goodfred
Goto Top

Windows 11 - sicherheitstechnisch härten

Guten Tag allerseits!

Könnt Ihr mir Stichworte/Tipps/etc. einwerfen, wie man eine Windows 11 Installation härtet/sicherer macht?

Wir haben neue Clients mit der Anforderung, dass das OS sehr sicher sein soll und wir zusätzliche Anpassungen zur Standardinstallation machen sollen. (Windows 11 Pro)

Es wurde uns nicht genau gesagt, was genau gehärtet werden soll.
Wir sollen uns etwas einfallen lassen um die Windows 11 Kisten so sicher wie möglich machen.

Die Clients würden nur Browseranwendungen sowie Office benutzen.

Vielen lieben Dank schonmal für alle Antworten! face-smile

Viele Grüße!
Goodfred

P.S.: z.B. das Microsoft nicht nach Hause telefoniert
P.P.S.: Keine Domäne

Content-ID: 4806280798

Url: https://administrator.de/contentid/4806280798

Ausgedruckt am: 24.11.2024 um 06:11 Uhr

7907292512
7907292512 20.09.2023 aktualisiert um 12:58:51 Uhr
Goto Top
Cleanairs
Cleanairs 20.09.2023 um 12:58:46 Uhr
Goto Top
8585324113
8585324113 20.09.2023 um 13:04:19 Uhr
Goto Top
Immer das selbe in grün. Alle Applikationen beenden die einen Port öffnen.
Die die laufen müssen, mit möglichst wenig Rechten laufen lassen.
kreuzberger
kreuzberger 20.09.2023 um 13:09:40 Uhr
Goto Top
@Goodfred

Moin,
die Idee, sich damit erneut aktualisiert, und möglichst umfassend mal neu zu kümmern ist gut.

Als Ergebnis wünschte ich mir auch eine Anleitung (für Dummies) wie man Schritt für Schritt die verschiedenen Versionen (Home, Pro, etc.) härten kann.

Zentral dürfte da sein den Telemetriedienst abzuschalten und Unmengen an ungewollter Zusatzsoftware nicht nur vom Desktop verschwinden zu lassen, sondern ganz aus den Installation-Image-Daten zu entfernen, damit nicht bei jedem neu angelegten User das selbe Problem wieder auftaucht.

Es gab mal ein "Kommando Win 10 härten“ was recht ausführlich eine Anleitung zum Ergebnis hatte. Die findet man im Netz hier und da ggf. unter dem Dateinamen „Orientierungshilfe_Windows10.pdf“. Ob es da aktuelleres gibt weiß ich leider nicht.
https://www.uni-muenster.de/imperia/md/content/evtheol/edv-team/orientie ...

Kreuzberger
DerWoWusste
DerWoWusste 20.09.2023 aktualisiert um 13:31:30 Uhr
Goto Top
Moin.

Es wiederholt sich: Leute bitten darum abzusichern, vermitteln aber keine Vorstellung davon, was sie sichern wollen ("Windows" !?) und auch nicht wogegen. Aber bitte helft mit.

Lass die Späße mit "Wir sollen uns etwas einfallen lassen um die Windows 11 Kisten so sicher wie möglich machen" bitte an dir abprallen und frage die Leute, warum sie dir denn nicht verraten mögen, was du wogegen schützen sollst. Ohne das zu wissen, kommen vergebliche Versuche dabei heraus, die sich auf willenlose Listen wie die hier verlinkten stützen, deren Einzelmaßnahmen gut und schön sind, nur leider nicht an dein unbekanntes Ziel angepasst sind.
Cleanairs
Cleanairs 20.09.2023 um 13:40:49 Uhr
Goto Top
Hallo DerWoWusste,

ich kann deine Kritik verstehen, dass es ohne konkrete Anforderungen schwierig ist, konkrete Empfehlungen zu geben. Allerdings finde ich es nicht fair, die Frage von Goodfred als "Spaß" abzutun. Es ist durchaus legitim, sich generell Gedanken über die Sicherheit von Windows 11 zu machen, auch wenn man nicht genau weiß, wogegen man sich schützen möchte.

