BSI SEC-Gruppenrichtlinien für Win10

Mitglied: Visucius

Visucius (Level 2) - Jetzt verbinden

May 04, 2021, aktualisiert 07:15 Uhr, 1308 Aufrufe, 8 Kommentare, 1 Danke

BSI stellt neue Sicherheitseinstellungen für Windows 10 bereit

Das BSI hat Handlungsempfehlungen zur Absicherung von Windows-Systemen veröffentlicht. Die praktische Umsetzung stand dabei im Vordergrund. (Zitat Heise)

https://www.heise.de/news/BSI-stellt-neue-Sicherheitseinstellungen-fuer- ...
Mitglied: Doskias
May 04, 2021 um 09:37 Uhr
Also der Projektname SiSyPhus gefällt mir. Was mir nicht gefällt ist die Kapitelübersicht:

Windows 10 - Version 1607
Windows 10 - Version 1809

Und Version 1809 sind nur 4 von 10 Kapiteln verfügbar. Die ganzen Optionen, die alleine durch das Upgrade auf Edge Chromium entstanden sind, können in der Analyse unter 1809 noch gar nicht enthalten sein. Derzeit aktuell ist 20H2, 20H1 wird allgemein für Mai erwartet, soll wohl aber wie ich bislang überall gelesen habe nichts Großes mitbringen. Dennoch ist die 1809 mittlerweile 2,5 Jahre alt. Die Empfehlungen des BSI sind sicherlich eine gute solide Grundlage, reichen aber in meinen Augen nicht aus.
Bitte warten ..
Mitglied: Visucius
May 04, 2021, aktualisiert um 09:44 Uhr
Im Prinzip natürlich alles richtig. Nur gibt es z.B. Leuten wir mir - die sich nicht den ganzen Tag mit Windows-Sicherheits-Fragen beschäftigen - die Möglichkeit schon mal die 80% abzugreifen. Gerade in den Mini-Setups, die ich betreue kann das in der Praxis ein wichtiger Mehrwert sein.

Und so ganz falsch ist es ja bestimmt nicht, sich aufs BSI zu berufen ;-) face-wink
Bitte warten ..
Mitglied: Franz-Josef-II
May 04, 2021 um 12:29 Uhr
Zitat von @Doskias:
Und Version 1809 sind nur 4 von 10 Kapiteln verfügbar.

Naja, es wird ja aufbauend sein ..... durchgeschaut habe ich es mir allerdings (noch) nicht.



Zitat von @Doskias:
.... 20H1 wird allgemein für Mai ....
😂
T'schuldige, mußte sein
😊
Bitte warten ..
Mitglied: lcer00
May 04, 2021 um 12:36 Uhr
Hallo,

was mir nicht so gefällt, ist die einseitige Sichitweise. Die Gruppenrichtlinienobjekte werden nach normalem oder hohem Schutzbedarf eingeteilt. Wäre nett, wenn man die dann einfach reinkopieren und Anwenden könnte (so ist es vielleicht sogar gedacht, natürlich würde jedes das vorher testen ...).

Nur, das BSA sieht nicht nur in kriminellen Elementen ein Problem, sondern auch in der Telemetrie von Windows. OK ist seit der DSGVO ja auch relevant. Nur - mein primäres Schutzziel ist die Absicherung gegen Angreifer von außen oder innen, nicht gegen den Hersteller meines Betriebssystems. (Ja, ich benutze Azure und O365). Damit ich die GPOs direkt einsetzen könnte, wären hier eine andere Unterteilung sicher hilfreich gewesen.

Hinzu kommt noch das Ignorieren der Unterschiede zwischen Pro und Enterprise Versionen. Vermutlich greift einiges nicht, wenn man nicht die Enterprise Version verwendet. Praktikabel wäre ein "Mindeststandard-GPO" für Windows 10 Pro ohne den Telemetriekram gewesen. Selbst da hätte man noch genug zu testen und anzupassen gehabt.

Ist das ein weiteres Beispiel für ein Bundesamt, das politische Überzeugungen umsetzt?

Grüße

lcer
Bitte warten ..
Mitglied: Doskias
May 04, 2021 um 12:51 Uhr
Zitat von @Franz-Josef-II:

Zitat von @Doskias:
Und Version 1809 sind nur 4 von 10 Kapiteln verfügbar.

Naja, es wird ja aufbauend sein ..... durchgeschaut habe ich es mir allerdings (noch) nicht.
Das macht es aber nicht besser. Es fehlen noch die Kapitel:
Analyse des App-Lifecycles von Universal Windows Apps in Windows 10
Kurzanalyse der "Secure Boot Configuration Policy" in Windows 10
Telemetrie Monitoring-Framework
Analyse der "Windows Application Compatibility Infrastructure" in Windows 10
Analyse der Komponente "PatchGuard" in Windows 10
Analyse des Treibermanagements in Windows 10

Die sind nicht mal Anklickbar. Was nützt mir eine Analyse, sagen wir mal der "Windows Application Compatibility Infrastructure" in 1809 wenn wir bald 21H1 haben? Genau so wie der PatchGuard oder auch das Treibermanagement. Klar es sind sicherlich gute Hinweise, aber ob es nicht gravierende Unterschiede zwischen 1809 und 21H1 gibt, kann dort (zumindest bei der Einstufung als Bericht über 1809) nicht enthalten sein. Ich sehe hier die Gefahr, dass kleine Systemhäuser bei kleineren Kunden (denke grade so an Arztpraxen und Anwaltskanzleien, die mit ihren 5 PCs eine Domäne haben auf und von einem 1 bis 3 Mann "Systemhaus" betreut werden), einfach die Vorlage hier umsetzen und der Kunde sich dann vermeintlich in Sicherheit wiegt, dabei sind Erweiterungen und Änderungen die Seit 1809 stattgefunden haben gar nicht berücksichtigt. Und dann wird argumentiert mit "Ich hab genau das umgesetzt was das BSI vorgegeben hat". ja richtig. Genau das, aber leider nicht mehr.

