Von Bolko kam im Sommer 2024 im Diskussionsbereich der Vorschlag: Wie wäre es mit einem oben angepinnten Kompendium-Artikel mit Infos und Tricks zur maximalen Härtung von Windows, der alles zusammenfasst? Da ich die Einträge im Diskussionsbereich immer wieder lösche, packe ich den Text mal hier in einen Blog-Beitrag zur Diskussion.
Der Kommentar von Bolko lautete im Original: Wie wäre es mit einem oben angepinnten Kompendium-Artikel mit Infos und Tricks zur maximalen Härtung von Windows, der alles zusammenfasst? Ein Kompendium-Artikel, der das BSI und auch jeden Admin blass werden lässt ob der Fülle dieser Sammlung und als neue Referenz gelten wird?
Er meinte "Ein Artikel, auf den sogar Microsoft verlinken könnte, um alles rund um das Thema Härtung mit einem Link zu erschlagen? Die Kompetenz bei dir und den hiesigen Profi-Nutzern wäre auf jeden Fall vorhanden und es könnte ja die ersten Wochen ein Work-in-Progress sein, wo jeder Leser seinen Trick dazu schreiben kann und dann diskutiert wird bis dann in einigen Monaten ein vollendetes Werk entsteht, mit dem man Windows in ein Fort-Knox verwandeln kann. Folgende Themen hatte er seinerzeit auf dem Radar:
- Applocker-Einstellungen
- Dateisystemrechte reduzieren
- Registry-Tweaks (etwa zu TCP/IPv6)
- Script-Interpreter blockieren (cscript, wscript, mshtma etc)
- Dateierweiterungen blockieren
- HOSTS modifizieren, um Malware und Tracker zu blockieren
etc.
Auf den Vorschlag bzw. den Kommentar im Diskussionsbereich gab es seinerzeit keine Antworten, so dass es liegen blieb.
Eine gute Idee, aber ein hoher Berg
Ich hielt die Idee zwar prinzipiell für gut, aber nach kurzer Überlegung fand ich: "der Berg ist für mich zu hoch, dass ich diesen aufgreifen und realisieren kann" (zumal ich mich damals mit Kardioproblemen herum schlug). Inzwischen ist der Blog und die Domain borncity.com verkauft und ich befinde mich im "Auslaufmodus".
Beim Aufräumen des Diskussionsbereichs bin ich heute wieder auf den obigen Kommentar text gestoßen und habe den Text mal hier hin gezogen. Die Idee finde ich noch immer gut – aber der Berg ist noch immer zu hoch für mich. Ich weiß nicht, wie es der Leserschaft so bezüglich der Idee geht und was euch bewegt.
Ich wage aber mal ein Experiment: Die Leser können in den Kommentaren ja ggf. Tipps und Handlungsanweisungen einstellen, sowie Beiträge verlinken, die das obige abbilden. So entstände ein Repository, dass weiter hilft.
MVP: 2013 – 2016
Ein Kompendium zur Härtung von Windows wäre imho tatsächlich zu viel für den Blog.
Man könnte als erste Maßnahme das Tool HardeningKitty nehmen.
Das nennt alleine hunderte Registryeinträge und GPO-Einträge, um Windows zu härten.
Wobei einige Einträge obsolet sind, da die Sachen abschalten, die in Windows 10/11 eh nicht mehr unterstützt werden.
Es gibt auch viele Einträge, die nur für Server relevant sind und für Clients in AD-Umgebungen.
Ein weiteres Tool direkt von Microsoft ist das Security Compliance Toolkit.
Aber auch mit solchen Tools muss man wissen, was man macht und ob man Sachen so umsetzt, denn es gibt einige Einstellungen, die auf die Funktionalität von Windows Einfluss haben.
Die Härtung von Windows wäre ein Thema für ein Buch.
200-300 Seiten bekommt man da sehr schnell zusammen.
Wenn man das kategorisiert, mit einem Inhaltsverzeichnis versieht und gut strukturiert wäre das umzusetzen.
Allerdings sehe ich auch das Thema, daß man Günter wenn möglich da entlasten sollte.
Und es sollte eine Art Gremium darüber wachen.
Ich denke da zum Beispiel an Bolko, Mark und R.S..
Das Gremium sollte nicht zu groß und vom Wissen her auch Kompetenz haben. Sprich die Tips & Tricks sollten von dem Gremium abgesegnet werden. Um den Wildwuchs soweit wie möglich zu unterbinden.
Ob es Sinn macht dies als eigenen Webauftritt bereitzustellen und diesen hier zu verlinken, ist auch eine Idee. Dazu fällt mir Administrator.de ein. Da Günter auch dort ab und an seine Beiträge veröffentlicht bzw. von dort auf sein Blog verwiesen wird.
Das ist etwas, was mir grade so einfällt. Es ist Vollständigkeit und meine Meinung dazu.
ein Kompendium wäre sicher cool und nützlich.
Aber ich muss da R.S. Recht geben, das würde riesig werden…
Vielleicht wäre es ja effektiv wieder mal Zeit für ein neues Buch von Hr. Born?
(ich würde es jedenfalls sofort kaufen)
Ich denke, Du würdest sicher von vielen Admins/Techis/Supporter hierzu Unterstützung (aktiv und passiv) erhalten.
Ich empfehle die Microsoft Security Baselines: https://techcommunity.microsoft.com/category/security-baselines/blog/microsoft-security-baselines
Da bekommt man einfach anwendbare GPOs zum Importieren für Windows, Office, Edge. Die deaktivieren allen möglichen legacy Krams, aktivieren moderne Sicherheitsfeatures und decken so vermutlich 95% der gängigen Probleme ab.
Kunden mit diesen Einstellungen kamen in Pentests immer besonders gut weg.
Sollte man aber auf keinen Fall blind verwenden, sondern in Ruhe an ein paar Testgeräten probieren. Meistens muss man entweder seine Umgebung anpassen (bevorzugt) oder ein/zwei Einstellungen deaktivieren.