Wie funktioniert die Systemhärtung bei Windows 11? Gibt es für das System Hardening spezielle Empfehlungen? Wir geben Ihnen eine Übersicht, wie Sie das neue Windows-Betriebssystem härten.
Hinweis: Wir aktualisieren und ergänzen diesen Beitrag fortwährend.
Auch Windows 11 muss gehärtet werden!
Im Oktober 2021 erschien Windows 11. Das Ziel ist klar: Microsoft möchte mit seiner neuen Windows-Fassung sukzessive den sehr beliebten Vorgänger ersetzen.
Optisch gibt es nur dezente Veränderungen, doch “unter der Haube” stecken einige Neuerungen. Neuerungen, die Windows 11 unter anderem etwas sicherer machen, wenn die Sicherheitsfunktionen auch genutzt bzw. aktiviert werden. Trotzdem ist auch das aktuelle Massenmarkt-Betriebssystem nicht gegen Hacker-Angriffe und andere Cyber-Attacken gewappnet. Ganz im Gegenteil!
Microsoft setzt bei Windows 11 auf einige Komfort-Funktionen, die den Nutzern die Bedienung erleichtern. Genau die geben “Datenkraken” und Angreifern die Möglichkeit, ins System einzudringen und wichtige Informationen abfließen zu lassen.
Was hilft dagegen? Eine sichere Konfiguration, auch als Systemhärtung bzw. System Hardening bekannt.
Welche Unternehmen müssen eine Windows 11 Systemhärtung durchführen?
Die einfache Antwort: alle!
Gleichgültig, ob Sie als Solo-Unternehmer arbeiten, ein Startup gründen, ein mittelständisches Unternehmen leiten oder in der IT eines Konzerns tätig sind – überall sollten Computer mit Windows 11 gehärtet sein. Denn bei jeder Unternehmensgröße haben Schwachstellen unter Umständen schwerwiegende Folgen.
Wie besonders Startups und KMU eine Härtung ihrer IT-Systeme angehen können, erfahren Sie in dieser Podcast-Folge:
Wie kann man Windows 11 härten?
Das Gute: Windows 11 ist seinem Vorgänger recht ähnlich. Deshalb können Sie grundsätzlich die Windows 10 Härtungsempfehlungen auch beim neuen Windows anwenden, um Ihr System sicherer und resilienter zu konfigurieren.
Zum grundlegenden OS Hardening bzw. zur grundlegenden Windows-Systemhärtung gehören unter anderem diese Maßnahmen:
-
- Das Aktivieren von Standard-Sicherheitsfunktionen wie CredentialGuard und DeviceGuard inklusive der dafür notwendigen Hardware-Voraussetzungen
- Einschalten ausgewählter AttackSurfaceReduction Rules (ASR Rules)
- Die Verwendung von starken Passwörtern und eine Multifaktor-Authentifizierung
- Die deutliche Einschränkung von Benutzerrechten
- Die Abschaltung von Komfortfunktionen wie das automatische Ausführen von USB-Sticks oder Disc-Medien
- Deaktivierung von nicht benötigten (Hintergrund-)Diensten
- Browser Hardening: Einschränkung der “Datensammelwut” von Browsern und anderen Anwendungen
- Aktive Nutzung von Verschlüsselungstechnologie
- Das Ausschalten der Geolocation-Ermittlung und damit die Übertragung der Daten an Microsoft & Co.
- Entfernen der Suchfunktion in der URL-Zeile der Browser
- Unterbinden, dass beim Windows-Login der Anmeldename gespeichert wird
- Erweiterung der Systemprotokollierung (Audit & Logging Policy), um eine forensische Analyse zu ermöglichen
- Abschalten von Gaming-Funktionen wie dem Xbox-Dienst
- Drucker-Treiber, Fonts-Verwaltung und andere Anwendungen erhalten einen beschränkten Zugriff auf die automatischen Internetdienste
- Office-Makros dürfen nicht mehr auf die Win32-API zugreifen
Nicht zu vergessen sind auch Maßnahmen auf Hardware-Ebene, meist über das BIOS / UEFI zu konfigurieren. Dazu gehören beispielsweise diese Tipps:
-
- Der TPM-Chip sollte aktiviert sein und auch genutzt werden.
