Gruppenrichtlinien vs. Systemhärtung: Warum GPOs keine nachhaltige Sicherheit liefern

Oft wird uns die Frage gestellt, warum wir Systemhärtung nicht auf Basis von Gruppenrichtlinien bzw. Group Policy Objects durchführen. Die schnelle Antwort: Weil die Handhabung ineffizient und die Ergebnisse unzufriedenstellend ausfallen! Warum das so ist, erklären wir in diesem Beitrag.

GPOs: Ein kurzer Überblick

Die Group Policy Objects waren zur Zeit Ihrer Einführung – also vor rund 25 Jahren (ActiveDirectory mit Windows NT/2000) – eine tolle Sache. Und sie stellten einen großer Schritt nach vorne dar. Administratoren kamen dem Ziel näher, mit wenig zeitlichem Aufwand eine einheitliche Konfiguration auf entfernten bzw. verteilten Systemen zu erhalten.

Auch heute sind die GPOs ein beliebtes und vielgenutztes Instrument, um Konfigurationen zu verteilen und aufrecht zu erhalten. Jedoch merkt man zunehmend, dass wichtige Funktionalitäten fehlen oder nicht im Fokus stehen.  Dazu gehören Monitoring, Auditing, übergreifende bzw. rollenorientierte Konfigurationen sowie ein einheitliches und infrastrukturweites Reporting. Daran wird sich wohl nicht viel ändern.

Microsoft erklärt zum Beispiel in diesem Beitrag, welche Vorteile neuere Technologien wie PowerShell DSC gegenüber den GPOs haben.

Lässt sich über die Gruppenrichtlinien eine Systemhärtung durchführen?

Ja, grundsätzlich können GPOs technisch genutzt werden, um Systemkonfigurationen und damit auch Härtungseinstellungen zu verteilen. 

Zum Beispiel haben Sie die Möglichkeit, den SiSyPHuS-Vorgaben des BSI zu folgen und die Gruppenrichtlinienobjekte zur Härtung von Windows 10 herunter zu laden, wie sie bei der Härtung nach BSI empfohlen werden. Auf GPO-Basis übertragen Sie dann eine Härtungs-Konfiguration an die Systeme.

Doch: In einer sich ständig ändernden (Cyber-)Bedrohungswelt  stellt sich die Frage, ob für das Thema Cyber-Security auf GPOs gesetzt werden sollte. Denn für ein sinnvolles Security Configuration Management (SCM) fehlen eminent wichtige Funktionalitäten!

Sichere Systemkonfiguration über GPO: die Vorteile und Nachteile

In der folgenden Tabelle haben wir die aus unserer Sicht relevanten Vorteile und Nachteile einer GPO-basierten Systemhärtung zusammengefasst:

 

Vorteile Nachteile
Die Microsoft-Baselines können kostenlos heruntergeladen werden Tiefgehendes KnowHow über Konfigurationen wird benötigt
Da die Baselines als GPO geliefert werden, lassen sie sich direkt anwenden Die Erweiterungen zu den MS-Baselines müssen manuell vorgenommen werden
Zur Anwendung braucht es keine spezielle Infrastruktur Konfigurationen für GDPR- / DSGVO-Themen sind selbst zu entwickeln
Es müssen keine zusätzlichen, kostenpflichtigen Lizenzen erworben werden Einstellungen sind selbständig an neuere Versionen von Hardening-Frameworks anzupassen
Die Technologie ist bekannt und millionenfach erfolgreich im Einsatz Ein einfaches Rollback der Einstellungen ist nicht möglich, es sind “invertierte” GPOs notwendig
Es gibt keine zentrale Kontroll- und Reporting-Möglichkeit, nur Einzelauswertungen
Eine Härtungskonfiguration lässt sich nicht in Drittsystemen weiterverarbeiten, denn es existieren keine Schnittstellen
Für nicht im AD integrierte Systeme sind Sonderwege notwendig, um GPOs anzuwenden

Anders ausgedrückt: Die Systemhärtung über Active Directory und die Gruppenrichtlinien stellt eine monolithische Lösung dar. Eine, die viel manuelle Arbeit erfordert – was hoch belastete IT-Abteilungen schwer leisten können.

