Das Bundesamt für Sicherheit in der Informationstechnologie (BSI) hat gerade (3. Mai 2021) seine Sammlung von Sicherheitseinstellungen für Windows 10 veröffentlicht. Es sind Handlungsrichtlinien und Gruppenrichtlinien, um Windows 10 gegen Angriffe zu härten und die Privatsphäre zu schützen. Hintergrund ist, dass 1/3 aller Computernutzer Windows 10 einsetzt. Hier ein Blick auf dieses Thema und eine Einschätzung dazu.
Anzeige
Ein Großteil der erfolgreichen Angriffe auf IT-Systeme mit Microsoft Windows 10 lässt sich bereits mit den im Betriebssystem vorhandenen Bordmitteln erkennen oder verhindern, so das BSI. Um die nötige Konfiguration des Betriebssystems zu erleichtern, hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) im Rahmen der „Studie zu Systemaufbau, Protokollierung, Härtung und Sicherheitsfunktionen in Windows 10" (SiSyPHuS Win10) Handlungsempfehlungen zur Absicherung der Windows-Systeme in deutscher und englischer Sprache veröffentlicht. Ein Fokus bei der Erstellung lag auf der einfachen Umsetzung und praktischen Anwendung. Die Ankündigung dieser Empfehlungen zur Absicherung von Windows 10 erfolgte über nachfolgenden Tweet.
Konkret stellt das BSI die empfohlenen Konfigurationseinstellungen als direkt in Windows importierbare Gruppenrichtlinienobjekte (GPO) zum Download bereit. Arne Schönbohm, Präsident des BSI, erklärt dazu:
Als die Cyber-Sicherheitsbehörde des Bundes ist es Aufgabe des BSI, Digitalisierung und Informationssicherheit stets zusammen zu denken. Wir unterstützen Anwenderinnen und Anwender in Staat, Wirtschaft und Gesellschaft dabei, IT-Produkte und Software sicher einzusetzen. Mehr als ein Drittel der Computernutzerinnen und -nutzer weltweit setzen Windows 10 ein, Tendenz steigend. Daher prüfen wir das Betriebssystem auf Herz und Nieren und leiten daraus konkrete Empfehlungen ab, mit denen wir die Digitalisierung sicherer gestalten.
Die vorliegende Veröffentlichung ist Teil einer umfangreichen Sicherheitsanalyse, in der das BSI sicherheitskritische Funktionen des Betriebssystems untersucht. Ziel ist es, die Sicherheit und Restrisiken für eine Nutzung von Windows 10 bewerten zu können, Rahmenbedingungen für einen sicheren Einsatz des Betriebssystems zu identifizieren sowie praktisch nutzbare Empfehlungen für eine Härtung und den sicheren Einsatz von Windows 10 zu erstellen, meint das BSI dazu.
Anzeige
Die Empfehlungen aus SiSyPHuS Win10 richten sich in erster Linie an Behörden in Bund und Ländern sowie an Unternehmen. Aber auch technisch versierte Bürgerinnen und Bürger können die Empfehlungen nach Meinung des BSI umsetzen, abhängig von der eingesetzten Windows 10 Version. Die Empfehlungen, GPO sowie andere bereits veröffentlichte Teilergebnisse zur Studie sind unter SiSyPHuS Win10: Studie zu Systemaufbau, Protokollierung, Härtung und Sicherheitsfunktionen in Windows 10 abrufbar.
Die Krux mit Windows 10 und dem BSI
So schön wie die Bemühungen des BSI zu bewerten sind – die versuchen wenigstens was: Leider zu kurz gesprungen ist das magere Fazit, dass ich aus dieser Geschichte ziehe. Denn das BSI schreibt dazu:
Untersuchungsgegenstand ist Windows 10 Enterprise LTSC 2019 64 Bit in deutscher Sprache. Die bereits abgeschlossenen und auf Basis der LTSC-Version 1607 durchgeführten Analysen werden mit der aktuellen LTSC Version abgeglichen und auf die neue Betriebssystemversion aktualisiert.
