Tags: Windows 10, Sicherheit, Gruppenrichtlinien
Microsoft veröffentlichte seine empfohlenen Einstellungen für eine sichere Konfiguration von Windows 10 21H2. Nachdem die Gruppenrichtlinien für dieses Release kaum Neuerungen brachten, ändert sich auch in der Security Baseline nur wenig. Eine der vorgeschlagenen Einstellungen lässt sich nicht per GPO konfigurieren.
Die bereits zuvor erschienene Security Baseline für Windows 11 ergänzte die vom Hersteller empfohlenen Einstellungen nur um zwei neue. Zum einen handelte es sich dabei um jene, die als Reaktion auf die Schwachstellen im Print-Spooler ("PrintNightmare)" Point and Print für Standardbenutzer deaktiviert.
Einstellung zum Schutz gegen PrintNightmare
Microsoft empfiehlt diese Einstellung nun auch für Windows 10 21H2. Sie findet sich unter Computerkonfiguration => Richtlinien => Administrative Vorlagen => Drucker und heißt Beschränkt die Installation von Druckertreibern auf Administratoren.
Wer jedoch einen Central Store für die administrativen Vorlagen verwendet und dort die ADMX für Windows 11 installiert hat, wird die Einstellung vergeblich suchen. Bei dieser OS-Version benötigt man dafür nämlich die Datei SecGuide.admx aus der Security Baseline, bei Windows 10 21H2 ist sie dagegen im Lieferumfang von Printing.admx.
Die zweite neu zur Baseline von Windows 11 hinzugekommene Einstellung fehlt in Windows 10 21H2. Es handelt sich dabei um das Scannen von Scripts durch Microsoft Defender Antivirus. Im Gegenzug erhielt das aktuelle Feature-Update von Windows 10 die Option für das Scannen von gepackten Dateien, die ihrerseits in Windows 11 fehlt. Sie wurde aber nicht in die Baseline aufgenommen.
Tamper-Protection für den Viren-Scanner
Wenn Angreifer sich Zugang zu einem Rechner verschafft haben, dann versuchen sie meist, dort den Virenscanner zu deaktivieren, um Malware oder Hacking-Tools installieren zu können. Microsoft hat daher den Defender mit einer Tamper-Protection ("Manipulationsschutz") versehen, der dies verhindern soll.
Die Antimalware-Komponente ist lässt sich nach dem Aktivieren dieses Schutzes weder durch Ändern von Registry-Schlüsseln und PowerShell noch durch Gruppenrichtlinien abschalten. Die aktuelle Baseline rät daher, diese Option zu nutzen.
Die Security Baseline ist traditionell stark auf Gruppenrichtlinien ausgerichtet und enthält das Backup mehrere Muster-GPOs, die Admins in ihre Umgebung importieren können. Die Aktivierung des Manipulationsschutzes auf diesem Weg ist jedoch nicht vorgesehen, weil die Gruppenrichtlinien dafür keine Einstellung enthalten.
Stattdessen sieht Microsoft neben dem interaktiven Einschalten des Features über die App Einstellungen dafür nur Tools für das Client-Management vor. Dazu zählen Intune, das die Einstellungen der Baseline über die MDM-Schnittstellen konfiguriert, sowie der Configuration Manager.
Verfügbarkeit
Die Security Baseline für Windows 10 21H2 gehört wie gewohnt zum Lieferumfang des Security Compliance Toolkit und kann von Microsofts Website heruntergeladen werden.
Das Paket enthält zudem die empfohlenen Einstellungen für andere Windows-Versionen und Office sowie für Edge Chromium.
Microsoft hat die Best Practices für den ursprünglichen Edge-Browser aus der Baseline für Windows 10 21H2 entfernt, obwohl seine Einstellungen in den administrativen Vorlagen noch vorhanden sind. Für die sichere Konfiguration des Chromium-Browsers braucht man dessen separate Baseline.
Täglich Know-how für IT-Pros mit unserem Newsletter
Verwandte Beiträge
- Windows 10 22H2: Neue Gruppenrichtlinien und Security Baseline, kein ADK
- Security Baseline für Windows 10 2004: Zwei neue Einstellungen empfohlen, eine entfernt
- Security Baseline für Windows 10 und Server 1909: 4 Einstellungen aus 1903 entfernt
- Microsoft veröffentlicht Security Baseline für Windows 10 1809 und Server 2019
- Windows 10 härten mit der Security Baseline
Weitere Links