Dazu kommt, dass das sog. OS Hardening fortwährend vorgenommen, überwacht und angepasst werden muss! Ansonsten entstehen schnell Lücken, die Datenkraken, Hacker und “Cyber-Gangster” ausnutzen können. Die Folgen können teuer und auch existenzgefährdend für Ihr Unternehmen sein.

Wie lässt sich eine nachhaltige Systemhärtung realisieren?

Wenn Sie nur wenige Systeme, zum Beispiel ein paar Arbeitsplatzrechner und Server, zu administrieren haben, kann eine Härtung über GPO in Ordnung sein. Der Aufwand für die Durchführung, Überwachung und Anpassungen ist zwar beträchtlich, aber mit einem personell gut aufgestellten IT-Team machbar.

Doch eine echte, tiefgreifende und dauerhafte Systemhärtung mit allen Aspekten eines Security Configuration Managements auf hohem Niveau lässt sich bei großen IT-Landschaften mit GPOs nicht bewerkstelligen – zumindest nicht mit angemessenem Aufwand.

Hierfür gibt es nur eine sinnvolle Lösung: Automation! 

Enforce Administrator - Report (Bild: FB Pro GmbH)

Für die Automatisierung stehen verschiedene Lösungen zu Verfügung, unter anderem der Enforce Administrator. Mit dem Enforce Administrator werden automatisierte Systemhärtungen auf Basis erprobter und aktueller Standards durchgeführt.

Ebenso integriert: Ein Systems Management und ein Audit-System für die Überwachung des Compliance-Zustand. Die regelmäßige Selbstheilung auf Basis der definierten Konfigurationen ist ebenso inklusive. 

GPO versus Enforce Administrator: die Gegenüberstellung

Funktionen / Features Group Policy Objects Enforce Administrator
Möglichkeit zum Setzen eines innovativen, firmenweiten Standards Ja Ja
Einfache, rollenbasierte Verwaltung diverser Hardening-Konfigurationen Nein Ja
Automatische Korrektur non-konformer Einstellungen Ja
Ja
Detektion non-konformer Einstellungen Nein Ja
Automation über REST-API und Integration in Dritt-Systeme
Nein Ja
Einfaches Web-Interface zur Konfiguration Nein Ja
Verschmelzung mehrerer Hardening-Empfehlungen (bspw. von BSI, CIS, Microsoft und DISA) zu einer Konfiguration Nein Ja
Risiko-Minimierung durch Vermeidung permanenter (lokaler) Admin-Rechte Nein Ja
Dauerhaftes Monitoring und Alarmierungsfunktion
Nein Ja
Einfache Erstellung von Reports, bspw. für Compliance- und DSGVO-Audits Nein Ja
Einstieg und Time to Result Hoch Gering
Restore alter Konfigurationen Hoher Aufwand Geringer Aufwand

Hinweis: Wir werden diese Tabelle regelmäßig updaten.

Fazit

Gruppenrichtlinien und Active Directory waren und sind eine tolle Sache. Doch beim Security Configuration Management stößt die Implementierung auf Basis von GPOs schnell an Ihre  Grenzen. Denn ein SCM erfordert neben der konkreten Durchführung einer sicheren Konfiguration die Themen Prozess-Integration, Detektionsoptionen und Monitoring.

Um die Einschränkungen zu kompensieren, müsste extrem viel Zeit in manuelle Tätigkeiten investiert werden. Das erlaubt der aktuelle Fachkräftemangel aber in beinahe keinem Unternehmen.

Für eine nachhaltiges Systemhärtung muss SCM automatisiert werden – und das auf allen Ebenen: bei der Einrichtung, bei der Überwachung und bei der Anpassung. Nur so kann es gelingen, IT-Infrastrukturen langfristig konform aktueller Empfehlungen und Standards zu halten und das Risiko für erfolgreiche Cyber-Angriffe wirksam zu reduzieren.

Wenn Sie hierbei Unterstützung benötigen, können Sie sich gerne an uns wenden.

Kontakt aufnehmen

Bild: Pexels

Schreibe einen Kommentar