Security Baseline für Windows 10 und Server 1909: 4 Einstellungen aus 1903 entfernt

Mit den neuen Features von Upgrades kommen in der Baseline regelmäßig Einstellungen hinzu, um diese sicher zu konfigurieren. Auf der anderen Seite nimmt Microsoft aber auch laufend empfohlene Einstellungen wieder heraus, wenn sie nicht mehr zeitgemäß erscheinen. So verzichtet die Muster­konfiguration seit der Version 1903 darauf, Kennwörter mit einem Ablauf­datum zu versehen.

Mit der Security Baseline 1909 bleiben weitere 4 Vorgaben draußen, auch wenn diese nicht so spektakulär sind wie beim letzten Mal. Dazu zählt das bisherige Blockieren von Thunderbolt-Geräten, weil sie eine Bedrohung für BitLocker via Direct Memory Access (DMA) darstellen. Durch die Einführung der DMA Protection in Windows 10 1803 wurde diese Gefahr entschärft, so dass die Notwendigkeit für die Maßnahme entfällt.

Einstellungen für DC und Exploit Protection entfernt

Auf der Strecke blieb auch die Empfehlung, die SeSecurity-Berechtigung auf einem Domänen-Controller zu entziehen. Sie wird benötigt, um Audit-Events zu genieren. Bei der Installation von Exchange muss der Mail-Server vom DC dieses Recht erhalten.

Kompatibilitäts­probleme mit der Exploit Protection führten dazu, dass die Baseline nun die dafür zuständigen Einstellungen verwirft. Das Download-Paket enthält ein PowerShell-Script, das sie von den Rechnern entfernt, auf die ein solches GPO angewandt wurde.

Gültigkeitsdauer von Computer-Konten

Die Baseline enthält nicht nur Einstellungen, um Systeme abweichend von den Default-Werten zu konfigurieren. Vielmehr erzwingen sie oft explizit diese Vorgabe­werte, um schlecht informierte Admins daran zu hindern, die Rechner in einen unsicheren Zustand zu versetzen.

Eine dieser Einstellung in der Baseline legt die Gültigkeit von Passwörtern für Computer-Konten auf die standard­mäßigen 30 Tage fest. Läuft Windows aber in VMs, dann führt diese Vorgabe beim Zurück­setzen auf einen Snapshot oder bei nicht persistenten Desktops immer wieder zu Problemen (siehe dazu: Die Vertrauensstellung zwischen dieser Arbeitsstation und der primären Domäne konnte nicht hergestellt werden).

Aus diesem Grund verzichtet die Baseline nun auf das Festklopfen dieser Einstellung, so dass Admins die Gültigkeits­dauer für Maschinen­passwörter verlängern können. Microsoft sieht darin kein Sicherheits­risiko, weil ein Angreifer ohnehin erst volle Kontrolle über einen PC erlangen müsste, um das Passwort des Computer-Kontos zu stehlen.

Neue 1909-Einstellungen nicht berücksichtigt

Die zwei von den drei mit Windows 10 1909 neu hinzuge­kommenen Einstellungen finden keinen Niederschlag in der Baseline, obwohl es sich dabei um sicherheits­relevante Optionen handelt.

Sie dienen dazu, Plug-and-Play-Geräte auf Basis ihrer Instance-ID zuzulassen oder zu blockieren. Letztere ist aber für jedes Gerät verschieden, so dass sich hier keine allgemeinen Vorgaben machen lassen.

Verfügbarkeit

Die neueste Security Baseline gilt für Windows 10 1909 und Server 1909. Letzterer ist im Semi-annual Channel erschienen und lässt sich nur in der Core-Variante installieren. Die Baseline kann von Microsofts Website heruntergeladen werden.

Wie man seine aktuelle Konfiguration mit der Empfehlung des Herstellers vergleicht und wie man die Konfiguration der Baseline in seine eigene Umgebung übernimmt, beschreibt der Beitrag Windows 10 härten mit der Security Baseline.