Windows 10 sicher in Netzwerken betreiben

von Thomas Joos am , 05:44 Uhr

Windows 10 bietet zahlreiche Einstellungsmöglichkeiten, um sicher im Netzwerk betrieben zu werden. Wir geben einige Tipps und Hinweise.

Auch wenn Windows 10 [1] bezüglich des Datenschutzes keinen guten Ruf hat, ist das Betriebssystem sicher und leicht bedienbar. Dazu kommt die optimale Zusammenarbeit mit Windows Server 2016 [2] sowie der Möglichkeit das Betriebssystem mit Gruppenrichtlinieneinstellungen zu optimieren. Microsoft [3] arbeitet auch ständig an Technologien, wie zum Beispiel „Windows 10 Device Guard“, um das System noch sicherer zu machen.

Im neuen Windows Defender Security Center sind zum Beispiel alle Sicherheitseinstellungen bezüglich des Windows Defenders zu sehen sowie des generellen Sicherheitszustandes. Es bietet sich also an das Windows Defender Security Center über das Startmenü zu überprüfen. Auch in Unternehmensnetzwerken lässt sich schon alleine dadurch die generelle Sicherheit des Betriebssystems überprüfen.

Das Windows Defender Security Center bietet einen Überblick zur Sicherheit des Rechners (Screenshot: Thomas Joos). [4]Das Windows Defender Security Center bietet einen Überblick zur Sicherheit des Rechners (Screenshot: Thomas Joos).

 

Generell muss auch beachtet werden, dass Windows 10 Pro wesentlich weniger Gruppenrichtlinien-Einstellungen unterstützt, als Windows 10 Enterprise. Dazu gehören zum Beispiel die Deaktivierung des Stores oder die Anpassung des Startmenüs. Microsoft hat in der TechNet eine Liste [5] veröffentlicht, welche GPO-Einstellungen nur mit Windows 10 Enterprise und Windows 10 Education (entspricht Windows 10 Enterprise) möglich sind.

Diese Funktionen bietet Windows 10 Device Guard

Microsoft bietet mit Windows Device Guard die Möglichkeit Arbeitsstationen so abzusichern, dass nur definierte Anwendungen gestartet werden können. Windows 10 Device Guard [6] erlaubt also die zentrale Steuerung von erlaubten Anwendungen, zusammen mit AppLocker. Die Absicherung erfolgt über „Codeintegritätsrichtlinien“.

Anwendungen, deren Signatur nicht in den Richtlinien hinterlegt sind, können nicht gestartet werden. Für Windows 10 Device Guard müssen Unternehmen auf Arbeitsstationen mit Windows 10 Enterprise setzen. Außerdem muss auf dem Rechner UEFI 2.3.1 oder neuer verfügbar sein. Zunächst arbeiten Rechner mit der Secure Boot-Funktion des UEFI. Mit dem Start von Windows 10 startet auch Device Guard. Die Vorgehensweise dazu zeigt Microsoft in einem Blog-Beitrag [7].

Neben Device Guard kann auch Applocker genutzt werden, um Anwendungen zu blockieren. AppLocker lässt sich in den Gruppenrichtlinien über Computerkonfiguration/Windows-Einstellungen/Sicherheitseinstellungen/Anwendungssteuerungsrichtlinien/AppLocker steuern. Die Konfiguration von Device Guard erfolgt ebenfalls über Gruppenrichtlinien. Die Einstellungen dazu sind bei „Computerkonfiguration\Administrative Vorlagen\System\Device Guard“ zu finden.

Die Aktivierung von Device Guard erfolgt am besten über Gruppenrichtlinien (Screenshot: Thomas Joos). [8]Die Aktivierung von Device Guard erfolgt am besten über Gruppenrichtlinien (Screenshot: Thomas Joos).

 

Die meisten Einstellungen von Device Guard lassen sich über die PowerShell steuern. Microsoft zeigt die Möglichkeiten in der TechNet [9]. MIt PowerShell-CMDlets werden die Richtlinien erstellt und im Netzwerk hinterlegt.

