Vor wenigen Tagen ergänzte das BSI seine SiSyPHuS-Studie um weitere Kapitel. Die geben wichtige und konkrete Ratschläge zur Härtung von Windows 10. Das sind die essentiellen Erkenntnisse.
Ein Beitrag von Steffen Winternheimer und Benedikt Böhme, beide Mitarbeiter der FB Pro GmbH.
Was bedeutet SiSyPHuS?
SiSyPHuS ist eine Studie zu den Themen Systemaufbau, Protokollierung, Härtung und Sicherheitsfunktionen in Windows 10, durchgeführt vom Bundesamt für Sicherheit in der Informationstechnik (BSI). Aus der Studie lassen sich passende Härteempfehlungen ableiten.
Was untersuchte die SiSyPHuS-Studie?
Untersuchungsschwerpunkt bei SiSyPHuS ist der Long Term Servicing Channel (LTSC). LTSC stellt eine Version von Windows 10 dar, dessen Schlüsselrolle sich aus Features und Funktionalitäten ergeben, welche sich nicht ändern. Microsoft gewährleistet, dass diese Versionen ab der Veröffentlichung zehn Jahre lang mit Updates unterstützt werden.
Die LTSC-Fassung, welche bei der BSI-Studie im Fokus steht, ist Windows 10 Enterprise 2019 (Version 1809).
Härtungsempfehlungen in Gruppen
Das BSI hat seine Empfehlungen in seiner SiSyPHuS-Studie in verschiedene Gruppen eingeteilt. Diese sind:
Konfigurationsempfehlung der Protokollierung in Windows 10
Allgemeine Empfehlungen aus der Informationssicherheit, die bei der Protokollierung (dem “Logbuch”) auf einem Windows-10-System berücksichtigt werden sollten.
Normaler Schutzbedarf von Domänenmitgliedern (ND)
Konfigurationsempfehlungen, welche dazu dienen, IT-Systeme von ungezielten Angriffen und Infektionen mit verbreitbarer Schadsoftware zu schützen. Es entstehen mit den Empfehlungen keine wesentlichen Einschränkungen bei der Nutzung von IT-Systemen.
Hoher Schutzbedarf von Domänenmitgliedern (HD)
Das sind Konfigurations-Empfehlungen, welche dazu dienen, IT-Systeme von ungezielten Angriffen und Infektionen mit verbreitbarer Schadsoftware zu schützen. Die Einschränkungen des Betriebssystems sind für die Nutzer verschmerzbar.
Normaler Schutzbedarf von Einzelrechnern (NE)
Konfigurationsempfehlungen, welche dazu dienen, IT-Systeme von ungezielten Angriffen und Infektionen mit verbreitbarer Schadsoftware zu schützen. Es entstehen dabei keine wesentlichen Einschränkungen bei der Nutzung von IT-Systemen mit genannten Empfehlungen.
Wichtige praktische Anmerkungen dazu:
-
- Die Konfigurationsempfehlung zur Systemprotokollierung sind immer in Ergänzung zu einem weiteren zielgruppenspezifischen Hardening-Standard zu wählen und zu kombinieren.
- Die Implementierung von HD erfordert, dass sowohl die Einstellungen von HD als auch von ND verwendet werden.
- Es ist sinnvoll, nur ein Szenario pro System umzusetzen. Denn ein System hat entweder einen normalen oder einen hohen Schutzbedarf. Und es handelt sich entweder um einen einzelnes IT-System oder um ein IT-System, das ein sogenanntes “Domänenmitglied” ist.
Schwerpunkte der Härtungsempfehlungen
Durch die Aufteilung der verschiedenen Konfigurationsempfehlungen wird ein sehr großer Bereich an Konfigurations- und Härtungsmöglichkeiten abgedeckt, um Windows-10-basierte Systeme auf ein höheres Sicherheits-Niveau zu heben. Schwerpunkte hierbei sind unter anderem:
Bereiche: “Konfigurationsempfehlung der Protokollierung in Windows 10“
-
- Zeit-Synchronisation der Systeme
- Zentrale Sammlung der Protokollierungsdaten
- Umgang mit sensitiven Protokollierungsdaten
- Systemweite Einstellungen
- Überwachungsrichtlinien und Ereignisprotokolle
Bereiche: “Härtungsempfehlungen von Windows 10 Bordmitteln”
-
- Nutzung sicherer Quellen für Hard- und Software
- Verwendung getrennter Standardbenutzerkonten und Administratorenkonten
- Verwendung angemessener Kennwortrichtlinien
- Sicheres Speichern von Kennwörtern
- Keine Wiederverwendung von Kennwörtern
- Regelmäßige Aktualisierung der Firmware, des Betriebssystems und installierter Applikationen
- Installation ausschließlich notwendiger Applikationen und Betriebssystem-Komponenten
- Verwendung von Festplattenverschlüsselung
- Empfehlungen für Windows-Defender-Anwendungssteuerung
- Empfehlungen für virtualisierungsbasierte Sicherheit
- Empfehlungen für Trusted Platform Module
- Empfehlungen für Windows-Telemetrie
- Empfehlungen für PowerShell und Windows-Script Host
- Empfehlungen für Firmware
Was die BSI-Studie zeigt
Die SiSyPHuS-Studie deckt sich größtenteils mit den System-Hardening- Empfehlungen des Center for Internet Security (CIS). Das bedeutet: Es herrscht in der Fachwelt ein großer Konsens darüber, wie Windows-10-Systeme richtig gehärtet werden sollten.
Dabei liefert das BSI zusätzliche Maßnahmen für die Secure Configuration (zum Beispiel die Nutzung sicherer Quellen für Hard- und Software), welche bei den CIS Benchmarks fehlen.
Erleichtern Sie sich die Arbeit
Möchten Sie auf einen Blick sehen, worin sich die Härtungsempfehlungen von CIS und BSI unterscheiden? Der Enforce Administrator – ein Bestandteil der Enforce Suite – zeigt, wo sich die verschiedenen Vorgaben gleichen und unterscheiden. Zudem unterstützt der Enforce Administrator die neuen SiSyPHuS-Empfehlungen.
Apropos Tools: Wir haben auch unser kostenloses Audit Test Automation Package, kurz AuditTAP, um die neuen Erkenntnisse der SiSyPHuS-Studie ergänzt.
Über die Autoren:
Steffen Winternheimer und Benedikt Böhme sind studentische Mitarbeiter bei der FB Pro GmbH. Die beiden haben sich intensiv mit den aktuellen Härtungsempfehlungen der BSI SiSyPHuS-Studie auseinandergesetzt und ihre Erkenntnisse in diesem Blogbeitrag zusammengefasst.
Bild: Pixabay