BSI SEC-Gruppenrichtlinien für Win10

Mitglied: Visucius

Visucius (Level 2) - Jetzt verbinden

04.05.2021, aktualisiert 07:15 Uhr, 957 Aufrufe, 8 Kommentare, 1 Danke

BSI stellt neue Sicherheitseinstellungen für Windows 10 bereit

Das BSI hat Handlungsempfehlungen zur Absicherung von Windows-Systemen veröffentlicht. Die praktische Umsetzung stand dabei im Vordergrund. (Zitat Heise)

https://www.heise.de/news/BSI-stellt-neue-Sicherheitseinstellungen-fuer- ...
Mitglied: Doskias
04.05.2021 um 09:37 Uhr
Also der Projektname SiSyPhus gefällt mir. Was mir nicht gefällt ist die Kapitelübersicht:

Windows 10 - Version 1607
Windows 10 - Version 1809

Und Version 1809 sind nur 4 von 10 Kapiteln verfügbar. Die ganzen Optionen, die alleine durch das Upgrade auf Edge Chromium entstanden sind, können in der Analyse unter 1809 noch gar nicht enthalten sein. Derzeit aktuell ist 20H2, 20H1 wird allgemein für Mai erwartet, soll wohl aber wie ich bislang überall gelesen habe nichts Großes mitbringen. Dennoch ist die 1809 mittlerweile 2,5 Jahre alt. Die Empfehlungen des BSI sind sicherlich eine gute solide Grundlage, reichen aber in meinen Augen nicht aus.
Bitte warten ..
Mitglied: Visucius
04.05.2021, aktualisiert um 09:44 Uhr
Im Prinzip natürlich alles richtig. Nur gibt es z.B. Leuten wir mir - die sich nicht den ganzen Tag mit Windows-Sicherheits-Fragen beschäftigen - die Möglichkeit schon mal die 80% abzugreifen. Gerade in den Mini-Setups, die ich betreue kann das in der Praxis ein wichtiger Mehrwert sein.

Und so ganz falsch ist es ja bestimmt nicht, sich aufs BSI zu berufen ;-) face-wink
Bitte warten ..
Mitglied: Franz-Josef-II
04.05.2021 um 12:29 Uhr
Zitat von @Doskias:
Und Version 1809 sind nur 4 von 10 Kapiteln verfügbar.

Naja, es wird ja aufbauend sein ..... durchgeschaut habe ich es mir allerdings (noch) nicht.



Zitat von @Doskias:
.... 20H1 wird allgemein für Mai ....
😂
T'schuldige, mußte sein
😊
Bitte warten ..
Mitglied: lcer00
04.05.2021 um 12:36 Uhr
Hallo,

was mir nicht so gefällt, ist die einseitige Sichitweise. Die Gruppenrichtlinienobjekte werden nach normalem oder hohem Schutzbedarf eingeteilt. Wäre nett, wenn man die dann einfach reinkopieren und Anwenden könnte (so ist es vielleicht sogar gedacht, natürlich würde jedes das vorher testen ...).

Nur, das BSA sieht nicht nur in kriminellen Elementen ein Problem, sondern auch in der Telemetrie von Windows. OK ist seit der DSGVO ja auch relevant. Nur - mein primäres Schutzziel ist die Absicherung gegen Angreifer von außen oder innen, nicht gegen den Hersteller meines Betriebssystems. (Ja, ich benutze Azure und O365). Damit ich die GPOs direkt einsetzen könnte, wären hier eine andere Unterteilung sicher hilfreich gewesen.

Hinzu kommt noch das Ignorieren der Unterschiede zwischen Pro und Enterprise Versionen. Vermutlich greift einiges nicht, wenn man nicht die Enterprise Version verwendet. Praktikabel wäre ein "Mindeststandard-GPO" für Windows 10 Pro ohne den Telemetriekram gewesen. Selbst da hätte man noch genug zu testen und anzupassen gehabt.

Ist das ein weiteres Beispiel für ein Bundesamt, das politische Überzeugungen umsetzt?

Grüße

lcer
Bitte warten ..
Mitglied: Doskias
04.05.2021 um 12:51 Uhr
Zitat von @Franz-Josef-II:

Zitat von @Doskias:
Und Version 1809 sind nur 4 von 10 Kapiteln verfügbar.

Naja, es wird ja aufbauend sein ..... durchgeschaut habe ich es mir allerdings (noch) nicht.
Das macht es aber nicht besser. Es fehlen noch die Kapitel:
Analyse des App-Lifecycles von Universal Windows Apps in Windows 10
Kurzanalyse der "Secure Boot Configuration Policy" in Windows 10
Telemetrie Monitoring-Framework
Analyse der "Windows Application Compatibility Infrastructure" in Windows 10
Analyse der Komponente "PatchGuard" in Windows 10
Analyse des Treibermanagements in Windows 10