Ich stimme dir zu, dass es wichtig ist, die spezifischen Anforderungen der Kunden zu verstehen, bevor man Maßnahmen zur Sicherheit ergreift. Allerdings kann man auch mit allgemeinen Tipps schon einen guten Anfang machen. Die genannten Tipps sind zum Beispiel alle sinnvoll und können die Sicherheit von Windows 11 erhöhen.

Zu deiner Kritik an den verlinkten Listen: Ich finde, dass diese Listen durchaus hilfreich sein können, um einen Überblick über die möglichen Maßnahmen zur Sicherheit zu bekommen. Natürlich muss man die Maßnahmen dann noch an die konkreten Bedürfnisse anpassen.

Ich denke, dass Goodfred mit den genannten Tipps einen guten Startpunkt hat, um die Sicherheit seiner Kunden zu erhöhen. Er kann ja dann die Maßnahmen noch an die konkreten Anforderungen anpassen.
DerWoWusste
DerWoWusste 20.09.2023 um 13:58:44 Uhr
Goto Top
@Cleanairs
Wir biegen ab. So kommt der Fragesteller vom Ziel ab.
Aber gut:
Allerdings finde ich es nicht fair, die Frage von Goodfred als "Spaß" abzutun.
Tu ich nicht. Ich riet ihm, er möge die Aufforderungen (die ich als Späße bezeichne, da vollkommen inkonkret) an sich abprallen lassen.
Ich finde, dass diese Listen durchaus hilfreich sein können...
Das finde ich auch, da ich sie einordnen kann. Jemand, der ganz pauschal nach Absicherungen fragt, kann das normalerweise nicht, da dazu eine Menge Wissen und Erfahrung gehört, deshalb würde ich ihm keine Listen verlinken.
kreuzberger
kreuzberger 20.09.2023 um 14:08:28 Uhr
Goto Top
Gegenrede:

Ich finde, dass diese Listen durchaus hilfreich sein können...
Das finde ich auch, da ich sie einordnen kann. Jemand, der ganz pauschal nach Absicherungen fragt, kann das normalerweise nicht, da dazu eine Menge Wissen und Erfahrung gehört, deshalb würde ich ihm keine Listen verlinken.

Solche Listen sind genau für die Leute interessant und wichtig, die eben NICHT komplett alles wissen, wie einige hier vorzugeben versuchen und andere als „Dummerchen“ darzustellen. Der Sinn und Zweck der ganzen Seite hier ist genau dazu da, wissen von dem einen zu der anderen frei zu verteilen. Meiner Meinung nach widerspräche es also, anderen, vor allem Fragenden, wissen vorzuenthalten, nur weil sie eben etwas nicht wissen.

Was die fragende Person hier angeht hoffe ich, dass wir es schaffen, eine art vollständige, abarbeitbare Liste zu entwickeln die es jedem „Unwissenden“ hilft, dem eigentlichen Problem zu begegnen.

Kreuzberger
user217
user217 20.09.2023 aktualisiert um 14:57:12 Uhr
Goto Top
Also erstmal rate ich dir von zu early Versions von win definitiv ab.
Nimm einen Client den du härten willst und schalte die Firewall für alle Segmente ein. Lösche alle allowed Regeln raus.
Schau dir mit Tools wie netstat, whireshark die ausgehnden Verbindungsversuche an, passe anhand deren die Regeln an. Schalte alle Dienste ab die diese Möglichkeit besitzen und schalte die nur bei nicht funktionieren sukzessive wieder ein. deinstalliere alle "APPS" und installiere nur diese wieder die du unbedingt brauchst. Genauso bei den alten APPS per DISM. Schau dir die lokalen Richtlinien gpedit.msc an und lade dir ggf. empfohlene gem. BSI herunter. Halte den Virenscanner aktuell. Schau dir deine Registry genau an und setze Härtungsmaßnahmen nach Schachstellenscannerergebnissen um z.B. Nessus.
Wenn der dann grün ist und keine externen Schachstellen erkennt (mit credentials) kannst du dir nichts mehr nachsagen lassen aber sicher ist das noch lange nicht. Sicher ist nur das nichts sicher ist.
gppack https://www.gruppenrichtlinien.de/home
SiSyPHuS https://www.bsi.bund.de/DE/Service-Navi/Publikationen/Studien/SiSyPHuS_W ...

https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Cyber-Sicherheit/SiS ...
Lochkartenstanzer
Lochkartenstanzer 20.09.2023 um 14:43:10 Uhr
Goto Top
Zitat von @DerWoWusste:

Moin.

