Skripting-gestützte Endpunkthärtung für Managed Service Provider CIS-Benchmarks über PowerShell

Cybersecurity-Bedrohungen entwickeln sich ständig weiter, so dass Managed Service Provider (MSPs) und IT-Administratoren ihre Endpunkte sicher halten müssen, um ihre Kunden und ihren Betrieb zu schützen. Als Reaktion darauf hat das Center for Internet Security (CIS) die CIS-Benchmarks entwickelt, die die Standards für mehr Cybersicherheit festlegen. Die Anwendung ihrer Konfigurationsempfehlungen kann jedoch zeitaufwändig und fehleranfällig sein.

Um die Aufgabe von endpoint hardening zu erleichtern, sollten Sie einen automatisierten Ansatz wählen. Lesen Sie weiter, um zu erfahren, wie Sie PowerShell-Skripte mit zusätzlichen Registrierungsänderungen, CMD-Skripte und Gruppenrichtlinienbereitstellungen verwenden können, um Geräte in Ihren Systemen zu sichern.

Wie man CIS Benchmarks automatisiert, um MSP-Endpunkte zu härten

In Windows-Umgebungen müssen MSPs und IT-Fachleute Hunderte von Konfigurationseinstellungen vornehmen, um die von CIS Benchmarks festgelegten Industriestandards zu erfüllen, weshalb es nicht empfehlenswert ist, jede einzelne Einstellung manuell vorzunehmen. Im Folgenden finden Sie einige Beispiele dafür, wie Sie PowerShell verwenden können, um diese auf CIS ausgerichteten Konfigurationen zu automatisieren, einschließlich anderer Workarounds für unterschiedliche Anforderungen und Umgebungen.

📌 Voraussetzungen:

• Windows 10 oder 11 mit Pro oder Enterprise Edition
• Administrator-Rechte
• Kenntnis der CIS-Benchmarks (Stufe 1 oder 2)
• Optional Zugriff auf Active Directory, Intune oder NinjaOne

💡Tipp: Prüfen Sie Dinge, auf die Sie achten sollten bevor Sie fortfahren.

📌 Empfohlene Einsatzstrategien:

Methode 1: Verwenden von PowerShell zum Anwenden von CIS-Benchmark-Einstellungen

PowerShell kann lokale Sicherheitsrichtlinien, Dienste, Audit-Einstellungen und Systemkonfigurationen direkt per Skript automatisieren. Daher kann es problemlos Hunderte von CIS-Kontrollen durchsetzen und wiederholbare Module für die Massenbereitstellung erstellen. Im Folgenden finden Sie einige CIS Benchmark PowerShell-Skripte, die Sie zu Modulen kombinieren oder DSC (Desired State Configuration) für eine wiederholbare Bereitstellung verwenden können.

📌 Anwendungsfälle:

• Automatisierung der Härtung für die Inbetriebnahme neuer Geräte
• Schnelle Bereitstellung von Sicherheitskontrollen für Endpunkte in Umgebungen, die nicht zur Domäne gehören

📌 Voraussetzungen:

• PowerShell 5.1 oder höher(Überprüfen Sie Ihre PowerShell-Version)
• Administrator-Rechte

Beispiel-Skripte:

1. Deaktivieren Sie das alte SMBv1-Protokoll (verhindern Sie die Ausnutzung von alten SMB-Schwachstellen)

Disable-WindowsOptionalFeature -Online -FeatureName SMB1Protocol -NoRestart

2. Gastkonto deaktivieren (Risiko des unbefugten Zugriffs verringern)

Set-LocalUser -Name „Gast“ -Enabled $false

3. Erzwingen Sie die Komplexität von Passwörtern (ändern Sie die lokale Sicherheitsrichtlinie und wenden Sie sie erneut an)

secedit /export /cfg c:\secpol.cfg (gc c:\secpol.cfg).replace
(„PasswortKomplexität = 0“, „PasswortKomplexität = 1“) | Set-Content c:\secpol.cfg
secedit /configure /db c:\windows\security\local.sdb /cfg c:\secpol.cfg /areas SECURITYPOLICY

