Das Skelett einer Windows 8 Baseline

Das Skelett einer Windows 8 Baseline

Andrea Covello
von Andrea Covello
Lesezeit: 16 Minuten

Einführung

Ich gebe es ja zu: Ich bin nicht direkt ins neue User Interface von Windows 8 verliebt. Das Design, ehemals als Metro bekannt, passt einfach nicht zu Desktop-Workstations die zur alltäglichen Arbeit genutzt werden. Zudem ist da noch eine Vielzahl anderer Glitches, aber die werde ich jetzt nicht im Detail beschreiben, weil jeder kennt sie bereits. Microsoft scheint darauf zu reagieren, weil Gerüchten zufolge soll Windows 8.2 zu Windows 9 werden und das Startmenü zurückbringen. Unter anderem.

Willkommen zurück, alter Freund.

Wie dem auch sei, hinter dem Vorhang ist Windows 8 gar nicht mal so übel und hat neue Sicherheits-Features eingebaut, damit die Sicherheit von Desktops noch besser durchgesetzt werden kann.

Verteidigungsstrategie

Also, zum Thema: In diesem Artikel werden wir ein Skelett einer Sicherheits-Baseline für Windows 8 erstellen. Selbstverständlich können wir hier nur ein generisches Skelett bauen, da die effektive Implementation in Ihrer IT-Infrastruktur Feineinstellung benötigt. Bevor Sie dieses Skelett aufbauen, sollten Sie eine Analyse der Schwachstellen in ihren Sicherheitsvorkehrungen, der Risiken und der exponierten Daten durchführen. Diese Analyse führt dazu, dass sie genau wissen, welchen Anforderungen die Security Baseline genügen muss. Im Grunde sollte die Strategie aber auf folgende Bereiche abzielen:

Beginnen wir also mit generischen Sicherheitsratschlägen für die Desktop Security:

Baseline Einstellungen

Definieren wir nun das oben genannte Skelett für unsere Windows 8 Security Baseline. Ich habe im Folgenden alle Settings, die per default gesichert sind, ausgelassen.

