Microsoft Security Baseline sinnvoll?

Mitglied: dertowa
Hallo allerseits,
ich habe nun im HomeLab ein wenig mit den Security Baselines von Microsoft experimentiert und komme zu keinem wirklichen Ergebnis.
Es gibt einige Einstellungen, welche ich persönlich direkt wieder ändern würde.

Bspw.:
Computerkonfiguration / Windows-Einstellungen / Sicherheitseinstellungen / Lokale Richtlinie / Zuweisen von Benutzerrechten
--> Zugriff vom Netzwerk auf diesen Computer verweigern

original: Lokales Konto

Damit ist es nicht möglich Systeme die einmal in die Domain aufgenommen wurden aus dieser wieder zu entfernen, da er beim Abfragen der lokalen Anmeldedaten den Vorgang verweigert. :-D face-big-smile

Zudem habe ich hinsichtlich der integrierten Apps ein Phänomen, welches ich noch nicht nachvollziehen oder zuordnen konnte, vielleicht hat jemand noch einen Tipp.
Mit den Baselines bekomme ich bei der Microsoft ToDo App kein Anmeldefenster beim Klick auf "Anmelden".
Spannend ist, am Store geht das Anmelden, trennt man das Konto dann aber noch mal kommt das Anmeldefenster auch hier nicht mehr.

Lasse ich die Baselines weg passiert dies nicht (aber Achtung, ist der Effekt einmal vorhanden hilft es nicht die GPOs zu deaktivieren oder das Profil neu anzulegen).
Wie nutzt ihr diese Baselines?
Lediglich als Orientierung, oder hat die jemand 1:1 implementiert?

Grüße
ToWa

Content-Key: 1399751510

Url: https://administrator.de/contentid/1399751510

Ausgedruckt am: 27.11.2021 um 09:11 Uhr

Mitglied: MirkoKR
MirkoKR 18.10.2021 um 00:06:47 Uhr
Goto Top
Du hast aber die Reihenfolge der Anwendung von GPOs beachtet?
Wenn der Computer aus der Domain entfernt wird, lädt er keine Domain-GPOs mehr ...
; - )
Mitglied: MysticFoxDE
MysticFoxDE 18.10.2021 aktualisiert um 08:17:11 Uhr
Goto Top
Moin ToWa,

Es gibt einige Einstellungen, welche ich persönlich direkt wieder ändern würde.

Bspw.:
Computerkonfiguration / Windows-Einstellungen / Sicherheitseinstellungen / Lokale Richtlinie / Zuweisen von Benutzerrechten
--> Zugriff vom Netzwerk auf diesen Computer verweigern

original: Lokales Konto

🤔, bei mir ist per Default nur der Gast User eingetragen und das macht so auch durchaus Sinn.
gpo

Lasse ich die Baselines weg passiert dies nicht (aber Achtung, ist der Effekt einmal vorhanden hilft es nicht die GPOs zu deaktivieren oder das Profil neu anzulegen).

Bei einer GPO die die Computerkonfiguration betrifft, bringt es absolut nichts das Benutzerprofil zu löschen, weil diese Einstellung schlichtweg nicht in einem Benutzerprofil gespeichert wird.

Du kannst die Einstellung lokal über „Lokale Sicherheitsrichtlinien“ wieder rückgängig machen.
ls
Oder eine "Konter-GPO" schreiben, die die Einstellung wieder auf Default setzt.

Wie nutzt ihr diese Baselines?
Sehr vorsichtig, da du dir hier bei einer falschen Eistellung gewaltig ins Knie schiessen kannst , im schlimmsten Fall mit nur einem Schuss in beide. 😉

Lediglich als Orientierung, oder hat die jemand 1:1 implementiert?
Wahrscheinlich die Meisten.

Beste Grüsse aus BaWü

Alex
Mitglied: dertowa
dertowa 18.10.2021 um 08:33:32 Uhr
Goto Top
Hallo Alex,

Zitat von @MysticFoxDE:
🤔, bei mir ist per Default nur der Gast User eingetragen und das macht so auch durchaus Sinn.

jap das hatte ich dann in der Baseline auch geändert.
In der Windows 11 Baseline ist allerdings wirklich "Lokales Konto" drin. ;)
Ich hatte im HomeLab einfach mal den Versuch gestartet und geschaut in wie weit ich die Microsoftrichtlinie 1:1 übernehmen kann - dachte da hätte sich jemand Gedanken gemacht. :-D face-big-smile

Dass es nichts hilft das Benutzeprofil zu löschen, wenn der Verursacher eine Computer-GPO ist, ist logisch.
Allerdings war/ist der Effekt etwas unklar, da es nach Auftreten im Testbenutzer bspw. nicht im Admin auftrat.
Womit die Computer-GPO eigentlich außen vor ist.
Heiß diskutierte Beiträge
question
Windows Server 2019 AD MigrationjamesbrownVor 1 TagFrageWindows Server9 Kommentare

Hallo zusammen Langsam habe ich Panik, die komplette Domäne zerschossen zu haben. Bevor ich weiter vergehe, wollte ich darum hier um Rat bitten. Was ist ...

question
Mobilfunk-Internet ins Heimnetzwerk integrieren? gelöst AvarianVor 1 TagFrageNetzwerkmanagement8 Kommentare

Hallo, Ich bin neu hier. Wir sind vorletztes Jahr umgezogen. Die Gelegenheit habe ich damals direkt genutzt, um künftig auf wackelige WLAN-Lösungen (Repeater, Mesh-Repeater, Powerlines ...

general
Sicherheit beim Online-BankingWeyershausenVor 13 StundenAllgemeinSicherheitsgrundlagen18 Kommentare

Hallo, in unserer Firma verwenden wir SFirm als Online-Banking-Software. In dieser Woche hatten wir einen IT-Berater bei uns, der uns dringend folgendes Vorgehen empfahl: Wir ...

question
Maximale Empfänger bei Office365 gelöst mmpmmpVor 1 TagFrageMicrosoft Office11 Kommentare

Hallo, ich verwende nun Office365 (Exchange Online) für Emails und würde gerne die Weihnachtsgrüße per Mail versenden. Wo liegen die Beschränkungen der maximalen Empfänger? ...

report
Mailversand durch Sophos XG gestört (25.11.2021)kgbornVor 1 TagErfahrungsberichtFirewall2 Kommentare

Kurze Information - vielleicht hat jemand eine ähnliche Beobachtung gemacht. Ein IT-Admin hat mich darauf hingewiesen, dass es wohl gestern (25.11.2021) ein Update des Antivirus-Pattern ...

question
Treuhand für ebay-Verkäufer, die nicht direkt nach D. liefernDerWoWussteVor 1 TagFrageHardware4 Kommentare

Moin Kollegen, es gibt ja Fälle, wo man alte Hardware benötigt, aber nur noch über ebay bekommt. Wenn der Verkäufer dann aber nicht nach Deutschland ...

question
Reinigung der Apple Watch gelöst honeybeeVor 1 TagFrageApple6 Kommentare

Hallo, mit welchem Reinigungsmittel kann ich das Armband meiner Apple Watch schonend reinigen? Auf dem Bild seht ihr, dass es in einem guten Zustand ist. ...

question
Über das Notebook per Simkarte von unterwegs aus ins Internet?isarc01Vor 1 TagFrage5G, 4G, LTE, UMTS, EDGE & GPRS8 Kommentare

Hallo, folgende Frage: Wenn ich über mein Notebook über eine angemeldete SIM Karte mit einer Datenflatrate ins Internet gehen möchte, benötige ich hier einen bestimmten ...