3
Microsoft Security Baseline sinnvoll?
Hallo allerseits,
ich habe nun im HomeLab ein wenig mit den Security Baselines von Microsoft experimentiert und komme zu keinem wirklichen Ergebnis.
Es gibt einige Einstellungen, welche ich persönlich direkt wieder ändern würde.
Bspw.:
Computerkonfiguration / Windows-Einstellungen / Sicherheitseinstellungen / Lokale Richtlinie / Zuweisen von Benutzerrechten
--> Zugriff vom Netzwerk auf diesen Computer verweigern
original: Lokales Konto
Damit ist es nicht möglich Systeme die einmal in die Domain aufgenommen wurden aus dieser wieder zu entfernen, da er beim Abfragen der lokalen Anmeldedaten den Vorgang verweigert.
Zudem habe ich hinsichtlich der integrierten Apps ein Phänomen, welches ich noch nicht nachvollziehen oder zuordnen konnte, vielleicht hat jemand noch einen Tipp.
Mit den Baselines bekomme ich bei der Microsoft ToDo App kein Anmeldefenster beim Klick auf "Anmelden".
Spannend ist, am Store geht das Anmelden, trennt man das Konto dann aber noch mal kommt das Anmeldefenster auch hier nicht mehr.
Lasse ich die Baselines weg passiert dies nicht (aber Achtung, ist der Effekt einmal vorhanden hilft es nicht die GPOs zu deaktivieren oder das Profil neu anzulegen).
Wie nutzt ihr diese Baselines?
Lediglich als Orientierung, oder hat die jemand 1:1 implementiert?
Grüße
ToWa
ich habe nun im HomeLab ein wenig mit den Security Baselines von Microsoft experimentiert und komme zu keinem wirklichen Ergebnis.
Es gibt einige Einstellungen, welche ich persönlich direkt wieder ändern würde.
Bspw.:
Computerkonfiguration / Windows-Einstellungen / Sicherheitseinstellungen / Lokale Richtlinie / Zuweisen von Benutzerrechten
--> Zugriff vom Netzwerk auf diesen Computer verweigern
original: Lokales Konto
Damit ist es nicht möglich Systeme die einmal in die Domain aufgenommen wurden aus dieser wieder zu entfernen, da er beim Abfragen der lokalen Anmeldedaten den Vorgang verweigert.
Zudem habe ich hinsichtlich der integrierten Apps ein Phänomen, welches ich noch nicht nachvollziehen oder zuordnen konnte, vielleicht hat jemand noch einen Tipp.
Mit den Baselines bekomme ich bei der Microsoft ToDo App kein Anmeldefenster beim Klick auf "Anmelden".
Spannend ist, am Store geht das Anmelden, trennt man das Konto dann aber noch mal kommt das Anmeldefenster auch hier nicht mehr.
Lasse ich die Baselines weg passiert dies nicht (aber Achtung, ist der Effekt einmal vorhanden hilft es nicht die GPOs zu deaktivieren oder das Profil neu anzulegen).
Wie nutzt ihr diese Baselines?
Lediglich als Orientierung, oder hat die jemand 1:1 implementiert?
Grüße
ToWa
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 1399751510
Url: https://administrator.de/contentid/1399751510
Printed on: April 20, 2024 at 04:04 o'clock
3 Comments
Latest comment
Du hast aber die Reihenfolge der Anwendung von GPOs beachtet?
Wenn der Computer aus der Domain entfernt wird, lädt er keine Domain-GPOs mehr ...
; - )
Wenn der Computer aus der Domain entfernt wird, lädt er keine Domain-GPOs mehr ...
; - )
Moin ToWa,
🤔, bei mir ist per Default nur der Gast User eingetragen und das macht so auch durchaus Sinn.
Bei einer GPO die die Computerkonfiguration betrifft, bringt es absolut nichts das Benutzerprofil zu löschen, weil diese Einstellung schlichtweg nicht in einem Benutzerprofil gespeichert wird.
Du kannst die Einstellung lokal über „Lokale Sicherheitsrichtlinien“ wieder rückgängig machen.
Oder eine "Konter-GPO" schreiben, die die Einstellung wieder auf Default setzt.
Beste Grüsse aus BaWü
Alex
Es gibt einige Einstellungen, welche ich persönlich direkt wieder ändern würde.
Bspw.:
Computerkonfiguration / Windows-Einstellungen / Sicherheitseinstellungen / Lokale Richtlinie / Zuweisen von Benutzerrechten
--> Zugriff vom Netzwerk auf diesen Computer verweigern
original: Lokales Konto
Bspw.:
Computerkonfiguration / Windows-Einstellungen / Sicherheitseinstellungen / Lokale Richtlinie / Zuweisen von Benutzerrechten
--> Zugriff vom Netzwerk auf diesen Computer verweigern
original: Lokales Konto
🤔, bei mir ist per Default nur der Gast User eingetragen und das macht so auch durchaus Sinn.
Lasse ich die Baselines weg passiert dies nicht (aber Achtung, ist der Effekt einmal vorhanden hilft es nicht die GPOs zu deaktivieren oder das Profil neu anzulegen).
Bei einer GPO die die Computerkonfiguration betrifft, bringt es absolut nichts das Benutzerprofil zu löschen, weil diese Einstellung schlichtweg nicht in einem Benutzerprofil gespeichert wird.
Du kannst die Einstellung lokal über „Lokale Sicherheitsrichtlinien“ wieder rückgängig machen.
Wie nutzt ihr diese Baselines?
Sehr vorsichtig, da du dir hier bei einer falschen Eistellung gewaltig ins Knie schiessen kannst , im schlimmsten Fall mit nur einem Schuss in beide. 😉Lediglich als Orientierung, oder hat die jemand 1:1 implementiert?
Wahrscheinlich die Meisten.Beste Grüsse aus BaWü
Alex
Hallo Alex,
jap das hatte ich dann in der Baseline auch geändert.
In der Windows 11 Baseline ist allerdings wirklich "Lokales Konto" drin. ;)
Ich hatte im HomeLab einfach mal den Versuch gestartet und geschaut in wie weit ich die Microsoftrichtlinie 1:1 übernehmen kann - dachte da hätte sich jemand Gedanken gemacht.
Dass es nichts hilft das Benutzeprofil zu löschen, wenn der Verursacher eine Computer-GPO ist, ist logisch.
Allerdings war/ist der Effekt etwas unklar, da es nach Auftreten im Testbenutzer bspw. nicht im Admin auftrat.
Womit die Computer-GPO eigentlich außen vor ist.
Zitat von @MysticFoxDE:
🤔, bei mir ist per Default nur der Gast User eingetragen und das macht so auch durchaus Sinn.
🤔, bei mir ist per Default nur der Gast User eingetragen und das macht so auch durchaus Sinn.
jap das hatte ich dann in der Baseline auch geändert.
In der Windows 11 Baseline ist allerdings wirklich "Lokales Konto" drin. ;)
Ich hatte im HomeLab einfach mal den Versuch gestartet und geschaut in wie weit ich die Microsoftrichtlinie 1:1 übernehmen kann - dachte da hätte sich jemand Gedanken gemacht.
Dass es nichts hilft das Benutzeprofil zu löschen, wenn der Verursacher eine Computer-GPO ist, ist logisch.
Allerdings war/ist der Effekt etwas unklar, da es nach Auftreten im Testbenutzer bspw. nicht im Admin auftrat.
Womit die Computer-GPO eigentlich außen vor ist.