Einstellung Wert Beschreibung
Network Protocols, Services & Client
Turn off downloading of print drivers over HTTP Aktiviert
Turn off Internet download for Web publishing and online ordering wizards Aktiviert Diese Policy kontrolliert, ob Windows eine Liste von Providern für Web Publishing und Online-Bestellungs-Tools herunterlädt.
Turn off the “Publish to Web” task for files and folders Aktiviert
Turn off the Windows Messenger Customer Experience Improvement Program Aktiviert Diese Policy legt fest, ob Windows Messenger anonyme Nutzerdaten über die Verwendung des Windows Messengers sammeln darf.
User Rights Assignments
Access this computer from the network Users, Administrators Diese Policy-Einstellungen erlauben es anderen Usern im Netzwerk sich mit dem Computer zu verbinden und ist eine zwingende Voraussetzung für die Funktion mehrerer Netzwerk-Protokolle, die mit Server SMB-basierten Protokollen, NetBIOS, CIFS und COM+ funktionieren.
Act as part of the operating system Niemand Diese Policy-Einstellungen erlauben es einem Prozess, die Identität eines Users anzunehmen und somit Zugang zu Ressourcen zu haben, auf die nur der User Zugriff hat.
Deny access to this computer from the network Gäste Dies verhindert, dass User sich mit dem Computer verbinden können und somit die Möglichkeit erhalten, Daten zu verändern.
Deny log on as a batch job Gäste Determiniert, welche Accounts sich nicht im Rahmen eines Batch Jobs mit dem Computer verbinden dürfen.
Deny log on locally Gäste Setzt fest, welche User sich nicht lokal am Computer anmelden dürfen.
Turn off Autoplay Aktiviert
Sicherheitsoptionen
Administrator account status Deaktiviert Aktiviert oder deaktiviert den Account Administrator während des normalen Betriebs.
Guest account status Deaktiviert Aktiviert oder deaktiviert den Account Gast.
Limit local account use of blank passwords to console logon only Aktiviert Lokale Accounts, die ein leeres Passwort haben, dürfen sich nicht über das Netzwerk auf dem Computer anmelden.
Block Microsoft accounts Users can’t add or log on with Microsoft accounts Verhindert, dass User neue Microsoft-Accounts zum Betriebssystem hinzufügen.
Allow log on locally Administrators, Users Determiniert, welche User sich lokal am Computer anmelden dürfen.
Allow Remote Shell Access Aktiviert Verwaltet die Konfiguration des Remote Access für alle supporteten Shells zur Skript- und Befehlsausführung.
Boot-Start Driver Initialization Policy Aktiviert Spezifiziert die Initialisierung von Boot-Start Treibern basierend auf einer Klassifikation eines Early Launch Antimalware Boot-Start Treibers.
Do not allow drive redirection Aktiviert Verhindert, dass User lokale Drives für genutzte Terminal Server freigeben können, auf die sie zugreifen.
Recovery console: Allow automatic administrative logon Deaktiviert Administratoren-Login ist zwingend notwendig, um auf die Recovery-Konsole zugreifen zu können.
Require a Password When a Computer Wakes (On Battery) Aktiviert Setzt fest, ob ein User sein Passwort eingeben muss, wenn der Computer aus dem Standby-Modus erwacht.
Require a Password When a Computer Wakes (Plugged In) Aktiviert Setzt fest, ob ein User sein Passwort eingeben muss, wenn der Computer aus dem Standby-Modus erwacht.
Reschedule Automatic Updates scheduled installations Aktiviert “Previously scheduled installation will begin after a specified number of minutes when you next start the computer.”
Turn off Data Execution Prevention for Explorer Deaktiviert Die Data Execution Prevention auszuschalten erlaubt es, einige Legacy-Plugin-Applikationen ohne das Beenden von Explorer zu betreiben.
Shutdown: Clear virtual memory pagefile Deaktiviert Determiniert, ob die Virtual Memory Pagefile gelöscht wird, wenn das System herunterfährt.
Interactive Logon
Do not require CTRL+ALT+DEL Deaktiviert User müssen CTRL+ALT+DEL drücken bevor sie sich anmelden können, es sei denn sie benutzen eine Smart Card.
Machine account lockout threshold 10 invalid logon attempts
Machine inactivity limit 900 seconds
Number of previous logons to cache (in case domain controller is not available) 4 logon(s)
Manage auditing and security log Administrators Determiniert, welche User die Auditing-Optionen für Dateien und Ordner ändern und das Security Log löschen können.
System Service Settings
Configure Automatic Updates Aktiviert Legt fest, ob Computer in Ihrer IT-Infrastruktur Sicherheitsupdates von Windows Update oder WSUS erhalten.
Configure Offer Remote Assistance Deaktiviert Schaltet das Anbieten von (ungewollter) Remote Assistance auf diesem Computer ein oder aus.
Configure Solicited Remote Assistance Deaktiviert Schaltet das Anbieten von (gewollter) Remote Assistance auf diesem Computer ein oder aus.
Configure registry policy processing Aktiviert Legt fest, wann Registry Policies einem Update unterzogen werden.
Configure Windows SmartScreen Aktiviert Windows SmartScreen hilft dabei, PCs abzusichern, indem es die User warnt bevor sie unbekannte Programme aus dem Internet ausführen.
Domain Member
Digitally encrypt or sign secure channel data (always) Aktiviert Determiniert, ob alle Daten, die über Secure Channel Traffic vom Domain Member kommen, signiert oder verschlüsselt sein muss.
Digitally encrypt secure channel data (when possible) Aktiviert Gibt dem Domain Member den Auftrag, Verschlüsselung für allen Traffic über Secure Channels zu erhalten, sofern das möglich ist.
Digitally sign secure channel data (when possible) Aktiviert Gibt dem Domain Member den Auftrag, Signierung für allen Traffic über Secure Channels zu erhalten, sofern das möglich ist.
Disable machine account password changes Deaktiviert Computer, die nicht automatisch zum Ändern des Passworts auffordern, sind verwundbar, da ein Hacker dieses Passwort einfacher erraten kann.
Maximum machine account password age 30 day(s) Setzt fest, wie alt ein Passwort für einen Account höchstens sein darf.
Require strong (Windows 2000 or later) session key Aktiviert Wenn diese Option aktiviert ist, kann ein Secure Channel nur dann erstellt werden, wenn die Domain Controller Daten mit starken Session Keys (128-bit) verschlüsseln können.
