4
Sicherheitskonfigurations-Assistent (Einstellungen vorher sichern)
Wie kann man die aktuelle Einstellungen vor Anwendung der neuen Richtlinie sichern?
Hallo Admins,
über den Sicherheitskonfigurations-Assistenten kann man ja den Server analysieren und anschließend eine Richtlinie erstellen, die man dann entweder sofort oder später anwenden kann, welche dann nicht-benötigte Dienste/Ports/Programme/Schlagmichtot deaktiviert, so dass die Kiste dicht ist.
Läuft der Assistent durch, bietet er am Schluss die Möglichkeit des Abspeicherns an. Dabei wird eine XML-Datei erzeugt, die standardmäßig unter %system%\security\msscw\Policies abgelegt wird.
Meine Frage ist jetzt:
Wie kann ich die aktuellen Einstellungen (vor Anwendung der neu erstellten Richtlinie) sichern, so dass ich im Notfall die ganzen Ports/Dienste/Programme wieder rücksichern kann?
Diese ganz grundlegende Funktion kann ich auf Anhieb weder im Assistenten, noch auf Microsoft-Seiten finden.
Der Assistent bietet auf der Startseite "Auf die letzte angewendete Sicherheitsrichtlinie zurücksetzen", aber ich bin nicht sicher, ob dieser Punkt das ist, was ich suche. Denn aktuell habe ich ja noch gar keine spezielle Richtlinie angewendet, sondern die Kiste ist mehr oder weniger in dem Default-Zustand.
Hat hier jemand praktische Erfahrungen gemacht?
Entspanntes Wochenende
und lasst die Kisten am Wochenende zu Hause mal aus ;)
Kaffeepause
Hallo Admins,
über den Sicherheitskonfigurations-Assistenten kann man ja den Server analysieren und anschließend eine Richtlinie erstellen, die man dann entweder sofort oder später anwenden kann, welche dann nicht-benötigte Dienste/Ports/Programme/Schlagmichtot deaktiviert, so dass die Kiste dicht ist.
Läuft der Assistent durch, bietet er am Schluss die Möglichkeit des Abspeicherns an. Dabei wird eine XML-Datei erzeugt, die standardmäßig unter %system%\security\msscw\Policies abgelegt wird.
Meine Frage ist jetzt:
Wie kann ich die aktuellen Einstellungen (vor Anwendung der neu erstellten Richtlinie) sichern, so dass ich im Notfall die ganzen Ports/Dienste/Programme wieder rücksichern kann?
Diese ganz grundlegende Funktion kann ich auf Anhieb weder im Assistenten, noch auf Microsoft-Seiten finden.
Der Assistent bietet auf der Startseite "Auf die letzte angewendete Sicherheitsrichtlinie zurücksetzen", aber ich bin nicht sicher, ob dieser Punkt das ist, was ich suche. Denn aktuell habe ich ja noch gar keine spezielle Richtlinie angewendet, sondern die Kiste ist mehr oder weniger in dem Default-Zustand.
Hat hier jemand praktische Erfahrungen gemacht?
Entspanntes Wochenende
und lasst die Kisten am Wochenende zu Hause mal aus ;)
Kaffeepause
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 94523
Url: https://administrator.de/contentid/94523
Ausgedruckt am: 24.11.2024 um 17:11 Uhr
4 Kommentare
Neuester Kommentar
Hallo kaffeepause,
normalerweise macht diese Option genau das. Weitere Informationen findest du unter diesem leichtzumerkendem Link:
MS-Technet
normalerweise macht diese Option genau das. Weitere Informationen findest du unter diesem leichtzumerkendem Link:
MS-Technet
Zitat von @datasearch:
Hallo kaffeepause,
normalerweise macht diese Option genau das. Weitere Informationen
findest du unter diesem leichtzumerkendem Link:
[http://technet2.microsoft.com/windowsserver2008/de/library/a222cb38-db08-4bf1-b9cf-6ec566c239e91031.mspx?mfr=true
MS-Technet]
Hallo kaffeepause,
normalerweise macht diese Option genau das. Weitere Informationen
findest du unter diesem leichtzumerkendem Link:
[http://technet2.microsoft.com/windowsserver2008/de/library/a222cb38-db08-4bf1-b9cf-6ec566c239e91031.mspx?mfr=true
MS-Technet]
Hallo datasearch,
Antwort meinerseits hat ein bisschen gedauert, weil in der Zwischenzeit andere (wichtigere) Probleme gelöst werden mussten.
Danke für die Info, durch entsprechende Seiten hatte ich mich aber sogar schon durchgekämpft. Mir geht es vor allem um Erfahrungswerte, d.h. darum, ob jemand das tatsächlich schon getestet hat. Zwischen dem, was normalerweise sein sollte und dem, was dann tatsächlich oft ist, liegen leider manchmal Welten. Und ich habe wenig Lust, einen funktionierenden Server irreparabel abzuschießen, indem ich ihn absolut dicht mache, ohne, dass ich das wieder rückgängig machen könnte.
Insofern hoffe ich auf ein paar praktische Erfahrungen mit dem Sicherheitskonfigurations-Assistenten.
Viele Grüße,
Kaffeepause (glücklich, weil WSUS-Problem gelöst)
Kaffeepause (glücklich, weil WSUS-Problem gelöst)
Datenbank zerschossen?
Also ich verwende den Assistenten für kleinere Server immer wieder gern. Falls doch einmal etwas zu "sicher" war, greift das Rollback im Normalfall. Sollte aus irgendwelchen Gründen nicht alles zurückgesetzt wurden sein, kannst du immernoch die Sicherheitsvorlage "Setup Security" auf das System anwenden. Auf einem DC noch "dc security" hinterher und die Default-Einstellungen sind wiederhergestellt.
Der Assistent macht nichts weiter als aus dem xml-geraffel eine rollback-vorlage zu erstellen und diese anzuwenden.
Es gab da auch einen Parameter mit dem du eine Sicherheitsassistent-Vorlage in eine normale Sicherheitsvorlage konvertieren kannst, um diese anschließend im AD zu verwenden. Naja, 1000 Möglichkeiten mit dem Tool.
Datenbank zerschossen? Nein. Im IIS ist eine MIME-Typ verlorengegangen (.psf). Frag mich mal, wie das passiert ist (???). Bis ich die Ursache herausgefunden hatte!...
Danke.
Genau diese Art von Erfahrungsbericht hat mich interessiert. Handelt sich bei mir erstmal auch um kleinere Member-Server (wie die WSUS-Kiste, beispielsweise). Der Hinweis mit der "Setup Security", "DC Security" und der AD-Konvertierung ist für mich besonders wertvoll.
Viele Grüße,
die Kaffeepause
Danke.
Genau diese Art von Erfahrungsbericht hat mich interessiert. Handelt sich bei mir erstmal auch um kleinere Member-Server (wie die WSUS-Kiste, beispielsweise). Der Hinweis mit der "Setup Security", "DC Security" und der AD-Konvertierung ist für mich besonders wertvoll.
Viele Grüße,
die Kaffeepause