Updates in Windows 10 mit Windows bereitstellen

Windows 10 arbeitet bei der Installation von Updates mit „Ringen“. Administratoren können im Unternehmen festlegen, in welchen Ringen die einzelnen Arbeitsstationen Mitglied sind und wie die Updates installiert werden sollen. Die wichtigsten Einstellungen dazu finden Administratoren in den Gruppenrichtlinien über „Computerkonfiguration\Richtlinie\Administrative Vorlagen\Windows-Komponenten\Windows-Update“.

Standardmäßig sind bereits die Ringe „Current Branch“ und „Current Branch for Business“ verfügbar. Ein dritter Bereitstellungsring ist die Bereitstellung von Insider-Previews. Administratoren können weitere Ringe anlegen, zum Beispiel für einzelne Abteilungen im Unternehmen.

In den Update-Einstellungen lassen sich die Verteilungsringe definieren, aber auch über Gruppenrichtlinien (Screenshot: Thomas Joos). [10]In den Update-Einstellungen lassen sich die Verteilungsringe definieren, aber auch über Gruppenrichtlinien (Screenshot: Thomas Joos).

 

Die Installation von Updates lässt sich einige Zeit zurückstellen. Die Einstellungen dazu sind bei „Computerkonfiguration\Richtlinie\Administrative Vorlagen\Windows-Komponenten\Windows-Update\Windows-Updates zurückstellen“ zu finden. Hier lassen sich die Einstellungen für Feature Updates (Funktionsupdates) und Quality Updates (Qualitätsupdates) vornehmen. Auch hier können die verschiedenen Ringe verwendet werden. Microsoft zeigt die Vorgehensweise auf der Internetseite zur Verwaltung von Verteilungsringen [11].

Bei „Computerkonfiguration\Richtlinie\Administrative Vorlagen\Windows-Komponenten\Übermittlungsoptimierung“ kann festgelegt werden, mit welcher Bandbreite [12] der Download von Updates erfolgt. Besonders wichtig sind hier die Werte bei „Maximale Downloadbandbreite“, „Max. Uploadbandbreite“ und „Minimaler Hintergrund-QoS-Wert“.

Mit Gruppenrichtlinien Windows 10 absichern

Microsoft stellt bei neuen Windows-Versionen auch neue ADMX-Dateien [13] zur Verfügung, mit denen auch neue Einstellungsmöglichkeiten zentral über Gruppenrichtlinien festgelegt werden können. Einbinden lassen sich die ADMX-Dateien auf Rechnern mit Windows Server 2008/2008 R2/2012/2012 R2 und natürlich Windows Server 2016.

Außerdem bietet Gruppenrichtlinienerweiterungen an, mit denen Administratoren Gruppenrichtlinieneinstellungen für Office [14] 365 und OneDrive [15]for Business vornehmen können. Neben den Gruppenrichtlinieneinstellungen für OneDrive for Business stehen auch Einstellungen für Office 2016 für Gruppenrichtlinien [16] zur Verfügung. Die Richtlinien ermöglichen den sicheren Betrieb von Office 2016-Programmen auf Rechnern mit Windows 10 und die Anpassung der Verwendung von OneDrive in den Office-Programmen.

Auch Einstellungen für Office 2010/2013 lassen sich über Gruppenrichtlinien durchführen. Im Downloadcenter stellt Microsoft Gruppenrichtlinienvorlagen [17]zur Verfügung, über die Office 2010/2013 per Richtlinie [18] anpasst werden kann. Sichere Office-Installationen sind für den sicheren Betrieb von Windows 10 im Netzwerk unerlässlich.

Sollen Anwender kein OneDrive nutzen, lässt sich die Anbindung an den Cloudspeicher über Gruppenrichtlinien steuern.  In der Gruppenrichtlinienverwaltungskonsole sind die Einstellungen über Computerkonfiguration/Administrative Vorlagen/Windows-Komponenten/OneDrive zu finden. Hier ist zum Beispiel die Einstellung „Verwendung von OneDrive für die Datenspeicherung verhindern“ zu sehen.

