Meine US-Kollegen haben eine Vorabversion der Security Baselines für Windows 10 und Internet Explorer 11 veröffentlicht. Die Security Baselines sind eine Sammlung von Einstellungen und Gruppenrichtlinien, mit deren Hilfe sich Funktionen in Betriebssystemen und Anwendungen sicher verwenden lassen.
Wie die Kollegen in einem Blogbeitrag schreiben, verfolgt Microsoft mit der aktuellen Fassung einen anderen Ansatz als bislang: Vorhandene Einstellungen wurden dahingehend überprüft, ob sie überhaupt noch zur Abwehr derzeit aktueller Attacken geeignet sind. Ergebnis: Bislang wurden 44 vorhandene Settings entfernt, da sie zumeist lediglich die inzwischen üblichen Voreinstellungen abbildeten. Die Security Baselines werden so übersichtlicher, so dass sich IT-Profis auf die relevanten Sicherheitsprobleme – und deren Abwehr – konzentrieren können.
Die Baseline für Windows 10 umfasst auch Richtlinien zum Aktivieren der im Mai 2015 vorgestellten Local Administrator Password Solution (LAPS). LAPS wählt für jeden Server in einer Domäne ein zufälliges lokales Admin-Passwort aus, so dass niemals auf zwei Servern das gleiche Passwort verwendet wird. Auf diese Weise lassen sich die seit einiger Zeit beobachteten, durchschlagkräftigen Pass-the-Hash-Attacken wirksam verhindern.
Derzeit arbeiten die US-Kollegen noch daran, die Inhalte der Security Baselines für Windows 10 und Internet Explorer 11 in einem für den Security Compliance Manager (SCM) verständlichen Format aufzubereiten. Bis dahin finden IT-Profis alle Bestandteile in einem ZIP-Archiv. Es beinhaltet unter anderem eine Übersicht aller Einstellungen samt Hervorhebungen der Neuerungen, die Group Policy Objects (GPOs), Skripte und Tools, um alle Einstellungen in die eigenen Gruppenrichtlinien übernehmen zu können.
Gastbeitrag von Michael Kranawetter, National Security Officer (NSO) bei Microsoft in Deutschland. In seinem eigenen Blog veröffentlicht Michael alles Wissenswerte rund um Schwachstellen in Microsoft-Produkten und die veröffentlichten Softwareupdates.
Der ganze Artikel: Security Baselines für Windows 10 und IE 11 sind (fast) fertig