Tags: Sicherheit, Windows Server 2022, Gruppenrichtlinien
Kurz nach der Freigabe des Betriebssystems legt Microsoft die Security Baseline für Windows Server 2022 nach. Die Empfehlungen des Herstellers enthalten drei neue bzw. modifizierte Einstellungen. Sie betreffen die Nutzung von Web-Browsern auf DCs und Microsoft Defender sowie Maßnahmen gegen "PrintNightmare".
Bei der Security Baseline handelt sich um empfohlene Sicherheitseinstellungen für Gruppenrichtlinien bzw. mittlerweile auch für CSPs, wenn man die MDM-Schnittstellen nutzt. Neben unmittelbar sicherheitsrelevanten Policies umfassen sie auch empfohlene Konfigurationen für das Auditing. Die für Windows Server 2022 aktualisierte Baseline enthält drei Änderungen.
Blockieren von Edge auf DCs
Die erste Neuerung besteht in einer geänderten Richtlinie für Domänen-Controller. Dort ist die Ausführung eines Web-Browsers unter Sicherheitsgesichtspunkten unerwünscht. Die bisherige Richtlinie blockierte mit Hilfe von AppLocker bereits Internet Explorer, Google Chrome und Firefox.
Nachdem der Chromium-basierte Edge auch auf Windows Server unterstützt wird, kommt dieser nun ebenfalls auch die Blacklist. Da der Microsoft-Browser auch auf früheren Versionen des Betriebssystems läuft, ist es ratsam, die Policy auch dort auf DCs anzuwenden.
Richtlinie gegen PrintNightmare
Im Laufe der letzten Monate wurden mehrere gravierende Schwachstellen im Print-Spooler von Windows entdeckt (sie wurden unter der Bezeichnung PrintNightmare bekannt).
Eine damals von Microsoft empfohlene Maßnahme zum Schutz der betroffenen Systeme bestand darin, Administratoren die Installation von Druckertreibern vorzubehalten. Die zweite nun neu in die Baseline hinzugekommene Einstellung erledigt diese Aufgabe.
Die dritte empfohlene Richtlinie aktiviert das Scannen von Scripts durch den Virenscanner von Microsoft.
Verfügbarkeit
Die Baseline ist wie gewohnt Bestandteil des Security Compliance Kit und kann zusammen mit diversen darin enthaltenen Tools und der Dokumentation von Microsofts Website heruntergeladen werden.
Wie man seine aktuelle Konfiguration mit der Baseline vergleicht und diese in seine eigene Umgebung übernimmt, beschreibt dieser Beitrag anhand von Windows 10.
Täglich Know-how für IT-Pros mit unserem Newsletter
Ähnliche Beiträge
- NTLM-Authentifizierung überwachen oder blockieren mit Gruppenrichtlinien
- Empfohlene Sicherheitseinstellungen und neue Gruppenrichtlinien für Microsoft Edge (ab 107)
- Windows 10 22H2: Neue Gruppenrichtlinien und Security Baseline, kein ADK
- Security Baseline für Windows 11 2022: Neue empfohlene Einstellungen für Drucker, Defender, NetBIOS, LSASS, VBS
- Microsoft Office blockiert Makros in Internet-Dokumenten nun vollständig
Weitere Links