Tags: Gruppenrichtlinien, Sicherheit, Windows 10
Drei Monate nach der Freigabe des jüngsten Releases von Windows 10 veröffentlichte Microsoft nun die endgültige Version der Securiy Baseline. Von den neuen GPO-Einstellungen für die Version 2004 sollten zwei in Betracht gezogen werden, keine kommt aber in die Baseline und eine wird daraus entfernt.
Bei der Security Baseline handelt sich um eine Sammlung empfohlener Sicherheitseinstellungen für Gruppenrichtlinien. Neben unmittelbar sicherheitsrelevanten Policies umfassen sie auch empfohlene Konfigurationen für das Auditing oder den Schutz der Privatsphäre.
Kriterien für die Aufnahme in die Baseline
Sie repräsentiert somit die Best Practices, die sich laut Hersteller an sicherheitsbewusste Organisationen richten, in denen normale Benutzer keine administrativen Rechte haben. Andernfalls könnten sie die per GPO konfigurierten Einstellungen außer Kraft setzen.
Die Baseline erzwingt eine Einstellung nur dann, wenn sie eine bestehende Bedrohung abwehrt und gleichzeitig den Betrieb nicht stärker beeinträchtigt als das Risiko, gegen das sie schützen soll. Sie konfiguriert auch Einstellungen mit einem Wert, der ohnehin als Standard vorgegeben ist, um zu verhindern, dass Benutzer oder Admins sie auf eine unsichere Weise ändern.
Kandidaten für die Sicherheitskonfiguration
Windows 10 2004 brachte 17 neue Einstellungen, von denen die meisten aber keinen Einfluss auf die Sicherheit haben.
Eine von ihnen war schon vorher in der Liste, benötigte aber eine eigene ADMX-Vorlage. Sie heißt Domänencontroller: Anforderungen an das LDAP-Serverkanal-Bindungstoken und ist nun Teil der in Windows enthaltenen administrativen Templates. Deshalb gilt sie als neu zur Baseline hinzugekommen.
Zwei weitere Einstellungen wurden zwar nicht in die Baseline aufgenommen, aber Microsoft rät, ihren Einsatz zu bedenken.
Es handelt sich dabei um Kennwortlängenbeschränkung lockern und erlaubt es, die minimale Passwortlänge von bisher höchstens 14 Zeichen zu überschreiten (siehe dazu: Minimale Passwortlänge über Default Domain Policy oder Set-ADDefaultDomainPasswordPolicy). Gegen eine Empfehlung sprachen laut Microsoft mögliche Kompatibilitätsprobleme mit Anwendungen.
Die zweite Einstellung, die sich Anwender näher ansehen sollten, heißt Dateihash-Berechnungsfunktion aktivieren. Damit kann man veranlassen, dass der Virenscanner einen Hash für ausführbare Dateien erstellt. Allerdings benötigt diese Operation erhebliche Rechenzeit und ist zudem nur für Kunden mit Defender Advanced Threat Protection sinnvoll.
Eine weitere Defender-bezogene Einstellung nahm Microsoft aus der Baseline, und zwar Aktivieren der Verhaltensüberwachung. Dieses Feature der Antivirus-Engine ist ohnehin vorgegeben und lässt sich nicht versehentlich über die GUI deaktivieren, so dass keine Notwendigkeit besteht, es per GPO zu erzwingen.
Verfügbarkeit
Die neueste Security Baseline gilt für Windows 10 2004 und Server 2004. Letzterer ist im Semi-annual Channel erschienen und unterstützt nur die Core-Installation. Die Baseline ist Bestandteil des Security Compliance Kit und kann zusammen mit diesem von Microsofts Website heruntergeladen werden.
Wie man seine aktuelle Konfiguration mit der Baseline vergleicht und wie man diese in seine eigene Umgebung übernimmt, beschreibt der Beitrag Windows 10 härten mit der Security Baseline.
Täglich Know-how für IT-Pros mit unserem Newsletter
Verwandte Beiträge
- Windows 10 22H2: Neue Gruppenrichtlinien und Security Baseline, kein ADK
- Security Baseline für Windows 10 21H2: Neue Einstellung für PrintNightmare, Legacy Edge entfernt
- Security Baseline für Windows 10 und Server 1909: 4 Einstellungen aus 1903 entfernt
- Microsoft veröffentlicht Security Baseline für Windows 10 1809 und Server 2019
- Windows 10 härten mit der Security Baseline
Weitere Links