Es wiederholt sich: Leute bitten darum abzusichern, vermitteln aber keine Vorstellung davon, was sie sichern wollen ("Windows" !?) und auch nicht wogegen. Aber bitte helft mit.


Das übliche Schema. Das ist genauso wie jemanden zu fragen welches Schloß man in die Tur einbauen soll, ohne zu sagen gegen welchen Aufwand die Tur gesichert werden soll. Ganz zu schweigen davon, ob da noch ungesicherte Hintertüren und Fenster sind.

Also: erst Bedrohung definieren, und dann Kosten fur Aufwand gegen Verlust bei erfolgreichem Angriff abwägen,

lks
kreuzberger
kreuzberger 20.09.2023 um 14:55:15 Uhr
Goto Top
@Lochkartenstanzer

Deine These setzt voraus, dass jeder prophetisch weiss, welche Bedrohung da sein wird. Aber das kann niemand. Insofern ist eine allgemeine Auflistung aller möglichen, sinnvollen, praktikablen, durchführbaren Maßnahmen sinnvoll, auch wenn die eine oder andere davon für einzelne ggf. überflüssig ist oder scheint.

Kreuzberger
kpunkt
kpunkt 20.09.2023 um 15:40:55 Uhr
Goto Top
Zitat von @Goodfred:

Es wurde uns nicht genau gesagt, was genau gehärtet werden soll.
Wir sollen uns etwas einfallen lassen um die Windows 11 Kisten so sicher wie möglich machen.

Einfach: Stecker ziehen. Kein Netzwerk, keine Unsicherheiten aus dem Netz.
Damit per Medium alles sicher bleibt: Kiosk
Ist halt alles nix, wenn man physisch auf den Client Zugriff hat. Da müsste man den wegsperren oder so.
Lange Kabel für Display und HID aber darauf achten, da man die Kabel auch "auslesen" kann.
kreuzberger
kreuzberger 20.09.2023 um 15:52:22 Uhr
Goto Top
Gefahrloses Nutzen eines Fahrzeugs:

Suche dir einen Stellplatz fernab jeglichen Strassenverkehres und benutze es nur noch zum deinen Sitzen. (Frei nach Asterix und Obelix: Hoffentlich fällt uns der Himmel nicht auf den Kopf)

oder

Gefahrloses Nutzen einer Wohnung:

Hör auf zu Wohnen!


Kreuzberger
7907292512
7907292512 20.09.2023 aktualisiert um 16:02:52 Uhr
Goto Top
Die Clients würden nur Browseranwendungen sowie Office benutzen.
Wenn's nur darum geht, dafür braucht man kein aufgeblähtes Windows 11. Da reicht dann auch ein Linux-Thinclient mit nem Browser der Wahl und ein Online-Office. Done.
Th0mKa
Th0mKa 20.09.2023 um 21:41:59 Uhr
Goto Top
Zitat von @Goodfred:
Könnt Ihr mir Stichworte/Tipps/etc. einwerfen, wie man eine Windows 11 Installation härtet/sicherer macht?
Wenn es nur um Stichwörter geht werfe ich mal die MS Security Baseline in den Raum. Ansonsten bin ich aber bei @DerWoWusste, vor der Umsetzung kommt das Papier. Zuerst gilt es zu definieren gegen was man sich überhaupt absichern will, sonst kannst du ja nie kontrollieren ob das was du machst von Erfolg gekrönt ist.

P.P.S.: Keine Domäne
Das würde ich zuerst ändern, zentrales Management erleichtert vieles.

