Mit dem Sicherheitskonfigurations-Assistenten können Sie eine Sicherheitsrichtlinie erstellen, bearbeiten und anwenden. Wenn die Richtlinie nicht wie erwartet funktioniert, können Sie ein Rollback zur letzten angewendeten Sicherheitsrichtlinie ausführen.

Der Sicherheitskonfigurations-Assistent enthält das Scwcmd-Befehlzeilentool, mit dem Sie verschiedene Aufgaben ausführen können. Weitere Informationen finden Sie unter https://go.microsoft.com/fwlink/?LinkId=92612 (möglicherweise in englischer Sprache).

Erstellen einer neuen Sicherheitsrichtlinie

Sie können eine Sicherheitsrichtlinie erstellen, mit der Dienste, die Windows-Firewall mit erweiterter Sicherheit, Einstellungen für Überwachungsrichtlinien sowie bestimmte Registrierungseinstellungen konfiguriert werden. Bei der Sicherheitsrichtlinie handelt es sich um eine XML-Datei, die mithilfe des Sicherheitskonfigurations-Assistenten bearbeitet und angewendet werden kann. Mit dem Scwcmd-Befehlszeilentool können Sie die Richtlinie in ein Gruppenrichtlinienobjekt (Group Policy Object, GPO) umwandeln. Nachdem Sie den Sicherheitskonfigurations-Assistenten gestartet haben, müssen Sie nicht alle Abschnitte innerhalb einer Sitzung abschließen. Aktivieren Sie zum Überspringen von Abschnitten am Anfang jedes nicht abgeschlossenen Abschnitts das Kontrollkästchen Diesen Abschnitt überspringen, speichern Sie die Richtlinie, und verwenden Sie den Sicherheitskonfigurations-Assistenten, um die Richtlinie zu einem späteren Zeitpunkt zu bearbeiten. Wenn Sie das Kontrollkästchen Diesen Abschnitt überspringen aktivieren, nachdem Sie einen Teil des Abschnitts konfiguriert haben, werden Ihre Änderungen nicht gespeichert oder angewendet. Die Einstellungen in den übersprungenen Abschnitten bleiben so lange undefiniert, bis Sie die Sicherheitsrichtlinie bearbeiten und diese Einstellungen konfigurieren.

Bearbeiten einer vorhandenen Sicherheitsrichtlinie

Sie können eine Sicherheitsrichtlinie bearbeiten, die Sie bereits im Sicherheitskonfigurations-Assistenten erstellt haben. Sie müssen auf Vorhandene Sicherheitsrichtlinie bearbeiten klicken, bevor Sie zum Speicherort der Sicherheitsrichtlinie wechseln können, die Sie bearbeiten möchten. Sie können sowohl lokal als auch im Netwerk gespeicherte Richtlinien bearbeiten. Mit dem Sicherheitskonfigurations-Assistenten können Sie Richtlinien mit der Dateinamenerweiterung XML bearbeiten. Sicherheitsvorlagen mit der Erweiterung INF können mit dem Assistenten jedoch nicht bearbeitet werden.

Das manuelle Bearbeiten der Sicherheitsrichtlinie wird nicht unterstützt. Im Sicherheitskonfigurations-Assistenten erstellte Sicherheitsrichtlinien können mithilfe des Sicherheitskonfigurations-Assistenten bearbeitet werden.

Anwenden einer vorhandenen Sicherheitsrichtlinie

Sobald Sie eine Sicherheitsrichtlinie mit dem Sicherheitskonfigurations-Assistenten erstellt haben, können Sie sie auf einen Testserver oder in Ihrer Produktionsumgebung anwenden. Verwenden Sie das Scwcmd-Befehlszeilentool, um dieselbe Richtlinie auf mehrere Server anzuwenden. Mit dem Befehl scwcmd transform können Sie Gruppenrichtlinienobjekte erstellen. Mit dem Sicherheitskonfigurations-Assistenten können nur Sicherheitsrichtlinien im XML-Format angewendet werden.

Wenn der ausgewählte Server ein Mitglied einer Active Directory-Domäne ist, setzt die domänenbasierte Sicherheitsrichtlinie des Gruppenrichtlinienobjekts die Registrierungseinstellungen, die direkt im Sicherheitskonfigurations-Assistenten festgelegt wurden, in der Regel außer Kraft. Wenn Sie dies verhindern möchten, können Sie mit dem Befehl scwcmd transform ein Gruppenrichtlinienobjekt erstellen und dieses über die Active Directory-Domänendienste (Active Directory Domain Services, AD DS) anwenden.

Weitere Information zu den Registrierungswerten, die mit dem Sicherheitskonfigurations-Assistenten konfiguriert werden, finden Sie unter Registrierungseinstellungen.

Wichtig

Es wird dringend empfohlen, alle neu erstellten oder geänderten Sicherheitsrichtlinien zunächst auf eine Testumgebung anzuwenden, bevor Sie sie auf Ihre Produktsumgebung anwenden. Durch das Testen wird die Wahrscheinlichkeit verringert, dass die neue Richtlinie in Ihrer Produktionsumgebung unerwartetes Verhalten (z. B. Kompatibilitätsprobleme) aufweist.

Ausführen eines Rollbacks zur zuvor angewendeten Sicherheitsrichtlinie

Wenn Sie mit dem Sicherheitskonfigurations-Assistenten eine Richtlinie angewendet haben, die auf einem Server eine Verschlechterung der Funktionalität oder andere unerwünschte Ergebnisse verursacht, können Sie ein Rollback der Sicherheitsrichtlinie ausführen, damit die Sicherheitsrichtlinie nicht mehr auf den Server angewendet wird. Wenn Sie die Richtlinie jedoch nach der Anwendung unter Lokale Sicherheitsrichtlinie bearbeitet haben, können Sie das Rollback nicht für diese Änderungen ausführen, und die Änderungen bleiben in der aktuellen Konfiguration erhalten.

Bei Diensten und Registrierungswerten stellt das Rollback die Einstellungen wieder her, die während der Konfiguration geändert wurden. Bei der Windows-Firewall mit erweiterter Sicherheit werden beim Rollback alle Richtlinien des Sicherheitskonfigurations-Assistenten entfernt, die zu diesem Zeitpunkt angewendet sind, und es wird die Richtlinie angewendet, die während der Konfiguration angewendet wurde.