Security Baseline für Windows 10 2004: Zwei neue Einstellungen empfohlen, eine entfernt

    Privileged Administrative WorkstationDrei Monate nach der Freigabe des jüngsten Releases von Windows 10 veröffent­lichte Microsoft nun die end­gültige Version der Securiy Baseline. Von den neuen GPO-Einstel­lungen für die Version 2004 sollten zwei in Betracht gezogen werden, keine kommt aber in die Base­line und eine wird daraus entfernt.

    Bei der Security Baseline handelt sich um eine Sammlung empfohlener Sicherheits­einstellungen für Gruppen­richtlinien. Neben unmittelbar sicherheits­relevanten Policies umfassen sie auch empfohlene Konfigu­rationen für das Auditing oder den Schutz der Privat­sphäre.

    Kriterien für die Aufnahme in die Baseline

    Sie repräsentiert somit die Best Practices, die sich laut Hersteller an sicherheits­bewusste Organisationen richten, in denen normale Benutzer keine administrativen Rechte haben. Andernfalls könnten sie die per GPO konfigurierten Einstellungen außer Kraft setzen.

    Die Baseline erzwingt eine Einstellung nur dann, wenn sie eine bestehende Bedrohung abwehrt und gleichzeitig den Betrieb nicht stärker beeinträchtigt als das Risiko, gegen das sie schützen soll. Sie konfiguriert auch Einstellungen mit einem Wert, der ohnehin als Standard vorgegeben ist, um zu verhindern, dass Benutzer oder Admins sie auf eine unsichere Weise ändern.

    Kandidaten für die Sicherheitskonfiguration

    Windows 10 2004 brachte 17 neue Einstellungen, von denen die meisten aber keinen Einfluss auf die Sicherheit haben.

    Eine von ihnen war schon vorher in der Liste, benötigte aber eine eigene ADMX-Vorlage. Sie heißt Domänencontroller: Anforderungen an das LDAP-Serverkanal-Bindungstoken und ist nun Teil der in Windows enthaltenen administrativen Templates. Deshalb gilt sie als neu zur Baseline hinzuge­kommen.

    Zwei weitere Einstellungen wurden zwar nicht in die Baseline aufgenommen, aber Microsoft rät, ihren Einsatz zu bedenken.

    Es handelt sich dabei um Kennwort­längen­beschränkung lockern und erlaubt es, die minimale Passwortlänge von bisher höchstens 14 Zeichen zu überschreiten (siehe dazu: Minimale Passwortlänge über Default Domain Policy oder Set-ADDefault­Domain­Password­Policy). Gegen eine Empfehlung sprachen laut Microsoft mögliche Kompati­bilitäts­probleme mit Anwendungen.

    Neue Einstellungen, um die minimale Länge von Passwörtern zu erhöhen und diese Maßnahme zu überwachen.

    Die zweite Einstellung, die sich Anwender näher ansehen sollten, heißt Dateihash-Berechnungs­funktion aktivieren. Damit kann man veranlassen, dass der Virenscanner einen Hash für ausführbare Dateien erstellt. Allerdings benötigt diese Operation erhebliche Rechenzeit und ist zudem nur für Kunden mit Defender Advanced Threat Protection sinnvoll.

    Defender Antivirus zum Berechnen von Datei-Hashes konfigurieren

    Eine weitere Defender-bezogene Einstellung nahm Microsoft aus der Baseline, und zwar Aktivieren der Verhaltens­überwachung. Dieses Feature der Antivirus-Engine ist ohnehin vorgegeben und lässt sich nicht versehentlich über die GUI deaktivieren, so dass keine Not­wendigkeit besteht, es per GPO zu erzwingen.

    Verfügbarkeit

    Die neueste Security Baseline gilt für Windows 10 2004 und Server 2004. Letzterer ist im Semi-annual Channel erschienen und unterstützt nur die Core-Installation. Die Baseline ist Bestandteil des Security Compliance Kit und kann zusammen mit diesem von Microsofts Website heruntergeladen werden.

    Wie man seine aktuelle Konfiguration mit der Baseline vergleicht und wie man diese in seine eigene Umgebung übernimmt, beschreibt der Beitrag Windows 10 härten mit der Security Baseline.

    Keine Kommentare