Projekt SiSyPHuS - Vorgefertigte Gruppenrichtlinien importieren BSI bietet Hilfe bei der Absicherung von Windows

Autor / Redakteur: Thomas Joos / Peter Schmitz

Das Bundesamt für Sicherheit in der Informationstechnik bietet im Rahmen seines SiSyPHuS-Projektes Anleitungen und Vorlagen für Gruppenrichtlinien, mit denen Anwender und Administratoren ihre Windows 10-Rechner abhärten können.

Firma zum Thema

Das BSI gibt Empfehlungen für die Härtung von Windows 10 und stellt dazu passende Vorlagen für Gruppenrichtlinien zur Verfügung.
Das BSI gibt Empfehlungen für die Härtung von Windows 10 und stellt dazu passende Vorlagen für Gruppenrichtlinien zur Verfügung.
(© putilov_denis - stock.adobe.com)

Mit seinem Projekt SiSyPHuS Win10 (Studie zu Systemintegrität, Protokollierung, Härtung und Sicherheitsfunktionen in Windows 10) stellt das BSI Empfehlungen für die Härtung von Windows 10 und dazu passende Vorlagen für Gruppenrichtlinien zur Verfügung. Basis für die Richtlinien und Empfehlungen des BSI sind die jeweils aktuelle LTSC-Version von Windows 10.

Mehr Windows 10-Sicherheit für Behörden, Unternehmen und Organisationen

Die Vorlagen lassen sich problemlos schnell und einfach importieren, sodass die Empfehlungen 1:1 über Bordmittel umgesetzt werden können. Für den Einsatz von Gruppenrichtlinien sind die Editionen Pro, Enterprise und Education von Windows 10 notwendig. Die Empfehlungen richten sich generell an Behörden, sind aber selbstverständlich auch für andere Netzwerke sinnvoll.

Bildergalerie
Bildergalerie mit 5 Bildern

Beachtet werden sollte hier allerdings auch, dass bei Abhärtung des Betriebssystems die Arbeit mit Windows 10 unbequemer wird, da die Sicherheitseinstellungen einige, bequeme Vorgänge blockieren. Mit den Vorlagen lassen sich Gruppenrichtlinien für lokale Rechner ohne Active Directory importieren, aber auch Computer in Active Directory-Umgebungen umsetzen.

Neben Gruppenrichtlinienvorlagen bietet das Projekt auch Anleitungen für die Verbesserung der Sicherheit. Die Umsetzung der Sicherheitseinstellungen befassen sich mit tiefgehenden Optimierungen von Windows 10. Wer die Einstellungen umsetzt, sollte sich daher gut mit Windows 10 auskennen und auch wissen, wie er die einzelnen Einstellungen wieder rückgängig machen kann.

Drei verschiedene Schutzstufen über Gruppenrichtlinien definieren

Bei den Gruppenrichtlinien und Hinweisen für die Verbesserung der Sicherheit, stellt das Projekt Vorlagen für drei verschiedene Sicherheitsstufen zur Verfügung. Für einzelne PCs gibt es die Hinweise für „Normaler Schutzbedarf Einzelrechner“.

Für Computer in Active Directory-Domänen gibt es „Normaler Schutzbedarf Domänenmitglied“ und „Hoher Schutzbedarf Domänenmitglied“. Die Einstellungen für Computer mit hohem Schutzbedarf umfassen immer auch die Einstellungen des normalen Schutzbedarfs. Es müssen also jeweils nur die Vorlagen für die gewünschte Sicherheitsstufe importiert werden.

Für diese drei Sicherheitsbereiche gibt es jeweils eigene Gruppenrichtlinienvorlagen. Hier stehen wiederum die Einstellungen für „Benutzer“ und für „Computer“ zur Verfügung. Die Vorlagen befinden sich auf der Seite des Projektes unter dem Link „Gruppenrichtlinienobjekte (Version X.X). Das Projekt wird ständig weiterentwickelt. Gibt es eine neue Version der Gruppenrichtlinienvorlagen, sind diese auf der Seite ebenfalls verfügbar.

Gruppenrichtlinienvorlagen umsetzen

Die Umsetzung der Sicherheitseinstellungen erfolgt über die Integration der Richtlinieneinstellungen auf lokalen Rechnern und lokalen Richtlinien, oder über die Integration in Gruppenrichtlinien. Bei der Verwendung von Gruppenrichtlinien setzen die Domänencontroller die Richtlinien auf allen Computern um, die zu den Organisationseinheiten gehören in denen die Computerkonten der Computer integriert sind.

Auf der Seite mit dem Download der Gruppenrichtlinienvorlagen stellt das BSI auch eine PDF-Anleitung für den Umgang mit den Richtlinien zur Verfügung. Für jede Version gibt es eine eigene Anleitung. Für die Integration auf Einzelplatzrechnern steht das Tool „lgpo.exe“ von Microsoft zur Verfügung. Das Tool gehört zum „Microsoft Security Compliance Toolkit“. Dieses stellt Microsoft kostenlos zur Verfügung. Die Richtlinien lassen sich in diesem Fall mit folgenden Befehlen umsetzen:

LGPO.exe /g „C:\<Pfad>\Normaler Schutzbedarf Einzelrechner (NE) – Computer“LGPO.exe /g „C:\<Pfad>\Normaler Schutzbedarf (NE, ND) – Computer“LGPO.exe /g „C:\<Pfad>\Protokollierung (NE, ND, HD) – Computer“

Bei der Syntax muss natürlich darauf geachtet werden, dass sich „lgpo.exe“ im ausführenden Pfad befinden, und die Namen der Verzeichnisse der Vorlagen stimmen. Die Vorlage zur Protokollierung von Einstellungen in Windows 10 nimmt die geringsten Anpassungen vor.

Gruppenrichtlinien in Active Directory umsetzen

Bei der Verwendung von Active Directory ist kein weiteres Tool notwendig. Hier können die Gruppenrichtlinienvorlagen in neue Gruppenrichtlinien importiert werden. Generell ist es sehr empfehlenswert nicht vorhandene Richtlinien anzupassen, sondern für die Empfehlungen des BSI eigene Richtlinien zu erstellen. Funktioniert mit den Richtlinien etwas nicht, reicht es aus, die Richtlinie wieder zu deaktivieren, in dem die Verknüpfung der Richtlinie von der Domäne oder OU entfernt wird. Andere Richtlinien und deren Einstellungen sind in diesem Fall nicht betroffen.

In Active Directory wird für die Umsetzung in der Gruppenrichtlinien­verwaltungskonsole „gpmc.msc“ eine neue Gruppenrichtlinie erstellt. Die Richtlinie enthält noch keine Einstellungen und ist auch noch nicht mit einem Container oder der Active Directory-Domäne verknüpft. Daher haben die Anpassungen bis zu diesem Zeitpunkt noch keine Auswirkungen.

Über das Kontextmenü der neuen Richtlinie steht der Menüpunkt „Einstellungen importieren“ zur Verfügung. Nach der Auswahl des Verzeichnisses mit den Vorlagen des BSI übernimmt die Gruppenrichtlinienverwaltungskonsole die empfohlenen Einstellungen in die neue Richtlinie. Nach dem Import wird die Richtlinie noch mit dem gewünschten Container verknüpft. Danach wenden die Computer die Einstellungen an.

(ID:47612038)

Über den Autor

 Thomas Joos

Thomas Joos

Freiberuflicher Autor und Journalist