4. Aktivieren Sie die Audit-Protokollierung (stellen Sie sicher, dass sowohl erfolgreiche als auch fehlgeschlagene Anmeldeversuche protokolliert werden)

auditpol /set /Unterkategorie: „Anmeldung“ /Erfolg:aktivieren /Fehlschlag:aktivieren

Methode 2: Verwendung des Registrierungseditors zur Durchsetzung der Konfiguration

Für eine präzisere Härtung können Sie direkt die Windows-Registrierung bearbeiten. Viele CIS-Steuerelemente lassen sich direkt bestimmten Registrierungsschlüsseln zuordnen, so dass eine Automatisierung der Registrierungsänderungen ebenfalls möglich ist. Im Folgenden finden Sie Änderungen an der Registrierung, die Sie über .reg-Dateien oder PowerShell (Set-ItemProperty) vornehmen oder über NinjaOne oder GPO bereitstellen können.

📌 Anwendungsfälle:

• Anwenden von Einstellungen, die nicht in Gruppenrichtlinien enthalten sind
• Sicherung der GPO-basierten Härtung mit lokalen Erzwingungsmaßnahmen

📌 Voraussetzung: Administratorenzugang zu den Zielendpunkten

Beispiele für Änderungen in der Registrierung:

1. Deaktivieren Sie Windows AutoRun (um die Ausführung von USB-basierter Malware einzudämmen)

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\Policies\Explorer] „NoDriveTypeAutoRun“=dword:000000ff

2. Beschränkung der anonymen SID-Aufzählung (Verhinderung der Untersuchung von Benutzerkonten)

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Lsa] „RestrictAnonymousSAM“=Wort:00000001

Methode 3: Verwendung von CMD für Systemoptimierungen und Validierung

CMD-Skripting ist ideal für Altsysteme und schnelle Systemänderungen. Es ist auch nützlich bei der Validierung von Konfigurationen in älteren Umgebungen, in denen PowerShell oder moderne Tools fehlen können. Hier finden Sie einige CMD-Skripte, die Sie mit den Befehlen taskkill, net stop oder sc config verknüpfen können, um Dienste weiter abzusichern.

📌 Anwendungsfälle:

• Härtung von Offline-Systemen
• Durchführung schneller Abhilfemaßnahmen während Supportanrufen oder Fernsitzungen

📌 Voraussetzung:

• CMD-Zugang
• Administrator-Rechte

Beispielhafte Befehle:

1. Deaktivieren der Fernunterstützung (Reduzierung der Angriffsfläche für Fernunterstützung)

reg add „HKLM\SYSTEM\CurrentControlSet\Control\Remote Assistance“ /v fAllowToGetHelp /t REG_DWORD /d 0 /f

2. Deaktivieren Sie NetBIOS über TCP/IP (verringern Sie das Risiko von Seitwärtsbewegungen)

wmic nicconfig where „IPEnabled=true“ Aufruf SetTcpipNetbios 2

3. Exportieren der aktuellen Sicherheitskonfiguration zur Überprüfung oder Sicherung

secedit /export /cfg C:\cfg.txt

Methode 4: Verwendung von Gruppenrichtlinien (GPO) zur Zentralisierung der Durchsetzung

MSPs können GPO auch verwenden, um die Konfiguration von Hunderten von CIS-Einstellungen über domänenverbundene Systeme hinweg zu zentralisieren. Es ist der skalierbarste Ansatz in Active Directory Umgebungen.

📌 Anwendungsfälle:

• Aufrechterhaltung einer sicheren Basis in allen Client-Netzwerken
• Durchsetzung von hochsicheren CIS Level 2-Kontrollen
• Verwaltung hybrider Umgebungen neben Intune/NinjaOne

📌 Voraussetzungen:

• Zugriff auf die Gruppenrichtlinien-Verwaltungskonsole (GPMC)
• Eine Active Directory-Umgebung
• Administrative Privilegien

Schritte:

