Oft wird uns die Frage gestellt, warum wir Systemhärtung nicht auf Basis von Gruppenrichtlinien bzw. Group Policy Objects durchführen. Die schnelle Antwort: Weil die Handhabung ineffizient und die Ergebnisse unzufriedenstellend ausfallen! Warum das so ist, erklären wir in diesem Beitrag.
GPOs: Ein kurzer Überblick
Die Group Policy Objects waren zur Zeit Ihrer Einführung – also vor rund 25 Jahren (ActiveDirectory mit Windows NT/2000) – eine tolle Sache. Und sie stellten einen großer Schritt nach vorne dar. Administratoren kamen dem Ziel näher, mit wenig zeitlichem Aufwand eine einheitliche Konfiguration auf entfernten bzw. verteilten Systemen zu erhalten.
Auch heute sind die GPOs ein beliebtes und vielgenutztes Instrument, um Konfigurationen zu verteilen und aufrecht zu erhalten. Jedoch merkt man zunehmend, dass wichtige Funktionalitäten fehlen oder nicht im Fokus stehen. Dazu gehören Monitoring, Auditing, übergreifende bzw. rollenorientierte Konfigurationen sowie ein einheitliches und infrastrukturweites Reporting. Daran wird sich wohl nicht viel ändern.
Microsoft erklärt zum Beispiel in diesem Beitrag, welche Vorteile neuere Technologien wie PowerShell DSC gegenüber den GPOs haben.
Lässt sich über die Gruppenrichtlinien eine Systemhärtung durchführen?
Ja, grundsätzlich können GPOs technisch genutzt werden, um Systemkonfigurationen und damit auch Härtungseinstellungen zu verteilen.
Zum Beispiel haben Sie die Möglichkeit, den SiSyPHuS-Vorgaben des BSI zu folgen und die Gruppenrichtlinienobjekte zur Härtung von Windows 10 herunter zu laden, wie sie bei der Härtung nach BSI empfohlen werden. Auf GPO-Basis übertragen Sie dann eine Härtungs-Konfiguration an die Systeme.
Doch: In einer sich ständig ändernden (Cyber-)Bedrohungswelt stellt sich die Frage, ob für das Thema Cyber-Security auf GPOs gesetzt werden sollte. Denn für ein sinnvolles Security Configuration Management (SCM) fehlen eminent wichtige Funktionalitäten!
Sichere Systemkonfiguration über GPO: die Vorteile und Nachteile
In der folgenden Tabelle haben wir die aus unserer Sicht relevanten Vorteile und Nachteile einer GPO-basierten Systemhärtung zusammengefasst:
| Vorteile | Nachteile |
| Die Microsoft-Baselines können kostenlos heruntergeladen werden | Tiefgehendes KnowHow über Konfigurationen wird benötigt |
| Da die Baselines als GPO geliefert werden, lassen sie sich direkt anwenden | Die Erweiterungen zu den MS-Baselines müssen manuell vorgenommen werden |
| Zur Anwendung braucht es keine spezielle Infrastruktur | Konfigurationen für GDPR- / DSGVO-Themen sind selbst zu entwickeln |
| Es müssen keine zusätzlichen, kostenpflichtigen Lizenzen erworben werden | Einstellungen sind selbständig an neuere Versionen von Hardening-Frameworks anzupassen |
| Die Technologie ist bekannt und millionenfach erfolgreich im Einsatz | Ein einfaches Rollback der Einstellungen ist nicht möglich, es sind “invertierte” GPOs notwendig |
| Es gibt keine zentrale Kontroll- und Reporting-Möglichkeit, nur Einzelauswertungen | |
| Eine Härtungskonfiguration lässt sich nicht in Drittsystemen weiterverarbeiten, denn es existieren keine Schnittstellen |
|
| Für nicht im AD integrierte Systeme sind Sonderwege notwendig, um GPOs anzuwenden |
Anders ausgedrückt: Die Systemhärtung über Active Directory und die Gruppenrichtlinien stellt eine monolithische Lösung dar. Eine, die viel manuelle Arbeit erfordert – was hoch belastete IT-Abteilungen schwer leisten können.
