{"id":280537,"date":"2023-05-07T10:14:27","date_gmt":"2023-05-07T08:14:27","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=280537"},"modified":"2024-06-11T17:52:35","modified_gmt":"2024-06-11T15:52:35","slug":"microsoft-security-compliance-toolkit-1-0-und-dessen-schattenseiten","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2023\/05\/07\/microsoft-security-compliance-toolkit-1-0-und-dessen-schattenseiten\/","title":{"rendered":"Microsoft Security Compliance Toolkit 1.0 und dessen "Schattenseiten""},"content":{"rendered":"

\"Sicherheit[English<\/a>]Anfang April 2023 hat Microsoft eine neue Version seines Microsoft Security Compliance Toolkit 1.0 ver\u00f6ffentlicht. Eigentlich ist es f\u00fcr Administratoren in Unternehmen eine Pflicht\u00fcbung, sich mit diesem Teil zu befassen. Nachfolgend stelle ich das Microsoft Security Compliance Toolkit 1.0 kurz vor – gehe allerdings auf dessen Schattenseiten ein. Denn die Implementierung dieses Toolkits ist eine \"Lachnummer\", die zeigt, dass die Verantwortlichen bei Microsoft nicht mehr verstehen, was sie da zusammenstoppeln und an die Administratoren bringen.<\/p>\n

<\/p>\n

Microsoft Security Compliance Toolkit 1.0<\/h2>\n

Das Microsoft Security Compliance Toolkit ist eine Zusammenstellung an Tools, die es Sicherheitsadministratoren in Unternehmen erm\u00f6glichen, von Microsoft empfohlene Sicherheitskonfigurations-Baselines f\u00fcr Windows und andere Microsoft-Produkte herunterzuladen, zu analysieren, zu testen, zu bearbeiten und zu speichern und sie mit anderen Sicherheitskonfigurationen zu vergleichen. Der Download auf dieser Microsoft-Webseite<\/a> umfasst in der Fassung vom 7. April 2023 folgende Dateien:<\/p>\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n
Version: 1.0<\/td>\nPublished: 4\/7\/2023<\/strong><\/td>\n<\/tr>\n
File Name:<\/strong><\/td>\nSize<\/strong><\/td>\n<\/tr>\n
Windows 11 version 22H2 Security Baseline.zip<\/td>\n1.4 MB<\/td>\n<\/tr>\n
LGPO.zip<\/td>\n520 KB<\/td>\n<\/tr>\n
Microsoft 365 Apps for Enterprise-2206-FINAL.zip<\/td>\n722 KB<\/td>\n<\/tr>\n
Microsoft Edge v112 Security Baseline.zip<\/td>\n352 KB<\/td>\n<\/tr>\n
PolicyAnalyzer.zip<\/td>\n1.5 MB<\/td>\n<\/tr>\n
SetObjectSecurity.zip<\/td>\n314 KB<\/td>\n<\/tr>\n
Windows 10 Update Baseline.zip<\/td>\n453 KB<\/td>\n<\/tr>\n
Windows 10 Version 1507 Security Baseline.zip<\/td>\n904 KB<\/td>\n<\/tr>\n
Windows 10 Version 1607 and Windows Server 2016 Security Baseline.zip<\/td>\n1.5 MB<\/td>\n<\/tr>\n
Windows 10 Version 1809 and Windows Server 2019 Security Baseline.zip<\/td>\n1.3 MB<\/td>\n<\/tr>\n
Windows 10 Version 20H2 and Windows Server Version 20H2 Security Baseline.zip<\/td>\n1.5 MB<\/td>\n<\/tr>\n
Windows 10 version 21H2 Security Baseline.zip<\/td>\n1.2 MB<\/td>\n<\/tr>\n
Windows 10 version 22H2 Security Baseline.zip<\/td>\n1.2 MB<\/td>\n<\/tr>\n
Windows 11 Security Baseline.zip<\/td>\n1.2 MB<\/td>\n<\/tr>\n
Windows Server 2012 R2 Security Baseline.zip<\/td>\n699 KB<\/td>\n<\/tr>\n
Windows Server 2022 Security Baseline.zip<\/td>\n1.3 MB<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

Unterst\u00fctzt werden Windows Server 2019, Windows Server 2016, Windows 10, Windows Server 2012 R2, Windows 8.1, Windows 11, Windows Server 2022, wobei Windows 8.1 seit Januar 2023 aus dem Support gefallen ist. Zum Toolkit schreibt<\/a> Microsoft:<\/p>\n