1. Öffnen Sie die Gruppenrichtlinien-Verwaltungskonsole (GPMC) auf einem Domänencontroller oder Verwaltungssystem. Drücken Sie Windows-Taste + R, geben Sie„gpmc.msc ein, und drücken Sie Enter.
2. Erstellen oder bearbeiten Sie ein GPO, das auf Ihre Sicherheits-Baseline abzielt.
3. Konfigurieren Sie die Richtlinien unter: Computerkonfiguration > Windows-Einstellungen > Sicherheitseinstellungen
4. Einige CIS-relevante Richtlinien zu konfigurieren:
   • Passwortrichtlinie (unter Kontorichtlinien): Durchsetzung von Komplexität, Verfall und Historie
   • Zuweisung von Benutzerrechten (unter Local Policies): Lokales Anmelden“ einschränken und Zugriff verweigern
   • Sicherheitsoptionen: Deaktivieren Sie LM-Antworten und anonymen Zugriff
   • Prüfungsrichtlinien: Erweiterte Protokollierung einschalten
   • Windows Defender & Firewall-Einstellungen: Schutz standardisieren
5. Führen Sie gpupdate/force in einer erweiterten Eingabeaufforderung auf den Client-Rechnern aus, um die Richtlinie anzuwenden.
6. Optional Verwenden Sie Microsoft Security Compliance Toolkit oder CIS GPO-Importdateien, um mit der Konfiguration zu beginnen.

⚠️ Wichtige Hinweise

Was ist ein CIS-Benchmark?

Die CIS-Benchmarks sind eine Reihe von Best Practices für die Sicherung von IT-Systemen und Daten. Sie bieten Anleitungen zur Reduzierung von Schwachstellen und zur Absicherung von Systemkonfigurationen. Zusätzlich sind diese Standards:

• Entwickelt von Experten, von Cybersicherheitsexperten bis hin zu Anbietern und Fachleuten
• Anwendbar auf eine breite Palette von Systemen, einschließlich Windows, Linux, macOS, Netzwerkgeräten, Browsern und Cloud-Plattformen
• Aufgeführt als detaillierte Konfigurationseinstellungen mit empfohlenen Werten, Begründungen und Abhilfeschritten
• Häufige Adressen:
  1. Benutzerrechte und Audit-Politik
  2. Kontosperrung und Passwortrichtlinien
  3. SMB-, RDP- und Fernzugriffskontrollen
  4. Deaktivierung von Diensten und Funktionen
  5. Windows Defender und Firewall-Härtung
• Aufgeteilt in zwei Ebenen:
  1. Stufe 1: Grundlegende Sicherheit, die für allgemeine Systeme geeignet ist und sich auf minimale Auswirkungen auf den Benutzer konzentriert.
  2. Stufe 2: Erweiterte Härtung für Hochsicherheitsumgebungen, die die Benutzerfreundlichkeit oder Funktionalität beeinträchtigen können
• Abgestimmt auf Standards wie HIPAA, NIST, PCI-DSS und ISO 27001
• Regelmäßig überarbeitet, um aktuelle Bedrohungen, Schwachstellen und Plattform-Updates zu berücksichtigen
• Öffentlich zugänglich unter www.cisecurity.org/cis-benchmarks

Die Übernahme dieser Empfehlungen kann dazu beitragen, Sicherheitsgrundlagen zu schaffen, Risiken zu minimieren und allen Beteiligten die gebotene Sorgfalt zu demonstrieren.

Zusätzliche Überlegungen für MSPs bei der Implementierung von CIS Benchmarks

Die Automatisierung von CIS Benchmark geht über die einfache Ausführung von Skripten oder die Anwendung von GPOs hinaus. Wenn MSPs und IT-Teams die Endpunktsicherheit erfolgreich verbessern wollen, müssen sie einige Umgebungs-, Compliance- und Betriebsfaktoren berücksichtigen, um Probleme zu vermeiden.

• Testen vor dem Einsatz: CIS-Benchmarks können das Systemverhalten erheblich verändern. Ungetestete Skripte können benötigte Dienste deaktivieren oder gültige Benutzeraktivitäten einschränken. Testen Sie sie daher immer in nicht produktiven Umgebungen.
• Auswahl der Benchmark-Ebene: Sie sollten wissen, dass sich Stufe 1 auf die grundlegende Absicherung konzentriert, ohne die Benutzerfreundlichkeit zu beeinträchtigen, und daher für die meisten Unternehmensumgebungen geeignet ist. Die Stufe 2 ist dagegen für Hochsicherheitssysteme vorgesehen. Eine strengere Durchsetzung kann daher die Benutzerfreundlichkeit oder die Funktionalität der App beeinträchtigen.
• Grundlegende Vorlagen: Microsoft bietet Sicherheits-Baseline-GPOs an, die sich mit den CIS-Benchmarks überschneiden können. Diese Vorlagen können zwar hilfreich sein, sind aber kein vollwertiger Ersatz. Entscheiden Sie sich immer für CIS als primären Standard, wenn eine strenge Einhaltung erforderlich ist.
• Prüfpfad: Die Protokollierung aller Änderungen gewährleistet die Nachvollziehbarkeit und Konformität, wenn Prüfer oder Sicherheitsteams Nachweise für angewandte Skripte und geänderte Registrierungseinträge verlangen.