Wir haben einen Untersuchungsgegenstand, der in der Praxis schlicht keine Relevanz hat, denn Microsoft schreibt selbst, dass die LTSC-Varianten nicht in Office-Umgebungen, sondern nur in missionskritischen Spezialfällen einzusetzen sind. Man kann zwar versuchen, die GPOs auf Windows 10 Enterprise oder ggf. auch Pro zu übernehmen, bewegt sich dann aber außerhalb des Untersuchungsgegenstands des BSI. Hier wird die Krux mit Windows 10 ziemlich deutlich: Durch den Windows-as-a-Service-Einsatz ändert sich das Betriebssystem im Halbjahreszyklus. Mit etwas Pech liegt man dann bezüglich der BSI-Vorgaben ziemlich daneben, weil nur noch wenige funktioniert.
Zudem schreibt das BSI selbst: Die Empfehlungen aus SiSyPHuS Win10 richten sich in erster Linie an Behörden in Bund und Ländern sowie an Unternehmen. Man versucht zwar noch eine Volte, indem man den folgenden Satz nachschiebt: Aber auch technisch versierte Bürger*innen können die Empfehlungen umsetzen, abhängig von der eingesetzten Windows 10 Version. Die Krux: Windows 10 Home, bei fast allen Privatanwendern und in vielen Kleinfirmen im Einsatz, kennt keinen Gruppenrichtlinieneditor. Ob das Kommandozeilentool LGPO.exe funktioniert (siehe) kann ich aktuell nicht testen.
Mit anderen Worten: Ein Großteil der Nutzer bleibt auch hier außen vor – was auch bei heise im Forum in diesem Kommentar zum Artikel über die BSI-Aktion angesprochen wird. Und das gesamte Themenfeld Telemetrie scheint das BSI überhaupt nicht angegangen zu sein. Wie gut sich das Ganze administrieren lässt, da fehlen mir die Erfahrungen. Aber wenn ein Bündel an GPOs eingesetzt wird und etwas schief geht, hat der Administrator ein Problem.
Und in einem weiteren Kommentar weist ein Nutzer darauf hin, dass immer mehr Arbeitsplätze remote seien, also in die Cloud verlagerte Funktionen nutzen. Dann kommen also weniger GPOs sondern ehr MDM zur Durchsetzung von Regeln zum Einsatz. Also auch hier deutet es sich an, dass das BSI-Material nicht mehr greift. Oder wie seht ihr das? Interessant sind auch die nachfolgenden Artikel, die sich auf Vorarbeiten des BSI beziehen.
Ähnliche Artikel:
BSI-Einstufung: Windows 10 ist ein 'Datenschutz-Unfall'
Windows 10 und die Sicherheitseinstellungen des BSI
Windows 10: BSI veröffentlicht SiSyPHuS-Teilergebnisse
Anzeige
Die Ausarbeitung des BSI kann man zu Informationszwecken lesen und vielleicht auch umsetzen. Ich lese sowas jedenfalls immer (wenn mal Zeit ist), um die Abdeckung meiner Regeln zu prüfen.
Im praktischen Betrieb sind wir angesichts der unzähligen Änderungen der Nicht-LTS allerdings schon an einer ganz anderen Stelle.
Nicht nur jedes halbes Jahr, sondern nahezu jeden Monat sitzt man da und studiert, wo man jetzt wieder neue Regeln braucht und was abgeschaltet werden muss. Und weil GPOs ab und zu auch mal nicht aktualisiert werden, so dass sich neue Funktionen nicht rechtzeitig steuern lassen, werden noch andere Regelsätze gepflegt, z.B. Registryeinträge verteilt.
Ist zwar kein Fulltime Job nur hierfür in der IT, aber die ständige Anpassung, das ständige Opt Out aus neuen Funktionen und deren Dokumentation und Pflege frisst schon eine Menge Zeit. Und dann sind ja auch nicht alle Rechner in der Nutzung gleich.
Dazu kommen dann noch Genehmigungsprozesse für jedes Feature, das raus oder rein soll.
So insgesamt über den Gesamtprozess wird schon ungefähr eine Stelle verbraten, nur für das Management der Changes bei Clients, Servern und mitgelieferten Programmen.
Wobei alle Beteiligten eher gut bezahlt werden, also reden wir von Kosten alleine für die ständige Pflegeentsprechung zur BSI-Veröffentlichung von deutlich über 50k im Jahr.
