improvee design - stock.adobe.co

Ratgeber

Windows Server 2025: Die Sicherheit mit OSConfig einrichten

Sicherheitsbaselines sind von Microsoft empfohlene Einstellungen. Mit OSConfig können Admins ihre Windows Server 2025 so einfach und schnell übers Windows Admin Center absichern.

Thomas Joos
von
Zuletzt aktualisiert:10 Febr. 2025

Microsoft hat in Windows Server 2025 die Möglichkeit integriert, eine Sicherheitsbaseline direkt mit dem Windows Admin Center und der PowerShell umzusetzen. Zusätzliche Downloads, wie das Security Compliance Toolkit oder die manuelle Konfiguration von Gruppenrichtlinien ist hierfür nicht notwendig. Admins können alles bequem im Windows Admin Center oder in der PowerShell konfigurieren.

Das PowerShell-Modul Microsoft.OSConfig unterstützt Administratoren bei der Verwaltung von Sicherheitskonfigurationen in Windows Server 2025. Es ermöglicht die Anwendung vordefinierter Sicherheitsbaselines, die für verschiedene Serverrollen wie Domänencontroller, Mitgliedsserver und Arbeitsgruppenmitglieder optimiert sind. Ein zentrales Merkmal von OSConfig ist die Driftkontrolle. Dieses Feature überwacht kontinuierlich die Systemkonfiguration und korrigiert automatisch Abweichungen vom gewünschten Zustand. Dadurch bleibt die Sicherheitskonfiguration konsistent und widerstandsfähig gegenüber unbeabsichtigten Änderungen. OSConfig integriert sich nahtlos in bestehende Verwaltungstools wie Windows Admin Center und Azure Arc. Dies erleichtert die zentrale Verwaltung und Überwachung von Sicherheitsrichtlinien sowohl in lokalen Umgebungen als auch in hybriden Cloud-Szenarien.

Windows Server 2022 und Windows Server 2025 verfügen über die Secured-Core-Funktionen, mit denen sich Server wesentlich sicherer betreiben lassen.
Abbildung 1: Windows Server 2022 und Windows Server 2025 verfügen über die Secured-Core-Funktionen, mit denen sich Server wesentlich sicherer betreiben lassen.

Sicherheitsbaseline über das Windows Admin Center steuern

Im Windows Admin Center steht für jeden Server der Menüpunkt Sicherheit zur Verfügung. Neben der Konfiguration der Secured-Core-Funktionen, gibt es noch den neuen Menüpunkt Sicherheitsbaseline.

Über Sicherheitsbaseline kann das Windows Admin Center mit Hilfe des neuen PowerShell-Moduls OSConfig eine von Microsoft empfohlene Sicherheitsbaseline speziell für Windows Server 2025 umsetzen. Im ersten Schritt prüft das Admin Center, ob das Modul installiert ist und ruft die Einstellungen der Sicherheitsbaseline ab. Danach erfolgt ein Vergleich mit den Einstellungen auf dem Server. Die Einstellungen lassen sich auch in der PowerShell auf dem jeweiligen Server umsetzen.

Im Windows Admin Center kann man für Windows Server 2025 eine Sicherheitsbaseline umsetzen, die Server auf unsichere Einstellungen prüft.
Abbildung 2: Im Windows Admin Center kann man für Windows Server 2025 eine Sicherheitsbaseline umsetzen, die Server auf unsichere Einstellungen prüft.

Im Fenster sind die verschiedenen Empfehlungen zu sehen sowie die Einstellungen, die Microsoft zwar empfiehlt, die aber nicht gesetzt sind. Dadurch erkennen Admins sehr schnell, ob es auf dem Server Einstellungen gibt, die nicht den Microsoft-Empfehlungen für maximale Sicherheit entsprechen. Die Sicherheitsbaseline wird dazu auf Basis verschiedener Serverrollen angewendet zum Beispiel „Member Server“ für Server, die Mitglied in einer Active-Directory-Domäne sind. Für alleinstehende Server gibt es den Baselinetyp „Workgroup Member“. Das Windows Admin Center wählt den entsprechenden Typ automatisch aus, Admins können aber manuell nachsteuern, wenn das erforderlich sein sollte.