Enable computer and user accounts to be trusted for delegation No One Erlaubt es Usern, die Einstellung Trusted for Delegation auf einem Computer-Objekt in einem Active Directory zu verändern.
Enumerate administrator accounts on elevation Deaktiviert Alle Administratoren-Accounts werden per default angzeigt, sobald erweiterte Rechte für das Ausführen einer Applikation notwendig sind.
Do not display ‘Install Updates and Shut Down’ option in Shut Down Windows dialog box Deaktiviert Diese Einstellung erlaubt es Ihnen, zu entscheiden, ob die “Updates installieren und herunterfahren”-Option im Herunterfahren-Menü angezeigt wird.
No auto-restart with logged on users for scheduled automatic updates installations Deaktiviert Automatische Updates erfordern den Neustart des Systems, auch wenn ein User angemeldet ist.
Force shutdown from a remote system Administrators Diese Policy erlaubt es Usern, Vista-basierte Computer vom Remote Locations im Netzwerk aus herunterzufahren.
Audit Policy
Account Lockout No Auditing
Logoff Success
Logon Success and Failure
Network Policy Server No Auditing
Other Logon/Logoff Events No Auditing
Special Logon Success
Audit Policy Change Success and Failure
Security State Change Success and Failure
Security System Extension Success and Failure
System Integrity Success and Failure
Microsoft Network Client
Digitally sign communications (always) Aktiviert Entscheidet, ob Packet Signing der SMB_Client Komponente erforderlich ist.
Digitally sign communications (if server agrees) Aktiviert Determiniert, ob ein SMB-Client versucht, SMB Packet Signing vom Server zu erhalten.
Send unencrypted password to third-party SMB servers Deaktiviert Verhindert, dass der SMB Redirector während der Authentisierung Passwörter im Klartext versendet.
Microsoft Network Server
Amount of idle time required before suspending session 15 minute(s) Timeout der SMB-Session. Deaktiviert die Session aufgrund von Inaktivität.
Digitally sign communications (always) Aktiviert Entscheidet, ob der serverseitige SMB-Service benötigt wird um SMB Packet Signing auszuführen. Aktivieren Sie diese Option in einem Mixed Environment um Downstream-Clients davon abzuhalten, eine Workstation als Netzwerk-Server zu verwenden.
Disconnect clients when logon hours expire Aktiviert Verbindung zu Usern wird gekappt, wenn sie sich von geregelten Zeiten versuchen anzumelden.
Network Access
Allow anonymous SID/Name translation Deaktiviert Verhindert, dass nicht-authentisierte User Usernamen erhalten, die mit einer SID verbunden sind.
Apply Everyone permissions to anonymous users Deaktiviert Legt fest, welche zusätzlichen Permissions anonymen Connections zum Computer gegeben werden.
Do not allow anonymous enumeration of SAM accounts Aktiviert Anonyme Verbindungen können keine Domain Account Usernamen auf den Workstations Ihrer IT-Infrastruktur enumerieren.
Do not allow anonymous enumeration of SAM accounts and shares Aktiviert Anonyme Verbindungen können keine Domain Account Usernamen und Freigaben auf den Workstations Ihrer IT-Infrastruktur enumerieren.
Network Security
Do not store LAN Manager hash value on next password change Aktiviert Determiniert, ob ein der LAN Manager (LM) Hash-Wert für das neue Passwort gespeichert wird wenn das Passwort geändert wird.
LAN Manager Authentication level Send NTLMv2 response only. Refuse LM & NTLM In Active Directory Domains ist das Kerberos Protokoll das standardmässig eingesetzte Protokoll. Sollte Kerberos aus irgendeinem Grund nicht erhalten werden, wird Active Directory LM, NTLM oder NTLMv2 verwenden.
LDAP client signing requirements Negotiate signing
Minimum session security for NTLM SSP based (including secure RPC) clients Require NTLMv2 session security, Require 128-bit encryption Legt die Regeln fest, wie Applikationen, die den NTLM Security Support Provider (SSP) verwenden, sich verhalten dürfen.
Minimum session security for NTLM SSP based (including secure RPC) servers Require NTLMv2 session security, Require 128-bit encryption Legt die Regeln fest, wie Applikationen, die den NTLM Security Support Provider (SSP) verwenden, sich verhalten dürfen.
Set client connection encryption level Aktiviert Spezifiziert, ob der Computer, der die Remote Connection hosten wird, ein Level der Verschlüsselung für den Datenverkehr zwischen Host und Client während der Remote Connection erzwingen wird.
User Account Control
Admin Approval Mode for the Built-in Administrator account Aktiviert Der eingebaute Administratoren-Account verwendet den Admin Approval Modus. Das heisst, dass jede Operation, die erweiterte Rechte benötigt, die Zustimmung des Users erforderlich macht.
Behaviour of the elevation prompt for administrators in Admin Approval Mode Prompt for consent on the secure desktop Legt das Verhalten des Prompts für erweiterte Rechte für Administratoren fest.
Behaviour of the elevation prompt for standard users Automatically deny elevation requests Legt das Verhalten des Prompts für erweiterte Rechte für Standard-User fest.
Detect application installations and prompt for elevation Aktiviert Legt das Verhalten für das Erkennen von Applikations-Installationen fest.
Windows Firewall
Domain: Firewall state On (recommended)
Domain: Inbound connections Aktiviert Das Default-Verhalten ist es, Verbindungen zu blockieren. Es sei denn, es sind Firewall Rules implementiert, die eine solche Verbindung zulassen.
Private: Firewall state On
Private: Inbound connections Aktiviert Das Default-Verhalten ist es, Verbindungen zu blockieren. Es sei denn, es sind Firewall Rules implementiert, die eine solche Verbindung zulassen.
Public: Apply local connection security rules No Kontrolliert, ob lokale Administratoren die Erlaubnis haben, Connection Security Regeln zu erstellen, die gemeinsam mit den Group Policies angewendet werden.
Public: Display a notification No
Public: Firewall state On
Public: Inbound connections Enabled Entscheidet über das Verhalten von inbound Connections, die nicht den inbound Firewall Rules entsprechen. Das Default-Verhalten ist es, Verbindungen zu blockieren. Es sei denn, es sind Firewall Rules implementiert, die eine solche Verbindung zulassen.