/Thomas
nachgefragt
nachgefragt 21.09.2023 aktualisiert um 08:34:59 Uhr
Goto Top
Zitat von @Goodfred:
Könnt Ihr mir Stichworte/Tipps/etc. einwerfen, wie man eine Windows 11 Installation härtet/sicherer macht?
Moin.
Vielleicht interessant für dich, Tools wie z.B.
O&O ShutUp https://www.oo-software.com/de/shutup10

Meiner Erfahrung nach staunten vor allem Privatanwender was Windows alles macht. Erweitern könnte man dann das Ganze mit Pi-hole, falls es der richtige "Interessent" ist.
ukulele-7
ukulele-7 21.09.2023 um 09:31:58 Uhr
Goto Top
Also wem es wirklich um echte Sicherheit geht und der auf keinen Fall Telemetriedaten an Microsoft übertragen will der setzt kein Windows 10 oder 11 ein, Punkt. Ich rede jetzt von Forschung oder Sicherheitskritischer Infrastruktur. Wem aber gesagt wird er soll einfach "das Windows gegen alles absichern" und das soll dann einfach so problemlos funktionieren der sollte diese Vorgabe als erstes hinterfragen. Ja, man kann und sollte sinnvolle Dinge tun: Unnütze Anwendungen runter, Datenübertragung maximal Einschränken, OS, Software und Defender auf Stand halten, nervige Popups reduzieren, das alles möglichst per GPO oder im Image.

Darüber hinaus Standard-Dienste abschalten um irgendwas "zu härten" kann man machen, wird halt ###e. Ich habe das selbst mal nach BSI Manier mit Windows 2003 gemacht, ich weiß wirklich nicht was sich die Leute davon versprechen.

Man kann noch darüber nachdenken einem vertrauenswürdigen Sicherheitsanbieter einzubeziehen. Ich rede jetzt nicht von Avira statt Defender oder irgendwelches Schlangenöl aber vom Ansatz her finde ich z.B. Sophos mit InterceptX ganz nett. Aber natürlich Vorsicht: Sophos ist ja jetzt nicht mal mehr EU!? Also hier irgendwas zu machen nur um was zu machen ist die denkbar dümmste Intention. Du musst schon ein klares Ziel haben.
JuliusF
JuliusF 21.09.2023 um 12:46:18 Uhr
Goto Top
Guten Tag,

ich würde die Rechner in eine Gruppenrichtlinie setzen, die nur Zugriff auf die gewünschten Programme gibt.

Mit freundlichen Grüßen

Julius
user217
user217 21.09.2023 um 12:55:45 Uhr
Goto Top
Zitat von @JuliusF:

Guten Tag,

ich würde die Rechner in eine Gruppenrichtlinie setzen, die nur Zugriff auf die gewünschten Programme gibt.

Mit freundlichen Grüßen

Julius

Virenscanner z.B. Gdata machen Applikation Control (Blacklist/Whitelist mit Versionierung)
nachgefragt
nachgefragt 21.09.2023 um 15:54:10 Uhr
Goto Top
Zitat von @user217:
Applikation Control (Blacklist/Whitelist mit Versionierung)
Guter Punkt, Windows kann das selbst mit Bordmitteln: AppLocker
https://learn.microsoft.com/de-de/windows/security/application-security/ ...
lcer00
lcer00 21.09.2023 um 17:50:44 Uhr
Goto Top
Hallo,

ich sehe Microsoft nicht als Bedrohung an. Daher versuche ich so wenig nie möglich Fremdsoftware zu verwenden und alles immer aktuell zu patchen.

Weiterhin sehe ich eine Active-Directory-Domäne als Sicherheitsfaktor an. Insbesondere in Bezug auf Kerberos statt NTLM.

Die ganze Datenschutzdiskussion mit Cloud in Amerika etc. ist meines Erachtens hauptsächlich für Firmen relevant, die sich medialem Interesse und Gut meinendem Verbraucherschützern ausgesetzt sehen. Für alle anderen hat die Absicherung gegen Cyberkriminalität oberste Priorität. Wer dann noch Kapazitäten hat, kann Sich auf die DSGVO stürzen.

Sorry, aber wer sich schon „unwohl“ fühlt, weil seine Daten auf Cloudservern in Übersee liegen, gehört therapiert. Was anderes ist es natürlich, wenn es um schützenswerte Unternehmensgeheimnisse geht.

Grüße

lcer
kreuzberger
kreuzberger 21.09.2023 um 18:51:57 Uhr
Goto Top
@lcer00

Ja, ok.

Zitat von @lcer00:

Hallo,

ich sehe Microsoft nicht als Bedrohung an. Daher versuche ich so wenig nie möglich Fremdsoftware zu verwenden und alles immer aktuell zu patchen.

