BSI Sicherheitsempfehlungen für Window 10

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat neue Dokumente zu Microsoft Windows 10 und die Absicherung veröffentlicht. Ich habe die BSI Sicherheitsempfehlungen für Window 10 gesichtet, bevor ich darüber berichten wollte. Hintergrund ist, das in der Vergangenheit Veröffentlichungen in dieser Richtung schonmal bei Veröffentlichung mehr als veraltet waren oder diese sehr oberflächig waren.

BSI Sicherheitsempfehlungen für Window 10 - e31eb069a3ed45a78b27c7d6440655cd - 1

Diesmal ist das erfrischender Weise anders. Auch sind diesmal die meisten Dokumente in Englisch geschrieben und nur die Zusammenfassungen liegen in Deutsch vor. Dies ist im Rahmen meistens Internationaler IT Projekte ein Vorteil. Es wird aber auch dafür gesorgt haben, das das BSI internationales Feedback vorab bekommen konnte, und nicht nur auf deutsche Experten angewiesen war.

Auswahl der Versionen

Das BSI konzentriert sich dabei auch auf die Versionen die die Grundlage für die Windows Server LTSC (also Windows Server 2016 bzw. Windows Server 2019) und die entsprechenden Windows 10 LTSC Versionen (Ebenfalls 2016 bzw. 2019) bilden. Dabei ist der Funktionsumfang der LTSC Versionen bei Server und Client eingeschränkt. Dies macht Microsoft um keine nicht ausreichend getesteten Komponenten gemäß dem Software-Lifecyle 10 bzw. 7 Jahr unterstützen zu müssen.

Viele Einstellungen und Funktionen die in dem Bereich für Windows 10 1607 erklärt und konfiguriert werden sind aber noch heute Gültig. Wenn auch teilweise mit leichten Veränderungen.

Übersicht der Themen

Die Windows 10 1607 Themen

Die Windows 10 1809 Themen

Wie man der Aufstellung (Quelle: BSI, BSI – Studien – SiSyPHuS Win10: Studie zu Systemaufbau, Protokollierung, Härtung und Sicherheitsfunktionen in Windows 10 (bund.de)) entnehmen kann, können wir da noch einige Themen erwarten.

Gruppenrichtlinienobjekte

Das BSI hat auch Gruppenrichtlinienobjekte als Muster für die Härtung zum Download zur Verfügung gestellt. Diese sind für 3 Nutzungsszenarien definiert worden:

  • Domänenmitglied mit normalen Schutzbedarf
  • Domänenmitglied mit hohen Schutzbedarf
  • Einzel Rechner (Arbeitsgruppe) mit normalem Schutzbedarf

Diese können auch als Lokale GPO mit dem Microsoft Werkzeug LGPO.exe implementiert werden, ohne da eine Domäne vorhanden sein muss. Die Implementierungsanleitung liegt vollständig in deutscher Sprache vor.

Technische Tiefe und Erklärungen

Angenehm hat mich diesmal die Technische Tiefe und die Erklärungen überrascht. Diese sind trotz der anspruchsvollen Themen gut verständlich und mit erklärenden Diagrammen versehen.

Screenshot: TPM Communication Interfaces - Workpackage5_TPM-Nutzung_V1_1.pdf (BSI)
Screenshot: TPM Communication Interfaces – Workpackage5_TPM-Nutzung_V1_1.pdf (BSI)

Die Dokumente die ich soweit gesichtet habe gehen aber auch alle runter bis in die notwendigen Tiefen der technischen Funktionsweisen. Für Leihen ist das aber Schwere Kost, die sollten sich auf jeden Fall vorher die Microsoft Übersichtsseiten zu den Themen anschauen um ein Grundgefühl dafür zu bekommen.

Zusätzliche Tipps für mehr Sicherheit

Wer gerne seine Systeme etwas sicherer machen möchte, dem empfehle ich zusätzlich mal einen Blick in die folgenden Artikel von mir:

Schreibe einen Kommentar