Sie sind hier: Home » Themen » Microsoft Windows 10 - Hinweise zur Absicherung

Hinweise zur Absicherung von Microsoft Windows 10

Inhalt

Grundsätzliches

Unabhängig vom Betriebssystem sind folgende Grundsätze für den Betrieb eines
Rechnersystems zu beachten, um unnötige Angriffspunkte zu vermeiden und die gewünschte Funktionalität zu gewährleisten.

Minimalität der Installation

Wenn Microsoft Windows 10 installiert wird, werden viele Dienste und Komponenten mitinstalliert, die oft nicht alle benötigt werden. Auch Updates können unter Umständen neue Dienste installieren oder aktivieren, die nicht benötigt werden. Es empfiehlt sich daher, zunächst genau zu überlegen, welche Softwarekomponenten und Dienste tatsächlich benötigt werden und diese bei der Installation auszuwählen, bzw. nicht benötigte zu deaktivieren und auch nach jedem Update die Listen der installierten/aktivierten Komponenten und deren Konfiguration durchzusehen.

Aktualität – Systeme stets auf dem aktuellsten Stand halten

Wie alle Betriebssysteme werden auch in Windows 10 immer wieder Schwachstellen gefunden, die dazu ausgenutzt werden können, das System anzugreifen. Daher ist es sehr wichtig, Updates und Patches, die diese Schwachstellen beheben oder schließen, nach ihrer Bereitstellung rasch zu installieren und ggf. in der Zeit zwischen Bekanntwerden einer Schwachstelle und der Verfügbarkeit eines Patches Behelfsmaßnahmen (Workarounds) zu ergreifen, die die Ausnutzung der Schwachstelle erschweren oder verhindern. Auch wenn diese Behelfsmaßnahmen u.U. zu Betriebseinschränkungen führen, ist je nach Gefährlichkeit der Schwachstelle stark anzuraten, sie zu ergreifen.

Datenschutz und Windows 10

Die interessante Frage zu Datenschutz und Windows 10 lautet:

Ist der Einsatz von Windows 10 mit dem geltenden Datenschutzrecht vereinbar?

Zusammengefasst kann man festhalten, dass die Datenschutzbehörden in Deutschland (und der EU) der Auffassung sind, dass Windows 10 praktisch nicht datenschutzkonform betrieben werden kann. Dies hängt vor allem damit zusammen, dass Dienste von Windows 10 Daten an Microsoft in die USA schickt (sog. Telemetrie) oder die Dienste nur bei Microsoft verfügbar sind (Cloud-Integration, s.a.u). Die Übertragung dieser Daten ist zwar per se nicht illegal, jedoch ist für die Übertragung der Daten eine belastbare Rechtsgrundlage unter besonderer Berücksichtigung des Grundes für die Übertragung ins Nicht-EU-Ausland erforderlich. Da die Telemetriedaten verschlüsselt übertragen werden, gibt es (derzeit) auch keine unabhängige Möglichkeit zu prüfen, welche Daten übertragen werden.

Bei sorgfältiger Konfiguration und nach Abschaltung der abschaltbaren Telemetriefunktionen kommen die Datenschutzbehörden zu dem Schluss, dass nur Windows 10 Enterprise datenschutzfreundlich eingesetzt werden kann. Es bleibt jedoch auch hier ein datenschutzrechtliches Restrisiko, das der Betreiber tragen muss. Dies gilt natürlich insbesondere, wenn nicht nur die eigenen sondern auch Daten von Benutzern verarbeitet werden.

Siehe hierzu:

Windows 10 Enterprise konfigurieren

Allgemeines

Das wichtigste Mittel zur Absicherung von Windows 10 sind die Gruppenrichtlinien (oder lokale Sicherheitsrichtlinien). Diese werden allerdings von Windows 10 Home gar nicht, von Windows 10 Pro nur teilweise unterstützt (Stand September 2019). Daher beziehen sich die folgenden Empfehlungen auf Windows 10 Enterprise.

Installationshinweise

Steht bei der Installation eine Internetverbindung zur Verfügung, stellt der Installer die Nutzung eines Microsoft-Kontos sehr prominent dar. Es gibt es jedoch immer die Möglichkeit einen lokalen Benutzeraccount zu erstellen (Stand Versionen 1809/1903), oder einer lokalen Domäne beizutreten. Daher
Bereits bei der Installation werden einige Einwilligungen zu Cloud-Integrationen abgefragt. Diese Anfragen sollten alle abgelehnt werden.

