Tags: Sicherheit, Gruppenrichtlinien, Windows Server 2019, Windows 10
Kurz nach der erneuten Freigabe von Windows 10 1809 und Server 2019 ist nun die dazugehörige Security Baseline verfügbar. Sie enthält die von Microsoft empfohlene Sicherheitskonfiguration auf Basis von Gruppenrichtlinien. Neben den GPOs für den Import bietet sie eine umfangreiche Dokumentation.
Wie von früheren Versionen bekannt, umfasst die Security Baseline nicht nur Vorgaben zu Sicherheitseinstellungen im engeren Sinn, also etwa zu Passwort-Policies, Defender oder Firewall-Regeln. Vielmehr finden sich in der Liste Dutzende empfohlene Konfigurationen, vom Auditing über den Schutz der Privatsphäre bis zu sicherheitsrelevanten Einstellungen für die RDS.
Eigene GPOs mit Empfehlungen vergleichen
Seit dem Ende des Security Compliance Manager kommt dem Policy Analyzer die Aufgabe zu, die aktuelle Systemkonfiguration mit den Empfehlungen des Herstellers zu vergleichen. Zu diesem Zweck enthält die Baseline mehrere Dateien mit der Endung .PolicyRules, die man zusammen mit Backups der eigenen GPOs in dieses Tool importiert.
Neu an der aktuellen Version ist die Unterscheidung der empfohlenen Konfigurationen zwischen Windows 10 1809, Server 2019 Member Server und Domain Controller. Für jedes der drei Systeme liegt eine eigene Analyzer-Datei vor, und auch die Dokumentation listet die empfohlenen Einstellungen jeweils getrennt auf.
Neben einer Excel-Tabelle mit sämtlichen GPO-Optionen gehören noch zwei Spreadsheets zum Lieferumfang, welche die gegenüber der vorherigen Version neu hinzugekommenen Einstellungen zeigen sollen. Wie in der Excel-Tabelle zur Dokumentation der Gruppenrichtlinien scheinen aber auch hier solche als neu auf, die teilweise schon recht alt sind.
Herstellervorgaben anwenden
Der Import der GPOs aus der Security Baseline in eine produktive Umgebung erfolgt entweder über die Gruppenrichtlinienverwaltung oder über PowerShell-Scripts, welche die Baseline mitbringt (zum genauen Vorgehen siehe: Windows 10 härten mit der Security Baseline).
In der Regel wird man sie aber nicht pauschal auf eine größere Zahl von PCs anwenden, da restriktive Einstellungen dann möglicherweise benötigte Dienste blockieren.
Die Security Baseline kann von diesem TechNet-Blog heruntergeladen werden. Dort finden sich auch einige Anmerkungen zu den Änderungen gegenüber der letzten Version.
Täglich Know-how für IT-Pros mit unserem Newsletter
Verwandte Beiträge
- Windows 10 22H2: Neue Gruppenrichtlinien und Security Baseline, kein ADK
- Security Baseline für Windows 10 21H2: Neue Einstellung für PrintNightmare, Legacy Edge entfernt
- Security Baseline für Windows 10 2004: Zwei neue Einstellungen empfohlen, eine entfernt
- Security Baseline für Windows 10 und Server 1909: 4 Einstellungen aus 1903 entfernt
- Windows 10 härten mit der Security Baseline
Weitere Links