Mit den Optionen „Verwendung von OneDrive für die Datenspeicherung unter Windows 8 [19].1 verhindern“ und „Verwendung von OneDrive zur Datenspeicherung verhindern“ können Administratoren festlegen, dass Benutzer Daten in OneDrive speichern können. Die Option wird generell für alle Benutzer eines Computers verwendet, da sie in der Computerkonfiguration vorgenommen wird.

Nach der Integration der ADMX-Dateien für OneDrive, stehen zusätzlich noch bei „Computerkonfiguration\Administrative Vorlagen\OneDrive“ und bei „Benutzerkonfiguration\Administrative Vorlagen\OneDrive“ Optionen zur Steuerung zur Verfügung.

OneDrive lässt sich in Windows 10 umfassend mit Gruppenrichtlinien steuern (Screenshot: Thomas Joos). [20]OneDrive lässt sich in Windows 10 umfassend mit Gruppenrichtlinien steuern (Screenshot: Thomas Joos).

 

Windows 10 an WSUS anbinden

Wenn im Unternehmen bereits ein Server mit Windows Server Update Services (WSUS) in Betrieb ist, bietet es sich an, die Update-Einstellungen von Windows 10 über Gruppenrichtlinien zu setzen. Die wichtigsten Einstellungen dazu sind über „Computerkonfiguration/Richtlinien/Administrative Vorlagen/Windows-Komponenten/Windows Update“ zu finden. Die generelle Vorgehensweise entspricht generell den Vorgängerversionen. Bei der grundlegenden Anbindung an WSUS hat Microsoft an dieser Stelle nichts geändert.

Arbeitsstationen lassen sich so konfigurieren, dass diese automatisch Aktualisierungen vom WSUS herunterladen und installieren. Die erste Option ist „Internen Pfad für den Microsoft Updatedienst angeben“. Da WSUS eine Webapplikation ist, muss der Servernamen mit einer HTTP-Adresse angegeben werden: http://<Servername>:<Port>. WSUS lässt sich auch mit HTTPS nutzen. Dazu muss der Server entsprechend konfiguriert sein. Die zweite wichtige Option ist das Updateverhalten, das über „Automatische Updates konfigurieren“ festgelegt wird.

Sprachassistent Cortana und Browser Microsoft Edge

Der Sprachassistent Cortana wird von Microsoft eng in Windows 10 angebunden, und ist bereits bei der Installation aktiv. Über Gruppenrichtlinieneinstellungen lässt sich Cortana generell recht gut steuern. Dazu wird die Einstellung „Nicht im Web suchen und keine Webergebnisse in der Suche anzeigen“ bei „Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Suche“ verwendet. Durch die Aktivierung dieser Option wird verhindert, dass Anwender über Cortana im Internet nach Informationen suchen. Bei solchen Suchvorgängen werden auch Informationen des lokalen Rechners in das Internet gesendet und der Cloud gespeichert. Das ist nicht immer im Interesse des Unternehmens.

Mit der Richtlinieneinstellung „Cortana zulassen“ können Administratoren mit der Option „Deaktivieren“ Cortana per Richtlinie komplett deaktivieren. Mit der Einstellung „Cortana auf dem Sperrbildschirm zulassen“ wird festgelegt, ob Cortana auch Informationen auf dem gesperrten Bildschirm anzeigen soll. Microsoft Edge lässt sich über Gruppenrichtlinien steuern.

Zu finden sind die Einstellungsmöglichkeiten über „Computerkonfiguration\Richtlinien\Administrative Vorlagen\Windows-Komponenten\Microsoft Edge“.

Windows Store ist nur in den Editionen Enterprise und Education deaktivierbar

Windows 10 Pro bietet nicht alle Steuerungsmöglichkeiten über Gruppenrichtlinien, die möglich sind. Nur die Editionen Windows 10 Enterprise und Education bieten die Möglichkeit den Windows Store über Gruppenrichtlinien zu deaktivieren. Dieses Verhalten hat Microsoft offiziell bestätigt [21]. Die Möglichkeiten dazu sind zwar auch in Windows 10 Pro zu finden, funktionieren aber nicht. Die entsprechenden Einstellungen zur Deaktivierung des Store in Windows 10 Enterprise sind in den Gruppenrichtlinien über die folgenden Wege zu finden:

