Die Security Baselines für Windows 10 sind fertig


Die Security Baselines für Windows 10 und Internet Explorer 11 sind fertig (die Version der Baselines für Windows 10 mit installiertem November Update findet sich hier). Die Security Baselines, die seit einigen Wochen in einer Vorabversion bereitstanden, sind eine Sammlung von Einstellungen und Gruppenrichtlinien, mit deren Hilfe sich Funktionen in Betriebssystemen und Anwendungen sicher verwenden lassen.

Mit der aktuellen Fassung der Baselines verfolgt Microsoft einen anderen Ansatz als bislang: Vorhandene Einstellungen wurden dahingehend überprüft, ob sie überhaupt noch zur Abwehr derzeit aktueller Attacken geeignet sind. Ergebnis: Bislang wurden 44 vorhandene Settings entfernt, da sie zumeist lediglich die inzwischen üblichen Voreinstellungen abbildeten. Die Security Baselines werden so übersichtlicher, so dass sich IT-Profis auf die relevanten Sicherheitsprobleme – und deren Abwehr – konzentrieren können. Eine gute Übersicht über die Unterschiede zwischen den Baselines für Windows 8.1 und der aktuellen Fassung liefert dieser Blogbeitrag meiner US-Kollegen.

Die Baseline für Windows 10 umfasst auch Richtlinien zum Aktivieren der im Mai 2015 vorgestellten Local Administrator Password Solution (LAPS). LAPS wählt für jeden Server in einer Domäne ein zufälliges lokales Admin-Passwort aus, so dass niemals auf zwei Servern das gleiche Passwort verwendet wird. Auf diese Weise lassen sich die seit einiger Zeit beobachteten, durchschlagkräftigen Pass-the-Hash-Attacken wirksam verhindern.

Derzeit arbeiten die US-Kollegen noch daran, die Inhalte der Security Baselines für Windows 10 und Internet Explorer 11 in einem für den Security Compliance Manager (SCM) verständlichen Format aufzubereiten. Bis dahin finden IT-Profis alle Bestandteile in einem ZIP-Archiv (siehe Links zu Beginn dieses Beitrags). Es beinhaltet unter anderem eine Übersicht aller Einstellungen samt Hervorhebungen der Neuerungen, die Group Policy Objects (GPOs), Skripte und Tools, um alle Einstellungen in die eigenen Gruppenrichtlinien übernehmen zu können.

Gastbeitrag von Michael Kranawetter, National Security Officer (NSO) bei Microsoft in Deutschland. In seinem eigenen Blog veröffentlicht Michael alles Wissenswerte rund um Schwachstellen in Microsoft-Produkten und die veröffentlichten Softwareupdates.


Comments (0)

Skip to main content