Weiterhin sehe ich eine Active-Directory-Domäne als Sicherheitsfaktor an. Insbesondere in Bezug auf Kerberos statt NTLM.

Die ganze Datenschutzdiskussion mit Cloud in Amerika etc. ist meines Erachtens hauptsächlich für Firmen relevant, die sich medialem Interesse und Gut meinendem Verbraucherschützern ausgesetzt sehen. Für alle anderen hat die Absicherung gegen Cyberkriminalität oberste Priorität. Wer dann noch Kapazitäten hat, kann Sich auf die DSGVO stürzen.

Sorry, aber wer sich schon „unwohl“ fühlt, weil seine Daten auf Cloudservern in Übersee liegen, gehört therapiert. Was anderes ist es natürlich, wenn es um schützenswerte Unternehmensgeheimnisse geht.

Grüße

lcer

Also du hast ja nix zu verbergen, oder? Dein Privatleben offen zu legen ist dir ja wohl genehm. Eventuelle Geschäftsinteresse in der Welt verbreiten ist ebenfalls völlig belanglos. Millionneteure Neuentwicklungen für die Konkurrenz preisgeben .. kein Drama.
Kriegstaktiken der Ukrainer veröffentlichen .... alles ok.

Dann lässt du sicher jedes mal, wenn du deine Wohnung/dein Haus verlässt alle Fenster und Türen offen stehen mit einem Hinweisschild, dass da jede/r gern gucken kommen kann, was im Ordner Gehaltsabrechnung so steht, was du so an persönlichen Liebesbriefen schreibst oder bekommst, was du sexuell so gern treibst ........... na ja, man muss ja nicht alles weiter ausführen.

Koppschüddel ............

Kreuzberger
lcer00
lcer00 21.09.2023 um 18:54:45 Uhr
Goto Top
@kreuzberger

bitte komplett lesen, Du hast ja auch komplett zitiert.

Grüße

lcer
user217
user217 22.09.2023 um 09:10:17 Uhr
Goto Top
Zitat von @nachgefragt:

Zitat von @user217:
Applikation Control (Blacklist/Whitelist mit Versionierung)
Guter Punkt, Windows kann das selbst mit Bordmitteln: AppLocker
https://learn.microsoft.com/de-de/windows/security/application-security/ ...

Man lernt nie aus, danke für den Hinweis!
Lochkartenstanzer
Lochkartenstanzer 22.09.2023 um 09:18:40 Uhr
Goto Top
Zitat von @lcer00:

Sorry, aber wer sich schon „unwohl“ fühlt, weil seine Daten auf Cloudservern in Übersee liegen, gehört therapiert. Was anderes ist es natürlich, wenn es um schützenswerte Unternehmensgeheimnisse geht.

https://norberthaering.de/news/microsoft-servicevertrag/

https://www.danisch.de/blog/2023/09/21/microsoft/


Ich glaube, es ist eher derjenige der therapiert gehört, der MS und seiner Cloud blind vertraut.

lks
Th0mKa
Th0mKa 22.09.2023 um 09:43:06 Uhr
Goto Top
Zitat von @Lochkartenstanzer:
Ich glaube, es ist eher derjenige der therapiert gehört, der MS und seiner Cloud blind vertraut.
Strohmann, niemand sprach von blind vertrauen.

/Thomas
Lochkartenstanzer
Lochkartenstanzer 22.09.2023 aktualisiert um 09:50:06 Uhr
Goto Top
Zitat von @Th0mKa:

Zitat von @Lochkartenstanzer:
Ich glaube, es ist eher derjenige der therapiert gehört, der MS und seiner Cloud blind vertraut.
Strohmann, niemand sprach von blind vertrauen.

Dann laß mich das anders formulieren: Wer MS vertraut gehört therapiert.

MS kann man überhaupt nicht vertrauen, was sich in der Vergangenheit öfter bestätigt hat. Man kann nur eine Kosten vs. Nutzen-Abwagung machen um zu beurteilen, wie weit man MS-Produkte trotzdem nutzt.

lks
8585324113
8585324113 22.09.2023 um 09:57:29 Uhr
Goto Top
Zitat von @Lochkartenstanzer:

Zitat von @Th0mKa:

Zitat von @Lochkartenstanzer:
Ich glaube, es ist eher derjenige der therapiert gehört, der MS und seiner Cloud blind vertraut.
Strohmann, niemand sprach von blind vertrauen.