- Das Feature “SecureBoot” ist zu aktivieren.
- Ein UEFI-Passwort ist zu konfigurieren.
- Das Umgehen der Boot-Reihenfolge (“F12”) sollten Sie deaktivieren.
Weitere BIOS-/UEFI-Maßnahmen finden sich in der Regel in den Anleitungen der jeweiligen Hersteller.
Wo gibt es tiefgreifende Informationen fürs Windows-11-Härten
Wie besonders Unternehmen ihre Windows-Systeme härten sollten, welche Einstellungen notwendig sind, und welche Dienste als “nicht benötigt” gelten, erfahren Sie unter anderem in den Hardening Guidelines von folgenden Organisationen:
Das BSI hat hierfür unter anderem die SiSyPhuS-Studie veröffentlicht. Allerdings beschäftigen sich die BSI-Empfehlungen zur Windows-Härtung aktuell nur mit Windows 10. Sobald es ein Update der Härtungsempfehlungen für Windows 11 gibt, informieren wir Sie in unserem Blog darüber.
Wie gut ist Ihr Windows 11 gehärtet?
Haben Sie erste Maßnahmen für das System Hardening durchgeführt? Möchten Sie wissen, ob Ihre Windows-11-Systemhärtung ausreichend ist? Dann führen Sie einen Check durch – zum Beispiel mit dem kostenlosen AuditTAP.
Das AuditTAP überprüft die Konfiguration Ihrer IT-Systeme im Hinblick auf konkrete, sicherheitsrelevante Einstellungen. Seit der Version 4.14 unterstützt das Tool auch Windows 11 und Windows Server 2022. Das Ergebnis des System Hardening Audits ist ein leicht verständlicher Report. Dieser zeigt, an welchen Stellen Sie Ihr Windows 11 weiter härten sollten, um es sicherer zu machen.
Mit Version 5.0 des AuditTAP werden weitere Hardening-Empfehlungen für Windows 11 und Server 2022 unterstützt. Desweiteren prüft des Audit-Tool nun auch einfach und übersichtlich Standard-Security-Features von Windows und deren Status.
Wie Sie einen solchen Härtungs-Check durchführen, erfahren Sie in diesem Tutorial-Video:
Wie lässt sich das Härten von Windows 11 automatisieren?
Die Härtung von Systemen ist, wenn man es manuell durchführt, ein aufwändiges Unterfangen. Eines, das bei Dutzenden oder gar Hunderten Computern in einem großen Unternehmen extrem viel Zeit in Anspruch nimmt. Alleine mit “Manpower” ist das kaum realistisch umsetzbar.
Die Lösung dafür lautet: Automatisierung. Überlassen Sie die Systemhärtung einem Tool, das automatisiert die Einstellungen vornimmt und dauerhaft überwacht. Der Enforce Administrator bietet genau diese standardisierte Lösung für komplexe IT-Systemlandschaften.
Das Hardening-Tool funktioniert nach der sogenannten No-Code-Methode. Das heißt, Sie müssen keine Zeile Programmcode schreiben, um die Härtung Ihrer Systeme durchzuführen. Dieses Prinzip nennt sich #NoCodeHardening.
Windows 11 Hardening: Können wir Sie unterstützen?
Möchten Sie in Ihrem Unternehmen Windows-Systeme nach den neuesten Erkenntnissen härten oder eine Baseline zur Absicherung einführen? Benötigen Sie eine kontinuierliche Überwachung hunderter Einstellungen? Wollen Sie Compliance-Anforderungen einfach bedienen können und beispielsweise Hardening-Berichte über hunderte Systeme auf Knopfdruck erzeugen?
Das Hardening-Expertenteam der FB Pro GmbH steht Ihnen gerne mit Rat und Tat zur Seite! Gerne führen wir einen Audit eines Referenz-Systems durch und beraten zur weiteren Vorgehensweise.
Bild: Pixabay