Aufbauend auf den im Projekt SiSyPHuS Win10 erarbeiteten Ergebnissen ist für Windows 10 eine Konfigurationsempfehlung zur Härtung erstellt worden, welche Teilaspekte der Szenarien "normaler Schutzbedarf Domänenmitglied“ (ND), "hoher Schutzbedarf Domänenmitglied“ (HD) sowie "normaler Schutzbedarf Einzelrechner“ (NE) betrachtet.

Die Empfehlung richtet sich an fortgeschrittene Anwender und Administratoren und ist geeignet, die Konfigurationseinstellungen des Betriebssystems direkt umsetzen zu können.

• Konfigurationsempfehlungen zur Härtung von Windows 10 mit Bordmitteln
• Einstellungen Härtungsempfehlungen (Version 1.1)
• Einstellungen Härtungsempfehlungen (Version 1.0)

Inhaltsverzeichnis

1 Einleitung
1.1 Zusammenfassung
2 Allgemeines
2.1 Geltungsbereich
2.2 Rahmenbedingungen
2.3 Definition der Szenarien
2.4 Auswirkungen auf Funktionalitäten im Betriebssystem
3 Generelle Maßnahmenempfehlungen
3.1 Nutzung sicherer Quellen für Hard- und Software
3.2 Verwendung getrennter Standardbenutzerkonten und Administratorenkonten
3.3 Verwendung angemessener Kennwortrichtlinien
3.4 Sicheres Speichern von Kennwörtern
3.5 Keine Wiederverwendung von Kennwörtern
3.6 Regelmäßige Aktualisierung der Firmware, des Betriebssystems und installierter Applikationen
3.7 Installation ausschließlich notwendiger Applikationen und Betriebssystem-Komponenten
3.8 Verwendung von Festplattenverschlüsselung
4 Konfigurationsempfehlungen
5 Zusätzliche Konfigurationsempfehlungen
5.1 (HD) Windows Defender-Anwendungssteuerung
5.2 (HD, ND, NE) Virtualisierungsbasierte Sicherheit
5.3 (HD, ND, NE) Trusted Platform Module
5.4 (HD, ND, NE) Windows Telemetrie
5.5 (HD, ND, NE) Powershell und Windows Script Host
5.6 (HD, ND, NE) Firmware
Anhang
Werkzeuge
Referenzen
Abkürzungen

Kurzzusammenfassung

Die Inhalte der Empfehlung zur Härtung basieren auf den im Projekt erarbeiteten Analyseergebnissen, auf Security Best Practices sowie auf langjähriger Expertise von ERNW. Zu allen Empfehlungen erfolgt ein Abgleich mit den in der Security Baseline für Windows 10 1809 von Microsoft enthaltenen Einstellungen sowie dem Center for Internet Security (CIS) Benchmark für Windows 10 Enterprise (Version 1809). Abweichungen von der Security Baseline oder dem CIS-Benchmark werden im Dokument für die betroffenen Einstellungen erläutert und begründet.

Das Dokument und die darin enthaltenen Konfigurationsempfehlungen sind gültig für das Betriebssystem Microsoft Windows 10 Long Term Servicing Channel (LTSC), Version 2019. Die hierzu äquivalente Semi-Annual Channel (SAC) Version entspricht Windows 10, Version 1809 und ist zu Windows 10 LTSC Version 2019 hinsichtlich des Kernels und der Komponenten, die in beiden Versionen enthalten sind, funktionsgleich.

Die gegebenen Empfehlungen sind im Hinblick auf die Absicherung eines Standard-Büroarbeitsplatzrechners mit den zur Verfügung stehenden Bordmitteln des Betriebssystems erstellt worden. Dabei sollen möglichst wenig Funktionseinschränkungen entstehen. Je nach Einsatzort und –Zweck des Systems müssen daher ggf. noch weitere Maßnahmen getroffen oder strengere Konfigurationseinstellungen umgesetzt werden.

Bei der Erstellung der Empfehlung folgte die Auswahl der konkreten Härtungsempfehlungen den folgenden Grundprinzipien zur Erhöhung der Systemsicherheit:

• Verhinderung von bekannten und verbreiteten Angriffsszenarien, die nach aktueller Kenntnislage aktiv ausgenutzt werden bzw. mit hoher Wahrscheinlichkeit ausgenutzt werden können.
• Verringerung der Angriffsfläche durch Deaktivierung nicht benötigter (oder veralteter) Funktionen und Komponenten.
• Verbesserung des Datenschutzes, indem Funktionen und Komponenten, die auf Cloud-Diensten basieren, deaktiviert werden.
• Verbesserung des Datenschutzes, indem soweit wie möglich die Übertragung von – nicht für die Funktionalität benötigten – Informationen an den Hersteller unterbunden wird.
• Minimierung von wichtigen Sicherheits- und Datenschutzentscheidungen sowie Auswahlmöglichkeiten durch den Benutzer.
• Erzwingen von bereits sinnvollen Standardeinstellungen, um eine Modifikation durch den Benutzer zu verhindern.

Gruppenrichtlinien-Objekte zu den Empfehlungen werden gesondert unter dem Punkt "Gruppenrichtlinien zur Konfiguration" auf der Projekthauptseite bereitgestellt.