Dazu kommt, dass das sog. OS Hardening fortwährend vorgenommen, überwacht und angepasst werden muss! Ansonsten entstehen schnell Lücken, die Datenkraken, Hacker und “Cyber-Gangster” ausnutzen können. Die Folgen können teuer und auch existenzgefährdend für Ihr Unternehmen sein.
Wie lässt sich eine nachhaltige Systemhärtung realisieren?
Wenn Sie nur wenige Systeme, zum Beispiel ein paar Arbeitsplatzrechner und Server, zu administrieren haben, kann eine Härtung über GPO in Ordnung sein. Der Aufwand für die Durchführung, Überwachung und Anpassungen ist zwar beträchtlich, aber mit einem personell gut aufgestellten IT-Team machbar.
Doch eine echte, tiefgreifende und dauerhafte Systemhärtung mit allen Aspekten eines Security Configuration Managements auf hohem Niveau lässt sich bei großen IT-Landschaften mit GPOs nicht bewerkstelligen – zumindest nicht mit angemessenem Aufwand.
Hierfür gibt es nur eine sinnvolle Lösung: Automation!
Für die Automatisierung stehen verschiedene Lösungen zu Verfügung, unter anderem der Enforce Administrator. Mit dem Enforce Administrator werden automatisierte Systemhärtungen auf Basis erprobter und aktueller Standards durchgeführt.
Ebenso integriert: Ein Systems Management und ein Audit-System für die Überwachung des Compliance-Zustand. Die regelmäßige Selbstheilung auf Basis der definierten Konfigurationen ist ebenso inklusive.
GPO versus Enforce Administrator: die Gegenüberstellung
| Funktionen / Features | Group Policy Objects | Enforce Administrator |
| Möglichkeit zum Setzen eines innovativen, firmenweiten Standards | Ja | Ja |
| Einfache, rollenbasierte Verwaltung diverser Hardening-Konfigurationen | Nein | Ja |
| Automatische Korrektur non-konformer Einstellungen | Ja |
Ja |
| Detektion non-konformer Einstellungen | Nein | Ja |
| Automation über REST-API und Integration in Dritt-Systeme |
Nein | Ja |
| Einfaches Web-Interface zur Konfiguration | Nein | Ja |
| Verschmelzung mehrerer Hardening-Empfehlungen (bspw. von BSI, CIS, Microsoft und DISA) zu einer Konfiguration | Nein | Ja |
| Risiko-Minimierung durch Vermeidung permanenter (lokaler) Admin-Rechte | Nein | Ja |
| Dauerhaftes Monitoring und Alarmierungsfunktion |
Nein | Ja |
| Einfache Erstellung von Reports, bspw. für Compliance- und DSGVO-Audits | Nein | Ja |
| Einstieg und Time to Result | Hoch | Gering |
| Restore alter Konfigurationen | Hoher Aufwand | Geringer Aufwand |
Hinweis: Wir werden diese Tabelle regelmäßig updaten.
Fazit
Gruppenrichtlinien und Active Directory waren und sind eine tolle Sache. Doch beim Security Configuration Management stößt die Implementierung auf Basis von GPOs schnell an Ihre Grenzen. Denn ein SCM erfordert neben der konkreten Durchführung einer sicheren Konfiguration die Themen Prozess-Integration, Detektionsoptionen und Monitoring.
Um die Einschränkungen zu kompensieren, müsste extrem viel Zeit in manuelle Tätigkeiten investiert werden. Das erlaubt der aktuelle Fachkräftemangel aber in beinahe keinem Unternehmen.
Für eine nachhaltiges Systemhärtung muss SCM automatisiert werden – und das auf allen Ebenen: bei der Einrichtung, bei der Überwachung und bei der Anpassung. Nur so kann es gelingen, IT-Infrastrukturen langfristig konform aktueller Empfehlungen und Standards zu halten und das Risiko für erfolgreiche Cyber-Angriffe wirksam zu reduzieren.
Wenn Sie hierbei Unterstützung benötigen, können Sie sich gerne an uns wenden.
Bild: Pexels