Dann laß mich das anders formulieren: Wer MS vertraut gehört therapiert.

MS kann man überhaupt nicht vertrauen, was sich in der Vergangenheit öfter bestätigt hat. Man kann nur eine Kosten vs. Nutzen-Abwagung machen um zu beurteilen, wie weit man MS-Produkte trotzdem nutzt.

lks

Naja, viele auch die wirklich großen müssen MS vertrauen. Das ist in diversen Branchen so fest gesetzt.
Ich kann mir kein Open Office installieren und Open Irgendwas Dokumente verteilen.

Und immer daran denken, 40 der 40 Dax Unternehmen sind in den Clouds und können da nicht raus. Leider zahlen die ihren CTOs und COOs nur wenige Millionen und haben somit keinen Zugriff auf die Profis von administrator.de. Sehr bedauernswert.
-WeBu-
-WeBu- 25.09.2023 um 11:48:12 Uhr
Goto Top
Abwägung ist tatsächlich immer das Zauberwort. Es müssen notwendige Nutzen den Risiken gegenüber gestellt werden und dies geht immer mit sogenannten Eintrittswahrscheinlickeiten einher.

Wie hoch ist die Eintrittswahrscheinlickeit, dass Daten meiner [MS-]Cloud weitergegeben werden? Dass das doch nicht null ist, wissen wir mittlerweile. Aber wie hoch, oder eben niedrig, ist eine Schadenswahrscheinlichkeit tatsächlich, dass nur durch die Serverlocation USA ein Problem entstehen kann?

Dass man auch auf/im lokalen Netz und den clients etwas tun sollte, ist ja selbstverständlich, aber dazu muss man wissen, was überhaupt passieren könnte. Insofern ist die Frage des TE verständlich.

Ebenso verständlich ist die Unbestimmtheit der Aufgabe, die seine Leute an den Tag legen. "Mach mal was, denn Windows ist unsicher, hab ich gelesen!" hört man oft von Chefs. Solche Sätze sind erwartbar, da darf man sich darüber eigentlich nicht wundern.
user217
user217 25.09.2023 um 13:30:25 Uhr
Goto Top
Zitat von @Lochkartenstanzer:

Zitat von @Th0mKa:

Zitat von @Lochkartenstanzer:
Ich glaube, es ist eher derjenige der therapiert gehört, der MS und seiner Cloud blind vertraut.
Strohmann, niemand sprach von blind vertrauen.

Dann laß mich das anders formulieren: Wer MS vertraut gehört therapiert.

MS kann man überhaupt nicht vertrauen, was sich in der Vergangenheit öfter bestätigt hat. Man kann nur eine Kosten vs. Nutzen-Abwagung machen um zu beurteilen, wie weit man MS-Produkte trotzdem nutzt.

lks

Modewort Zero-Trust face-smile trau schau wem!Ami = Microsoft, China=Huawei, EU=verlängertes Amiland usw.
Das ist keine technische sondern eine politische diskussion die durch die globalisierung absehbar war.
kreuzberger
kreuzberger 25.09.2023 um 13:42:30 Uhr
Goto Top
Ausdrucken und wieder einscannen ist die unschlagbar beste Firewall aller Zeiten.


Kreuzberger
face-wink
user217
user217 25.09.2023 um 13:44:00 Uhr
Goto Top
Zitat von @kreuzberger:

Ausdrucken und wieder einscannen ist die unschlagbar beste Firewall aller Zeiten.


Kreuzberger
face-wink

einfach faxen face-smile
kreuzberger
kreuzberger 25.09.2023 um 13:46:21 Uhr
Goto Top
...aber nur mit farbigen FAX-Vordrucken!

face-smile
user217
user217 25.09.2023 um 13:56:23 Uhr
Goto Top
mal im Erst, selbst das ist sowas von unsicher weil der ganze mist intern temporär gespeichert wird oder.
Warum hinken die Drucker nochmal dem Stand der Technik meist ewigkeiten hinterher?
Bestimmt nicht weil bei ermittlungen darauf ganz easy zugegriffen werden kann..