Das muss man sich auch erst mal leisten können und wollen.
Insofern sind solche Veröffentlichungen vom BSI auch Momente zum Träumen:
Wäre es nicht schön, wenn man nur alle paar Jahre mal eine Liste abarbeiten müsste? Hach!
Nehmt doch einfach CIS her > https://downloads.cisecurity.org/#/, ist bei uns das min. an Security Settings die umgesetzt werden.
Das sind aber keine Gruppenrichtlinien, sondern PDFs.
Die kann man nicht importieren.
Man müsste dann hunderte Seiten PDF lesen und trotzdem alles selber machen.
Im Fall von Windows 10 Version 20H2 sind das sagenhafte 1245 Seiten PDF.
Na viel Spaß damit.
Man sollte auch nicht ungeprüft GPOs ins AD importieren und aktivieren. Besser man gleicht die zugehörigen PDFs mit den schon getätigten Settings ab und ergänzt, wo es notwendig ist. Gerade die BSI-Settings sind sehr restriktiv, zwar sicher, aber teils werden die Kisten so abgesichert, dass man kaum noch damit arbeiten kann, die letzte Watsche habe ich beim Umsetzen der BSI-Empfehlungen zu Office-365 kassieren müssen, und dann war tagelanges Debugging angesagt, damit die Office-Anwendungen untereinander und mit Teams und Sharepoint wieder agieren konnten.
Danke für den Link zu CIS, da sind ja die Inhaltsverzeichnisse schon länger als die ganze BSI-PDF…
Man braucht nicht unbedingt einen Gruppenrichtlinieneditor, sondern kann die Richtlinien auch direkt in die Registry eintragen.
Die zu den Gruppenrichtlinien passenden RegistrySchlüssel findet man dort:
*ttps://gpsearch.azurewebsites.net/
Ist mir bekannt – aber wer tut sich das als Home-User schon an? Im Blog gibt es im Artikel Windows 10: Update KB4571756 löst Fehler im Gruppenrichtlinieneditor aus sogar den Hinweis, dass man den Gruppenrichtlinien-Editor in Windows 10 Home installieren könne. Ich habe es nie aufgegriffen, da es nicht unterstützt wird und man bei Problemen "im Regen steht". Bezüglich der BSI-Sicherheits-GPOs machen wir dann für die Home-User ein noch größeres Fass auf – jedenfalls mein Bauchgefühl.
Wenn man auch noch daran denkt, dass viele Freiberufler und kleine Unternehmen mit Windows 10 Home- und Pro-Lizenzen online sind und vielleicht jetzt auch noch Corona-Testergebnisse – also Gesundheitsdaten – verarbeiten und mit den Gesundheitsämtern austauschen, frage ich mich zunehmend grundlegend nach der Arbeitsweise des BSI …
Reale IT-Sicherheit funktioniert so wohl kaum!
Muss man auch nicht, in der BSI-Anleitung heißt es dazu (muss man halt nur mal lesen…)
Zitatanfang aus "Workpackage12_Gruppenrichtlinienobjekte_Anleitung.pdf"
3. Importieren der Gruppenrichtlinienobjekte
Die folgenden Abschnitte beschreiben beispielhaft das Vorgehen, um die bereitgestellten Gruppenrichtlinienobjekte auf Einzelrechnern oder im Active Directory anzuwenden.
3.1 Einzelrechner
Gruppenrichtlinienobjekte können über das Tool Local Group Policy Object Utility (LGPO) (siehe (ms_lgpo, 2020)) lokal exportiert und importiert werden. Für dieses Szenario sind die Gruppenrichtlinienobjekte
Normaler Schutzbedarf Einzelrechner (NE) (Gruppenrichtlinienobjekt Nr. 1),
Normaler Schutzbedarf (NE, ND)(Gruppenrichtlinienobjekt Nr. 4)
und
Protokollierung (NE, ND, HD) (Gruppenrichtlinienobjekt Nr. 6) relevant.
Im Folgenden werden die einzelnen Schritte beschrieben, um die bereitgestellten Gruppenrichtlinienobjekte lokal zu importieren:
1. Laden Sie das Tool LGPO.exe bei Microsoft herunter.
2. Entpacken Sie den Ordner, der die Datei LGPO.exe enthält, aus dem heruntergeladenen Archiv.
3. Starten Sie eine administrative Kommandozeile:
a. Starten Sie das Programm Eingabeaufforderung (cmd.exe) oder
b. PowerShell (powershell.exe).
