Microsoft veröffentlicht Security Baseline für Windows 10 1809 und Server 2019

    , 21.11.2018, zuletzt aktualisiert am 21.11.2019
    Tags: , , ,

    Privileged Administrative WorkstationKurz nach der erneuten Frei­gabe von Windows 10 1809 und Server 2019 ist nun die dazu­gehörige Security Baseline ver­fügbar. Sie ent­hält die von Micro­soft empfoh­lene Sicher­heits­konfi­guration auf Basis von Grup­pen­richt­linien. Neben den GPOs für den Import bietet sie eine umfang­reiche Doku­mentation.

    Wie von früheren Versionen bekannt, umfasst die Security Baseline nicht nur Vorgaben zu Sicherheits­einstellungen im engeren Sinn, also etwa zu Passwort-Policies, Defender oder Firewall-Regeln. Vielmehr finden sich in der Liste Dutzende empfohlene Konfigu­rationen, vom Auditing über den Schutz der Privat­sphäre bis zu sicherheits­relevanten Einstellungen für die RDS.

    Eigene GPOs mit Empfehlungen vergleichen

    Seit dem Ende des Security Compliance Manager kommt dem Policy Analyzer die Aufgabe zu, die aktuelle System­konfiguration mit den Empfehlungen des Herstellers zu vergleichen. Zu diesem Zweck enthält die Baseline mehrere Dateien mit der Endung .PolicyRules, die man zusammen mit Backups der eigenen GPOs in dieses Tool importiert.

    PolicyRules-Dateien für Windows 10, Server 2019 Member und DC für den Import in den Policy Analyzer.

    Neu an der aktuellen Version ist die Unter­scheidung der empfohlenen Konfigu­rationen zwischen Windows 10 1809, Server 2019 Member Server und Domain Controller. Für jedes der drei Systeme liegt eine eigene Analyzer-Datei vor, und auch die Dokumen­tation listet die empfohlenen Einstellungen jeweils getrennt auf.

    Die Security Baseline für Windows Server 2019 enthält ein eigenes Profil für Domänen-Controller.

    Neben einer Excel-Tabelle mit sämtlichen GPO-Optionen gehören noch zwei Spreadsheets zum Lieferumfang, welche die gegenüber der vorherigen Version neu hinzu­ge­kommenen Einstellungen zeigen sollen. Wie in der Excel-Tabelle zur Dokumentation der Gruppen­richtlinien scheinen aber auch hier solche als neu auf, die teilweise schon recht alt sind.

    Herstellervorgaben anwenden

    Der Import der GPOs aus der Security Baseline in eine produktive Umgebung erfolgt entweder über die Gruppen­richtlinien­verwaltung oder über PowerShell-Scripts, welche die Baseline mitbringt (zum genauen Vorgehen siehe: Windows 10 härten mit der Security Baseline).

    In der Regel wird man sie aber nicht pauschal auf eine größere Zahl von PCs anwenden, da restriktive Einstellungen dann möglicher­weise benötigte Dienste blockieren.

    Die Security Baseline kann von diesem TechNet-Blog heruntergeladen werden. Dort finden sich auch einige Anmerkungen zu den Änderungen gegenüber der letzten Version.

    Täglich Know-how für IT-Pros mit unserem Newsletter

    Wir ver­wenden Ihre Mail-Adresse nur für den Ver­sand der News­letter.
    Es erfolgt keine per­sonen­be­zogene Auswertung.

    Bild von Wolfgang Sommergut

    Wolfgang Sommergut hat lang­jährige Erfahrung als Fach­autor, Berater und Kon­ferenz­sprecher zu ver­schie­denen Themen der IT. Da­ne­ben war er als System­ad­mi­ni­stra­tor und Con­sultant tätig.
    // Kontakt: E-Mail, XING, LinkedIn //

    Verwandte Beiträge

    Weitere Links