:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/57/a4/57a4e6276b930350b50582363804c855/0111698941.jpeg "Kim Braunias ist Informationssicherheitsbeauftragte bei der Kölner FLOYT Mobility GmbH und Keynote-Speakerin auf der ISX IT-Security Conference 2023. (Bild: Privat)")
:quality(80)/p7i.vogel.de/wcms/3d/10/3d100caa95695d76a33a2a0b06c06a18/0111566255.jpeg "Stefan Würtemberger ist Vice President Information Technology bei der Marabu GmbH & Co. KG und Keynote-Speaker auf der ISX IT-Security Conference 2023. (Bild: Marabu)")
:quality(80)/p7i.vogel.de/wcms/38/06/3806f6802163325feccc44681e087da8/0111445854.jpeg "Die stark zunehmenden Zahlen an Phishing-Angriffen sind alarmierend. Gerne nutzen Hacker bekannte Markennamen und Alltagsvorgänge für Betrügereien. (Bild: mpix-foto - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b0/09/b00951f70ae122ab3b6706b07c40503c/0111698906.jpeg "Künstliche Intelligenz (KI) und maschinelles Lernen (ML) bieten enorme Möglichkeiten für die Cybersicherheit. (Bild: sabida - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e2/d7/e2d76ee2b2cb837444082fa333c883b2/0111569267.jpeg "Die CloudGuard Network Security von Check Point bietet Unternehmen ein verbrauchsbasiertes Angebot, das nahtlos in den Azure Virtual WAN Hub integriert ist. (Bild: bluebay2014 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e5/0f/e50f3478e3e1d50e6785b5989363af5a/0111527874.jpeg "Nach erfolgreichen Cyber-Angriffen drängt die Zeit. Die Backup-Strategie muss sich deshalb an der Wiederherstellung orientieren – und nicht an der Sicherung. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/be/4a/be4a3ff7421db282ea323adc388b40b8/0111572655.jpeg "Mit der optimierten Integration von Ivanti zielt Check Point darauf ab, Schwachstellen automatisch zu erkennen, zu priorisieren und zu patchen, um Angriffsflächen zu minimieren und die betriebliche Effizienz zu verbessern. (Bild: ArtemisDiana - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/eb/0b/eb0bb7ab7ff77490e91062e1b52f86f9/0111572670.jpeg "Apps können anomales Verhalten annehmen, auch wenn sie vertrauenswürdig scheinen. Bitdefender bietet nun einen Zusatzschutz, der helfen soll, bösartige Verhaltensmerkmle schnell zu erfassen. (Bild: SergeyBitos - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6d/aa/6daa5aa29b25141662484e5704d48298/0111398469.jpeg "In diesem Tool-Tipp zeigen wir, welche Möglichkeiten die Linux-Distrtibution Tails für sichere und anonyme Verbindungen zum Internet bietet. (Bild: sarayut_sy - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b4/c5/b4c5fe7bfc2459c29486330f36689d97/0111355300.jpeg "Wenn wir an beeindruckende Gebäude wie das Taj Mahal, die Oper von Sydney oder das Empire State Building denken, sehen wir große Architektur, aber denken kaum über das Fundament nach, auf dem die Bauwerke stehen und ohne das sie nicht existieren würden. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/0b/6b/0b6bf208569e3cc4cc80ea59da56d22a/0111697439.jpeg "Mit Passage von 1Password können Unternehmen Passkey-Funktionen mit wenigen Zeilen Code in ihre Apps implementieren (Bild: Hein - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/15/2b15a08e13f7973b6a2ced3f57867735/0111274612.jpeg "Das Unternehmen Grammarly beschloss den Wechsel von OTP- zu FIDO2-Authentifizierung. Was waren die Gründe für die Umstellung, die technische Anforderungen und welche zentralen Key-Learnings gab es? (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f2/e8/f2e8387ef3cf06898b1122263188a7ba/0111212748.jpeg "Über Gruppenrichtlinien ändert die Microsoft-Lösung LAPS (Local Administrator Password Solution) lokale Kennwörter zu sicheren Zeichenfolgen ab. Der Zugriff auf diese Passwörter ist nur berechtigten Administratoren im Active Directory möglich. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/93/84/9384bb94ea017e26e687483b37d810c5/0111697481.jpeg "Die ISO 27001-Norm ist ein lohnenswerter und unerlässlicher Standard, vor allem für Unternehmen im Finanzsektor. (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f2/fc/f2fc6769dabf502d45912be2472d363e/0111572675.jpeg "In letzter Zeit rücken vermehrt öffentliche Einrichtungen und die Verwaltung ins Visier von Cyberkriminellen. (© sitthiphong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/25/37/25379f26b78cbb4f91e3e8446f5aa637/0111189642.jpeg "(Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/6d/d7/6dd79933ebb02e829960e12ea0e7ae09/0111189555.jpeg "Bei BaaS (Backup-as-a-Service) erfolgt die Datensicherung über Netzwerkverbindungen auf einem Cloud-Storage. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/44/89/4489a121318d790fc55c66bd396c5650/0111189558.jpeg "CaaS (Cybercrime-as-a-Service) ist ein professionalisiertes Geschäftsmodell für Cyberkriminalität mit buchbaren Dienstleistungen. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Sicherheitsempfehlungen von Microsoft automatisiert umsetzen Security-Baseline für Windows Server 2022 und Windows 11
Mit dem Microsoft Security Compliance Toolkit ist es kostenlos möglich Sicherheitsempfehlungen von Microsoft für Windows Server 2022 über Gruppenrichtlinien im Netzwerk zu verteilen. Wir zeigen, wie das geht.
