Eine der häufigsten Ursachen für die Infektion eines Computers mit Schadsoftware ist der Aufruf einer infizierten Datei (z.B. mit Schadsoftware infizierte E-Mail-Anhänge) durch den Benutzer. Aber auch der Aufruf einer korrumpierten Internetseite, welche den Besuchern Schadsoftware ausgeliefert und versucht, Schwachstellen im Browser, Betriebssystem oder externen Anwendungen (wie Java oder Flash) auszunutzen und schädlichen Code einzuschleusen, stellen eine große Gefahr dar. Aufgrund der hohen Verbreitung von Windows-Betriebssystemen ist die Gefährdung durch Schadprogramme und unbefugtes Eindringen in das IT-System vergleichsweise hoch.

Diese Informationsseite ergänzt und konkretisiert die allgemeinen Best-Practices zur Verbesserung der IT-Sicherheit um typische Sicherheitsanforderungen speziell unter Windows 10 Arbeitsstationen (Enterprise-Edition, Version 1809), mit Mozilla Firefox als Web-Browser (statt z.B. Microsoft Edge) und Windows Defender Antivirus als Echtzeit-Scan-Engine gegen Schadsoftware (statt z.B. Sophos Antivirus), abweichend von der Standard-Konfiguration für diese Version.

Für Konfigurationsempfehlungen rund um die Themen Datenschutz und Privatsphäre sei auf das "gp-pack PaT – Privacy and Telemetry 1809" von Mark Heitbrink verwiesen. Die hier genannten Empfehlungen ergänzen diese. Davon abweichende Empfehlungen werden im letzten Punkt "Security vs. Privacy" diskutiert.

Welche Schutzmaßnahmen auf einem Windows-10-Computer konkret erforderlich sind, lässt sich nur unter Kenntnis der tatsächlichen Umstände und der zu erreichenden Ziele und Vorgaben (Schutzbedarf) ermitteln. Im Folgenden wird eine Auswahl an Maßnahmen vorgeschlagen, die typischerweise für dieses Betriebssystem geeignet und angemessen sind. Gegebenenfalls müssen vorgeschlagene Maßnahmen noch an die jeweiligen Rahmenbedingungen angepasst werden. Bei der Sichtung der Empfehlungen kann sich also ergeben, dass einzelne unter den konkreten Rahmenbedingungen entbehrlich oder unwirtschaftlich sind. Dies kann beispielsweise der Fall sein, wenn die entsprechenden Gefährdungen, vor denen die Maßnahmen schützen sollen, bereits durch andere Maßnahmen wirksam minimiert werden.

Die Bedrohungen sollten soweit wie möglich durch technische IT-Sicherheitsmaßnahmen auf ein akzeptables Maß reduziert werden. Bedrohungen, die nicht durch technische Mittel wirksam abgewendet werden können, sondern bei denen es dem individuellen Verhalten und Urteilsvermögen der Nutzer überlassen bleiben, die richtigen Entscheidungen zur richtigen Zeit zu treffen, müssen durch geeignete Schulungen reduziert werden.

Obgleich im eigenen Kontext nicht alle beschriebenen Maßnahmen umsetzbar sind oder im konkreten Fall wegen eines erhöhten Schutzbedarfs der verarbeiteten Daten weitere bzw. restriktivere Maßnahmen erforderlich sind, bieten sich diese Empfehlungen als Checkliste bzw. Ausgangslage an. Sie ersetzen jedoch nicht ein genaues Verständnis der technischen und organisatorischen Zusammenhänge bei der Absicherung und beim Betrieb eines PC-Clients, da ihre Anwendung vertiefte Kenntnisse voraussetzen. Zudem ist Informationssicherheit als Prozess zu verstehen und erfordert ständige Wachsamkeit und Anstrengungen, die Maßnahmen an ggf. geänderte Gefährdungslagen anzupassen.

Themengebiete:

 

Versionshistorie

Autor: Christoph Becker (cb)

VersionDatumAutorenKommentar
1.02019-06-06cb
1.12019-06-19cbFalsche Pfade korrigiert
1.22019-07-24cb
  • Die Speicherung von Anmeldeinformationen für die Netzwerkauthentifizierung pauschal zu verbieten, wird in Bezug auf die Integration von Netzlaufwerken in Abwägung mit der Nutzerfreundlichkeit nicht mehr empfohlen.
  • Die Reaktivierung der Zeitsynchronisation muss direkt in der ADM-Vorlage der gp-pack PaT erfolgen, sonst wird der Registry-Eintrag bei jedem gpupdate wieder überschrieben.
1.32019-07-29cb
  • Anleitung für Local Administrator Password Solution (LAPS) verlinkt (in Fußnote).
  • Aktivierung der Structured Exception Handling Overwrite Protection (SEHOP) aufgenommen.
  • Empfehlungen zu Protokollierung referenziert.
1.42019-07-31cbAuswahl an Services, die typischerweise deaktiviert werden können, ergänzt.

 

Quellen und weiterführende Informationen

  • Microsoft: "Security baseline (FINAL) for Windows 10 v1809 and Windows Server 2019", 2018, Link
  • Bundesamt für Sicherheit in der Informationstechnik (BSI): "IT-Grundschutz-Baustein SYS.2.2.3 Clients unter Windows 10", 2019, Link
  • Bundespolizei (BPOL): "SiM-08202 Client unter Windows 10", 2017, Link
  • Australian Cyber Security Centre (ACSC): "Hardening Microsoft Windows 10 version 1709 Workstations", 2019, Link
  • National Cyber Security Centre (NCSC): "End user device (EUD) security guidance - Windows 10 1809", 2018, Link
  • Bundesamt für Sicherheit in der Informationstechnik (BSI): "Analyse der 'Virtualization Based Security'-Komponenten in Windows 10", 2018, Link
  • Sami Laiho: "Black Belt Security with Windows 10", Microsoft Ignite, 2015, Link
  • Defense Information Systems Agency (DISA): "Windows 10 Security Technical Implementation Guide", 2019, Link
  • National Security Agency (NSA): "Application Whitelisting Using Microsoft AppLocker", 2014, Link
  • Bundesamt für Sicherheit in der Informationstechnik (BSI): "Sichere Nutzung von Geräten unter Microsoft Windows 10 - Empfehlungen für Privatanwender", 2017, Link
  • Bundesamt für Sicherheit in der Informationstechnik (BSI): "Themenpapier Ransomware", 2016, Link
  • Bundesamt für Sicherheit in der Informationstechnik (BSI): "Lagesdossier Ransomware", 2016, Link
  • Microsoft: "Securing privileged access", Windows Server Documentation, 2019, Link
  • Heise Zeitschriften Verlag: c't Windows (2018) - Problemlöser, 2017
  • Heise Zeitschriften Verlag: iX 6/2017, S. 114 ff., 2017