Fehlersuche bei Problemen

Fehler im PowerShell-Skript

Die Ausführungsrichtlinie kann zu restriktiv sein, oder Skripte werden durch System- oder Antivireneinstellungen blockiert. Überprüfen Sie Ihre aktuelle Ausführungsrichtlinie mit diesem Befehl:

Get-ExecutionPolicy -List

Falls erforderlich, setzen Sie ihn mit diesem Befehl auf RemoteSigned:

Set-ExecutionPolicy RemoteSigned -Scope LocalMachine

Dadurch werden lokale Skripte zugelassen, während für entfernte Skripte Signaturen erforderlich sind. Sie sollten auch nach AV- oder Endpunktschutzlösungen suchen, die die Ausführung von Skripten blockieren können, wie z. B. Defender oder CrowdStrike.

GPO-Einstellungen werden nicht angewendet

Dies kann der Fall sein, wenn der Endpunkt nicht Teil der richtigen Organisationseinheit (OU) ist oder WMI- oder Sicherheitsfilter die Anwendung der Richtlinie verhindern. Bestätigen Sie, dass die Einstellung für die OU-Platzierung des Geräts in Active Directory-Benutzer und -Computer gilt. Sie sollten auch WMI-Filter für das GPO validieren, um sicherzustellen, dass das System die Voraussetzungen erfüllt.

Widersprüchliche Einstellungen

Gruppenrichtlinien können lokale Einstellungen, die über PowerShell oder die Registrierung erzwungen wurden, beim nächsten Aktualisierungszyklus überschreiben. Stellen Sie sicher, dass Sie Ihre Konfigurationshierarchie definieren. Verwenden Sie PowerShell oder die Registrierung für die erstmalige Bereitstellung und wechseln Sie dann zu GPO für die dauerhafte Durchsetzung.

Fehler im Sicherheitsprotokoll

Zu ausführliche Audit-Protokolleinstellungen können zu einer Überflutung der Protokolle führen. Sie können die Protokolle so abstimmen, dass sie sich auf kritische Kategorien konzentrieren, z. B. Anmeldeereignisse, Nutzung von Berechtigungen, Systemintegrität und Kontoverwaltung. Es kann auch von Vorteil sein, Begrenzungen für den Verbleib und die Größe der Fische festzulegen.

NinjaOne-Dienste, die die Durchsetzung von CIS Benchmark unterstützen können

NinjaOne kann die Skalierbarkeit und Effektivität der CIS Benchmark-Implementierung verbessern, indem es MSPs leistungsstarke Automatisierungs-, Überwachungs- und Berichtsfunktionen bietet.

Vereinfachung der Härtung durch intelligente Automatisierung

Die Implementierung von CIS-Benchmarks kann für MSPs und IT-Experten ein langwieriger Prozess sein, wenn sie manuell erfolgt. Daher sollte die Automatisierung mithilfe von PowerShell-Skripten, Registrierungsänderungen, Befehlszeilentools und Gruppenrichtlinien dazu beitragen, die Konsistenz der Durchsetzung sicherzustellen. Diese sollen die Sicherheit der Endgeräte verbessern und gleichzeitig das Risiko von Fehlkonfigurationen verringern.

Verwandte Themen:

• Vollständiger Leitfaden zur Systemhärtung [Checkliste]
• 9 wesentliche Schritte eines Server-Hardening-Prozesses
• Warum Unternehmen in Endpoint Hardening und Automatisierung investieren sollten
• Was ist Endpunktsicherheit und wie funktioniert sie?
• Beginnen Sie mit den Grundlagen der Endpunktsicherheit und bauen Sie darauf auf