Windows Server CIS Hardening ohne GPO
Hallo zusammen,
ich kenne nur den Weg für CIS Hardening über Policies / GPO / Gruppenrichtlinien. Das ist wohl der gängige Weg.
Habe es auch immer so umgesetzt. Bei Linux habe ich gesehen, das es Wege aber gibt mit Ansible und man Repositorys anziehen kann , die das dann auf die Platte alles schreiben. Hat ja auch keine GPOs , das Linux.
Gibt es für Linux auch solche Wege. Oder was ist der gängige Weg ?
Gruss
Paul
ich kenne nur den Weg für CIS Hardening über Policies / GPO / Gruppenrichtlinien. Das ist wohl der gängige Weg.
Habe es auch immer so umgesetzt. Bei Linux habe ich gesehen, das es Wege aber gibt mit Ansible und man Repositorys anziehen kann , die das dann auf die Platte alles schreiben. Hat ja auch keine GPOs , das Linux.
Gibt es für Linux auch solche Wege. Oder was ist der gängige Weg ?
Gruss
Paul
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 673465
Url: https://administrator.de/forum/windows-server-cis-hardening-linux-673465.html
Ausgedruckt am: 11.07.2025 um 03:07 Uhr
8 Kommentare
Neuester Kommentar
Zitat von @itnirvana:
Letzter Satz. Letzte Frage!Gibt es für Linux auch solche Wege. Oder was ist der gängige Weg ?
Laut dem Text geht es um Linux!Was denn nun? Man kann auch nachträglich seinen Beitrag / seine Frage bearbeiten und korrigieren!
Gruss Penny.
Gibts!
zeronetworks.com/
sowohl linux/windows Automatisierte Mikrosegmentierung nennt sich das und hört sich gut an.
zeronetworks.com/
sowohl linux/windows Automatisierte Mikrosegmentierung nennt sich das und hört sich gut an.
Also AD Basiert ist es immer optimal per GPO, warum?
Weil Ober sticht Unter
Bedeutet selbst als Doamin Admin hast du ein Problem gegen GPOs anzukämpfen.
Daher kann auch niemand die Settings modifizieren.
Nun ohne AD - bevor ich mit so Linux Tools rumhantieren würde, würde ich Lokale GPOs verwenden.
gpedit.msc am Server oder PC und schon hat man die lokale GPO und kann quasi die selben settings machen wie im AD.
Ausnahmen bestätigen die Regel
die Lokale GPO kann man auch auf Systeme kopieren, hab mal KI gefragt:
Speicherorte der lokalen GPO-Dateien
1. Gruppenrichtlinien-Konfiguration (Dateibasierte Einstellungen)
Diese befinden sich hier:
C:\Windows\System32\GroupPolicy\
C:\Windows\System32\GroupPolicyUsers\
GroupPolicy enthält die Computerkonfiguration.
GroupPolicyUsers enthält benutzerspezifische Einstellungen (oft leer, wenn keine gesetzt sind).
Beispielhafte Unterordner:
Machine – Richtlinien für den Computer
User – Richtlinien für Benutzer
Adm – ggf. administrative Vorlagen (.adm)
Hab das seit Jahren nicht mehr angeschaut, ich hoffe mal die KI lügt nicht und die Daten befinden sich da (irgendwo lagen sie zumindest und man konnte sie auf andere PCs kopieren).
das wäre der Weg den ich nehmen würde wenn ich non AD pflegen wollen würde. So nah am System wie möglch ohne externe schnick schnack Software...
Weil Ober sticht Unter
Bedeutet selbst als Doamin Admin hast du ein Problem gegen GPOs anzukämpfen.
Daher kann auch niemand die Settings modifizieren.
Nun ohne AD - bevor ich mit so Linux Tools rumhantieren würde, würde ich Lokale GPOs verwenden.
gpedit.msc am Server oder PC und schon hat man die lokale GPO und kann quasi die selben settings machen wie im AD.
Ausnahmen bestätigen die Regel
die Lokale GPO kann man auch auf Systeme kopieren, hab mal KI gefragt:
Speicherorte der lokalen GPO-Dateien
1. Gruppenrichtlinien-Konfiguration (Dateibasierte Einstellungen)
Diese befinden sich hier:
C:\Windows\System32\GroupPolicy\
C:\Windows\System32\GroupPolicyUsers\
GroupPolicy enthält die Computerkonfiguration.
GroupPolicyUsers enthält benutzerspezifische Einstellungen (oft leer, wenn keine gesetzt sind).
Beispielhafte Unterordner:
Machine – Richtlinien für den Computer
User – Richtlinien für Benutzer
Adm – ggf. administrative Vorlagen (.adm)
Hab das seit Jahren nicht mehr angeschaut, ich hoffe mal die KI lügt nicht und die Daten befinden sich da (irgendwo lagen sie zumindest und man konnte sie auf andere PCs kopieren).
das wäre der Weg den ich nehmen würde wenn ich non AD pflegen wollen würde. So nah am System wie möglch ohne externe schnick schnack Software...