Zitat von @Doskias:
.... 20H1 wird allgemein für Mai ....
😂
T'schuldige, mußte sein
😊
Na was muss, dass muss :-D face-big-smile

Gruß
Doskias
Bitte warten ..
Mitglied: it-fraggle
May 04, 2021 um 22:34 Uhr
Im Prinzip natürlich alles richtig. Nur gibt es z.B. Leuten wir mir - die sich nicht den ganzen Tag mit Windows-Sicherheits-Fragen beschäftigen - die Möglichkeit schon mal die 80% abzugreifen. Gerade in den Mini-Setups, die ich betreue kann das in der Praxis ein wichtiger Mehrwert sein.
Geht mir genau so.
Und so ganz falsch ist es ja bestimmt nicht, sich aufs BSI zu berufen ;-) face-wink
Zumindest schaut es im Schadensfall besser aus, wenn du sagen kannst, dass du dich an die Empfehlungen des BSI und CIS gehalten hast. Wenn du gar nichts hast, dann weiß ich nicht wie das bewertet wird.
Bitte warten ..
Mitglied: ZeroTrust
May 06, 2021 um 15:11 Uhr
Geht noch viel einfacher mit den Packeten vom Mark Heitbrink

https://www.gruppenrichtlinien.de/artikel/datenschutz-gp-pack-pat-privac ...
Bitte warten ..
Mitglied: lcer00
May 06, 2021 um 15:14 Uhr
Hallo,
Zitat von @ZeroTrust:

Geht noch viel einfacher mit den Packeten vom Mark Heitbrink

https://www.gruppenrichtlinien.de/artikel/datenschutz-gp-pack-pat-privac ...
Aber Sicherheit darf doch nichts kosten ....

Grüße

lcer
Bitte warten ..
Heiß diskutierte Inhalte
Data privacy
FAX ist nicht mehr Datenschutzkonform
brammer1 day agoInformationData privacy50 Comments

Hallo, jetzt sollte es jeder begreifen FAX ist nicht mehr Datenschutzkonform brammer

Humor (lol)
Na, kann euer Toaster auch schon WLAN?
ITlerin951 day agoGeneralHumor (lol)16 Comments

Also ich frag mich ja selbst echt oft, ob wirkliche alle technischen Neuerungen auch wirklich notwendig sind. Hintergrund ist, ich brauch einen neuen Toaster. ...

Windows Update
Keine Updates zum Mai-Patchday über WSUS?
solved Coreknabe1 day agoQuestionWindows Update12 Comments

Moin, wir laden über unseren WSUS die Windows Updates herunter (Server 2012R2). Jetzt stelle ich gerade verwundert fest, dass es Stand jetzt (19:45 Uhr) ...

Exchange Server
Sicherheitsupdates für Exchange Server 11. Mai 2021
kgborn1 day agoInformationExchange Server4 Comments

Sicherheitsupdates für Exchange Server 11. Mai 2021 Technet-Beitrag Meine Zusammenstellung: Sicherheitsupdates (KB5003435) für Microsoft Exchange Server (11. Mai 2021)

Networking Basics
Statische Route auf UTM
solved Ex0r2k1612 hours agoQuestionNetworking Basics31 Comments

Moin! Ich habe an meiner Sophos UTM an einem physischen Interface einen Switch angeschlossen. Dieser läuft im Netz 10.1.1.0/24. Ich kann von meinem aktuellen ...

Exchange Server
Office 365 ohne lokalen Exchange
RicoPausB1 day agoQuestionExchange Server8 Comments

Moin zusammen wir sind erst vor kurzem ins Office 365 eingestiegen und hatten vorher auch keinen Exchange Server im Einsatz. Ein Hybrid-Setup liegt also ...

SAN, NAS, DAS
Synology-NAS DS1813+: Lebensdauer des Gerätes?
Ormenson1 day agoQuestionSAN, NAS, DAS10 Comments

Hallo Forum! In unserer Firma nutzen wir ein Synology NAS DS1813+ als zentraler Datenspeicherort. Konfiguriert ist er als RAID mit Ausfallsicherheit einer Platte. Die ...

Microsoft Office
Weiterleitung bestimmter Emails während Urlaubszeit
solved imebro1 day agoQuestionMicrosoft Office11 Comments

Hallo, verschiedene Rechnungen werden an meine Email-Adresse gesendet. Daher habe ich vor einiger Zeit eine Outlook-Regel in meinem Outlook-Postfach erstellt, die automatisch Emails mit ...