{"id":276604,"date":"2023-01-08T00:01:00","date_gmt":"2023-01-07T23:01:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=276604"},"modified":"2023-01-06T18:53:02","modified_gmt":"2023-01-06T17:53:02","slug":"windows-11-gpo-enable-mpr-notifications-zur-sicherheit-setzen","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2023\/01\/08\/windows-11-gpo-enable-mpr-notifications-zur-sicherheit-setzen\/","title":{"rendered":"Windows 11 GPO "Enable MPR notifications …" zur Sicherheit setzen"},"content":{"rendered":"

\"Windows\"[English<\/a>]Kleiner Tipp f\u00fcr Administratoren, die so langsam Windows 11 in Unternehmensumgebungen einf\u00fchren. In den Standardeinstellungen des Betriebssystems lassen sich mittels einer einfachen DLL die Winlogon-Anmeldeinformationen im Klartext auslesen. Die neue Gruppenrichtlinie \"Enable MPR notifications\" soll dies nun verhindern. Das Ganze wurde (nach 20 Jahren) endlich in Windows 11 22H2\u00a0 implementiert.<\/p>\n

<\/p>\n

Ein Hinweis auf Twitter<\/h2>\n

\"\"Das Ganze Thema ist etwas an mir vorbei gegangen, bis ich auf Twitter \u00fcber nachfolgenden Hinweis von Grzegorz Tworek gesto\u00dfen bin. Er gibt Administratoren, die f\u00fcr die Windows 11 Security Baseline (Sicherheitsgrundlagen) verantwortlich sind, den Tipp, sich die Gruppenrichtlinie \"Enable MPR notifications\" anzusehen.<\/p>\n

\"<\/p>\n

Standardm\u00e4\u00dfig sendet Windows bei der Benutzeranmeldung \u00fcber Winlogon eine MPR-Benachrichtigung an das System. Von Microsoft gibt es beispielsweise diesen Support-Beitrag<\/a> (ist etwas \u00e4lter) dazu. Die Standardeinstellungen erlauben das Lesen von Klartext-Anmeldeinformationen von Winlogon mit einer einfachen DLL.<\/p>\n

In den neuen Security Baselines von Windows 11 22H2 gibt es nun eine Richtlinie \"Enable MPR notification for the system\" unter:<\/p>\n

Windows Components\\Windows Logon Options<\/p>\n

(\"MPR-Benachrichtigung zulassen\" unter Windows Komponenten -> Windows Anmeldeoptionen)<\/p>\n

Wird die Richtlinie \"Enable MPR notification for the system\" auf Disabled (Deaktiviert) gesetzt, unterbleibt das Senden der MPR-Benachrichtigung an das System durch WinLogon. Ist die Richtlinie auf Enabled gesetzt oder nicht konfiguriert, werden MPR-Benachrichtigungen \u00fcbermittelt.<\/p>\n

Einf\u00fchrung mit Windows 11 22H2<\/h2>\n

Die Kollegen von Bleeping Computer haben im September 2022 im Beitrag Windows 11 22H2 adds kernel exploit protection to security baseline<\/a> auf die Neuerungen in der Security Baseline von Windows 11 22H2 hingewiesen (das Betriebssystem wurde dann Anfang Oktober 2022 allgemein freigegeben).<\/p>\n

The Windows 11 22H2 security baseline also includes credential theft protection via the 'Allow Custom SSPs and APs to be loaded into LSASS,' 'Configure LSASS to run as a protected process,' and 'Enable MPR notifications for the system' to restrict the loading of custom security packages and block password disclosure to providers.<\/p><\/blockquote>\n

Im Oktober 2022 hatte sich Wolfgang Sommergut auf Windows Pro im Beitrag Windows 10 22H2: Neue Gruppenrichtlinien und Security Baseline, kein ADK<\/a> mit den Gruppenrichtlinien von Windows 10 22H2 sowie einigen Unterschieden zu Windows 11 22H2 befasst. Scheinbar gibt es aber Unterschiede, denn die Kollegen von deskmodder.de haben im Beitrag hier<\/a> auf die Unterschiede in den ADMX-Gruppenrichtlinien von Windows 10 22H2 und Windows 11 22H2 hingewiesen. Hintergrund: Helmut Wagensonner von Microsoft hat dazu einen Beitrag Windows 10 or Windows 11 GPO ADMX \u2013 An Update<\/a> in der Techcommunity ver\u00f6ffentlicht.<\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Kleiner Tipp f\u00fcr Administratoren, die so langsam Windows 11 in Unternehmensumgebungen einf\u00fchren. In den Standardeinstellungen des Betriebssystems lassen sich mittels einer einfachen DLL die Winlogon-Anmeldeinformationen im Klartext auslesen. Die neue Gruppenrichtlinie \"Enable MPR notifications\" soll dies nun verhindern. Das Ganze … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,301],"tags":[4328,8257],"class_list":["post-276604","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-windows","tag-sicherheit","tag-windows-11"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/276604","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=276604"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/276604\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=276604"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=276604"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=276604"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}