Die sind nicht mal Anklickbar. Was nützt mir eine Analyse, sagen wir mal der "Windows Application Compatibility Infrastructure" in 1809 wenn wir bald 21H1 haben? Genau so wie der PatchGuard oder auch das Treibermanagement. Klar es sind sicherlich gute Hinweise, aber ob es nicht gravierende Unterschiede zwischen 1809 und 21H1 gibt, kann dort (zumindest bei der Einstufung als Bericht über 1809) nicht enthalten sein. Ich sehe hier die Gefahr, dass kleine Systemhäuser bei kleineren Kunden (denke grade so an Arztpraxen und Anwaltskanzleien, die mit ihren 5 PCs eine Domäne haben auf und von einem 1 bis 3 Mann "Systemhaus" betreut werden), einfach die Vorlage hier umsetzen und der Kunde sich dann vermeintlich in Sicherheit wiegt, dabei sind Erweiterungen und Änderungen die Seit 1809 stattgefunden haben gar nicht berücksichtigt. Und dann wird argumentiert mit "Ich hab genau das umgesetzt was das BSI vorgegeben hat". ja richtig. Genau das, aber leider nicht mehr.

Zitat von @Doskias:
.... 20H1 wird allgemein für Mai ....
😂
T'schuldige, mußte sein
😊
Na was muss, dass muss :-D face-big-smile

Gruß
Doskias
Bitte warten ..
Mitglied: it-fraggle
04.05.2021 um 22:34 Uhr
Im Prinzip natürlich alles richtig. Nur gibt es z.B. Leuten wir mir - die sich nicht den ganzen Tag mit Windows-Sicherheits-Fragen beschäftigen - die Möglichkeit schon mal die 80% abzugreifen. Gerade in den Mini-Setups, die ich betreue kann das in der Praxis ein wichtiger Mehrwert sein.
Geht mir genau so.
Und so ganz falsch ist es ja bestimmt nicht, sich aufs BSI zu berufen ;-) face-wink
Zumindest schaut es im Schadensfall besser aus, wenn du sagen kannst, dass du dich an die Empfehlungen des BSI und CIS gehalten hast. Wenn du gar nichts hast, dann weiß ich nicht wie das bewertet wird.
Bitte warten ..
Mitglied: lcer00
06.05.2021 um 15:14 Uhr
Hallo,
Zitat von @ZeroTrust:

Geht noch viel einfacher mit den Packeten vom Mark Heitbrink

https://www.gruppenrichtlinien.de/artikel/datenschutz-gp-pack-pat-privac ...
Aber Sicherheit darf doch nichts kosten ....

Grüße

lcer
Bitte warten ..
Heiß diskutierte Inhalte
Windows Server
Lizenzen für Virtualisierungshost
TakworianVor 1 TagFrageWindows Server16 Kommentare

Hallo, ich werde demnächst einen HA-Cluster aus 3 x HP DL580 in Betrieb nehmen. Der Cluster wird unter Proxmox betrieben und es sollen diverse ...

Netzwerke
Erfahrungen mit HPE Aruba Switches (Aruba OS)
sixofeightVor 11 StundenAllgemeinNetzwerke11 Kommentare

Holla zusammen, Wer von euch setzt Aruba Switches (Aruba OS, ehemals HP ProCurve) ein und wie sind eure Erfahrungen bzw. wie zufrieden seid ihr ...

Router & Routing
Suche Tipps für Selfmade-Load-Balancing-Router auf HP MicroServer Gen10+
gelöst MagicChris86Vor 1 TagFrageRouter & Routing7 Kommentare

Hi Leute, ich habe einen HP MicroServer Gen10+ Performance übrig, der bei einer Kundin rausgeflogen ist, weil sie mehr Power brauchte für Desktopvirtualisierung für ...

Windows 7
Win7 64bit - ssd - Dateien verschwinden
rellixVor 1 TagFrageWindows 77 Kommentare

Grüße in die Runde, ich hab nach 20+ Jahren IT Erfahrung viel gesehen und schreibe hier meist erst, wenn ich keine Idee mehr habe ...

Webentwicklung
Webdesigner ist verschwunden
Janno100Vor 20 StundenFrageWebentwicklung3 Kommentare

Hallo zusammen Kunde hat einen Webdesigner der die Domain des Kunden vor einigen Jahren einfach unter seinen eigenen Name weiter geführt hat. Diese haben ...

Netzwerke
Sporadisch, temporäre nicht erreichbare IPs
BlueBookVor 1 TagFrageNetzwerke7 Kommentare

Hallo zusammen, ich habe ein Problem seit mehreren Monaten schon mit meinem Netzwerk. Ich hoffe jemand hat eine Idee oder einen Tipp. Hin und ...

Router & Routing
Routing Verständnisfrage
gelöst GrueneSosseMitSpeckVor 1 TagFrageRouter & Routing6 Kommentare

Moin, ich steh gerade etwas auf dem Schlauch. Ich habe im Wesentlichen zwei Netze: 1.) 192.168.0.0 / 24 Das ist das Netz hinter meinem ...

Netzwerkgrundlagen
Aufgabe - Subnetting
gelöst cornflakes01Vor 1 TagFrageNetzwerkgrundlagen5 Kommentare

Hi, bin zufällig auf diese Seite gestoßen und habe eine Frage bezüglich Subnetting. Wir haben kurz vor unserer Abiturprüfung eine Aufgabenstellung im Unterricht behandelt, ...