{"id":218407,"date":"2019-05-24T08:19:39","date_gmt":"2019-05-24T06:19:39","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=218407"},"modified":"2019-05-24T08:20:06","modified_gmt":"2019-05-24T06:20:06","slug":"windows-10-v1903-security-baseline-final-freigegeben","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2019\/05\/24\/windows-10-v1903-security-baseline-final-freigegeben\/","title":{"rendered":"Windows 10 V1903: Security Baseline final freigegeben"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/win102.jpg\" width=\"58\" align=\"left\" height=\"58\"\/>Microsoft hat die Final seiner Security Baseline f\u00fcr Windows 10 Mai 2019 Update (Version 1903) und Windows Server 1903 freigegeben. Hier ein kurzer \u00dcberblick.<\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" alt=\"\" src=\"https:\/\/vg01.met.vgwort.de\/na\/fd6b7996a221458d9095a54bed77bd9f\" width=\"1\" height=\"1\"\/>Das Security Baseline-Paket besteht aus Dokumentation und Gruppenrichtlinien sowie PowerShell-Scripten, mit denen sich eine Basisabsicherung \u00fcber bestimmte Einstellungen in Windows 10 oder Windows Server 1903 vornehmen l\u00e4sst. Die Ank\u00fcndigung der Final erfolgte am 23. Mai 2019 im Technet im Artikel <a href=\"https:\/\/blogs.technet.microsoft.com\/secguide\/2019\/05\/23\/security-baseline-final-for-windows-10-v1903-and-windows-server-v1903\/\" target=\"_blank\" rel=\"noopener noreferrer\">Security baseline (FINAL) for Windows 10 v1903 and Windows Server v1903<\/a>.<\/p>\n<h2>Nur wenige Neuerungen, aber \u00c4nderungen<\/h2>\n<p>Das neue Windows Feature Update auf Windows 10 Version 1903 bringt nur sehr wenige neue Gruppenrichtlinieneinstellungen, die Microsoft in der dem Paket beiliegenden Dokumentation auflistet. Diese Baseline empfiehlt, nur zwei davon zu konfigurieren. Allerdings hat Microsoft einige \u00c4nderungen an den bestehenden Einstellungen vorgenommen. Auch gegen\u00fcber dem im April 2019 freigegebenen Draft (Entwurf) ergeben sich einige \u00c4nderungen. Die \u00c4nderungen gegen\u00fcber der Security Baseline von Windows 10 v1809 und Windows Server 2019 beinhalten folgende Punkte:<\/p>\n<ul>\n<li>Aktivierung der neuen Richtlinie \"Enable svchost.exe mitigation options\", die eine strengere Sicherheit f\u00fcr Windows-Dienste durchsetzt, die in svchost.exe gehostet werden. Dies betrifft auch die Tatsache, dass alle von svchost.exe geladenen Bin\u00e4rdateien von Microsoft signiert werden m\u00fcssen und dass dynamisch generierter Code nicht zul\u00e4ssig ist. Bitte beachten Sie dies besonders, da es zu Kompatibilit\u00e4tsproblemen mit Drittanbietercode f\u00fchren kann, der versucht, den Hosting-Prozess svchost.exe zu verwenden, einschlie\u00dflich Smartcard-Plugins von Drittanbietern.  <\/li>\n<li>Konfigurieren der neuen App-Datenschutzeinstellung \"Windows-Anwendungen mit Sprache aktivieren lassen, w\u00e4hrend das System gesperrt ist\", so dass Benutzer nicht mit Anwendungen interagieren k\u00f6nnen, die Sprache verwenden, w\u00e4hrend das System gesperrt ist.  <\/li>\n<li>Deaktivieren der Multicast-Namensaufl\u00f6sung (LLMNR), um Bedrohungen durch Server-Spoofing zu minimieren.  <\/li>\n<li>Einschr\u00e4nkung des NetBT NodeType auf den P-Knoten, Untersagung der Verwendung von Broadcast zur Registrierung oder Aufl\u00f6sung von Namen, auch zur Abwehr von Bedrohungen durch Server-Spoofing. Wir haben dem benutzerdefinierten \"MS Security Guide\" ADMX eine Einstellung hinzugef\u00fcgt, um die Verwaltung dieser Konfigurationseinstellung \u00fcber Gruppenrichtlinien zu erm\u00f6glichen.  <\/li>\n<li>Korrigieren eines Versehens in der Basislinie des Dom\u00e4nencontrollers durch Hinzuf\u00fcgen empfohlener \u00dcberwachungseinstellungen f\u00fcr den Kerberos-Authentifizierungsdienst.  <\/li>\n<li>L\u00f6schen der Richtlinien zum Ablauf des Passworts, die regelm\u00e4\u00dfige Passwort\u00e4nderungen erfordern. Diese \u00c4nderung wird im Folgenden n\u00e4her erl\u00e4utert. <\/li>\n<li>L\u00f6schen der spezifischen BitLocker-Laufwerksverschl\u00fcsselungsmethode und der Einstellungen f\u00fcr die Chiffrierst\u00e4rke. Die Baseline erfordert die st\u00e4rkste verf\u00fcgbare BitLocker-Verschl\u00fcsselung. Microsoft hat diesen Punkt aus einigen Gr\u00fcnden entfernt. Der Standard ist die 128-Bit-Verschl\u00fcsselung, und Microsofts Krypto-Experten sagen, dass es keine bekannte Gefahr gibt, dass sie in absehbarer Zeit gebrochen wird. Auf mancher Hardware kann es zu einem sp\u00fcrbaren Leistungsabfall von 128- bis 256-Bit kommen. Und schlie\u00dflich schalten viele Ger\u00e4te wie die Microsoft Surfaces BitLocker standardm\u00e4\u00dfig ein und verwenden die Standardalgorithmen. Um diese in 256-Bit umzuwandeln, m\u00fcssen zuerst die Volumes entschl\u00fcsselt und dann erneut verschl\u00fcsselt werden, was sowohl tempor\u00e4re Sicherheitsrisiken als auch Auswirkungen auf den Benutzer mit sich bringt.  <\/li>\n<li>Die Einstellungen Datei-Explorer \"Datenausf\u00fchrungsverhinderung f\u00fcr Explorer deaktivieren\" und \"Heap-Abbruch bei Korruption deaktivieren\" wurden entfernt. Es l\u00e4sst sich lediglich das Standardverhalten erzwingen, wie Raymond Chen <a href=\"https:\/\/devblogs.microsoft.com\/oldnewthing\/20170620-00\/?p=96435\" target=\"_blank\" rel=\"noopener noreferrer\">hier beschreibt<\/a>.<\/li>\n<\/ul>\n<p>Es gibt weitere \u00c4nderungen, die Microsoft seit der Ver\u00f6ffentlichung des Entwurfs dieser Baseline vorgenommen hat:<\/p>\n<ul>\n<li>Aufhebung der Durchsetzung des Standardverhaltens bei der Deaktivierung der integrierten Administrator- und Gastkonten. Dieser Vorschlag war bereits im Draft der Base Line enthalten und wurde nun komplett \u00fcbernommen. Die \u00c4nderung wird im <a href=\"https:\/\/blogs.technet.microsoft.com\/secguide\/2019\/05\/23\/security-baseline-final-for-windows-10-v1903-and-windows-server-v1903\/\" target=\"_blank\" rel=\"noopener noreferrer\">Technet-Beitrag<\/a> n\u00e4her erl\u00e4utert.  <\/li>\n<li>Eine Windows Defender Antivirus-Einstellung, die nur f\u00fcr \u00e4ltere E-Mail-Dateiformate gilt, wurde entfernt.  <\/li>\n<li>Die XML-Konfiguration des Windows Defender Exploit Protection XML wurde so ge\u00e4ndert, dass Groove.exe (OneDrive for Business) untergeordnete Prozesse starten kann, insbesondere MsoSync.exe, die f\u00fcr die Dateisynchronisierung erforderlich ist.<\/li>\n<\/ul>\n<p>Details zu den \u00c4nderungen in den Kennwort-Durchsetzungsregeln etc. im <a href=\"https:\/\/blogs.technet.microsoft.com\/secguide\/2019\/05\/23\/security-baseline-final-for-windows-10-v1903-and-windows-server-v1903\/\" target=\"_blank\" rel=\"noopener noreferrer\">Technet-Beitrag<\/a> n\u00e4her erl\u00e4utert. (<a href=\"https:\/\/www.deskmodder.de\/blog\/2019\/05\/23\/security-baseline-draft-fuer-windows-10-1903-und-server-1903-neue-gruppenrichtlinien-im-ueberblick\/\" target=\"_blank\" rel=\"noopener noreferrer\">via<\/a>)<\/p>\n<p><strong>\u00c4hnliche Artikel:<\/strong><br \/><a href=\"https:\/\/borncity.com\/blog\/2019\/04\/30\/windows-10-v1903-security-baseline-und-neue-passwort-gruppenrichtlinien\/\">Windows 10 V1903: Security Baseline und (neue) Passwort Gruppenrichtlinien<\/a><br \/><a href=\"https:\/\/borncity.com\/blog\/2019\/01\/26\/windows-10-1809-server-2019-probleme-mit-security-baseline\/\">Windows 10 1809\/Server 2019: Probleme mit SystemGuard Launch-Security Baseline<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Microsoft hat die Final seiner Security Baseline f\u00fcr Windows 10 Mai 2019 Update (Version 1903) und Windows Server 1903 freigegeben. Hier ein kurzer \u00dcberblick.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3694],"tags":[7514],"class_list":["post-218407","post","type-post","status-publish","format-standard","hentry","category-windows-10","tag-windows-10-v1903"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/218407","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=218407"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/218407\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=218407"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=218407"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=218407"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}