Empfohlene Security-Einstellungen für Win 8.1 und Server 2012 R2

    Microsoft veröffentlichte die Betaversion der Security Baseline Settings für Windows 8.1, Server 2012 R2 und Internet Explorer 11. Es handelt sich dabei um Sammlung sicherheitsrelevanter Einstellungen, die der Hersteller für produktiv genutzte Systeme im geschäftlichen Umfeld empfiehlt.

    Die Einstellungen werden als vier separate Baselines für Windows 8.1, IE 11, für Domänen-Controller sowie für Member-Server unter Windows Server 2012 R2 zur Verfügung gestellt. Das Paket dokumentiert die Konfiguration von Systemen, die über Gruppenrichtlinien erfolgt, in Form einer Excel-Tabelle und alternativ über HTML-Reports, die von gpresult erzeugt wurden.

    Für den Import in SCM vorgesehen

    Zum Lieferumfang gehören zudem Backups von GPOs, die alle vier Baselines für die genannten Produkte implementieren. Zusätzliche WMI-Filter sind dafür gedacht, die Anwendung der Einstellungen auf die genannten Systeme einzuschränken. Hinzu kommt schließlich eine ausführliche Beschreibung aller Einstellungen in einem umfangreichen Word-Dokument.

    Die im Lieferumfang enthaltenen HTML-Reports dokumentieren die empfohlenen Einstellungen.

    Die von Microsoft empfohlenen Sicherheitseinstellungen sind für den Import in den Security Compliance Manager (SCM) vorgesehen. Dieser kann mittlerweile im Gegensatz zu früheren Versionen die importierten Baselines mit den tatsächlichen Konfigurationen der Rechner vergleichen und bei Bedarf nur ausgewählte Einstellungen übernehmen. Der aktuelle SCM 3.0 enthält noch die Baselines für Windows 8 und Server 2012.

    Änderungen gegenüber Windows 8 und Server 2012

    Im Vergleich zu den empfohlenen Einstellungen für die Vorgängersysteme bringen die Security Baseline Settings für Windows 8.1, Server 2012 R2 und IE11 folgende Änderungen:

    • Zusätzliche Einstellungen, um Pass-the-Hash-Angriffen vorzubeugen
    • Web-Browser werden auf DCs blockiert
    • Integration des Enhanced Mitigation Experience Toolkit in die Standard-Baselines
    • Die Empfehlung für den FIPS-Modus wurde entfernt (es handelt sich dabei um eine Einstellung, wonach nur Verschlüsselungsverfahren verwendet werden dürfen, die dem United States Federal Information Processing Standard entsprechen)
    • Zusätzlich entfernt wurden fast alle Einstellungen für den Starttyp von Windows-Diensten.

    Wenn man die Security-Baselines nicht über SCM verteilen möchte, dann enthält das Paket 3 Scripts für Windows 8.1, DCs und Member-Server unter Windows Server 2012 R2, die alle Einstellungen als lokale Richtlinien implementieren.

    Die Security Baseline Settings für Windows 8.1 und Server 2012 R2 können als ZIP-Archiv hier heruntergeladen werden.

    Keine Kommentare