CIS Härtung Server 2019
Hallo zusammen,
wie fange ich an?! So viele Fragen.
Wir haben verschiedene WinServer2019 Maschinen. Diese sind alle stand-alone.
Der Auftrag von unserem Kunden lautet, diese Server mit CIS zu härten.
Zu den Fragen: (Bedenkt das die Lokalen Gruppenrichtlinien verwendet werden, ein AD ist nicht vorhanden)
Fragen über Fragen
Ich hoffe Ihr könnt mir etws helfen. Sehe den Wald vor lauter Bäumen nicht mehr.
Vielen Dank Vorab für eure Mühe und Hilfe.
Danke
Gruß
Andreas
wie fange ich an?! So viele Fragen.
Wir haben verschiedene WinServer2019 Maschinen. Diese sind alle stand-alone.
Der Auftrag von unserem Kunden lautet, diese Server mit CIS zu härten.
Zu den Fragen: (Bedenkt das die Lokalen Gruppenrichtlinien verwendet werden, ein AD ist nicht vorhanden)
- 1. Kennt jemand ein Schulungs-/Beratungsunternehmen welches Schulungen auf Deutsch zu CIS Härtung anbietet?
- 2. Wenn ich das aktuelle CIS BuildKit2019v1.2.1 für Server 2019 MS-L1 verwende - wie kann ich die GPO´s welche ich nicht importieren möchte deaktivieren/entfernen/übergehen bei nem lgpo import etc.
- 2.1 {020C3780-4D7A-4F7F-B592-0A80ADCE983C}
- 2.2 ja ich kann diese importieren mit lgpo.exe und im nachhinein ändern und dann wieder exportieren etc. aber gibt es eine Möglichkeit diese in den oben genannten Ordner vorhandenen xml oder registy.pol bzw. audit.csv vorab zu entfernen. Wenn ja wie. Bei mir hat das nicht geklappt. Was muss ich in den/der jeweiligen Dateien "entfernen" damit diese Richtilinie beim Import mit lgpo.exe nicht angelangt wird.
- 3. Wie finde ich in den LOKALEN GPO´s die Policy welche etwas nach einem Neustart wieder zurückstellt. (z.B. Autologin)
- 3.1 egal ob ich Autologon in der Regedit oder per GPO aktiviere, nach dem Neustart ist irgendeine/mehrere GPO welche mir das wieder disabled. Ich finde leider nicht welche.
- 4. Wir haben ein Server-System welches wir vorab schon LEICHT 26% geährtet von einem Lieferanten bekommen, (von dem bekommen wir keine Info wie wo was, anderes Thema) daher ist es wichtig, das die vorhandenen GPO´s nicht überschrieben nach dem CIS Build import.
- 4.1 Gibt es ggf. eine andere Möglichkeit zu sagen das man nur GPO´s importieren möchte welche noch nicht geändert wurden.
Fragen über Fragen
Ich hoffe Ihr könnt mir etws helfen. Sehe den Wald vor lauter Bäumen nicht mehr.
Vielen Dank Vorab für eure Mühe und Hilfe.
Danke
Gruß
Andreas
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 1259722949
Url: https://administrator.de/forum/cis-haertung-server-2019-1259722949.html
Ausgedruckt am: 05.04.2025 um 05:04 Uhr
10 Kommentare
Neuester Kommentar
Moin,
das CIS ist größten Teil von verschiedenen Organisationen aus den USA erstellt worden.
Auf Grund deiner Beschreibung gehe ich davon aus, dass die meisten Kunden in Deutschland bzw. Europa sitzen. Daher wäre es durch aus sinnvoll den IT-Grundschutz des BSI in Kombiation mit den Security Baselines von Microsoft einzusetzen. Das ist auch hinsichtlich der EU-DSVGO noch ein Mehrwert.
Gruß,
Dani
das CIS ist größten Teil von verschiedenen Organisationen aus den USA erstellt worden.
Auf Grund deiner Beschreibung gehe ich davon aus, dass die meisten Kunden in Deutschland bzw. Europa sitzen. Daher wäre es durch aus sinnvoll den IT-Grundschutz des BSI in Kombiation mit den Security Baselines von Microsoft einzusetzen. Das ist auch hinsichtlich der EU-DSVGO noch ein Mehrwert.