4. Führen Sie das Programm LGPO.exe mit dem Parameter /g und dem Pfad zum jeweiligen Gruppenrichtlinienobjekt aus:
a. C:\ >LGPO.exe /g „C:\\Normaler Schutzbedarf Einzelrechner (NE) – Computer"
b. C:\ >LGPO.exe /g „C:\\Normaler Schutzbedarf (NE, ND) – Computer"
c.C:\ >LGPO.exe /g „C:\\Protokollierung (NE, ND, HD) – Computer"
5.Führen Sie einen Neustart durch, um die Konfigurationen anzuwenden:
a. C:\ >sh utdown.exe /r /t 0 "
Zitatende. Erst unter 3.2 werden AD-Computer beschrieben.
Tipp: Mach das aber nicht ohne die Settings zu prüfen, manches könnte Privatleute ziemlich nerven, anderes ist ohne Enterprise-Lizenz nutzlos (Device/Credential-Guard), und die Absicherung ist damit längst nicht vollständig, denn es fehlt mindestens noch Applocker (für Enterprise, alle anderem müssen die Softwasre-Restriction-Policy nutzen).
Na klar! Dann mal los:
1. Das Öffnen von Office- und PDF-Dateien wurde vom Administrator wirksam gesperrt. Hier muss der Anwender also zunächst einmal diese Sperre umgehen, obwohl man ihm mühsam beigebracht hat, dass insbesondere Office- und PDF-Dokumente, die per E-Mail oder Download zur Verfügung gestellt werden, den Computer "zerstören" können.
2. Das Ausführen von EXE-Dateien erfordert wahrscheinlich auch noch die Anmeldung als Administrator. Dabei dürfte jetzt jeder normale Anwender, zu denen auch die meisten Freiberufler und Einzelunternehmer zählen, definitiv überfordert sein. Oder man verdient als IT-Dienstleister genau mit diesen Anwendern sein Geld …
Deswegen habe ich ja oben geschrieben, dass man die Einstellungen nicht ungeprüft einfach übernehmen soll. Man muss dennoch wissen, was man da tut, oder es wenigstens erstmal an einer Testgurke ausprobieren.
Zur ersten Absicherung verwende ich gerne: Win10Privacy
https://www.w10privacy.de/deutsch-start/versionshistorie/
ist halt der pragmatische Ansatz ;-)
yet another andy
Privacy ist nur ein Bruchteil desssens, was man machen muss, um Win 10 abzusichern. Und wer die Telemetrie abschaltet, darf sich nicht wundern, wenn MS einem nicht zwischendurch mal einen Fix zur Spieleperformance und Stabilität auf seinen Rechner ausrollt. Man kann nicht alles haben…
Das ist halt wieder einmal die falsche Denkweise. Wäre vorher vernünftig programmiert und getestet worden, wäre der Fix auch gar nicht nötig gewesen. Nicht umsonst ist nur eine Windowsversion davon betroffen gewesen.
Ich kann nur jedem raten, den ganzen Aufwand, all die Mannjahre, nicht in Windows 10 zu stecken, sondern in Debian oder Manjaro.
Da hat man mehr von.
Eins ist absolut sicher:
Windows 10 wird es niemals auf meine privaten Rechner schaffen.
Diese Erkenntnis hatte ich aber schon vor mehreren Jahren.
Eine x.pdf.exe ist unter Linux nicht ausführbar, unter Windows sieht man normal nichtmal die Dateierweiterung ".exe", die Datei ist ausführbar und das sogar im vom User beschreibbaren temp-Ordner, also im Drive-by-Ordner.
Das sind schonmal 3 Fehler auf einmal an nur einem Beispiel.
Die Sicherheitsfunktion "User Account Contro"l (UAC) lässt sich in Windows aushebeln.
*ttps://skanthak.homepage.t-online.de/uacamole.html
In Windows 7 ist dessen Heimnetzgruppe mit dessen Arbeitsplatznetzwerk inkompatibel.
