Security Baseline für Windows 11 2022: Neue empfohlene Einstellungen für Drucker, Defender, NetBIOS, LSASS, VBS


    Tags: , , , ,

    Security Baseline Defender-EinstellungenParallel zur Freigabe von Windows 11 2022 veröffentlichte Microsoft die dazugehörige Security Baseline. Sie empfiehlt die Aktivierung einer ganzen Reihe von zusätzlichen Gruppen­richtlinien, wobei die meisten neu mit dieser OS-Version hinzu­gekommen sind. Ein Schwer­punkt liegt dabei auf der Absicherung von Druckern.

    Bei der Security Baseline handelt sich um eine Sammlung empfohlener Sicherheits­einstellungen für die Gruppen­richtlinien. Sie repräsentiert die Best Practices des Herstellers und konfiguriert Einstellungen auch dann, wenn diese bereits per Default sicher sind. Dies soll verhindern, dass Benutzer oder Admins sie auf eine unerwünschte Weise ändern.

    Microsoft ist gewöhnlich recht zurückhaltend bei der Empfehlung neuer Sicherheits­einstellungen, weil diese leicht zu Kompatibilitäts­problemen führen oder das Benutzererlebnis beeinträchtigen können.

    Die Baseline für Windows 11 2022 bringt jedoch gleich mehrere Policies, die neu mit diesem Release hinzuge­kommen sind. Einige davon waren allerdings bereits zuvor in der SecGuide.admx enthalten, die zum Lieferumfang der Security Baseline gehört.

    Absicherung des Drucksystems

    Die meisten der nun zusätzlich empfohlenen Einstellungen betreffen das Drucken. Das ist insofern keine große Überraschung, als im entsprechenden Subsystem während des letzten Jahres gleich mehrere gravierende Schwachstellen entdeckt wurden ("Print Nightmare").

    Als eine wesentliche Maßnahme riet Microsoft dazu, Point und Print für Standardbenutzer zu deaktivieren und die Installation von Druckertreibern auf privilegierte User begrenzen. Die entsprechende Richtlinie unter Computer­­konfiguration => Richt­linien => Administrative Vorlagen => Drucker heißt Beschränkt die Installation von Drucker­treibern auf Admini­stratoren ("Limits installation of printer drivers to administrators").

    Sie war in den ADMX für Windows 11 21H2 nicht enthalten, wohl aber in jenen für Windows 10 21H2. Nun übernimmt sie der Hersteller auch bei Windows 11 2202 in das Betriebs­system.

    Darüber hinaus bringt es gleich vier Einstellungen für die Kommunikation mit dem Spooler via RPC:

    • Konfigurieren von RPC-Verbindungs­einstellungen ("Configure RPC connection"): Damit lässt sich die Verwendung von Named Pipes für RPCs zum Spooler verhindern und TCP erzwingen.
    • Konfigurieren von RPC-Listenereinstellungen ("Configure RPC listener"): Damit legt man das verwendete Protokoll für eingehende RPCs zum Spooler fest. Auch hier sollte man TCP wählen.
    • Configure RPC packet level privacy setting for incoming connections: Diese Einstellung ist aktuell nur über die SecGuide.admx zu haben und adressiert die Schwachstelle CVE-2021-1678.
    • Konfigurieren von RPC über TCP-Port ("Configure RPC over TCP port"): RPCs verwenden nun standardmäßig dynamische TCP-Ports. Dies ist auch die Empfehlung der Baseline, wogegen diese Richtlinie dazu dient, einen festen Port zu definieren. Entsprechend sollte man sie deaktivieren.

    Einstellungen in den Gruppenrichtlinien von Windows 11 2022 zur Absicherung von RPCs zum Print-Spooler.

    Hinzu kommen noch zwei weitere Einstellungen für das Drucksystem:

    • Umleitungsschutz konfigurieren ("Configure Redirection Guard ")
    • Verwalten der Verarbeitung von warte­schlangen­spezifischen Dateien ("Manage processing of queue-specific files"): Diese Einstellung existierte zuvor nur als Registry-Schlüssel in Reaktion auf CVE-2021-36958. Sie erlaubt die Beschränkung auf das Standardprofil für die Farbausgabe mittels mscms.dll.

    Einstellungen für Defender

    Windows 11 2022 erweitert den Schutz von Smartscreen gegen Phishing-Angriffe. Dazu überwacht es die Eingabe von Anmeldedaten in Web-Anwendungen. Handelt es sich dabei um bekannte Phishing-Sites oder andere bösartige Seiten, dann fordert es den Benutzer zum Wechsel des Passworts auf.

    Tut er das nicht, dann erhält er eine Warnung, sobald er das Kennwort in einer anderen Anwendung oder Website verwendet.

    Darüber hinaus überwacht die Funktion, ob Anwender ihre Windows-Passwörter in Office-Dokumenten oder Textdateien speichern und warnt sie gegebenenfalls vor diesem Verhalten.

    Die Gruppen­richtlinien für den erweiterten Phishing-Schutz in Windows 11 2022 finden sich in einem eigenen Container unter Computer­konfiguration => Richtlinien => Administrative Vorlagen => Windows-Komponenten => Windows Defender SmartScreen.

    Einstellungen für den erweiterten Phishing-Schutz

    Er enthält die Einstellungen für die oben beschriebenen Funktionen:

    • Bösartigkeit benachrichtigen ("Notify Malicious"): warnt bei Besuch einer verdächtigen oder potenziell gefährlichen Website
    • Kennwort­wieder­verwendung benachrichtigen ("Notify Password Reuse"): erinnert die User, dass sie im Unternehmen ein einzigartiges Passwort verwenden sollen, welches sie sonst nirgendwo nutzen
    • Unsichere App benachrichtigen ("Notify Unsafe App"): macht den Benutzer darauf aufmerksam, dass er das Passwort in einer Datei gespeichert hat.
    • Dienst aktiviert: schaltet den erweiterten Phishing-Schutz ein

    Zusätzlich ergänzt Microsoft die Reduktion der Angriffsfläche (Attack Surface Reduction, ASR) um eine weitere Einstellung. Sie heißt Block abuse of exploited vulnerable signed drivers.

