20 – Veeam Windows Hardening Skript v1.1

Vorwort:

Wie bereits in der Vergangenheit erwähnt, habe ich es mir zur Aufgabe gemacht, mein Veeam Windows Hardening Skript kontinuierlich weiterzuentwickeln. Dieser Aufgabe möchte ich nachkommen, deshalb habe ich hiermit die v1.1 des Skriptes fertiggestellt und veröffentlicht.

Die Änderungen zur vorherigen Version sind unten im Change Log einzusehen!


Disclaimer:

Wichtig: Ich übernehme keinerlei Garantie, dass das von mir erfolgreich getestete Skript in jeder Umgebung ohne Fehler lauffähig ist. Das Skript dient lediglich einer Vereinfachung und Standardisierung von Hardening-Standards, die nicht in jeder Umgebung sinnvoll sind! Ich gebe außerdem keinerlei Garantie auf Vollständigkeit der Tests!

Voraussetzungen und Vorgehen:

Das Skript ist primär für Neuinstallationen ausgelegt!

  • Server darf kein Domänen-Mitglied sein
  • Erstanmeldung und Ausführung des Skriptes muss mit dem built-in Administrator erfolgen
  • Betriebssystem: Windows Server 2022 oder 2025 Standard oder Datacenter
  1. Windows Server installieren (nach Bedarf)
  2. Treiber installieren (VMware Tools oder Herstellertreiber)
  3. IP-Einstellungen setzen (IP-Adresse vergeben, etc.)
  4. Servernamen und Workgroup setzen, Server neustarten
  5. Ordner „Install“ unter Laufwerk C: erstellen
  6. Inhalte der ZIP-Datei in den Install-Ordner kopieren (Skript und ntrights.exe)
  7. Skript mit administrativen Rechten ausführen (PowerShell)
  8. Server neustarten lassen und Veeam unter Angabe des Service Accounts installieren
  9. Anwendung / Umsetzung des Veeam Security & Compliance Skriptes

Wichtig: Ich empfehle, sich mit den unten aufgeführten Inhalten vertraut zu machen, da dies Veränderungen mit sich bringt, die die Bedienung des Systems betreffen!

Beispielsweise ist ein Idle Timeout von 15min konfiguriert, d.h. eine bestehende Session wird nach 15min getrennt und alle darin geöffneten Fenster und Prozesse werden geschlossen.


Windows Server 2025 – CIS Benchmark

Die Inhalte des Skriptes sind nach wie vor angelehnt an den CIS Benchmark, dessen Zugriff mit mein Arbeitgeber freundlicherweise zur Verfügung stellt.

Leider ist zum Stand der Veröffentlich der v1.1 des Skriptes noch kein Benchmarkt für Windows Server 2025 veröffentlicht, somit habe ich keine zusätzlichen Inhalte hinzufügen können.

Dennoch habe ich die Lauffähigkeit des Skriptes unter Windows Server 2025 ausgiebig getestet und somit kann ich meinerseits eine Freigabe aussprechen. Ich habe identische Tests durchgeführt wie auch für Windows Server 2022.


Veeam ONE:

Um den Anwendungsbereich des Skriptes auf weitere Veeam-Produkte und Komponenten zu erweitern, habe ich das Skript mit dieser Version erfolgreich mit Veeam ONE testen können. Während der Tests sind keine Limitierungen, Einschränkungen oder Fehler aufgefallen.


Download des Skriptes:

Innerhalb der Veeam Community ist das Skript inkl. der Informationen zum Skript zum Download verfügbar:

v1.0: Veeam Windows Hardening Script – one-click hardening with CIS contents | Veeam Community Resource Hub

v1.1: Update: Veeam Windows Hardening Script v1.1 – Win Server 2025 and Veeam ONE | Veeam Community Resource Hub

Hier außerdem der entsprechende GitHub-Link:

lukas-kl/veeam-win-hardening-script: Veeam Hardening Script for Windows (CIS contents)


Ausführung & Inhalte des Skriptes (ReadMe):

Das Skript muss mit administrativen Rechten ausgeführt werden!

Das Skript inkl. der Datei ntrights.exe muss unter folgendem Pfad liegen und ausgeführt werden:

C:\Install

ntrights.exe

Das Tools „ntrights.exe“ wird genutzt, um die lokale Sicherheitsrichtlinie des Windows-Systems anzupassen und dort diverse Regeln zu setzen. Die dafür erforderliche .exe-Datei stelle ich ebenfalls in einer getesteten Version bereit, kann aber auch gerne manuell heruntergeladen werden. Das Tool ist bekannt und stammt aus dem Ressource Kit 2003.


Change Log v1.1 (Stand: 03.03.2025):

  • Korrektur diverser Rechtschreibfehler und Optimierung der Ausgaben
  • Umbenennung der Systemfestplatte von „Local Disk“ in „OSDisk“
  • Hinzufügen der Eingabe und Umsetzung von NTP / NTP Servern (mehrere möglich)
  • Deaktivieren von Automount
  • Löschen der Windows Recovery Partition und Deaktivierung der abhängigen Dienste
  • Erweiterung von Systemlaufwerk C: mit dem durch die Recovery Partition freigegebenen Speicherplatz
  • Test des Skriptes für Windows Server 2025 (erfolgreich)
  • Test des Skriptes mit Veeam ONE (erfolgreich)
  • Hinzufügen einer Eingabe zum Hinzufügen mehrerer lokaler Administratoren
  • Hinzufügen einer Eingabe zum Hinzufügen mehrerer Service Accounts mit individueller Beschriftung
  • Optimierung der Skript-Logik an mehreren Stellen
  • Hinzufügen einer Status-Leiste für die Haupt-Schritte (Kategorien)
  • Optimieren der Output-Datei

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert