Microsoft hat die Final seiner Security Baseline für Windows 10 Mai 2019 Update (Version 1903) und Windows Server 1903 freigegeben. Hier ein kurzer Überblick.
Anzeige
Das Security Baseline-Paket besteht aus Dokumentation und Gruppenrichtlinien sowie PowerShell-Scripten, mit denen sich eine Basisabsicherung über bestimmte Einstellungen in Windows 10 oder Windows Server 1903 vornehmen lässt. Die Ankündigung der Final erfolgte am 23. Mai 2019 im Technet im Artikel Security baseline (FINAL) for Windows 10 v1903 and Windows Server v1903.
Nur wenige Neuerungen, aber Änderungen
Das neue Windows Feature Update auf Windows 10 Version 1903 bringt nur sehr wenige neue Gruppenrichtlinieneinstellungen, die Microsoft in der dem Paket beiliegenden Dokumentation auflistet. Diese Baseline empfiehlt, nur zwei davon zu konfigurieren. Allerdings hat Microsoft einige Änderungen an den bestehenden Einstellungen vorgenommen. Auch gegenüber dem im April 2019 freigegebenen Draft (Entwurf) ergeben sich einige Änderungen. Die Änderungen gegenüber der Security Baseline von Windows 10 v1809 und Windows Server 2019 beinhalten folgende Punkte:
- Aktivierung der neuen Richtlinie "Enable svchost.exe mitigation options", die eine strengere Sicherheit für Windows-Dienste durchsetzt, die in svchost.exe gehostet werden. Dies betrifft auch die Tatsache, dass alle von svchost.exe geladenen Binärdateien von Microsoft signiert werden müssen und dass dynamisch generierter Code nicht zulässig ist. Bitte beachten Sie dies besonders, da es zu Kompatibilitätsproblemen mit Drittanbietercode führen kann, der versucht, den Hosting-Prozess svchost.exe zu verwenden, einschließlich Smartcard-Plugins von Drittanbietern.
- Konfigurieren der neuen App-Datenschutzeinstellung "Windows-Anwendungen mit Sprache aktivieren lassen, während das System gesperrt ist", so dass Benutzer nicht mit Anwendungen interagieren können, die Sprache verwenden, während das System gesperrt ist.
- Deaktivieren der Multicast-Namensauflösung (LLMNR), um Bedrohungen durch Server-Spoofing zu minimieren.
- Einschränkung des NetBT NodeType auf den P-Knoten, Untersagung der Verwendung von Broadcast zur Registrierung oder Auflösung von Namen, auch zur Abwehr von Bedrohungen durch Server-Spoofing. Wir haben dem benutzerdefinierten "MS Security Guide" ADMX eine Einstellung hinzugefügt, um die Verwaltung dieser Konfigurationseinstellung über Gruppenrichtlinien zu ermöglichen.
- Korrigieren eines Versehens in der Basislinie des Domänencontrollers durch Hinzufügen empfohlener Überwachungseinstellungen für den Kerberos-Authentifizierungsdienst.
- Löschen der Richtlinien zum Ablauf des Passworts, die regelmäßige Passwortänderungen erfordern. Diese Änderung wird im Folgenden näher erläutert.
- Löschen der spezifischen BitLocker-Laufwerksverschlüsselungsmethode und der Einstellungen für die Chiffrierstärke. Die Baseline erfordert die stärkste verfügbare BitLocker-Verschlüsselung. Microsoft hat diesen Punkt aus einigen Gründen entfernt. Der Standard ist die 128-Bit-Verschlüsselung, und Microsofts Krypto-Experten sagen, dass es keine bekannte Gefahr gibt, dass sie in absehbarer Zeit gebrochen wird. Auf mancher Hardware kann es zu einem spürbaren Leistungsabfall von 128- bis 256-Bit kommen. Und schließlich schalten viele Geräte wie die Microsoft Surfaces BitLocker standardmäßig ein und verwenden die Standardalgorithmen. Um diese in 256-Bit umzuwandeln, müssen zuerst die Volumes entschlüsselt und dann erneut verschlüsselt werden, was sowohl temporäre Sicherheitsrisiken als auch Auswirkungen auf den Benutzer mit sich bringt.
- Die Einstellungen Datei-Explorer "Datenausführungsverhinderung für Explorer deaktivieren" und "Heap-Abbruch bei Korruption deaktivieren" wurden entfernt. Es lässt sich lediglich das Standardverhalten erzwingen, wie Raymond Chen hier beschreibt.
Es gibt weitere Änderungen, die Microsoft seit der Veröffentlichung des Entwurfs dieser Baseline vorgenommen hat:
- Aufhebung der Durchsetzung des Standardverhaltens bei der Deaktivierung der integrierten Administrator- und Gastkonten. Dieser Vorschlag war bereits im Draft der Base Line enthalten und wurde nun komplett übernommen. Die Änderung wird im Technet-Beitrag näher erläutert.
- Eine Windows Defender Antivirus-Einstellung, die nur für ältere E-Mail-Dateiformate gilt, wurde entfernt.
- Die XML-Konfiguration des Windows Defender Exploit Protection XML wurde so geändert, dass Groove.exe (OneDrive for Business) untergeordnete Prozesse starten kann, insbesondere MsoSync.exe, die für die Dateisynchronisierung erforderlich ist.
Details zu den Änderungen in den Kennwort-Durchsetzungsregeln etc. im Technet-Beitrag näher erläutert. (via)
Ähnliche Artikel:
Windows 10 V1903: Security Baseline und (neue) Passwort Gruppenrichtlinien
Windows 10 1809/Server 2019: Probleme mit SystemGuard Launch-Security Baseline
2015
"Einschränkung des NetBT NodeType auf den P-Knoten"
Kann das bitte jemand erläutern?
Wir haben hier ein kleines Netz, vielleicht 30 Geräte, aber KEINEN Windows-Server.
Wo sollen wir da einen WINS-Server installieren? Hat jemand eine Empfehlung dazu?
Und ja, auf Broadcast würde ich gerne verzichten. Aber wie? Zur Zeit sind unsere Rechner auf H(ybrid) eingestellt.
Nur so können wir problemlos auf Freigaben zugreifen. (Haben wir getestet.)
Leider werden die Geräte manchmal per NetBIOS und manchmal per WSD erkannt, selten auch per SSDP, ohne dass wir das explizit vorgeben können – weil sonst der Zugriff auf Freigaben (per SMB) scheitert.