Computer Configuration >Administrative Templates >Windows Components > Store >Turn off the Store application

User Configuration > Administrative Templates > Windows Components > Store > Turn off the Store

Auf deutschen Rechnern sind die Einstellungen über folgenden Weg zu finden:

Computerkonfiguration\Richtlinien\Administrative Vorlagen\Windows-Komponenten\Store

Unternehmen, die auf Windows 10 Enterprise setzen, können weitere Sicherheitseinstellungen setzen, die in Windows 10 Pro nicht verfügbar sind. Besonders interessant ist in diesem Bereich die Richtlinieneinstellung „Computerkonfiguration / Richtlinien / Administrative Vorlagen / Windows-Komponenten / Datensammlung und Vorabversionen“.

Datenschutz verbessern

Die Einstellung „Computerkonfiguration / Richtlinien / Administrative Vorlagen / Windows-Komponenten / Position und Sensoren / Windows-Positionssuche“ kann den Datenschutz verbessern, wenn Anwender Notebooks mit Windows 10 nutzen. Allerdings gilt auch hier, dass die Verbesserungen nicht alle Spionagefunktionen deaktivieren. In Windows 10 lassen sich Datenübertragungen der integrierten Windows-Spiele steuern. Dazu steht die Einstellung „Computerkonfiguration / Richtlinien / Administrative Vorlagen / Windows-Komponenten / Spiel-Explorer“ zur Verfügung.

Sicherheitseinstellungen für das Netzwerk steuern

Manchmal kann es passieren, dass Windows 10 den aktuellen Netzwerktyp nicht erkennt, und einen falschen Netzwerktyp verwendet. Dies äußert sich in Problemen beim Netzwerkzugriff. Administratoren haben in Windows 10 Pro und Enterprise die Möglichkeit, über Gruppenrichtlinien nicht identifizierte Netzwerke manuell zuzuordnen:

  1. Die Einstellungen dazu sind über „Computerkonfiguration/Windows-Einstellungen/Sicherheitseinstellungen/Netzwerklisten-Manager-Richtlinien“ zu finden.
  2.  Die Einstellungen dazu sind bei „Nicht identifizierte Netzwerke“ zu finden.
  3. Hier kann das Netzwerk festgelegt werden.

Microsoft-Konten blockieren

Windows 10 bevorzugt die Anmeldung mit Microsoft-Konten. Allerdings ist das auf Unternehmensrechnern selten erwünscht. Soll auf Firmenrechnern das Anmelden mit Microsoft-Konten untersagt werden, wird die Einstellung dazu am besten in den Gruppenrichtlinien vorgenommen. Die Konfiguration ist über „Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen“ zu finden. Im rechten Bereich muss der Eintrag „Konten: Microsoft-Konten blockieren“ aktiviert werden.

Microsoft-Konten sind auf Firmenrechnern nicht immer sinnvoll (Screenshot: Thomas Joos). [22]Microsoft-Konten sind auf Firmenrechnern nicht immer sinnvoll (Screenshot: Thomas Joos).

 

Die Anmeldung an Windows 10 ist auch für PINs optimiert. Das erleichtert Anwendern die Anmeldung und erhöht gleichzeitig die Sicherheit. Durch die verschiedenen Anmeldeoptionen führen Assistenten. Die Anmeldefunktionen mit Windows Hello bieten mehr Möglichkeiten. Die Einstellungen dazu sind im Bereich „Windows Hello über Einstellungen/Konten/Anmeldeoptionen“ zu finden. Hier ist auch zu sehen, ob ein PC Windows Hello unterstützt und welche Geräte eingebunden werden können. Nach der Einrichtung können an dieser Stelle auch weitere Einstellungen vorgenommen werden, zum Beispiel zusätzliche Fingerabdrücke oder neue Gesichter für die Gesichtserkennung. Die Einrichtung von Windows Hello erfolgt über einen Assistenten.

Windows Hello wird über einen Assistenten eingerichtet (Screenshot: Thomas Joos). [23]Windows Hello wird über einen Assistenten eingerichtet (Screenshot: Thomas Joos).

