Security Baseline für Windows 10 21H2: Neue Einstellung für PrintNightmare, Legacy Edge entfernt

Microsoft veröf­fentlichte seine empfoh­lenen Einstel­lungen für eine sichere Konfi­guration von Windows 10 21H2. Nach­dem die Gruppen­richtlinien für dieses Release kaum Neuerungen brachten, ändert sich auch in der Security Base­line nur wenig. Eine der vor­geschlagenen Ein­stellungen lässt sich nicht per GPO konfi­gurieren.

Die bereits zuvor erschienene Security Baseline für Windows 11 ergänzte die vom Hersteller empfohlenen Einstellungen nur um zwei neue. Zum einen handelte es sich dabei um jene, die als Reaktion auf die Schwach­stellen im Print-Spooler ("PrintNightmare)" Point and Print für Standard­benutzer deaktiviert.

Einstellung zum Schutz gegen PrintNightmare

Microsoft empfiehlt diese Einstellung nun auch für Windows 10 21H2. Sie findet sich unter Computer­konfiguration => Richtlinien => Administrative Vorlagen => Drucker und heißt Beschränkt die Installation von Drucker­treibern auf Admini­stratoren.

Wer jedoch einen Central Store für die administrativen Vorlagen verwendet und dort die ADMX für Windows 11 installiert hat, wird die Einstellung vergeblich suchen. Bei dieser OS-Version benötigt man dafür nämlich die Datei SecGuide.admx aus der Security Baseline, bei Windows 10 21H2 ist sie dagegen im Lieferumfang von Printing.admx.

Die zweite neu zur Baseline von Windows 11 hinzuge­kommene Einstellung fehlt in Windows 10 21H2. Es handelt sich dabei um das Scannen von Scripts durch Microsoft Defender Antivirus. Im Gegenzug erhielt das aktuelle Feature-Update von Windows 10 die Option für das Scannen von gepackten Dateien, die ihrerseits in Windows 11 fehlt. Sie wurde aber nicht in die Baseline aufge­nommen.

Tamper-Protection für den Viren-Scanner

Wenn Angreifer sich Zugang zu einem Rechner verschafft haben, dann versuchen sie meist, dort den Virenscanner zu deaktivieren, um Malware oder Hacking-Tools installieren zu können. Microsoft hat daher den Defender mit einer Tamper-Protection ("Manipulations­schutz") versehen, der dies verhindern soll.

Die Antimalware-Komponente ist lässt sich nach dem Aktivieren dieses Schutzes weder durch Ändern von Registry-Schlüsseln und PowerShell noch durch Gruppen­richtlinien abschalten. Die aktuelle Baseline rät daher, diese Option zu nutzen.

Die Security Baseline ist traditionell stark auf Gruppen­richtlinien ausgerichtet und enthält das Backup mehrere Muster-GPOs, die Admins in ihre Umgebung importieren können. Die Aktivierung des Manipulations­schutzes auf diesem Weg ist jedoch nicht vorgesehen, weil die Gruppen­richtlinien dafür keine Einstellung enthalten.

Stattdessen sieht Microsoft neben dem interaktiven Einschalten des Features über die App Einstellungen dafür nur Tools für das Client-Management vor. Dazu zählen Intune, das die Einstellungen der Baseline über die MDM-Schnittstellen konfiguriert, sowie der Configuration Manager.

Verfügbarkeit

Die Security Baseline für Windows 10 21H2 gehört wie gewohnt zum Lieferumfang des Security Compliance Toolkit und kann von Microsofts Website heruntergeladen werden.

Das Paket enthält zudem die empfohlenen Einstellungen für andere Windows-Versionen und Office sowie für Edge Chromium.

Microsoft hat die Best Practices für den ursprünglichen Edge-Browser aus der Baseline für Windows 10 21H2 entfernt, obwohl seine Einstellungen in den administrativen Vorlagen noch vorhanden sind. Für die sichere Konfiguration des Chromium-Browsers braucht man dessen separate Baseline.