Mit Win10-1803 wurde die Heimnetzgruppen-Funktion wieder komplett entfernt.
Früher konnte man mit Windows 7 und dem Arbeitsplatznetzwerk problemlos arbeiten, man sah alle angeschlossenen Rechner und deren Freigaben und konnte einfach draufklicken und hochladen oder runterladen etc.
Diese Netzwerkansicht wurde aber ebenfalls aus Sicherheitsgründen rausgepatcht, so das man die Netzwerkrechner nicht mehr ohne weiteres im Explorer sieht, sondern entweder die IP oder den Namen des anderen Rechners extra nochmal angeben muss.
Aus Anwendersicht wurde es also verschlechtert und unnötig verkompliziert.
Einige Grafiktreiber von Nvidia verursachen unter Windows einen BSOD wegen nvlddmkm.sys
In Linux passierte mir das noch nie (also auch keine Kernel-Panik statt BSOD).
Einige AMD-Grafiktreiber haben Memory-Leaks in Windows, während unter Linux der Quellcode des Treibers verfügbar ist und damit auch die Memory-Leaks eliminiert wurden.
Unter Win7 hatte ich das hartnäckige Phänomen, dass es nach dem ersten Login nach dem Systemstart einen Systemfreeze für ca 7 Minuten gab und es hat mich Tage oder besser Wochen gekostet, dessen Ursache(n) zu eliminieren.
Solche massiven Hindernisse können urplötzlich auftreten, auch nachdem Windows jahrelang absolut perfekt lief und keinerlei Grund zur Beanstandung gab und dann weiß man erstmal nicht, was da los ist, alle gängigen Tipps helfen nicht und selbst die Performance-Analyser liefern nicht die Lösung.
In der Ereignisanzeige stehen tausende Einträge von Programmen wie Firefox, Opera, Softmaker Office zu Zeitpunkten, wo diese Programme wissentlich gar nicht gestartet waren.
Da kommt man schonmal ins Grübeln, wie das überhaupt sein kann.
Das liegt an neuen Features wie automatischen Zertifikatabgleichen und Autoupdate-Checks, was schonmal recht lange dauern kann, besonders, wenn EMET da auch noch mitreden will, der net Framework-Dienst reingrätscht und der Eventmanager alles säuberlich mitschreibt.
Trotzdem darf es absolut nicht sein, dass dann keinerlei Benutzeraktivitäten inklusive STRG-ALT-ENTF mehr möglich sind und es auch keinerlei Rückmeldungen des Systems mehr gibt und nach 7 Minuten ist alles wieder absolut ok und man erfährt nix, was da nun los war.
Microsoft: SO NICHT!
Mit Linux ist mir so ein abartiger Mist noch nie passiert.
"*WerKernelReporting" schreibt sich immer wieder in die Registry in RunOnce (also nix mit "once"), obwohl Fehlerberichterstattung etc alles abgeschaltet wurde auf mannigfaltige Weise und selbst AutoRuns aus den Sysinternals ist dagegen machtlos.
Warum schreibt Microsoft sowas nicht in Run statt in Runonce und warum gibt es keinen zentralen und funktionierenden Schalter, um das abzuschalten?
Aber hey, brainpower hat sie letztendlich allesamt besiegt und das System läuft wieder sauber und schnell.
Und das hatte rein gar nichts mit irgendwelchen Schädlingen zu tun.
Ein neuer "Microsoft Streaming Service" war auch noch im System und auch in "RunOnce", obwohl ich weder MS Office 2016 etc, Skype, Teams, Edge installiert habe.
Also unerwünschte Bloatware mal wieder und natürlich nicht mit Bordmitteln deinstallierbar und es wurde auch nicht mitgeteilt, wo dieses neue Feature herkam.
Das ist auch so ein Unterscheid zwischen Windows und Linux:
Wenn ich in Windows etwas deinstalliere, dann bleibt oft ein Teil des installierten Programmes zurück und weiter im System drin, sei es als dll in System32, als UnterOrdner im User-Ordner, als Dienst, im Path oder in der Registry.
In Linux räumt der Paketmanager aber alles bis aufs letzte Bit weg und das System ist wieder so sauber wie vorher und das geht mit einem kurzen einzeiligen Befehl.