Die Namen für die Einstellungen sind dem Microsoft Security Compliance Manager “SCM”: http://www.microsoft.com/en-us/download/details.aspx?id=16776 entnommen.

Fortgeschrittene Einstellungen

Hier sind einige fortgeschrittene Empfehlungen, die Sie zusätzlich implementieren können. Dies empfiehlt sich besonders auf sehr exponierten Geräten wie Notebooks oder Geräten mit Zugriff auf vertrauliche Daten:

Wenn eine dieser Empfehlungen nicht für Ihre IT-Infrastruktur geeignet sind, ziehen Sie Segregation oder Virtualisierung in Betracht. Möglich ist die Implementierung von Micro Virtualization Technologien wie Bromium vSentry oder in einem Remote Execution Environment in einer dedizierten VDI-Infrastruktur zu einem spezifischen Zweck (Internet-Browsing, zum Beispiel). Andere Technologien, die hier hilfreich sein könnten:

Die Idee hinter all diesen Empfehlungen ist es, die Rechte von Applikationen einzuschränken und Operationen so weit wie möglich auszulagern. Ganz nach dem Vorbild des Principles of Least Privileges.

Fazit

Nein, das ist nicht das Ende… sondern nur der Anfang. Um einen alten Freund von mir zu zitieren: “Die Feineinstellungen bringen uns noch ins Grab!”

Viel Spass und langweilen Sie sich nicht. ;)

Über den Autor

Andrea Covello

Andrea Covello ist seit den 1990er Jahren im Bereich der Informationssicherheit tätig. Seine Schwerpunkte liegen traditionell im Engineering, wobei er als Spezialist im Bereich Windows-Sicherheit, Firewalling und Virtualisierung gilt.

Links

Sie wollen die Sicherheit Ihrer Firewall prüfen?

Unsere Spezialisten kontaktieren Sie gern!

×
Active Directory-Zertifikatsdienste

Active Directory-Zertifikatsdienste

Eric Maurer

Konkrete Kritik an CVSS4

Konkrete Kritik an CVSS4

Marc Ruef

Das neue NIST Cybersecurity Framework

Das neue NIST Cybersecurity Framework

Tomaso Vasella

Angriffsmöglichkeiten gegen Generative AI

Angriffsmöglichkeiten gegen Generative AI

Andrea Hauser

Sie wollen mehr?

Weitere Artikel im Archiv

Sie brauchen Unterstützung bei einem solchen Projekt?

Unsere Spezialisten kontaktieren Sie gern!

Sie wollen mehr?

Weitere Artikel im Archiv