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/107300/107370/65.png "pressebox_600x600_v2.png ()")
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087e22313077/fujitsu-300dpi--002-.jpg "Fujitsu 300dpi (002).jpg (Fujitsu)")
:fill(fff,0)/p7i.vogel.de/companies/63/21/6321c5a61e622/09-spec-color-white-space-mne-logo.jpeg "09-spec-color-white-space-mne-logo (Specops Software GmbH)"){kind=logo}
Das Microsoft Security Compliance Toolkit ist ein kostenloses Werkzeug von Microsoft, mit dem Sicherheitseinstellungen im Netzwerk über Gruppenrichtlinien verteilt werden können. Microsoft stellt jetzt auch die dazu notwendigen Vorlagen für Windows Server 2022 zur Verfügung. In den Baselines sind auch Sicherheitseinstellungen für Windows 11 berücksichtigt.
Bei der Umsetzung der Richtlinien werden vor allem Einstellungen bezüglich der Sicherheit und auch der Überwachung auf Windows-Servern verteilt. In der neuen Baseline hat Microsoft auch Verbesserungen für Domänencontroller mit Windows Server 2022 integriert.
:quality(80)/images.vogel.de/vogelonline/bdb/1944800/1944850/original.jpg "Das Microsoft Security Compliance Toolkit umfasst neue Richtlinienvorlagen für Windows Server 2022 und Windows 11.")
:quality(80)/images.vogel.de/vogelonline/bdb/1944800/1944851/original.jpg "Für die Analyse vorhandenerer Richtlinien können auch Backups erstellt und genutzt werden.")
:quality(80)/images.vogel.de/vogelonline/bdb/1944800/1944852/original.jpg "Importieren der neuen Gruppenrichtlinienvorlagen für Windows Server 2022 und Windows 11.")
:quality(80)/images.vogel.de/vogelonline/bdb/1944800/1944853/original.jpg "Richtlinien mit dem Policy-Analyzer vergleichen.")
Mehr Schutz gegen PrintNightmare und Domänencontroller
In der neuen Version der Baselines für Windows-Server legt Microsoft auch einen Schwerpunkt auf die Sicherheitslücke "PrintNightmare" (CVE-2021-34527). So lässt sich mit den neuen Richtlinien die Installation von Druckertreiber von Administratoren auf PCs blockieren.
Wir sind bereits in den beiden Beiträgen „Wichtiges Update für PrintNightmare“ (https://www.security-insider.de/wichtiges-update-fuer-printnightmare-a-1046918) und „Microsoft schließt fast 120 schwere Sicherheitslücken“ auf „PrintNightmare“ eingegangen.
Auch die Sicherheits-Optimierung von Microsoft Edge und Microsoft Defender sind wichtige Bereiche in den neuen Security-Baselines für Windows Server 2022. Mit den Security-Baselines kann zum Beispiel auch Microsoft Edge auf Domänencontrollern komplett blockiert werden.
:quality(80)/images.vogel.de/vogelonline/bdb/1854700/1854741/original.jpg "Albtraum für Administratoren: Die Windows-Druckerwarteschlange bringt Systemverantwortliche um den ruhigen Schlaf. (©Findus2000 - stock.adobe.com)")
Forscher bringen Windows Printer Spooler zur Black Hat USA 2021
Der PrintNightmare geht weiter
Drei wichtige Neuerungen in den Security Baselines für Windows Server 2022
Die maßgeblichen Neuerungen in den Security Baselines für Windows Server 2022 besteht aus drei Neuerungen, die bis zur aktuellen Version kein Bestandteil waren.
In der Liste für das Blockieren von Browsern auf Domänencontrollern sind in der neuen Version Microsoft Internet Explorer, Mozilla Firefox, Google Chrome und Microsoft Edge enthalten.
Die neue Version nutzt eine automatische Aktivierung der Skriptüberprüfung ("Administrative Vorlagen\Windows-Komponenten\Microsoft Defender Antivirus\Echtzeitschutz\Skriptüberprüfung aktivieren"). Diese Funktion kann auch für Windows 11 aktiviert werden.
