Was ist bei der Anwendungen der Microsoft Security Baselines zu beachten?

Im Rahmen von Härtungsmaßnahmen bietet es sich an, die von Microsoft herausgegebenen Microsoft Security Baselines auf die eigene Serverlandschaft anzuwenden.

Dies wird zwangsläufig Auswirkungen auf die PKI-Komponenten haben. Nachfolgend eine Übersicht über die zu erwartenden Auswirkungen und Gegenmaßnahmen.

Auditierungseinstellungen

Die Security Baselines bringen eine Auditierungsrichtlinie mit, welche keine Einstellungen für die Zertifizierungsstelle beinhaltet (siehe Artikel "Standard-Auditierungsregeln für Windows Server Betriebssysteme" für einen Vergleich mit den Standard-Suditierungsregeln).

Die Zertifizierungsstellen-spezifischen Auditeinstellungen müssen also gesondert auf die Zertifizierungsstellen und die dazugehörigen Dienste angewendet werden. Siehe hierzu Artikel "Konfiguration der Überwachung von Sicherheitsereignissen (Auditierungseinstellungen) für Zertifizierungsstellen".

Kennen Sie TameMyCerts? TameMyCerts ist ein Add-On für die Microsoft Zertifizierungsstelle (Active Directory Certificate Services). Es erweitert die Funktion der Zertifizierungsstelle und ermöglicht die Anwendung von Regelwerken, um die sichere Automatisierung von Zertifikat-Ausstellungen zu realisieren. TameMyCerts ist einzigartig im Microsoft-Ökosystem, hat sich bereits in unzähligen Unternehmen auf der ganzen Welt bewährt und steht unter einer freien Lizenz. Es kann über GitHub heruntergeladen und kostenlos verwendet werden. Professionelle Wartung wird ebenfalls angeboten.

Windows-Sicherheitsberechtigungen

• Für den Zertifikatregistrierungs-Richtlinienwebdienst siehe Artikel "Benötigte Windows-Sicherheitsberechtigungen für den Certificate Enrollment Policy Web Service (CEP)".
• Für den Zertifikatregistrierungs-Webdienst siehe Artikel "Benötigte Windows-Sicherheitsberechtigungen für den Zertifikatregistrierungs-Webdienst (CES)".
• Für den Registrierungsdienst für Netzwerkgeräte siehe Artikel "Benötigte Windows-Sicherheitsberechtigungen für den Registrierungsdienst für Netzwerkgeräte (NDES)".
• Für die Zertifizierungsstellen-Webregistrierung siehe Artikel "Benötigte Windows-Sicherheitsberechtigungen für die Zertifizierungsstellen-Webregistrierung (CAWE)".

Sonstiges

• Die Security Baselines beinhalten Regeln, um veraltete (Internet Explorer) oder von Microsoft unerwünschte (Google Chrome, Mozilla Firefox) Browser an der Ausführung zu hindern. Sollten diese Browser verwendet werden, muss eine entsprechende Anpassung der Konfiguration erfolgen.