Gruß,
Dani
Moin,
Gruß,
Dani
- Befasse dich nicht mit dem Thema wenn du es nicht kannst
Jeder fängt klein an. Ob CIS, BSI Grundschutz oder KRITIS. Wichtig ist, kein (gefährliches) Halbwissen aufzubauen.Nimm lieber BSI / SB als CIS auch wenn dein Kunde vorschreibt das er die Härtung über CIS nachgewiesen haben möchte.
es kann natürlich sein, dass der Kunde widerrum Kunde ist und von dort der Wunsch/Anforderung gestellt wird. dazu kennen wir dich und deine Beziehungen zu wenig.Den Einwand von Dani kann ich sogar sehr gut verstehen, aber der Kunde hat dies ausdrücklich angewiesen.
Das ist nichts neues... meistens haben die Kunden/Abteilungen keine Ahnung davon. Der Begriff evtl. noch im Zusammenhang wo aufgeschappt. Aber keinerlei Beziehung und Vorstellung dazu.Gruß,
Dani
Zitat von @BloodyRulz:
Sorry wenn ich jetzt etwas "bollig" reagiere, aber Grundsatzdiskusionen führe ich ungern in einem Hilfe-Forum.
Moin,Sorry wenn ich jetzt etwas "bollig" reagiere, aber Grundsatzdiskusionen führe ich ungern in einem Hilfe-Forum.
leider eine Forensuche und/oder Berufskrankheit "antworte auf alles was nicht gefragt wurde", du kannst die Themen aber auch löschen lassen, einfach den Admin anschreiben.
Falls du aber noch die Muse hast, verlink doch bitte mal die Themen welche du abfackeln musst.
https://docs.microsoft.com/de-de/compliance/regulatory/offering-cis-benc ...
Wir rangeln auch nur den BSI runter, daher wäre ein Vergleich interessant.
https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standar ...
Wenn bei uns der nächste TÜV-ISO2700x Kreuzlemacher kommen will lege ich das mal in die Waagschale.
Moin,

Gruß,
Dani
PS: Das nach 22 Stunden dieser Beitrag bereits 688 Aufrufe hat, zeigt mir, das viele die Fragen haben zu diesem Thema CIS Härtung.
das könnte auch zeigen, dass viele mit dem Begriff CIS nichts anfangen. Außer mit den jeweiligen Krimi Serien. Leider ist ganz wenig Grundsatzhändling dazu im Internet zu finden. Auch ein Schulung-/Beratungsunternehmen ist ganz schwer auszumachen.
Es ist aus meiner Sicht/Erfahrung im Vergleich zu anderen Themen ein Nischenmarkt. Wenn du nicht fündig wirst, darfst du dich gerne melden. Dann kann ich evtl. ein Beratungsunternehmen vermitteln. Aber aus Erfahrung kann ich dir sagen, dass kann ein teurer Spaß (ca. 2.000,00 €/Tag) werden.Gruß,
Dani
Mahlzeit,
wenn ich einen Rat geben müsste würde ich sagen:
1. Bau dir eine komplett neue GPO Struktur unter der Domain auf und setz deine BSI GPO's wie auch immer
2. Arbeite erst mal selbst damit
3. Lasse irgendwen verzichtbaren damit arbeiten und zieh die user/maschinen sukzessive rüber. Das dauert und kostet viel Nerven aber wenn sich mal alle dran gewohnt haben geht's schon.
Standalone finde ich auch total Sinnfrei.
wenn ich einen Rat geben müsste würde ich sagen:
1. Bau dir eine komplett neue GPO Struktur unter der Domain auf und setz deine BSI GPO's wie auch immer
2. Arbeite erst mal selbst damit
3. Lasse irgendwen verzichtbaren damit arbeiten und zieh die user/maschinen sukzessive rüber. Das dauert und kostet viel Nerven aber wenn sich mal alle dran gewohnt haben geht's schon.
Standalone finde ich auch total Sinnfrei.