CIS Härtung Server 2019

Mitglied: BloodyRulz
Hallo zusammen,

wie fange ich an?! So viele Fragen.
Wir haben verschiedene WinServer2019 Maschinen. Diese sind alle stand-alone.
Der Auftrag von unserem Kunden lautet, diese Server mit CIS zu härten.

Zu den Fragen: (Bedenkt das die Lokalen Gruppenrichtlinien verwendet werden, ein AD ist nicht vorhanden)

  • 1. Kennt jemand ein Schulungs-/Beratungsunternehmen welches Schulungen auf Deutsch zu CIS Härtung anbietet?

  • 2. Wenn ich das aktuelle CIS BuildKit2019v1.2.1 für Server 2019 MS-L1 verwende - wie kann ich die GPO´s welche ich nicht importieren möchte deaktivieren/entfernen/übergehen bei nem lgpo import etc.
      • 2.1 {020C3780-4D7A-4F7F-B592-0A80ADCE983C}
      • 2.2 ja ich kann diese importieren mit lgpo.exe und im nachhinein ändern und dann wieder exportieren etc. aber gibt es eine Möglichkeit diese in den oben genannten Ordner vorhandenen xml oder registy.pol bzw. audit.csv vorab zu entfernen. Wenn ja wie. Bei mir hat das nicht geklappt. Was muss ich in den/der jeweiligen Dateien "entfernen" damit diese Richtilinie beim Import mit lgpo.exe nicht angelangt wird.

  • 3. Wie finde ich in den LOKALEN GPO´s die Policy welche etwas nach einem Neustart wieder zurückstellt. (z.B. Autologin)
      • 3.1 egal ob ich Autologon in der Regedit oder per GPO aktiviere, nach dem Neustart ist irgendeine/mehrere GPO welche mir das wieder disabled. Ich finde leider nicht welche.

  • 4. Wir haben ein Server-System welches wir vorab schon LEICHT 26% geährtet von einem Lieferanten bekommen, (von dem bekommen wir keine Info wie wo was, anderes Thema) daher ist es wichtig, das die vorhandenen GPO´s nicht überschrieben nach dem CIS Build import.
      • 4.1 Gibt es ggf. eine andere Möglichkeit zu sagen das man nur GPO´s importieren möchte welche noch nicht geändert wurden.


Fragen über Fragen
Ich hoffe Ihr könnt mir etws helfen. Sehe den Wald vor lauter Bäumen nicht mehr.

Vielen Dank Vorab für eure Mühe und Hilfe.

Danke
Gruß
Andreas

Content-Key: 1259722949

Url: https://administrator.de/contentid/1259722949

Ausgedruckt am: 25.09.2021 um 16:09 Uhr

Mitglied: lcer00
lcer00 14.09.2021 um 18:23:45 Uhr
Goto Top
Hallo Andreas,

Du solltest Deine Fragen nicht als Code formatieren, das ist schlecht lesbar.

Auch wäre es besser, wenn Du nicht alle Fragen in ein Thread packen würdest.

Härtung und StandAlone kann man auch diskutieren. Stichworte Authentifizierung und saubere Verwaltung.

Grüße

lcer
Mitglied: BloodyRulz
BloodyRulz 14.09.2021 aktualisiert um 18:30:24 Uhr
Goto Top
Danke für deinen Hinweis, du hast recht. Habe den Codeblock entfernt.
Härtung und StandAlone- jup kann man diskutieren aber der Kunde verlang das, daher schwierig eine Grundsatzdiskusion zu führen mit dem Kunden.
Mitglied: Dani
Dani 14.09.2021 um 23:44:35 Uhr
Goto Top
Moin,
das CIS ist größten Teil von verschiedenen Organisationen aus den USA erstellt worden.

Auf Grund deiner Beschreibung gehe ich davon aus, dass die meisten Kunden in Deutschland bzw. Europa sitzen. Daher wäre es durch aus sinnvoll den IT-Grundschutz des BSI in Kombiation mit den Security Baselines von Microsoft einzusetzen. Das ist auch hinsichtlich der EU-DSVGO noch ein Mehrwert.


Gruß,
Dani
Mitglied: BloodyRulz
BloodyRulz 15.09.2021 um 15:07:58 Uhr
Goto Top
Ok, bis jetzt waren alle Kommentare:
- Befasse dich nicht mit dem Thema wenn du es nicht kannst
- auch wenn dein Kunde will das du das machst, lass es
- Nimm lieber BSI / SB als CIS auch wenn dein Kunde vorschreibt das er die Härtung über CIS nachgewiesen haben möchte. Den Einwand von Dani kann ich sogar sehr gut verstehen, aber der Kunde hat dies ausdrücklich angewiesen.
Daher bringt mir das leider auch nichts.

