Security Baseline für Windows 10 21H2: Neue Einstellung für PrintNightmare, Legacy Edge entfernt


    Tags: , ,

    Secure WorkstationMicrosoft veröf­fentlichte seine empfoh­lenen Einstel­lungen für eine sichere Konfi­guration von Windows 10 21H2. Nach­dem die Gruppen­richtlinien für dieses Release kaum Neuerungen brachten, ändert sich auch in der Security Base­line nur wenig. Eine der vor­geschlagenen Ein­stellungen lässt sich nicht per GPO konfi­gurieren.

    Die bereits zuvor erschienene Security Baseline für Windows 11 ergänzte die vom Hersteller empfohlenen Einstellungen nur um zwei neue. Zum einen handelte es sich dabei um jene, die als Reaktion auf die Schwach­stellen im Print-Spooler ("PrintNightmare)" Point and Print für Standard­benutzer deaktiviert.

    Gruppenrichtlinie zum Schutz gegen die Schwachstelle im Print-Spooler

    Einstellung zum Schutz gegen PrintNightmare

    Microsoft empfiehlt diese Einstellung nun auch für Windows 10 21H2. Sie findet sich unter Computer­konfiguration => Richtlinien => Administrative Vorlagen => Drucker und heißt Beschränkt die Installation von Drucker­treibern auf Admini­stratoren.

    Wer jedoch einen Central Store für die administrativen Vorlagen verwendet und dort die ADMX für Windows 11 installiert hat, wird die Einstellung vergeblich suchen. Bei dieser OS-Version benötigt man dafür nämlich die Datei SecGuide.admx aus der Security Baseline, bei Windows 10 21H2 ist sie dagegen im Lieferumfang von Printing.admx.

    Die zweite neu zur Baseline von Windows 11 hinzuge­kommene Einstellung fehlt in Windows 10 21H2. Es handelt sich dabei um das Scannen von Scripts durch Microsoft Defender Antivirus. Im Gegenzug erhielt das aktuelle Feature-Update von Windows 10 die Option für das Scannen von gepackten Dateien, die ihrerseits in Windows 11 fehlt. Sie wurde aber nicht in die Baseline aufge­nommen.

    Tamper-Protection für den Viren-Scanner

    Wenn Angreifer sich Zugang zu einem Rechner verschafft haben, dann versuchen sie meist, dort den Virenscanner zu deaktivieren, um Malware oder Hacking-Tools installieren zu können. Microsoft hat daher den Defender mit einer Tamper-Protection ("Manipulations­schutz") versehen, der dies verhindern soll.

    Die Antimalware-Komponente ist lässt sich nach dem Aktivieren dieses Schutzes weder durch Ändern von Registry-Schlüsseln und PowerShell noch durch Gruppen­richtlinien abschalten. Die aktuelle Baseline rät daher, diese Option zu nutzen.

    Die Security Baseline ist traditionell stark auf Gruppen­richtlinien ausgerichtet und enthält das Backup mehrere Muster-GPOs, die Admins in ihre Umgebung importieren können. Die Aktivierung des Manipulations­schutzes auf diesem Weg ist jedoch nicht vorgesehen, weil die Gruppen­richtlinien dafür keine Einstellung enthalten.

    Tamper-Protection über die GUI der App Einstellungen konfigurieren

    Stattdessen sieht Microsoft neben dem interaktiven Einschalten des Features über die App Einstellungen dafür nur Tools für das Client-Management vor. Dazu zählen Intune, das die Einstellungen der Baseline über die MDM-Schnittstellen konfiguriert, sowie der Configuration Manager.

    Verfügbarkeit

    Die Security Baseline für Windows 10 21H2 gehört wie gewohnt zum Lieferumfang des Security Compliance Toolkit und kann von Microsofts Website heruntergeladen werden.

    Das Paket enthält zudem die empfohlenen Einstellungen für andere Windows-Versionen und Office sowie für Edge Chromium.

    Microsoft hat die Best Practices für den ursprünglichen Edge-Browser aus der Baseline für Windows 10 21H2 entfernt, obwohl seine Einstellungen in den administrativen Vorlagen noch vorhanden sind. Für die sichere Konfiguration des Chromium-Browsers braucht man dessen separate Baseline.

    Täglich Know-how für IT-Pros mit unserem Newsletter

    Wir ver­wenden Ihre Mail-Adresse nur für den Ver­sand der News­letter.
    Es erfolgt keine per­sonen­be­zogene Auswertung.

    Bild von Wolfgang Sommergut
    Wolfgang Sommergut hat lang­jährige Erfahrung als Fach­autor, Berater und Kon­ferenz­sprecher zu ver­schie­denen Themen der IT. Da­ne­ben war er als System­ad­mi­ni­stra­tor und Con­sultant tätig.
    // Kontakt: E-Mail, XING, LinkedIn //

    Verwandte Beiträge

    Weitere Links