8
BSI SEC-Gruppenrichtlinien für Win10
BSI stellt neue Sicherheitseinstellungen für Windows 10 bereit
Das BSI hat Handlungsempfehlungen zur Absicherung von Windows-Systemen veröffentlicht. Die praktische Umsetzung stand dabei im Vordergrund. (Zitat Heise)
https://www.heise.de/news/BSI-stellt-neue-Sicherheitseinstellungen-fuer- ...
Das BSI hat Handlungsempfehlungen zur Absicherung von Windows-Systemen veröffentlicht. Die praktische Umsetzung stand dabei im Vordergrund. (Zitat Heise)
https://www.heise.de/news/BSI-stellt-neue-Sicherheitseinstellungen-fuer- ...
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 666366
Url: https://administrator.de/knowledge/bsi-sec-gruppenrichtlinien-fuer-win10-666366.html
Ausgedruckt am: 08.04.2025 um 18:04 Uhr
8 Kommentare
Neuester Kommentar
Also der Projektname SiSyPhus gefällt mir. Was mir nicht gefällt ist die Kapitelübersicht:
Windows 10 - Version 1607
Windows 10 - Version 1809
Und Version 1809 sind nur 4 von 10 Kapiteln verfügbar. Die ganzen Optionen, die alleine durch das Upgrade auf Edge Chromium entstanden sind, können in der Analyse unter 1809 noch gar nicht enthalten sein. Derzeit aktuell ist 20H2, 20H1 wird allgemein für Mai erwartet, soll wohl aber wie ich bislang überall gelesen habe nichts Großes mitbringen. Dennoch ist die 1809 mittlerweile 2,5 Jahre alt. Die Empfehlungen des BSI sind sicherlich eine gute solide Grundlage, reichen aber in meinen Augen nicht aus.
Windows 10 - Version 1607
Windows 10 - Version 1809
Und Version 1809 sind nur 4 von 10 Kapiteln verfügbar. Die ganzen Optionen, die alleine durch das Upgrade auf Edge Chromium entstanden sind, können in der Analyse unter 1809 noch gar nicht enthalten sein. Derzeit aktuell ist 20H2, 20H1 wird allgemein für Mai erwartet, soll wohl aber wie ich bislang überall gelesen habe nichts Großes mitbringen. Dennoch ist die 1809 mittlerweile 2,5 Jahre alt. Die Empfehlungen des BSI sind sicherlich eine gute solide Grundlage, reichen aber in meinen Augen nicht aus.
Im Prinzip natürlich alles richtig. Nur gibt es z.B. Leuten wir mir - die sich nicht den ganzen Tag mit Windows-Sicherheits-Fragen beschäftigen - die Möglichkeit schon mal die 80% abzugreifen. Gerade in den Mini-Setups, die ich betreue kann das in der Praxis ein wichtiger Mehrwert sein.
Und so ganz falsch ist es ja bestimmt nicht, sich aufs BSI zu berufen
Und so ganz falsch ist es ja bestimmt nicht, sich aufs BSI zu berufen
Hallo,
was mir nicht so gefällt, ist die einseitige Sichitweise. Die Gruppenrichtlinienobjekte werden nach normalem oder hohem Schutzbedarf eingeteilt. Wäre nett, wenn man die dann einfach reinkopieren und Anwenden könnte (so ist es vielleicht sogar gedacht, natürlich würde jedes das vorher testen ...).
Nur, das BSA sieht nicht nur in kriminellen Elementen ein Problem, sondern auch in der Telemetrie von Windows. OK ist seit der DSGVO ja auch relevant. Nur - mein primäres Schutzziel ist die Absicherung gegen Angreifer von außen oder innen, nicht gegen den Hersteller meines Betriebssystems. (Ja, ich benutze Azure und O365). Damit ich die GPOs direkt einsetzen könnte, wären hier eine andere Unterteilung sicher hilfreich gewesen.
Hinzu kommt noch das Ignorieren der Unterschiede zwischen Pro und Enterprise Versionen. Vermutlich greift einiges nicht, wenn man nicht die Enterprise Version verwendet. Praktikabel wäre ein "Mindeststandard-GPO" für Windows 10 Pro ohne den Telemetriekram gewesen. Selbst da hätte man noch genug zu testen und anzupassen gehabt.
Ist das ein weiteres Beispiel für ein Bundesamt, das politische Überzeugungen umsetzt?
Grüße
lcer
was mir nicht so gefällt, ist die einseitige Sichitweise. Die Gruppenrichtlinienobjekte werden nach normalem oder hohem Schutzbedarf eingeteilt. Wäre nett, wenn man die dann einfach reinkopieren und Anwenden könnte (so ist es vielleicht sogar gedacht, natürlich würde jedes das vorher testen ...).
