Microsoft veröffentlicht Security Baseline für Windows Server 2022

    Privileged Administrative WorkstationKurz nach der Frei­gabe des Betriebs­systems legt Microsoft die Security Baseline für Windows Server 2022 nach. Die Em­pfehlungen des Her­stellers ent­halten drei neue bzw. modi­fizierte Ein­stellungen. Sie be­treffen die Nutzung von Web-Browsern auf DCs und Microsoft Defender sowie Maß­nahmen gegen "PrintNightmare".

    Bei der Security Baseline handelt sich um empfohlene Sicherheits­einstellungen für Gruppen­richtlinien bzw. mittlerweile auch für CSPs, wenn man die MDM-Schnittstellen nutzt. Neben unmittelbar sicherheits­relevanten Policies umfassen sie auch empfohlene Konfigu­rationen für das Auditing. Die für Windows Server 2022 aktualisierte Baseline enthält drei Änderungen.

    Blockieren von Edge auf DCs

    Die erste Neuerung besteht in einer geänderten Richtlinie für Domänen-Controller. Dort ist die Ausführung eines Web-Browsers unter Sicherheits­gesichts­punkten unerwünscht. Die bisherige Richtlinie blockierte mit Hilfe von AppLocker bereits Internet Explorer, Google Chrome und Firefox.

    Nachdem der Chromium-basierte Edge auch auf Windows Server unterstützt wird, kommt dieser nun ebenfalls auch die Blacklist. Da der Microsoft-Browser auch auf früheren Versionen des Betriebs­systems läuft, ist es ratsam, die Policy auch dort auf DCs anzuwenden.

    Richtlinie gegen PrintNightmare

    Im Laufe der letzten Monate wurden mehrere gravierende Schwachstellen im Print-Spooler von Windows entdeckt (sie wurden unter der Bezeichnung PrintNightmare bekannt).

    Eine damals von Microsoft empfohlene Maßnahme zum Schutz der betroffenen Systeme bestand darin, Admini­stratoren die Installation von Druckertreibern vorzubehalten. Die zweite nun neu in die Baseline hinzu­gekommene Einstellung erledigt diese Aufgabe.

    Die dritte empfohlene Richtlinie aktiviert das Scannen von Scripts durch den Virenscanner von Microsoft.

    Verfügbarkeit

    Die Baseline ist wie gewohnt Bestandteil des Security Compliance Kit und kann zusammen mit diversen darin enthaltenen Tools und der Dokumentation von Microsofts Website heruntergeladen werden.

    Wie man seine aktuelle Konfiguration mit der Baseline vergleicht und diese in seine eigene Umgebung übernimmt, beschreibt dieser Beitrag anhand von Windows 10.

    Täglich Know-how für IT-Pros mit unserem Newsletter

    Wir ver­wenden Ihre Mail-Adresse nur für den Ver­sand der News­letter.
    Es erfolgt keine per­sonen­be­zogene Auswertung.

    Keine Kommentare