Die dritte Einstellung betrifft die bereits beschriebene Aktivierung der Einschränkung von Treiberinstallationen für Drucker durch Administratoren. Die Einstellungen dazu befinden sich in der ADMX-Datei "SecGuide.admx".
Bestandteil des Microsoft Security Compliance Toolkit und der neuen Gruppenrichtlinien sind auch die vier Skripte:
- Baseline-ADImport.ps1
- Baseline-LocalInstall.ps1
- Remove-EPBaselineSettings.ps1
- MapGuidsToGpoNames.ps1
Teilweise gibt es in den Skripten, zum Beispiel "Baseline-ADImport.ps1" Fehler in den Versionen, bezüglich Microsoft Edge. Es ist daher sinnvoll das Skript mit einem Editor zu überprüfen und zum Beispiel die eingesetzte Edge-Version zu aktualisieren.
Es ist aber auch möglich nach dem Download müssen die ADMX-Dateien mit den Einstellungen sowie die dazugehörigen Sprachdateien (ADML) auf die Domänencontroller manuell zu kopieren. Das Standardverzeichnis dafür ist „C:\PolicyDefinitions“. Im Richtlinien-Editor sind anschließend die neuen Einstellungen verfügbar. Die ADML-Dateien müssen in die entsprechenden Unterordner für die Sprache. Es bietet sich an, neben den ADMX-Dateien und den deutschen ADML-Dateien, auch die englischen ADML-Dateien zu kopieren.
Neue Gruppenrichtlinien mit Baseline-ADImport.ps1 in AD integrieren
Einfacher geht es, wenn Sie das Verzeichnis für die Baselines in ein Verzeichnis auf einem Domänencontroller kopieren und danach im Verzeichnis "Scripts" das Skript "Baseline-ADImport.ps1" ausführen. Bei diesem Vorgang kopiert das Skript die notwendigen Dateien automatisch in das richtige Verzeichnis und legt auch gleich neue Gruppenrichtlinien an, die aber noch nicht mit einem Container verknüpft sind.
Sicherheitsempfehlungen umsetzen
Mit dem Policy Analyzer aus dem “Microsoft Security Compliance Toolkit” lassen sich vorhandene Gruppenrichtlinien analysieren und nach Schwachstellen untersuchen. Policy Analyzer liest Richtlinien ein und zeigt in einer Tabelle Registry-Einstellungen an, die umgesetzt werden sollten. Das Tool muss nicht installiert werden. Nach dem Download muss lediglich die Datei "PolicyAnalyzer.exe" gestartet werden.
Zur Analyse nutzt Policy Analyzer aber nicht die tatsächlichen Richtlinien auf den Domänencontrollern, sondern Sicherungsdateien. Zuvor muss also eine Sicherung der zu analysierenden Sicherung in der Gruppenrichtlinienverwaltungskonsole (gpmc.msc) erstellt werden. Wir sind im Beitrag „BSI bietet Hilfe bei der Absicherung von Windows“ auf das Thema eingegangen. In der Gruppenrichtlinienverwaltungskonsole lassen sich Sicherungen der Gruppenrichtlinien schnell und einfach über das Kontextmenü von "Gruppenrichtlinienobjekte" erstellen.
Bestandteil des Zip-Archivs der Sicherheitsempfehlungen von Microsoft sind Dateien mit der Endung „PolicyRules“. Dabei handelt es sich um die Dateien, die Policy-Analyzer-Daten der neuen Gruppenrichtlinien enthalten.
Gruppenrichtlinienvorlagen manuell importieren
Die Vorlagen umfassen auch GPO-Vorlagen die in der Gruppenrichtlinienverwaltungskonsole importiert werden können, ein PowerShell-Skript zum Anwenden der GPOs auf lokale Richtlinien, benutzerdefinierte ADMX-Dateien für Gruppenrichtlinieneinstellungen, Dokumentationen in Tabellenkalkulationsform und verschiedene Policy Analyzer-Dateien.
Der einfachste Weg, um die Richtlinien umzusetzen, besteht darin diese in neue GPOs zu importieren. Hier besteht der beste Weg darin neue Richtlinien anzulegen und die Richtlinienvorgaben über das Kontextmenü zu importieren. Der Vorgang wird über einen Assistenten vorgenommen. Hier ist es auch möglich die Einstellungen der Richtlinien anzuzeigen. Bis die GPO noch nicht mit einem Container verknüpft ist, wendet kein Computer die Einstellungen an.
(ID:48109635)
:quality(80)/images.vogel.de/vogelonline/bdb/1765600/1765674/original.jpg "Sicherheit muss nicht immer Geld kosten. Windows Server 2016 lässt sich auch mit Microsoft Defender und der Microsoft Defender Firewall grundlegend absichern. (monsitj - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1599700/1599712/original.jpg "DNS ist in Windows Server-Umgebungen mit Active Directory zwar schnell eingerichtet, aber Administratoren müssen sich auch unbedingt um die DNS-Sicherheitsaspekte kümmern! (monsitj - stock.adobe.com)")