In Windows kann man auf einem aktuell gepatchten System manche älteren Hotfixe nicht mehr installieren und die missglückte Installation auch nicht mehr rückgängig machen. Da läuft der Win-Paketmanager unter Umständen endlos tagelang und es funktioniert trotzdem nicht, egal ob man nun msi, cab bzw Systemsteuerung oder direkt dism benutzt.
Das ist eine peinliche Lachnummer von einem Möchtegern-Paketmanager, vor allem, weil es sich nur um eine handvoll Dateien handelt, die mal eben abgeglichen werden müssten und das nur ein paar Millisekunden dauern müsste. Versionsvergleich Ist mit Soll ist auch schon zu hoch für MS.
Die Win10-GUI sieht im Vergleich zu KDE Plasma einfach nur grottenschlecht aus und das Startmenü in Plasma ist sogar besser als das von Win7.
Active-Directory-Support wurde kürzlich auch in ubuntu 21.04 und openSUSE eingebaut.
Wenn man also mal objektiv wäre, dann müsste man zu dem Schluss kommen, dass Windows 10 schlecht ist und schlechter wird, während Linux inzwischen auch für den Desktop brauchbar ist.
Achso, weil DU kein Windows auf deinen Rechner loslässt, müssen alle anderen das auch nicht tun? Erkläre das mal dem IT-Verantwortlichen in einer x-beliebigen Firma oder Behörde.
Hört doch bitte mal mit euren Belehrungsversuchen auf!
+1
Ich schrieb
– "raten" statt "müssen"
– "meine private Rechner" statt "Firma oder Behörde"
Warum findest du denn "Belehrungsversuche" generell schlecht?
Solche Belehrungsversuche erweitern den Horizont und schützen vor Lock-In-Syndrom.
Gerade eine Firma oder Behörde sollte sich DSGVO-korrekt verhalten und die Daten vor Spionage schützen.
+1
Als IMHO guten Startpunkt kann man auch die Microsoft Security Compliance Richtlinien heranziehen. Die verteilt man mal wie sie sind und ergänzt bzw. überschreibt Einstellungen im einem eigenen GPO. Da ist schon einmal sehr viel gemacht. Die Sache mit der Telemetrie muss man halt selbst einbauen, da hat sich Microsoft natürlich zurückgehalten. Ist aber auch nichts für private Zwecke. Da nützt es nichts, muss man mittels Updates trotzdem schauen, halbwegs aktuell zu bleiben und zweimal überlegen wo man hinklickt. Oder da zu Linux (Mint) greifen, wenn man keine 'besondere' Software braucht. So kompliziert ist es tatsächlich nicht. Aber im Unternehmen sehe ich derzeit keine Möglichkeit auf Linux umzustellen.
"Untersuchungsgegenstand ist Windows 10 Enterprise LTSC 2019 64 Bit in deutscher Sprache. Die bereits abgeschlossenen und auf Basis der LTSC-Version 1607 durchgeführten Analysen werden mit der aktuellen LTSC Version abgeglichen und auf die neue Betriebssystemversion aktualisiert."
"Aber auch technisch versierte Bürgerinnen und Bürger können die Empfehlungen nach Meinung des BSI umsetzen, abhängig von der eingesetzten Windows 10 Version."
Aufruf zur Illegalität vom BSI, schlechte Satire oder wie darf man das verstehen?
Davon mal abgesehen, die 1607er non-LTSC sind doch schon Jahre aus dem Support raus. Die 190xer folgen demnächst. Bis die ihren Leitfaden darauf aktualisiert haben, hat abgesehen von LTSC-Nutzern auch praktisch niemand was davon. Und selbst bei LTSC müsste langsam eine neue Version kommen und das Trauerspiel geht von vorne los.
Manchmal glaubt man, man könnte das BSI auch gleich abschaffen um Kosten zu sparen. Dann hat der Scheuer wieder ein paar Millionen zum sinnlosen verpulvern.
Darüber hinaus ist die (alleinige) Regelung über Gruppenrichtlinien oft unpraktikabel. Gesammelt über die Einstellungen sollte es erreichbar sein. Die wichtigsten Punkte bereits bei der Installation. Sollte das BSI hier mal tätig werden und Druck auf die EU ausüben.