An alle anderen die ggf. wollen das ich mich nicht mehr damit befassen soll oder ich etwas anderes nehmen soll. Nein, das geht nicht. Ich hatte einfach gehofft, hier im Forum auf wenigstens einer der Fragen einen Wink zu bekommen, der mir hilft.

Sorry wenn ich jetzt etwas "bollig" reagiere, aber Grundsatzdiskusionen führe ich ungern in einem Hilfe-Forum.

Lg
Andreas
Mitglied: Dani
Dani 15.09.2021 aktualisiert um 15:38:29 Uhr
Goto Top
Moin,
- Befasse dich nicht mit dem Thema wenn du es nicht kannst
Jeder fängt klein an. Ob CIS, BSI Grundschutz oder KRITIS. Wichtig ist, kein (gefährliches) Halbwissen aufzubauen.

Nimm lieber BSI / SB als CIS auch wenn dein Kunde vorschreibt das er die Härtung über CIS nachgewiesen haben möchte.
es kann natürlich sein, dass der Kunde widerrum Kunde ist und von dort der Wunsch/Anforderung gestellt wird. dazu kennen wir dich und deine Beziehungen zu wenig.

Den Einwand von Dani kann ich sogar sehr gut verstehen, aber der Kunde hat dies ausdrücklich angewiesen.
Das ist nichts neues... meistens haben die Kunden/Abteilungen keine Ahnung davon. Der Begriff evtl. noch im Zusammenhang wo aufgeschappt. Aber keinerlei Beziehung und Vorstellung dazu.


Gruß,
Dani
Mitglied: nachgefragt
nachgefragt 15.09.2021 um 15:39:55 Uhr
Goto Top
Zitat von @BloodyRulz:
Sorry wenn ich jetzt etwas "bollig" reagiere, aber Grundsatzdiskusionen führe ich ungern in einem Hilfe-Forum.
Moin,
leider eine Forensuche und/oder Berufskrankheit "antworte auf alles was nicht gefragt wurde", du kannst die Themen aber auch löschen lassen, einfach den Admin anschreiben.

Falls du aber noch die Muse hast, verlink doch bitte mal die Themen welche du abfackeln musst.
https://docs.microsoft.com/de-de/compliance/regulatory/offering-cis-benc ...

Wir rangeln auch nur den BSI runter, daher wäre ein Vergleich interessant.
https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standar ...

Wenn bei uns der nächste TÜV-ISO2700x Kreuzlemacher kommen will lege ich das mal in die Waagschale.
Mitglied: BloodyRulz
BloodyRulz 15.09.2021 um 16:39:57 Uhr
Goto Top
Hallo @nachgefragt,

danke für deine Hilfe.
Wie du auch bereits erwähnt hast müssen wir u.a. die ISO 2700x umsetzten.
ISO27001

Meine Fragen gehen aber eher darauf ein wie man das Händling mit dem GPOs bei Lokalen Gruppenrichtlinien macht.
- Wie kann ich den CIS BuildKit Server2019xxx MS-L1 zb. {020C3780-4D7A-4F7F-B592-0A80ADCE983C} importieren ohne bereits aktivierte/veränderte GPO´s zu verändern.
- Wie kann ich VORAB aus dem "Ordner" GPOs entfernen die ich nicht verändern möchte.
usw. (siehe oben)

Ich habe bereits viel google benuzt, aber leider sind die Antworten und alle meine Erfahrungen nur mit einem DC umsetzbar. Da wir aber keine Domäne haben, funktonieren diese Möglichkeiten bei einem Standalone Server einfach nicht.

Ich glaube, das ich auch hier im Forum nicht weiter komme. Vermutlich liegt es auch daran wie ich die Fragen gestellt habe und zudem noch mit zu wenig Hintergrundinformationen.

PS: Das nach 22 Stunden dieser Beitrag bereits 688 Aufrufe hat, zeigt mir, das viele die Fragen haben zu diesem Thema CIS Härtung.
Leider ist ganz wenig Grundsatzhändling dazu im Internet zu finden. Auch ein Schulung-/Beratungsunternehmen ist ganz schwer auszumachen.

Vielen Dank
Gruß
Andreas
Mitglied: lcer00
lcer00 15.09.2021 um 17:17:10 Uhr
Goto Top
Hallo,

vielleicht wäre es eine Idee, einen Umweg über eine Test-Domäne zu nehmen, die GPOs dort schön zu sortieren und zurechtzustutzen und dann zu exportieren und lokal zu importieren?

