SiSyPHuS, Hardening, sichere Konfiguration, GPO & Co.: Wir beleuchten, inwieweit das BSI Ihnen hilft, Ihre Systeme so zu konfigurieren, damit sie als “gehärtet” gelten.
Was sagt das BSI zum Härten von Windows-Systemen?
Ohne Systemhärtung geht es in der IT-Security nicht mehr! Verschiedene Organisationen wie DISA, CIS und das australische ACSC raten dringend zur sicheren Konfiguration von Betriebssystemen und Applikationen. Und Cyber-Versicherer wie auch immer mehr Gesetze und Regularien fordern System Hardening als wichtige Präventivmaßnahme.
Und was sagt das BSI zum Härten? Auch die führende deutsche Behörde für Informationssicherheit fordert Firmen jeder Größe dazu auf, die IT-Security-Risiken zu minimieren – unter anderem über Systemhärtung. So wird im BSI IT-Grundschutz Kompendium 2023 an zahlreichen Stellen angebracht, dass die sichere Konfiguration von Systemen eine sinnvolle und auch notwendige Maßnahme sei.
Was wir sehr schätzen: Das Bundesamt für Sicherheit in der Informationstechnik liefert nicht nur graue Theorie, sondern auch praktische Tipps sowie Anleitungen, Tools und Dateien zum Herunterladen.
Sie haben Fragen zum Thema? Kontaktieren Sie uns!
Ratgeber und mehr: Windows 10 härten nach den Vorgaben des BSI
Eine solche praktische Ausarbeitung ist SiSyPHuS. Das Akronym steht für “Studie zu den Themen Systemaufbau, Protokollierung, Härtung und Sicherheitsfunktionen in Windows 10”. Bei der Untersuchung beleuchtet das BSI, wie Sie das noch immer sehr beliebte und verbreitete Betriebssystem absichern können.
Die Behörde hat dabei in Zusammenarbeit mit anderen Cybersecurity-Experten, unter anderem ENRW, einen umfangreichen Maßnahmen-Katalog erarbeitet. Dieser Maßnahmen-Katalog enthält zahlreiche Empfehlungen zur Härtung von Windows 10, welche Sie hier erhalten.
Zudem bietet das BSI diverse Dokumente zum Herunterladen an, in denen alle wesentlichen Konfigurationsempfehlungen zusammengefasst sind.
Was halten wir von den BSI-Empfehlungen zur Windows-10-Härtung?
Grundsätzlich finden wir es sehr gut, dass die deutsche Behörde für IT-Sicherheit kostenlos Ratgeber und Downloads anbietet, um Windows 10 zu härten.
Wenn Sie sich an die Empfehlungen und Tipps halten (die übrigens zu weiten Teilen deckungsgleich mit den CIS Benchmarks sind) werden Ihre Systeme deutlich sicherer, als sie es “ab Werk” sind. Derart verringern Sie unter anderem die Angriffsflächen für Hacker und andere Angreifer, da beispielsweise Lücken geschlossen und unnötige Dienste abgeschaltet werden.
Es gefällt uns, dass das BSI nicht nur das “Big Picture” beleuchtet, sondern sich ebenso mit einzelnen Aspekten beschäftigt. Zum Beispiel hat es im Rahmen der SiSyPHuS-Studie das TMFW (Telemetrie Monitoring Framework) veröffentlicht. Damit können Sie Risiken deutlich minimieren, dass Windows 10 oder Windows 11 Daten an Microsoft übermitteln.
Aber: Besser keine Gruppenrichtlinienvorlagen nutzen!
Sicherheitsrelevante Konfigurationen auf hunderten oder tausenden Systemen sollten unter Berücksichtigung der aktuellen Bedrohungslage nicht nur einmal konfiguriert, sondern tatsächlich auch regelmäßig geprüft und prozessual integriert werden, bspw. in Alarmierungsprozesse oder “Incident Management / Incident Response” Verfahren.
