Windows 10 – Security Baselines und empfohlene GPO Einstellungen
25. Januar 2016
Bereits im November hatte ich in einem Artikel darauf hingewiesen, dass Microsoft die ersten Security Baselines für die Version 1511 (TH2, Threshold2, November Release, Build 10586…) von Windows 10 veröffentlicht hatte.
Nun ist es soweit und die finalen Security Baselines für Windows 10 TH2 sind verfügbar. Zudem wurden die Baselines für das TH1 (v1507, build 10240, Threshold 1, LTSB) von Windows 10 erneut aktualisiert.
Update für die Security Baselines – Windows 10 v1507
Für das TH1 wurden die Security Baselines noch einmal geupdated. Folgende Anpassungen wurden dabei vorgenommen:
- Removed configuration of „Allow unicast response“ from all three Windows Firewall profiles, as disallowing unicast response regularly causes DHCP address acquisition to fail. The threat it is supposed to protect against is miniscule.
- Removed the restrictions on the number of cached logons. Cached logon verifiers are difficult to break, particularly on Windows Vista and newer. (The DISA STIG has also removed this restriction.)
- Removed the screen saver timeout from User configuration, as the computer-wide „Interactive logon: Machine inactivity limit“ setting removes that need.
- Removed all EMET settings from the baseline for the time being. Configuration settings in the upcoming version of EMET will be in a different format from that of the existing EMET 5.5 beta.
- Removed the configuration setting for „Recovery console: Allow automatic administrative logon.“ This setting has been obsolete since Windows XP and its removal just got missed until now.
Die Baselines für TH1 liegen nur in Form von importierbaren GPOs und einer begleitenden Dokumentation vor. Es wird für dieses Release keine SCM (Security Compliance Manager) .CAB Dateien geben. Die Bemühungen für SCM Dateien fließen in TH2. Zudem sollte TH1 ohnehin nur für LTSB Nutzer von Interesse sein, alle anderen sollten auf v1511 updaten …
Hier findet ihr den Download und zusätzliche Infos:
Security baseline for Windows 10 (v1507, build 10240, TH1, LTSB) — UPDATE
Finale Version der Security Baselines – Windows 10 v1511
Für die Version v1511 von Windows 10 liegen nun die finalen Security Baselines vor. Auch diese sind zunächst nur als importierbare GPOs und eine begleitende Doku im Excel-Format verfügbar. Allerdings soll in den nächsten Tagen eine SCM .CAB-Datei folgen…
Folgende Anpassungen sind inzwischen eingeflossen:
- Enabled „Turn off Microsoft consumer experiences,“ which is a new setting as of version 1511.
- Removed configuration of „Allow unicast response“ from all three Windows Firewall profiles, as disallowing unicast response regularly causes DHCP address acquisition to fail. The threat it is supposed to protect against is miniscule.
- Removed the restrictions on the number of cached logons. Cached logon verifiers are difficult to break, particularly on Windows Vista and newer. (The DISA STIG has also removed this restriction.)
- Removed the screen saver timeout from User configuration, as the computer-wide „Interactive logon: Machine inactivity limit“ setting removes that need.
- Removed all EMET settings from the baseline for the time being. Configuration settings in the upcoming version of EMET will be in a different format from that of the existing EMET 5.5 beta.
- Removed the configuration setting for „Recovery console: Allow automatic administrative logon.“ This setting has been obsolete since Windows XP and its removal just got missed until now
Hier findet ihr den Download und zusätzliche Infos:
Security baseline for Windows 10 (v1511, „Threshold 2“) — FINAL
Ähnliche Beiträge
Dieser Post ist auch verfügbar auf:
Englisch
Leave a comment