Cloud-Integration und Telemetrie

Es empfiehlt sich, nach (insbesondere Feature-)Updates die Einstellungen durchzusehen. Teilweise werden Einstellungen (ohne GPOs) zurückgesetzt, oder neue Einstellungsmöglichkeiten geschaffen.

Zur Einstellung der Telemetrie bietet Microsoft eine Dokumentationsseite an.

Gruppenrichtlinien ([L]GPOs)

Group Policy Objects (GPO- dt.: Gruppenrichtlinien) sind das einzige Mittel, das auch über Updates hinweg für eine weitgehend konsistente Konfiguration sorgt. Sie müssen unter Umständen manuell nachinstalliert werden, um vollständig (auch mit den zugehörigen Sprachdateien) zu sein.

Zu beachten ist hier die Unterscheidung zwischen GPOs und LGPOs: Erstere sind für die Verwaltung einer Domäne, letztere für Rechner die nicht zu einer Domäne gehören. LGPOs können nicht mit allen Tools (zB Powershell Commandlets) verarbeitet werden. Für sie stellt Microsoft das Tool [LGPO.exe](https://blogs.technet.microsoft.com/secguide/2016/01/21/lgpo-exe-local-group-policy-object-utility-v1-0/) zur Verfügung. Damit können LGPOs auch per Script bearbeitet werden.

Der graphische Editor `gpedit.msc` funktioniert für beide Varianten. Im Folgenden verwenden wir nur noch die Bezeichnung GPO für beide Varianten.

Da es sehr viele einzelne GPOs gibt ist es im Allgemeinen nicht möglich, dass jeder Administrator alle GPOs selbst durchsieht. Hier können entsprechende Leitfäden helfen. Einen Leitfaden können hier zum Beispiel die Windows Security Baselines liefern. Microsoft stellt dazu auch ein Toolkit bereit, das helfen kann, die Empfehlungen mit dem IST-Zustand abzugleichen. Helfen können auch die Empfehlungen des Arbeitskreises Informationssicherheit der deutschen Forschungseinrichtungen ) oder die . Insbesondere bei Softwarewerkzeugen Dritter, die nicht quelloffen sind, ist dabei zu bedenken, dass man einer weiteren Partei, nämlich dem Hersteller des Werkzeugs, vertrauen muss. Schließlich ist zu erwägen, ob die gegebenen Empfehlungen zu den eigenen Anforderungen passen. Dies muss der Anwender selbst prüfen.

Weitere Maßnahmen zur Absicherung von Windows 10

Windows Defender

Microsoft liefert einen ins Betriebssystem integrierten Malwarescanner mit, der nach bisherigem Wissensstand keine signifikanen Leistungsunterschiede zu externen Malwarescannern aufweist. Da der gleichzeitige Betrieb von Windows Defender mit externen Malwarescannern zu Konflikten führen kann und unter Beachtung des Vorgenannten kann davon ausgegangen werden, dass die alleinige Nutzung des Windows Defender nicht zu Nachteilen führt.

Personal Firewall

Die lokale Firewall, die bei der Installation mitgeliefert wird (Windows Firewall) kann unterstützend eingesetzt werden, um den Abfluss von Telemetriedaten zu unterbinden. In einer Anleitung dazu wird der Datenverkehr zu den Servern bei Microsoft, die diese Daten empfangen, unterbunden. Diese Maßnahme basiert darauf, dass die Firewall mit einer extern gepflegten Liste von Serveradressen versorgt wird. Da sich diese Adressen jederzeit ändern können, kann dies lediglich als zusätzliche Maßnahme verstanden werden.

Festplattenverschlüsselung

Um die Daten auf der Festplatte eines Rechnersystems zu schützen, insbesondere auf Laptops und mobilen Rechnern, wird dringend empfohlen, eine Festplattenverschlüsselung einzusetzen. Die bei Windows 10 mitgelieferte Verschlüsselungssoftware Bitlocker entspricht dem Stand der Technik, insbesondere wenn für die Verschlüsselung ein 256-Bit-AES-Schlüssel gewählt wird.