Grüße

lcer
Mitglied: Dani
Dani 15.09.2021 um 22:13:00 Uhr
Goto Top
Moin,
PS: Das nach 22 Stunden dieser Beitrag bereits 688 Aufrufe hat, zeigt mir, das viele die Fragen haben zu diesem Thema CIS Härtung.
das könnte auch zeigen, dass viele mit dem Begriff CIS nichts anfangen. Außer mit den jeweiligen Krimi Serien. ;-) face-wink

Leider ist ganz wenig Grundsatzhändling dazu im Internet zu finden. Auch ein Schulung-/Beratungsunternehmen ist ganz schwer auszumachen.
Es ist aus meiner Sicht/Erfahrung im Vergleich zu anderen Themen ein Nischenmarkt. Wenn du nicht fündig wirst, darfst du dich gerne melden. Dann kann ich evtl. ein Beratungsunternehmen vermitteln. Aber aus Erfahrung kann ich dir sagen, dass kann ein teurer Spaß (ca. 2.000,00 €/Tag) werden.


Gruß,
Dani
Mitglied: user217
user217 16.09.2021 um 14:57:29 Uhr
Goto Top
Mahlzeit,
wenn ich einen Rat geben müsste würde ich sagen:
1. Bau dir eine komplett neue GPO Struktur unter der Domain auf und setz deine BSI GPO's wie auch immer
2. Arbeite erst mal selbst damit
3. Lasse irgendwen verzichtbaren damit arbeiten und zieh die user/maschinen sukzessive rüber. Das dauert und kostet viel Nerven aber wenn sich mal alle dran gewohnt haben geht's schon.

Standalone finde ich auch total Sinnfrei.
Heiß diskutierte Beiträge
question
Telefonanlage m. 100 Nebenstellen ohne Support?departure69Vor 1 TagFrageTK-Netze & Geräte19 Kommentare

Hallo. Wir haben seit 7 Jahren eine VoIP-Telefonanalge Aastra 470 (mittlerweile "Mitel") und betreiben 100 Nebenstellen daran. Wir hatten die Anlage damals mit laufendem Support ...

general
Autodesk im Jahre 2021-2022dertowaVor 1 TagAllgemeinOff Topic4 Kommentare

Hallo zusammen, mal eine kleine Anekdote, u.a. da heute Freitag ist. Vor einigen Jahren hatte ich mit Autodesk AutoCAD LT zu tun, in der damaligen ...

general
DSL-Modems am F-Buchse statt N-Buchse - warum?Windows10GegnerVor 20 StundenAllgemeinDSL, VDSL19 Kommentare

Hallo zusammen, es sind jetzt hier die Fernmeldetechniker gefragt. Normalerweise wird ja ein DSL-Modem mit der F-Buchse einer TAE-NFN-Dose verbunden. Was ist der genau Grund ...

general
Außergewöhnliche hohe Spamaktivitäten und Angriffe per E-Mail gelöst beidermachtvongreyscullVor 1 TagAllgemeinE-Mail5 Kommentare

Tach Kollegen, liegt das an den bevorstehenden Wahlen? Ich beobachte seit Tagen auf unserer Firewall, dass wir massiven Spamwellen ausgesetzt sind. Bisher kommt zum Glück ...

question
BAT-Datei NetzwerkordnerDawi84Vor 1 TagFrageMicrosoft8 Kommentare

Hallo Ich hoffe mir kann jemand helfen. Wie müsste ich ein Batch Datei schreiben wenn ich aus einem Netzwerkordner gewisse Datei Typen löschen möchte z.B. ...

question
Backup-Server, welcher sich selber sichertludakuVor 1 TagFrageBackup6 Kommentare

Moin Zusammen Stellen wir uns kurz folgendes Konstrukt vor: 1x Hypervisor mit 3 VMs: - DC & Fileserver - Webserver - Acronis Backup-Server Ist es ...

report
Arcronis True Image verliert Backupeinstellungen, ERNEUT!anteNopeVor 1 TagErfahrungsberichtSicherheits-Tools3 Kommentare

Hallo werte Kollegen, bei ein paar Kunden habe ich Acronis True Image in den Versionen 2017, 2018, 2019, 2020, 2021 im Einsatz. Vor ca. zwei ...

question
Sysprep nachträglich virtualisierenalf008Vor 1 TagFrageVmware6 Kommentare

Hallo, ich habe diverse physikalische Server virtualisiert und später sollten diese in eine neue Domäne aufgenommen werden. Leider habe ich beim Virtualisieren erst später (zu ...