Windows 10 – Security Baselines und empfohlene GPO Einstellungen

Windows 10 – Security Baselines und empfohlene GPO Einstellungen

Keine Kommentare zu Windows 10 – Security Baselines und empfohlene GPO Einstellungen

Bereits im November hatte ich in einem Artikel darauf hingewiesen, dass Microsoft die ersten Security Baselines für die Version 1511 (TH2, Threshold2, November Release, Build 10586…) von Windows 10 veröffentlicht hatte.

Nun ist es soweit und die finalen Security Baselines für Windows 10 TH2 sind verfügbar. Zudem wurden die Baselines für das TH1 (v1507, build 10240, Threshold 1, LTSB) von Windows 10 erneut aktualisiert.

Update für die Security Baselines – Windows 10 v1507

Für das TH1 wurden die Security Baselines noch einmal geupdated. Folgende Anpassungen wurden dabei vorgenommen:

  • Removed configuration of “Allow unicast response” from all three Windows Firewall profiles, as disallowing unicast response regularly causes DHCP address acquisition to fail. The threat it is supposed to protect against is miniscule.
  • Removed the restrictions on the number of cached logons. Cached logon verifiers are difficult to break, particularly on Windows Vista and newer. (The DISA STIG has also removed this restriction.)
  • Removed the screen saver timeout from User configuration, as the computer-wide “Interactive logon: Machine inactivity limit” setting removes that need.
  • Removed all EMET settings from the baseline for the time being. Configuration settings in the upcoming version of EMET will be in a different format from that of the existing EMET 5.5 beta.
  • Removed the configuration setting for “Recovery console: Allow automatic administrative logon.” This setting has been obsolete since Windows XP and its removal just got missed until now.

Die Baselines für TH1 liegen nur in Form von importierbaren GPOs und einer begleitenden Dokumentation vor. Es wird für dieses Release keine SCM (Security Compliance Manager) .CAB Dateien geben. Die Bemühungen für SCM Dateien fließen in TH2. Zudem sollte TH1 ohnehin nur für LTSB Nutzer von Interesse sein, alle anderen sollten auf v1511 updaten …

Hier findet ihr den Download und zusätzliche Infos:

Security baseline for Windows 10 (v1507, build 10240, TH1, LTSB) — UPDATE

Finale Version der Security Baselines – Windows 10 v1511

Für die Version v1511 von Windows 10 liegen nun die finalen Security Baselines vor. Auch diese sind zunächst nur als importierbare GPOs und eine begleitende Doku im Excel-Format verfügbar. Allerdings soll in den nächsten Tagen eine SCM .CAB-Datei folgen…

Folgende Anpassungen sind inzwischen eingeflossen:

  • Enabled “Turn off Microsoft consumer experiences,” which is a new setting as of version 1511.
  • Removed configuration of “Allow unicast response” from all three Windows Firewall profiles, as disallowing unicast response regularly causes DHCP address acquisition to fail. The threat it is supposed to protect against is miniscule.
  • Removed the restrictions on the number of cached logons. Cached logon verifiers are difficult to break, particularly on Windows Vista and newer. (The DISA STIG has also removed this restriction.)
  • Removed the screen saver timeout from User configuration, as the computer-wide “Interactive logon: Machine inactivity limit” setting removes that need.
  • Removed all EMET settings from the baseline for the time being. Configuration settings in the upcoming version of EMET will be in a different format from that of the existing EMET 5.5 beta.
  • Removed the configuration setting for “Recovery console: Allow automatic administrative logon.” This setting has been obsolete since Windows XP and its removal just got missed until now

Hier findet ihr den Download und zusätzliche Infos:
Security baseline for Windows 10 (v1511, “Threshold 2”) — FINAL

About the author:

Ich bin Eric Berg und bin Senior IT-Consultant für Microsoft Solutions und hauptsächlich im Bereich Virtualisierung, Client-Lifecycle Management, Private und Public Cloud aktiv. Seit 2015 bin ich System Center Cloud und Datacenter MVP. Seit 2014 bin ich Microsoft Partner Technical Solutions Professional (P-TSP) und agiere im Auftrag von Microsoft mit Kunden rund um die oben beschriebenen Themen. Alle Gedanken, Meinungen und Ideen auf dieser Website sind von mir und spiegeln nicht die Haltung meines Arbeitgebers oder von Microsoft wieder.

Related Posts

Leave a comment

Back to Top