 

Microsoft empfiehlt bei der Verwendung von Windows Hello parallel eine PIN in Windows 10 zu hinterlegen, über welche die Anmeldung mit dem gewünschten Anwender erfolgen kann. Funktioniert Windows Hello nicht, zum Beispiel weil die Kamera oder der Fingerabdrucksensor nicht mehr funktionieren, können sich Anwender immer noch mit ihrer PIN anmelden.

Azure Active Directory mit Windows 10 Enterprise

Mit Windows 10 besteht auch die Möglichkeit Arbeitsstationen direkt an Azure Active Directory anzubinden. Die Anbindung können Anwender selbst durchführen. Anwender können von überall mit dem Azure Active Directory Application Proxy auf Unternehmensressourcen zugreifen und an ihren Heimarbeitsplätzen auch weiterhin mit ihrem herkömmlichen lokalen Konto oder Microsoft-Konto arbeiten. Die Anmeldung an Azure Active Directory ist als Zusatzoption möglich.Im Azure-Portal sind die registrierten PCs in den Einstellungen des Benutzers zu sehen. Hier können Administratoren einzelne Geräte auch sperren oder gesperrte Geräte freischalten.

 

Artikel von ZDNet.de: http://www.zdnet.de

URL zum Artikel: http://www.zdnet.de/88305113/windows-10-sicher-in-netzwerken-betreiben/

URLs in this post:

[1] Windows 10: http://www.zdnet.de/themen/windows-10/

[2] Windows Server 2016: http://www.zdnet.de/themen/windows-server-2016/

[3] Microsoft: http://www.zdnet.de/unternehmen/microsoft/

[4] Image: http://www.zdnet.de/wp-content/uploads/2017/07/device-guard-03-1.jpg

[5] Liste: https://technet.microsoft.com/en-us/itpro/windows/manage/group-policies-for-enterprise-and-education-editions?f=255&MSPPError=-2147217396

[6] Windows 10 Device Guard: https://docs.microsoft.com/de-de/windows/device-security/device-guard/introduction-to-device-guard-virtualization-based-security-and-code-integrity-policies

[7] Blog-Beitrag: https://blogs.technet.microsoft.com/sebastianklenk/2016/03/24/konfiguration-des-windows-10-device-guard-zur-sicheren-anwendungsausfuehrung/

[8] Image: http://www.zdnet.de/wp-content/uploads/2017/07/device-guard-01.jpg

[9] TechNet: https://technet.microsoft.com/itpro/powershell/windows/configci/new-cipolicy

[10] Image: http://www.zdnet.de/wp-content/uploads/2017/07/device-guard-02.jpg

[11] Verteilungsringen: http://www.zdnet.dehttp://(https://docs.microsoft.com/en-us/windows/deployment/update/waas-wufb-group-policy

[12] Bandbreite: https://docs.microsoft.com/en-us/windows/deployment/update/waas-delivery-optimization

[13] ADMX-Dateien: https://www.microsoft.com/en-us/download/details.aspx?id=55080&WT.mc_id=rss_allproducts_windows

[14] Office: http://www.zdnet.de/themen/office-2013/

[15] OneDrive : https://www.microsoft.com/en-us/download/details.aspx?id=50381

[16] Einstellungen für Office 2016 für Gruppenrichtlinien: https://www.microsoft.com/en-us/download/details.aspx?id=49030

[17] Gruppenrichtlinienvorlagen : http://www.microsoft.com/en-us/download/details.aspx?displaylang=en&id=18968

[18] Office 2010/2013 per Richtlinie: http://www.microsoft.com/en-us/download/details.aspx?id=35554

[19] Windows 8: http://www.zdnet.de/themen/windows-8/

[20] Image: http://www.zdnet.de/wp-content/uploads/2017/07/device-guard-04.jpg

[21] bestätigt: https://support.microsoft.com/en-us/kb/3135657

[22] Image: http://www.zdnet.de/wp-content/uploads/2017/07/device-guard-05.jpg

[23] Image: http://www.zdnet.de/wp-content/uploads/2017/07/device-guard-06.jpg