Microsoft integriert die Update Baseline in das Security Compliance Toolkit

    Windows Update availableDie Security Base­line enthält alle von Micro­soft empfoh­lenen Ein­stellungen für die Gruppen­richt­linien, um Windows-Rechner möglichst sicher zu konfi­gurieren. Im Juni 2020 kam die Update Base­line zur Opti­mierung des Update-Ver­haltens als sepa­rater Down­load hinzu, beide werden nun ver­schmolzen.

    Mit jedem Update von Windows 10 aktualisiert Microsoft auch die Best Practices für die Absicherung von PCs. Die aktuelle Version für Windows 10 20H2 brachte drei neue empfohlene Einstellungen. Parallel dazu stellte Microsoft im letzten Jahr mit der Update Baseline ein Muster-GPO vor, das alle vor­geschlagenen Einstellungen für Windows Update enthält.

    Schnelle Update-Compliance mit der Baseline

    Ziel dieser Baseline ist es, die Installation von Updates zu beschleunigen und den Neustart der Rechner so zu steuern, dass die User möglichst wenig beeinträchtigt werden. Sie konfiguriert keine Einstellungen für den Aufschub von Updates, wie sie sich unter Windows Update für Unternehmen (WUfB) finden, für Zielversionen des OS oder Update-Pausen.

    Unternehmen, die WSUS anstatt des von Microsoft bevorzugten WUfB nutzen, finden in der Baseline dafür keine Empfehlungen. Aber die enthaltenen Vorgaben für die Energie­verwaltung oder das Neustart­verhalten dürften auch in solchen Umgebungen nützlich sein.

    In den allermeisten Fällen setzt man mit der Baseline das Verhalten von Windows Update auf den Standard zurück, und erreicht damit einen Effekt, als wären die Einstellungen nicht konfiguriert.

    Den Neustart der PCs steuert die Baseline über eine Einstellung. Viele alte Optionen wurden aktiviert.

    Sie eignet sich daher besonders für Umgebungen, in denen die ständig wechselnden Update-Optionen während eines längeren Zeitraums immer wieder angepasst wurden und so ein verlässliches Patch-Management nicht mehr gewährleistet ist.

    Gemeinsame Tools mit der Security Baseline

    Die Update Baseline enthält die Einstellungen im gleichen Format (als GPO-Backup) wie die Security Baseline und kommt in der derselben Ordnerstruktur für Reports, Dokumentation und Scripts. Bei Letzteren fehlten bisher aber erforderliche PowerShell-Scripts, so dass man das Muster-GPO nur importieren konnte, nachdem man dafür die Security Baseline heruntergeladen hat.

    Das Import-Script erstellt ein nicht verlinktes GPO namens MSFT Windows Update.

    Daher ist es nur folgerichtig, dass beide Pakete nun als Teil des Security Compliance Toolkit verfügbar sind. Es enthält neben den beiden erwähnten Baselines in mehreren Versionen auch LGPO.exe zum Im- und Export von lokalen Richtlinien, die Baseline für den Edge-Browser und Office sowie den Policy Analyzer.

    Das Security Compliance Toolkit ist kein einzelner Download, vielmehr kann man alle Komponenten separat auswählen. Daher bleibt es bei der Notwendigkeit, zusätzlich zur Update Baseline auch die Security Baseline herunter­zuladen und den Inhalt der beiden Script-Verzeichnisse zusammen­zuführen. Andernfalls funktioniert der Import per PowerShell nicht.

    Täglich Know-how für IT-Pros mit unserem Newsletter

    Wir ver­wenden Ihre Mail-Adresse nur für den Ver­sand der News­letter.
    Es erfolgt keine per­sonen­be­zogene Auswertung.

    3 Kommentare

    Marc sagt:
    29. Januar 2021 - 8:40

    Was ich ehrlich gesagt bei Microsoft überhaupt nicht verstehe ist, dass dieser Laden aus Redmond erst sein Betriebssystem mit vielem sinnfreien Gerümpel ausliefert um im Nachgang (womöglich ein anderes Team *lol*) das entfachte Feuer über eine "Baseline" wieder unter Kontrolle zu bringen. Total logisch.

    Man könnte auch einfach ein O/S Deployment mit Basis-Funktionen ausliefern und alles andere wird "bei Bedarf" nachinstalliert. Habe mal gehört, dass es andere Betriebssysteme gibt, die das seit Jahrzehnten schon können....

    Schönen guten Morgen allerseits :-)

    Martin Somovitcz sagt:
    29. Januar 2021 - 11:48

    Was für ein sinnfreier kommentar. Vielleicht mal den Artikel lesen? Statt irgend einen nonsens zu posten?

    Marc sagt:
    29. Januar 2021 - 12:14

    Hallo Martin
    Natürlich wurde der Artikel, so wie jeder von Wolfang Sommergut gelesen.
    Zugegeben, mein Kommentar war etwas offtopic und wenn ich jemanden damit verägert habe, dann tut mir das leid.
    Jeder der sich mit Microsoft seit Jahren beschäftigt, weiß um was es in meinem
    Kommentar geht. Und all die anderen, welche es vielleicht nicht verstehen,
    haben auch ihre Daseinsberechtigung.

    In diesem Sinne, wünsche ich Dir von Herzen auch alles gute Martin.