The Microsoft Security Configuration Toolkit enables enterprise security administrators to effectively manage their enterprise's Group Policy Objects (GPOs).\u00a0 Using the toolkit, administrators can compare their current GPOs with Microsoft-recommended GPO baselines or other baselines, edit them, store them in GPO backup file format, and apply them via a domain controller or inject them directly into testbed hosts to test their effects. For more information, see <\/em>Windows Security Baselines<\/a>.<\/em><\/p><\/blockquote>\n

Die dunklen Seiten des Toolkit<\/h2>\n

Stefan Kanthak hat mich bei einer Mail, die er Ende April 2023 an das Microsoft Security Response Center (MSRC) geschickt hat, auf BCC gesetzt. Bei einem Blick auf die Details sind ihm Punkte aufgefallen, die jedem Beobachter quasi die Kinnlade herunter fallen lassen. Es handelt sich um ein Security <\/em>Toolkit, so dass man annehmen darf, dass die Ersteller ihren Job beherrschen. In der Mail an das MSRC fragt Kanthak, ob die Verantwortlichen schon mal auf den Kalender geschaut h\u00e4tten.<\/p>\n

Hi MSRC,<\/p>\n

have you lately dared to look at your calendar?
\nHave you noticed that it shows the year 2023?<\/p>\n

Then visit your companies the web page Download Microsoft Security Compiance Toolkit 1.0<\/a>, click the circled plus sign in front of the \"System Requirements\" and see the (fortunately DEAD) hyperlink \"Microsoft Word Viewer\"!<\/p><\/blockquote>\n

Es geht Kanthak um folgende Passage mit den Systemanforderungen zur Verwendung des Microsoft Security Compliance Toolkit 1.0, und er fragt, ob Microsoft die Leute verschaukeln m\u00f6chte.<\/p>\n

\"Microsoft<\/p>\n

Denn unter den Systemanforderungen wird tats\u00e4chlich weiterhin der Microsoft Word Viewer genannt und sogar verlinkt. Der Word Viewer ist vor fast 6 Jahren aus dem Verkehr gezogen worden (siehe mein Blog-Beitrag Word Viewer: R\u00fcckzug im November 2017<\/a>). Folgerichtig f\u00fchrt der Link auf der Microsoft-Seite auch auf eine Landing-Page, die mit dem Word Viewer nichts mehr zu tun hat. Auch der Verweis auf Windows 8.1 zeigt, dass Microsoft die Seite mit den Systemanforderungen nicht mehr wirklich \u00fcberarbeitet. Aber es gibt einen weiteren Klopper, den Kanthak so beschreibt.<\/p>\n

The executables of the Microsoft Security Compliance Toolkit offered there are still vulnerable to DLL hijacking. Will your developers ever learn to use \/DEPENDENTLOADFLAG:2048?<\/p><\/blockquote>\n

Es ist bezeichnend, dass die ausf\u00fchrbare Programmdatei des Microsoft Security Compliance Toolkit f\u00fcr DLL-Hijacking anf\u00e4llig ist. Raymond Chen hat in diesem Beitrag<\/a> einige Hinweise gegeben, dass man beim Linken der Programme \u00fcber den Parameter \/DEPENDENTLOADFLAG festlegen kann, dass Windows (ab Windows 10 Version 1607) abh\u00e4ngige DLLs nur statisch l\u00e4dt. Mit dem Wert LOAD_LIBRARY_SEARCH_SYSTEM32 als Parameter d\u00fcrfen DLLs nur auch dem Windows-Ordner System32 <\/em>geladen werden. Kanthak weist in diesem Kommentar<\/a> hier im Blog ebenfalls auf dieses Thema hin. Unter dem Strich hinterl\u00e4sst das bei mir keinen guten Eindruck von dem, was Microsoft so treibt.<\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Anfang April 2023 hat Microsoft eine neue Version seines Microsoft Security Compliance Toolkit 1.0 ver\u00f6ffentlicht. Eigentlich ist es f\u00fcr Administratoren in Unternehmen eine Pflicht\u00fcbung, sich mit diesem Teil zu befassen. Nachfolgend stelle ich das Microsoft Security Compliance Toolkit 1.0 kurz … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,301],"tags":[4328,3288],"class_list":["post-280537","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-windows","tag-sicherheit","tag-windows-en"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/280537","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=280537"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/280537\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=280537"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=280537"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=280537"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}