    Wie gewohnt gibt es dafür keine eigene Gruppen­richtlinie, vielmehr trägt man für jede Regel eine GUID und einen numerischen Wert für die gewünschte Aktion in eine Tabelle ein. Die Dokumentation für die neu hinzugekommene Regel findet sich hier.

    Anmeldung

    Die Security Baseline für Windows 11 2022 empfiehlt drei neue Einstellungen, um die Anmeldung abzusichern:

    Laden benutzerdefinierter SSPs and APs in LSASS zulassen ("Allow Custom SSPs and APs to be loaded into LSASS"): Der Local Security Authority Subsystem Service (LSASS) erlaubt Drittanbietern, eigene Module für den Login einzuklinken. Auf diese Weise können sie die Anmeldung anpassen, beispielsweise für die Durchsetzung von Passwortregeln oder MFA.

    Diese Möglichkeit lässt sich jedoch von böswilligen Akteuren für Angriffe missbrauchen. Mit der neuen Einstellung sollten Admins diese Lücke schließen, sofern kein solches Add-on im Unternehmen eingesetzt wird.

    Einstellungen zur Absicherung des Local Security Authority Subsystem

    Konfiguriert LSASS für die Ausführung als geschützter Prozess ("Configure LSASS to run as a protected process"): Diese Einstellung ist der Nachfolger von LSA Protection in SecGuide.admx. Sie steht allerdings nur in Windows 11 2022 zur Verfügung, auf älteren Versionen des OS muss man bei der Option aus der SecGuide.admx bleiben.

    Sperrung des Administratorkontos zulassen ("Allow Administrator account lockout"): Damit kann man nun wie bei anderen Konten möglichen Brute-Force-Angriffen auf den integrierten lokalen Administrator vorbeugen.

    Einstellung zum Konfigurieren der Kontosperre für den integrierten Administrator

    Netzwerk

    Das neue Release von Windows 11 bringt eine Einstellung, mit der sich NetBIOS deaktivieren lässt. Diese Maßnahme gilt ohnehin schon lang als Best Practice, es fehlte bis dato jedoch eine Gruppen­richtlinie für diesen Zweck.

    Sie findet sich unter Computer­konfiguration => Richtlinien => Administrative Vorlagen => Netzwerk => DNS-Client und heißt NetBIOS-Einstellungen konfigurieren ("Configure NetBIOS settings").

    Optionen zur Konfiguration von NetBIOS

    Sie erlaubt nicht nur das Ein- und Abschalten von NetBIOS, sondern kann es etwa nur in öffentlichen Netzwerken deaktivieren. Die Security Baseline empfiehlt aber das vollständige Ausschalten des veralteten Protokolls, sofern dies aus Kompatibilitäts­gründen möglich ist.

    Die mit Windows 11 und Windows Server 2022 eingeführte Unterstützung für DNS over HTTPS (DoH) sichert zwar DNS-Anfragen ab und verhindert damit ein DNS Spoofing. Microsoft sieht es derzeit jedoch als verfrüht an, die Verwendung von DoH zu empfehlen.

    Virtualization Based Security

    Windows 11 2022 führt eine weitere Technologie zur Härtung des Systemkerns ein, die sich den Hypervisor und moderne Hardware zunutze macht. Sie setzt zum einen mindestens Prozessoren des Typs Intel Tiger Lake oder AMD Zen3 voraus. Zusätzlich muss HVCI aktiviert sein.

    Die neue Option für die Konfiguration der virtualisierungsbasierten Sicherheit

    Diesen Mechanismus konfiguriert man mit der Einstellung Virtualisierungsbasierte Sicherheit aktivieren (unter Computer­konfiguration => Richtlinien => Administrative Vorlagen => System => Device Guard"). Sie erhielt nun eine neue Option namens Hardware-erzwungener Stack-Schutz im Kernel-Modus ("Kernel Mode Hardware Enforced Stack Protection").

    Fazit

    Angesichts der relativ geringen Zahl an neuen Features in Windows 11 2022 bringt das OS überraschend viele Einstellungen zur Erhöhung der Sicherheit. Diese fanden großteils Eingang in die Security Baseline.

    Ein besonderes Augenmerk legte Microsoft dabei auf die Absicherung des Drucksystems, das in der Vergangenheit durch mehrere kritische Schwachstellen auffiel. Interessant sind aber auch die zusätzlichen Schutz­mechanismen in Defender sowie die Härtung des Anmeldeprozesses.

    Schließlich dürften viele Admins zu schätzen wissen, dass sich NetBIOS nun endlich über die Gruppenrichtlinien anpassen und abschalten lässt.

    Täglich Know-how für IT-Pros mit unserem Newsletter

    Wir ver­wenden Ihre Mail-Adresse nur für den Ver­sand der News­letter.
    Es erfolgt keine per­sonen­be­zogene Auswertung.

    Bild von Wolfgang Sommergut
    Wolfgang Sommergut hat lang­jährige Erfahrung als Fach­autor, Berater und Kon­ferenz­sprecher zu ver­schie­denen Themen der IT. Da­ne­ben war er als System­ad­mi­ni­stra­tor und Con­sultant tätig.
    // Kontakt: E-Mail, XING, LinkedIn //

    Verwandte Beiträge

    Weitere Links