Empfehlung Best-Practice: Richtlinienprofile

[alexcad]

Hallo Zusammen,

hier mal eine kleine Anleitung, wie sich Differenzierungsbedarf bzgl. der Schutzeinstellungen in einer einzigen Richtlinie abbilden lassen. Das Stichwort ist „Richtlinienprofile“.

Diesen Punkt findet ihr z. B. in den Richtlinien der KES und der KSWS – richtig spannend ist er aber nur in der KES-Richtlinie. Folgende Ausführungen beziehen sich somit alle auf die KES-Richtlinie.

Die Funktion kurz zusammengefasst:
(Details dann in den Anwendungsbeispielen)

• Jedes Richtlinienprofil, für das eine Aktivierungsregel greift, wird von den entsprechenden Systemen übernommen. Gibt es zwei Richtlinienprofile mit widersprüchlicher Einstellung gewinnt die Einstellung aus dem Richtlinienprofil mit der höheren Priorität (weiter oben in der Liste).
  
  
   
• Die Einstellungen der Basis-Richtlinie werden nur durch die verbindlich gesetzten Einstellungen des Richtlinienprofils überschrieben (Schloss zu), auch wenn in der Basis-Richtlinie hier ebenfalls das Schloss zu ist. Alle anderen Einstellungen (im Richtlinienprofil Schloss offen) der Basis-Richtlinie bleiben unverändert und verbindlich (sofern dort das Schloss ebenfalls zu ist, was ich immer für alle Einstellungen empfehlen würde).
  
  

Beispiel 1 - Steuerung der Festplattenverschlüsselung / Bitlocker-Management (Advanced-Lizenzierung erforderlich)

In der Regel müssen in einem Unternehmen nicht bei allen Systemen die Festplatten verschlüsselt werden. Oft ist dies nur bei Notebooks gefordert. Eine gezielte Verschlüsselung z. B. aller Notebooks, in Verbindung mit der Möglichkeit einzelne Geräte selektiv zu entschlüsseln, lässt sich mit Richtlinienprofilen sehr einfach umsetzen.
Wir erstellen zwei Richtlinienprofile, "Bitlocker off" und Bitlocker on", wobei "Bitlocker off" die höhere Priorität besitzt.



Im Richtlinienprofil "Bitlocker on" setzen wir als Aktivierungsregel z. B. Zugehörigkeit zu einer bestimmten OU im AD:

 

Wie sich am Dialog erkennen lässt, wäre es möglich weitere Aktivierungsregeln zu definieren. Wie immer gilt:

• Alle konfigurierten Bedingungen in einer Aktivierungsregel müssen erfüllt sein damit die Regel greift (UND-Verknüpfung)
• Mindestens eine Aktivierungsregel muss greifen damit das Richtlinienprofil vom Client übernommen wird (ODER-Verknüpfung)

Nun gehen wir im Richtlinienprofil "Bitlocker on" in die Programmeinstellungen, aktivieren dort die Festplattenverschlüsselung mit Bitlocker und schließen nur dort das Schloss.

Anschließend alles mit "OK" bestätigen bzw. speichern und die Richtlinie schließen. 

Alle Geräte, die sich in der OU "Notebooks" befinden sollten nun dieses Richtlinienprofil übernehmen und folglich die Festplattenverschlüsselung mit Bitlocker durchführen.
Die Übernahme des Profils lässt sich prüfen:

• Im Richtlinienprofil
  
  
   
• In den Eigenschaften des Systems
  
  
   
• Über die GUI auf dem Client
  
  

Damit wir einzelne Geräte bei Bedarf entschlüsseln können konfigurieren wir noch das zweite Richtlinienprofil "bitlocker off". In diesem Richtlinienprofil setzen wir als Aktivierungsregel z. B. Tag "bitlocker off" muss vorhanden sein ...

... und aktivieren in den Einstellungen die Entschlüsselung aller Festplatten. Und auch hier nicht vergessen das Schloss zu schließen.

Wenn ich nun ein Notebook gezielt entschlüsseln möchte, muss ich nur den Tag "bitlocker off" in den Clienteigenschaften aktivieren. Da das Richtlinienprofil "bitlocker off" eine höhere Priorität als das Richtlinienprofil "bitlocker on" besitzt, wird das Notebook entschlüsselt, auch wenn es sich in der OU "Notebooks" befindet.

 

Beispiel 2 - Dedizierte Ausnahmen für bestimmte Systeme setzen

Oft sind die Vorgaben der Software-Hersteller bzgl. der Ausnahmen für EndpointSecurity-Produkte sehr umfassend bzw. zu allgemein. Das möchte man nicht auf allen Systemen aktiv haben, um nicht ein zu großes Loch in den Schutz zu reißen. Bestes Beispiel sind hier die Vorgaben von Microsoft bzgl. Exchange, siehe https://learn.microsoft.com/de-de/exchange/antispam-and-antimalware/windows-antivirus-software?view=exchserver-2019

Auch hier lässt sich ein Richtlinienprofil gut einsetzen. Im Beispiel konfiguriere ich die Aktivierungsregel wieder auf Basis eines Tags - der Tag "Exchange" muss vorhanden sein, damit das Richtlinienprofil übernommen wird.

 

In den Einstellungen ergänze ich die von Microsoft geforderten Untersuchungsausnahmen und vertrauenswürdigen Prozesse und schließe dort das Schloss. Uns kommt nun zu Gute, dass KES die Ausnahmen auch bei Richtlinienprofilen zusammenführt, sofern der entsprechende Haken gesetzt ist. Die Ausnahmen der Basis-Richtlinie werden dann nicht überschrieben, sondern durch die Ausnahmen des Richtlinienprofils ergänzt.

 

Noch zwei Hinweise zum Thema "Tag setzen":

• Den Tag-Dialog bekommt ihr auch, wenn ihr im Kontextmenü einer Mehrfachauswahl auf Eigenschaften geht. Bedeutet: Ihr könnt für mehrere Geräte gleichzeitig einen Tag setzen oder deaktivieren.
  
  
  
  
   
• Tags lassen sich auch regelbasiert zuweisen. Ihr findet den Dialog in den Eigenschaften des Admin-Servers.
  
  

 

Grüße
Alex

 

PS. Unten hat sich noch ein Screenshot eingeschlichen, den kann ich irgendwie nicht mehr löschen. Wir ignorieren ihn einfach.

 

[ak01]

ich nutze auch gerne Richtlinienprofile, denn diese machen es sehr flexibel, spezifische Einstellungen (mit einer globalen Richtlinie) zu setzen. Man benötigt keine unterschiedl. Richtlinien mehr, eine pro Gerätetyp (Clients/Server) genügt (wenngleich man aber keine Einstellungen pro KSC Gruppe setzen kann, aber pro Tag/AD Gruppe/OU usw.).

 

Danke für die ausführliche Beschreibung.

[alexcad]

Vielen Dank für das Feedback.

Grüße
Alex