Admins können auswählen, welcher Baselinetyp für Windows Server 2025 zur Absicherung mit der Sicherheitsbaseline angewendet werden soll.
Abbildung 3: Admins können auswählen welcher Baselinetyp für Windows Server 2025 zur Absicherung mit der Sicherheitsbaseline angewendet werden soll.

Einstellungen der Sicherheitsbaseline umsetzen

Admins können entweder alle Einstellungen auf einmal markieren, oder einzelne Einstellungen anklicken und mit Anwenden und verwalten auf dem Server umsetzen. Nach dem Setzen der Einstellung, ist das direkt im Windows Admin Center mit einem grünen Symbol zu sehen. Dadurch können Admins ganz gezielt einzelne oder alle Einstellungen auf einem Server umsetzen und diesen dadurch mit Bordmitteln und durch Microsoft-Empfehlungen absichern.

Admins können einen oder mehrere Werte auswählen, um die Sicherheitseinstellung anzupassen und vorab noch mal die Folgen der Änderung überprüfen.
Abbildung 4: Admins können einen oder mehrere Werte auswählen, um die Sicherheitseinstellung anzupassen und vorab noch mal die Folgen der Änderung überprüfen.

Die Sicherheitsbaseline in der PowerShell: OSConfig

Basis der Sicherheitsbaseline im Windows Admin Center ist das PowerShell-Modul OSConfig, das Admins auch ohne Windows Admin Center auf den einzelnen Servern installieren können:

Install-Module -Name Microsoft.OSConfig -Scope AllUsers -Repository PSGallery -Force

Die einzelnen Cmdlets lassen sich fogendermaßen anzeigen:

Get-Command -Module Microsoft.OSConfig
Die neue Sicherheitsbaseline von Windows Server 2025 wird über die PowerShell umgesetzt.
Abbildung 5: Die neue Sicherheitsbaseline von Windows Server 2025 wird über die PowerShell umgesetzt.

Die zur Verfügung stehenden Vorlagen für die Absicherung von Windows Server 2025 lassen sich in der PowerShell anzeigen:

Get-OSConfigMetadata | Format-Table Name, Description -Wrap
Admins können sich die Vorlagen auflisten lassen, die zur Absicherung von Windows Server 2025 zur Verfügung stehen.
Abbildung 6: Admins können sich die Vorlagen auflisten lassen, die zur Absicherung von Windows Server 2025 zur Verfügung stehen.

Um eine die vorgegebenen Vorlagen auf einem Server umzusetzen, zum Beispiel die Einstellungen für Microsoft Defender, kann zum Beispiel der folgende Befehl genutzt werden:

Set-OSConfigDesiredConfiguration -Scenario Defender\Antivirus -Default

Im Anschluss zeigt die PowerShell an, wie viele der empfohlenen Einstellungen umgesetzt wurden, idealerweise sollten das alle sein. Es kann durchaus einige Zeit dauern, bis die Sicherheitsbaseline alle Einstellungen umgesetzt hat. Die Einstellungen lassen sich auch wieder rückgängig machen. Das geht in diesem Beispiel mit dem folgenden Befehl:

Remove-OSConfigDesiredConfiguration -Scenario Defender\Antivirus

Wer sich etwas mit den Cmdlets auseinandersetzt, kann auch einzelne Einstellungen gezielt umsetzen, nicht alle Einstellungen auf einmal. Zur Überprüfung der aktuellen Konfiguration dient:

Get-OSConfiguration

Dieses Cmdlet liefert Informationen über die derzeitige Systemkonfiguration. Die kontinuierliche Überwachung und Korrektur von Abweichungen erfolgt durch die Driftkontrolle von OSConfig. Nach Anwendung einer gewünschten Konfiguration überwacht das System automatisch Abweichungen und nimmt bei Bedarf Korrekturen vor, um die Integrität der Sicherheitsrichtlinien zu gewährleisten.

Für die Verwaltung von App-Control-Richtlinien bietet OSConfig ebenfalls Funktionen. Um eine Standardrichtlinie im Überwachungsmodus anzuwenden, nutzt man:

Set-OSConfigDesiredConfiguration -Scenario AppControl\WS2025\DefaultPolicy\Audit -Default

Dieser Befehl aktiviert die App-Control-Richtlinie im Überwachungsmodus, wodurch nicht vertrauenswürdiger Code ausgeführt werden kann, während Ereignisse protokolliert werden.

Erfahren Sie mehr über Anwendungs- und Plattformsicherheit