Microsoft veröffentlicht Security Baseline für Windows 10 1809 und Server 2019

    Privileged Admini­strative WorkstationKurz nach der erneuten Frei­gabe von Windows 10 1809 und Server 2019 ist nun die dazu­gehörige Security Baseline ver­fügbar. Sie ent­hält die von Micro­soft empfoh­lene Sicher­heits­konfi­guration auf Basis von Grup­pen­richt­linien. Neben den GPOs für den Import bietet sie eine umfang­reiche Doku­mentation.

    Wie von früheren Versionen bekannt, umfasst die Security Baseline nicht nur Vorgaben zu Sicherheits­einstellungen im engeren Sinn, also etwa zu Passwort-Policies, Defender oder Firewall-Regeln. Vielmehr finden sich in der Liste Dutzende empfohlene Konfigu­rationen, vom Auditing über den Schutz der Privat­sphäre bis zu sicherheits­relevanten Einstellungen für die RDS.

    Eigene GPOs mit Empfehlungen vergleichen

    Seit dem Ende des Security Compliance Manager kommt dem Policy Analyzer die Aufgabe zu, die aktuelle System­konfiguration mit den Empfehlungen des Herstellers zu vergleichen. Zu diesem Zweck enthält die Baseline mehrere Dateien mit der Endung .PolicyRules, die man zusammen mit Backups der eigenen GPOs in dieses Tool importiert.

    PolicyRules-Dateien für Windows 10, Server 2019 Member und DC für den Import in den Policy Analyzer.

    Neu an der aktuellen Version ist die Unter­scheidung der empfohlenen Konfigu­rationen zwischen Windows 10 1809, Server 2019 Member Server und Domain Controller. Für jedes der drei Systeme liegt eine eigene Analyzer-Datei vor, und auch die Dokumen­tation listet die empfohlenen Einstellungen jeweils getrennt auf.

    Die Security Baseline für Windows Server 2019 enthält ein eigenes Profil für Domänen-Controller.

    Neben einer Excel-Tabelle mit sämtlichen GPO-Optionen gehören noch zwei Spreadsheets zum Lieferumfang, welche die gegenüber der vorherigen Version neu hinzu­ge­kommenen Einstellungen zeigen sollen. Wie in der Excel-Tabelle zur Dokumentation der Gruppen­richtlinien scheinen aber auch hier solche als neu auf, die teilweise schon recht alt sind.

    Herstellervorgaben anwenden

    Der Import der GPOs aus der Security Baseline in eine produktive Umgebung erfolgt entweder über die Gruppen­richtlinien­verwaltung oder über PowerShell-Scripts, welche die Baseline mitbringt (zum genauen Vorgehen siehe: Windows 10 härten mit der Security Baseline).

    In der Regel wird man sie aber nicht pauschal auf eine größere Zahl von PCs anwenden, da restriktive Einstellungen dann möglicher­weise benötigte Dienste blockieren.

    Die Security Baseline kann von diesem TechNet-Blog heruntergeladen werden. Dort finden sich auch einige Anmerkungen zu den Änderungen gegenüber der letzten Version.

    Keine Kommentare