Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat neue Dokumente zu Microsoft Windows 10 und die Absicherung veröffentlicht. Ich habe die BSI Sicherheitsempfehlungen für Window 10 gesichtet, bevor ich darüber berichten wollte. Hintergrund ist, das in der Vergangenheit Veröffentlichungen in dieser Richtung schonmal bei Veröffentlichung mehr als veraltet waren oder diese sehr oberflächig waren.
Diesmal ist das erfrischender Weise anders. Auch sind diesmal die meisten Dokumente in Englisch geschrieben und nur die Zusammenfassungen liegen in Deutsch vor. Dies ist im Rahmen meistens Internationaler IT Projekte ein Vorteil. Es wird aber auch dafür gesorgt haben, das das BSI internationales Feedback vorab bekommen konnte, und nicht nur auf deutsche Experten angewiesen war.
Auswahl der Versionen
Das BSI konzentriert sich dabei auch auf die Versionen die die Grundlage für die Windows Server LTSC (also Windows Server 2016 bzw. Windows Server 2019) und die entsprechenden Windows 10 LTSC Versionen (Ebenfalls 2016 bzw. 2019) bilden. Dabei ist der Funktionsumfang der LTSC Versionen bei Server und Client eingeschränkt. Dies macht Microsoft um keine nicht ausreichend getesteten Komponenten gemäß dem Software-Lifecyle 10 bzw. 7 Jahr unterstützen zu müssen.
Viele Einstellungen und Funktionen die in dem Bereich für Windows 10 1607 erklärt und konfiguriert werden sind aber noch heute Gültig. Wenn auch teilweise mit leichten Veränderungen.
Übersicht der Themen
Die Windows 10 1607 Themen
- Analyse des Windows 10 Gesamtsystems
- Analyse der Telemetriekomponenten in Windows 10
- Analyse der TPM und „UEFI Secure Boot“-Nutzung in Windows 10
- Analyse der „Virtualization Based Security“-Komponenten in Windows 10
- Analyse der Komponente „Device Guard“ in Windows 10
- Analyse der Powershell und des Windows Script Host in Windows 10
- Analyse der Maßnahmen zur TPM-Schwachstelle CVE-2017-15361
Die Windows 10 1809 Themen
- Konzept zur Nachverfolgung von Änderungen in Windows 10
- Empfehlung zur Konfiguration der Protokollierung in Windows 10
- Empfehlung zur Härtung von Windows 10 mit Bordmitteln
- Gruppenrichtliniensätze zu den Konfigurationsempfehlungen für Windows 10
- Analyse des App-Lifecycles von Universal Windows Apps in Windows 10
- Kurzanalyse der „Secure Boot Configuration Policy“ in Windows 10
- Telemetrie Monitoring-Framework
- Analyse der „Windows Application Compatibility Infrastructure“ in Windows 10
- Analyse der Komponente „PatchGuard“ in Windows 10
- Analyse des Treibermanagements in Windows 10
Wie man der Aufstellung (Quelle: BSI, BSI – Studien – SiSyPHuS Win10: Studie zu Systemaufbau, Protokollierung, Härtung und Sicherheitsfunktionen in Windows 10 (bund.de)) entnehmen kann, können wir da noch einige Themen erwarten.
Gruppenrichtlinienobjekte
Das BSI hat auch Gruppenrichtlinienobjekte als Muster für die Härtung zum Download zur Verfügung gestellt. Diese sind für 3 Nutzungsszenarien definiert worden:
- Domänenmitglied mit normalen Schutzbedarf
- Domänenmitglied mit hohen Schutzbedarf
- Einzel Rechner (Arbeitsgruppe) mit normalem Schutzbedarf
Diese können auch als Lokale GPO mit dem Microsoft Werkzeug LGPO.exe implementiert werden, ohne da eine Domäne vorhanden sein muss. Die Implementierungsanleitung liegt vollständig in deutscher Sprache vor.
Technische Tiefe und Erklärungen
Angenehm hat mich diesmal die Technische Tiefe und die Erklärungen überrascht. Diese sind trotz der anspruchsvollen Themen gut verständlich und mit erklärenden Diagrammen versehen.
Die Dokumente die ich soweit gesichtet habe gehen aber auch alle runter bis in die notwendigen Tiefen der technischen Funktionsweisen. Für Leihen ist das aber Schwere Kost, die sollten sich auf jeden Fall vorher die Microsoft Übersichtsseiten zu den Themen anschauen um ein Grundgefühl dafür zu bekommen.
Zusätzliche Tipps für mehr Sicherheit
Wer gerne seine Systeme etwas sicherer machen möchte, dem empfehle ich zusätzlich mal einen Blick in die folgenden Artikel von mir:
- Die Windows 10 Sandbox
- BitLocker Wiederherstellungs Keys nachträglich im Active Directory mit der PowerShell sichern
- Microsoft entdeckt eine kritische Lücke und schließt die über den Microsoft Store
- Local Administrator Password Solution (LAPS)
- PowerShell Skripte mit Local Administrator Password Solution (LAPS) nutzen und auditieren
- Windows WinRM über HTTPs
- Windows 10 und der Microsoft Store
- CodeSigning Zertifikate mit Windows Server 2019 Zertifikatsdienste
- Verbindungen zwischen Windows10 und Microsoft steuern
Schreibe einen Kommentar