Nur, das BSA sieht nicht nur in kriminellen Elementen ein Problem, sondern auch in der Telemetrie von Windows. OK ist seit der DSGVO ja auch relevant. Nur - mein primäres Schutzziel ist die Absicherung gegen Angreifer von außen oder innen, nicht gegen den Hersteller meines Betriebssystems. (Ja, ich benutze Azure und O365). Damit ich die GPOs direkt einsetzen könnte, wären hier eine andere Unterteilung sicher hilfreich gewesen.
Hinzu kommt noch das Ignorieren der Unterschiede zwischen Pro und Enterprise Versionen. Vermutlich greift einiges nicht, wenn man nicht die Enterprise Version verwendet. Praktikabel wäre ein "Mindeststandard-GPO" für Windows 10 Pro ohne den Telemetriekram gewesen. Selbst da hätte man noch genug zu testen und anzupassen gehabt.
Ist das ein weiteres Beispiel für ein Bundesamt, das politische Überzeugungen umsetzt?
Grüße
lcer
Zitat von @Franz-Josef-II:
Naja, es wird ja aufbauend sein ..... durchgeschaut habe ich es mir allerdings (noch) nicht.
Das macht es aber nicht besser. Es fehlen noch die Kapitel:Naja, es wird ja aufbauend sein ..... durchgeschaut habe ich es mir allerdings (noch) nicht.
Analyse des App-Lifecycles von Universal Windows Apps in Windows 10
Kurzanalyse der "Secure Boot Configuration Policy" in Windows 10
Telemetrie Monitoring-Framework
Analyse der "Windows Application Compatibility Infrastructure" in Windows 10
Analyse der Komponente "PatchGuard" in Windows 10
Analyse des Treibermanagements in Windows 10
Kurzanalyse der "Secure Boot Configuration Policy" in Windows 10
Telemetrie Monitoring-Framework
Analyse der "Windows Application Compatibility Infrastructure" in Windows 10
Analyse der Komponente "PatchGuard" in Windows 10
Analyse des Treibermanagements in Windows 10
Die sind nicht mal Anklickbar. Was nützt mir eine Analyse, sagen wir mal der "Windows Application Compatibility Infrastructure" in 1809 wenn wir bald 21H1 haben? Genau so wie der PatchGuard oder auch das Treibermanagement. Klar es sind sicherlich gute Hinweise, aber ob es nicht gravierende Unterschiede zwischen 1809 und 21H1 gibt, kann dort (zumindest bei der Einstufung als Bericht über 1809) nicht enthalten sein. Ich sehe hier die Gefahr, dass kleine Systemhäuser bei kleineren Kunden (denke grade so an Arztpraxen und Anwaltskanzleien, die mit ihren 5 PCs eine Domäne haben auf und von einem 1 bis 3 Mann "Systemhaus" betreut werden), einfach die Vorlage hier umsetzen und der Kunde sich dann vermeintlich in Sicherheit wiegt, dabei sind Erweiterungen und Änderungen die Seit 1809 stattgefunden haben gar nicht berücksichtigt. Und dann wird argumentiert mit "Ich hab genau das umgesetzt was das BSI vorgegeben hat". ja richtig. Genau das, aber leider nicht mehr.
Na was muss, dass muss
Gruß
Doskias
Im Prinzip natürlich alles richtig. Nur gibt es z.B. Leuten wir mir - die sich nicht den ganzen Tag mit Windows-Sicherheits-Fragen beschäftigen - die Möglichkeit schon mal die 80% abzugreifen. Gerade in den Mini-Setups, die ich betreue kann das in der Praxis ein wichtiger Mehrwert sein.
Geht mir genau so.Und so ganz falsch ist es ja bestimmt nicht, sich aufs BSI zu berufen
Zumindest schaut es im Schadensfall besser aus, wenn du sagen kannst, dass du dich an die Empfehlungen des BSI und CIS gehalten hast. Wenn du gar nichts hast, dann weiß ich nicht wie das bewertet wird.
Geht noch viel einfacher mit den Packeten vom Mark Heitbrink
https://www.gruppenrichtlinien.de/artikel/datenschutz-gp-pack-pat-privac ...
https://www.gruppenrichtlinien.de/artikel/datenschutz-gp-pack-pat-privac ...
Hallo,
Grüße
lcer
Zitat von @146211:
Geht noch viel einfacher mit den Packeten vom Mark Heitbrink
https://www.gruppenrichtlinien.de/artikel/datenschutz-gp-pack-pat-privac ...
Aber Sicherheit darf doch nichts kosten ....Geht noch viel einfacher mit den Packeten vom Mark Heitbrink
https://www.gruppenrichtlinien.de/artikel/datenschutz-gp-pack-pat-privac ...
Grüße
lcer