Daher halten wir von einer technischen Umsetzung über Gruppenrichtlinien / “GPOs” nicht besonders viel. Denn GPOs bieten keine nachhaltige Sicherheit! Unter anderem deswegen, weil manuelles Konfigurieren per GPO Ressourcen bindet. Ressourcen mit tiefen Skills im Umfeld IT-Security, die aktuell sinnvoller einzusetzen sind, als unzählige Zeilen in einer Tabellenkalkulation zur Dokumentation oder technisch über veraltete grafische Oberflächen manuelle Konfigurationsvorlagen zu erstellen.
Sinnvoller ist es, über Automatismen und in Unternehmensprozesse integrierbare Hardening-Tools nachzudenken. Denn das ermöglicht eine automatisierte und nachhaltige Systemhärtung inkl. der Überwachung und Reaktionsfähigkeit bei Abweichungen vom SOLL-Zustand.
Was empfiehlt das BSI derzeit zur Härtung von Windows 11 und Co.?
Aktuell gibt es leider noch keine offiziellen Empfehlungen des BSI zu Windows 11. Die Experten konzentrierten sich bislang nur auf die sichere Konfiguration von Windows 10. Somit finden sich noch keine Empfehlungen für die Windows 11 Systemhärtung, die Härtung von Server-Betriebssystemen wie Windows Server 2016 und Windows Server 2019 oder fürs Linux-Hardening auf der Behördenwebsite.
Sie können zwar viele Windows-10-Empfehlungen des BSI übernehmen, um beispielsweise Ihr Windows 11 manuell zu härten, doch nicht alle. Der Teufel steckt im Detail, da die beiden Betriebssysteme eben nicht komplett identisch funktionieren.
Haben Sie Ihre BSI Windows 10 Härtung richtig durchgeführt?
Verwenden Sie die BSI SiSyPHuS GPOs und/oder nehmen Sie manuelle Konfigurationen vor, sollten Sie Ihre Maßnahmen überprüfen. Anders gesagt: Evaluieren Sie den Reifegrad Ihres OS Hardenings auf konkreter technischer Ebene. Das geht ganz einfach in wenigen Minuten mit dem kostenfrei verfügbaren AuditTAP.
Unser kostenfreies Tool erstellt einen Compliance-Bericht, wie gut Ihre Systeme die Anforderungen des BSI (und anderer Organisationen) erfüllen. Das Ergebnis können Sie sich unter anderem als Risk Score darstellen lassen. Damit sehen Sie auf einen Blick, ob es noch kritische Einstellungen zu optimieren gibt.
Wie lassen sich Windows 10 & Co. gemäß BSI einfacher härten?
Nutzen Sie dafür beispielsweise unseren Enforce Administrator. Mit dem No-Code-Tool führen Sie mit wenig Aufwand eine umfassende Härtung Ihrer Windows-Systeme durch – und das auch mit hunderten oder tausenden IT-Systemen.
Nicht nur das: Der Enforce Administrator überwacht eigenständig alle Konfigurationen. Kommt es zu versehentlichen oder absichtlichen Veränderungen, nimmt er diese automatisch zurück. Derart entsteht eine Art “selbstheilendes System”.
Ergänzend sind Änderungen in einer übersichtlichen Monitoring-Oberfläche sichtbar: Über eine REST-API lassen sich Warnmeldung beispielsweise in vorhandene Incident-Management-Prozesse integrieren.
Kennen Sie “System Hardening as a Service”?
Möchten Sie den Enforce Administrator in Ihrem Unternehmen einführen und das Hardening-Tool professionell betreuen lassen? Dann nutzen Sie unsere spezielle Dienstleistung namens Enforce Administrator as a Service.
Das bedeutet: Die Spezialisten der FB Pro GmbH betreuen die Systemhärtung Ihrer kompletten IT-Systemarchitektur und stehen Ihnen als Berater zur Seite.
Haben Sie dazu Fragen? Melden Sie sich einfach ganz unverbindlich bei uns!
Bild: Freepik