MOUNTAIN IT - Closer To The Cloud

Search

Windows 10 – Security Baselines und empfohlene GPO Einstellungen

25. Januar 2016 Keine Kommentare zu Windows 10 – Security Baselines und empfohlene GPO Einstellungen

Bereits im November hatte ich in einem Artikel darauf hingewiesen, dass Microsoft die ersten Security Baselines für die Version 1511 (TH2, Threshold2, November Release, Build 10586…) von Windows 10 veröffentlicht hatte.

Nun ist es soweit und die finalen Security Baselines für Windows 10 TH2 sind verfügbar. Zudem wurden die Baselines für das TH1 (v1507, build 10240, Threshold 1, LTSB) von Windows 10 erneut aktualisiert.

Update für die Security Baselines – Windows 10 v1507

Für das TH1 wurden die Security Baselines noch einmal geupdated. Folgende Anpassungen wurden dabei vorgenommen:

  • Removed configuration of „Allow unicast response“ from all three Windows Firewall profiles, as disallowing unicast response regularly causes DHCP address acquisition to fail. The threat it is supposed to protect against is miniscule.
  • Removed the restrictions on the number of cached logons. Cached logon verifiers are difficult to break, particularly on Windows Vista and newer. (The DISA STIG has also removed this restriction.)
  • Removed the screen saver timeout from User configuration, as the computer-wide „Interactive logon: Machine inactivity limit“ setting removes that need.
  • Removed all EMET settings from the baseline for the time being. Configuration settings in the upcoming version of EMET will be in a different format from that of the existing EMET 5.5 beta.
  • Removed the configuration setting for „Recovery console: Allow automatic administrative logon.“ This setting has been obsolete since Windows XP and its removal just got missed until now.

Die Baselines für TH1 liegen nur in Form von importierbaren GPOs und einer begleitenden Dokumentation vor. Es wird für dieses Release keine SCM (Security Compliance Manager) .CAB Dateien geben. Die Bemühungen für SCM Dateien fließen in TH2. Zudem sollte TH1 ohnehin nur für LTSB Nutzer von Interesse sein, alle anderen sollten auf v1511 updaten …

Hier findet ihr den Download und zusätzliche Infos:

Security baseline for Windows 10 (v1507, build 10240, TH1, LTSB) — UPDATE

Finale Version der Security Baselines – Windows 10 v1511

Für die Version v1511 von Windows 10 liegen nun die finalen Security Baselines vor. Auch diese sind zunächst nur als importierbare GPOs und eine begleitende Doku im Excel-Format verfügbar. Allerdings soll in den nächsten Tagen eine SCM .CAB-Datei folgen…

Folgende Anpassungen sind inzwischen eingeflossen:

  • Enabled „Turn off Microsoft consumer experiences,“ which is a new setting as of version 1511.
  • Removed configuration of „Allow unicast response“ from all three Windows Firewall profiles, as disallowing unicast response regularly causes DHCP address acquisition to fail. The threat it is supposed to protect against is miniscule.
  • Removed the restrictions on the number of cached logons. Cached logon verifiers are difficult to break, particularly on Windows Vista and newer. (The DISA STIG has also removed this restriction.)
  • Removed the screen saver timeout from User configuration, as the computer-wide „Interactive logon: Machine inactivity limit“ setting removes that need.
  • Removed all EMET settings from the baseline for the time being. Configuration settings in the upcoming version of EMET will be in a different format from that of the existing EMET 5.5 beta.
  • Removed the configuration setting for „Recovery console: Allow automatic administrative logon.“ This setting has been obsolete since Windows XP and its removal just got missed until now

Hier findet ihr den Download und zusätzliche Infos:
Security baseline for Windows 10 (v1511, „Threshold 2“) — FINAL

Dieser Post ist auch verfügbar auf: Englisch

Tags:

Related Posts

  • Windows 10 (1709) – Problem mit Gastzugriff in SMB2
    18. Dezember 2017

    Manchmal sind es die kleinen Dinge, die einen Umstieg auf ein neues Betriebssystem erschweren. So kommt es vor, dass kleine Änderungen an der Konfiguration des OS oder an den Sicherheitseinstellungen (Gastzugriff) dazu führen, dass an Arbeiten nach dem Upgrade nicht zu denken ist. So gesehen mit dem Update auf 1709 in einem kleinen Unternehmen…aber fangen wir…

  • Windows 10–Security Baseline DRAFT für 1703 verfügbar
    16. Juni 2017

    Lange erwartet…endlich da…naja fast: Microsoft hat einen DRAFT der Security Baseline für das Windows 10 Creatiors Update veröffentlicht: Security baseline for Windows 10 “Creators Update” (v1703) – DRAFT Neuerungen Die aktuellen Neuerungen halten sich durchaus in Grenzen…allerdings sind einige Empfehlungen enthalten, die bisher in den Baselines keine Beachtung erhielten: Empfehlung zur Deaktivierung von Diensten Empfehlung…

  • PowerShell Security für Enterprise Kunden
    7. Juni 2017

    Die einen hassen sie, die anderen lieben sie: die PowerShell Doch was oftmals vergessen (oder gern ausgeblendet wird) ist das Thema Security… Wer schonmal bei mir in einem Kurs war kennt das Thema vermutlich…ich lasse mich ja gern darüber aus, was man so alles falsch machen kann… Nun hat David das Neves einen extrem umfangreichen…

  • Windows 10 – News und Links für IT-Pros
    6. Juni 2017

    Das Windows 10 Creators Update (1703) ist nun schon seit einigen Wochen verfügbar…und dennoch gibt es immer wieder News und Dinge die man noch nicht erkundet hat. Daher hier mal eine Zusammenfassung (ohne Anspruch auf Vollständigkeit): Windows 10 – Feature Releases Im Artikel mit dem zauberhaften Titel: Windows and Office align feature release schedules to…

  • Windows 10 Creators Update – Neue GPO Settings
    21. April 2017

    Alle haben sich auf das Creators Update gefreut…alle haben darauf hingearbeitet…und dann war es da!!! DAS CREATORS UPDATE nun gut…und noch die ein oder andere Aufgabe für die IT in Unternehmen. Eine der beliebtesten Aufgaben hierbei: Herausfinden welche neuen GPOs es gibt neue ADMX-Files einspielen GPOs konfigurieren testen fluchen …   Nun gestaltet sich oftmals…

< >

Leave a comment

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.

GeekSprech Podcast

GeekSchau Webcast

Blog via E-Mail abonnieren

Gib deine E-Mail-Adresse ein, um dieses Blog zu abonnieren und Benachrichtigungen über neue Artikel per E-Mail zu erhalten.

Schließe dich 36 anderen Abonnenten an

Folge mir auf Twitter

Back to Top