliance/regulatory/offering-cis-benc ...
Wir rangeln auch nur den BSI runter, daher wäre ein Vergleich interessant.
https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standar ...
Wenn bei uns der nächste TÜV-ISO2700x Kreuzlemacher kommen will lege ich das mal in die Waagschale.
Hallo @nachgefragt,
danke für deine Hilfe.
Wie du auch bereits erwähnt hast müssen wir u.a. die ISO 2700x umsetzten.
ISO27001
Meine Fragen gehen aber eher darauf ein wie man das Händling mit dem GPOs bei Lokalen Gruppenrichtlinien macht.
- Wie kann ich den CIS BuildKit Server2019xxx MS-L1 zb. {020C3780-4D7A-4F7F-B592-0A80ADCE983C} importieren ohne bereits aktivierte/veränderte GPO´s zu verändern.
- Wie kann ich VORAB aus dem "Ordner" GPOs entfernen die ich nicht verändern möchte.
usw. (siehe oben)
Ich habe bereits viel google benuzt, aber leider sind die Antworten und alle meine Erfahrungen nur mit einem DC umsetzbar. Da wir aber keine Domäne haben, funktonieren diese Möglichkeiten bei einem Standalone Server einfach nicht.
Ich glaube, das ich auch hier im Forum nicht weiter komme. Vermutlich liegt es auch daran wie ich die Fragen gestellt habe und zudem noch mit zu wenig Hintergrundinformationen.
PS: Das nach 22 Stunden dieser Beitrag bereits 688 Aufrufe hat, zeigt mir, das viele die Fragen haben zu diesem Thema CIS Härtung.
Leider ist ganz wenig Grundsatzhändling dazu im Internet zu finden. Auch ein Schulung-/Beratungsunternehmen ist ganz schwer auszumachen.
Vielen Dank
Gruß
Andreas
danke für deine Hilfe.
Wie du auch bereits erwähnt hast müssen wir u.a. die ISO 2700x umsetzten.
ISO27001
Meine Fragen gehen aber eher darauf ein wie man das Händling mit dem GPOs bei Lokalen Gruppenrichtlinien macht.
- Wie kann ich den CIS BuildKit Server2019xxx MS-L1 zb. {020C3780-4D7A-4F7F-B592-0A80ADCE983C} importieren ohne bereits aktivierte/veränderte GPO´s zu verändern.
- Wie kann ich VORAB aus dem "Ordner" GPOs entfernen die ich nicht verändern möchte.
usw. (siehe oben)
Ich habe bereits viel google benuzt, aber leider sind die Antworten und alle meine Erfahrungen nur mit einem DC umsetzbar. Da wir aber keine Domäne haben, funktonieren diese Möglichkeiten bei einem Standalone Server einfach nicht.
Ich glaube, das ich auch hier im Forum nicht weiter komme. Vermutlich liegt es auch daran wie ich die Fragen gestellt habe und zudem noch mit zu wenig Hintergrundinformationen.
PS: Das nach 22 Stunden dieser Beitrag bereits 688 Aufrufe hat, zeigt mir, das viele die Fragen haben zu diesem Thema CIS Härtung.
Leider ist ganz wenig Grundsatzhändling dazu im Internet zu finden. Auch ein Schulung-/Beratungsunternehmen ist ganz schwer auszumachen.
Vielen Dank
Gruß
Andreas
Hallo,
vielleicht wäre es eine Idee, einen Umweg über eine Test-Domäne zu nehmen, die GPOs dort schön zu sortieren und zurechtzustutzen und dann zu exportieren und lokal zu importieren?
Grüße
lcer
vielleicht wäre es eine Idee, einen Umweg über eine Test-Domäne zu nehmen, die GPOs dort schön zu sortieren und zurechtzustutzen und dann zu exportieren und lokal zu importieren?
Grüße
lcer
Moin,
Gruß,
Dani
PS: Das nach 22 Stunden dieser Beitrag bereits 688 Aufrufe hat, zeigt mir, das viele die Fragen haben zu diesem Thema CIS Härtung.
das könnte auch zeigen, dass viele mit dem Begriff CIS nichts anfangen. Außer mit den jeweiligen Krimi Serien. Leider ist ganz wenig Grundsatzhändling dazu im Internet zu finden. Auch ein Schulung-/Beratungsunternehmen ist ganz schwer auszumachen.
Es ist aus meiner Sicht/Erfahrung im Vergleich zu anderen Themen ein Nischenmarkt. Wenn du nicht fündig wirst, darfst du dich gerne melden. Dann kann ich evtl. ein Beratungsunternehmen vermitteln. Aber aus Erfahrung kann ich dir sagen, dass kann ein teurer Spaß (ca. 2.000,00 €/Tag) werden.Gruß,
Dani
Mahlzeit,
wenn ich einen Rat geben müsste würde ich sagen:
1. Bau dir eine komplett neue GPO Struktur unter der Domain auf und setz deine BSI GPO's wie auch immer
2. Arbeite erst mal selbst damit
3. Lasse irgendwen verzichtbaren damit arbeiten und zieh die user/maschinen sukzessive rüber. Das dauert und kostet viel Nerven aber wenn sich mal alle dran gewohnt haben geht's schon.
Standalone finde ich auch total Sinnfrei.
wenn ich einen Rat geben müsste würde ich sagen:
1. Bau dir eine komplett neue GPO Struktur unter der Domain auf und setz deine BSI GPO's wie auch immer
2. Arbeite erst mal selbst damit
3. Lasse irgendwen verzichtbaren damit arbeiten und zieh die user/maschinen sukzessive rüber. Das dauert und kostet viel Nerven aber wenn sich mal alle dran gewohnt haben geht's schon.
Standalone finde ich auch total Sinnfrei.
