Anonyme Verbindungen verhindern

Ein Angreifer kann ungeschützte, anonyme Verbindungen nutzen, um Informationen über das System (z.B. Liste von Benutzern und Gruppen, SIDs von Konten, Listen von Freigaben, Betriebssystemversionen und Patch-Level) zu erhalten. Um dieses Risiko zu verringern, sollten anonyme Verbindungen zu Arbeitsplätzen deaktiviert werden:

Computerkonfiguration | Administrative Vorlagen | Netzwerk | LanMan-Arbeitsstation

GruppenrichtlinieneinstellungEmpfohlene Option
Unsichere Gastanmeldungen aktivierenDeaktiviert

Computerkonfiguration | Windows-Einstellungen | Sicherheitseinstellungen | Lokale Richtlinien | Sicherheitsoptionen

GruppenrichtlinieneinstellungEmpfohlene Option
Netzwerkzugriff: Anonyme Aufzählung von SAM-Konten und Freigaben nicht erlauben

Aktiviert

Netzwerksicherheit: Lokalem System die Verwendung der Computeridentität für NTLM erlaubenAktiviert
Netzwerksicherheit: Zurückgreifen auf NULL-Sitzung für lokales System zulassenDeaktiviert

Computerkonfiguration | Windows-Einstellungen | Sicherheitseinstellungen | Lokale Richtlinien | Zuweisen von Benutzerrechten

GruppenrichtlinieneinstellungEmpfohlene Option
Auf diesen Computer vom Netzwerk aus zugreifenAdministratoren; Remoteverwaltungsbenutzer
Zugriff vom Netzwerk auf diesen Computer verweigernGast; Lokales Konto

Computerkonfiguration | Administrative Vorlagen | System | Remoteprozeduraufruf

GruppenrichtlinieneinstellungEmpfohlene Option
Nicht authentifizierte RPC-Clients einschränken

Aktiviert

  • Zu übernehmende Einschränkung für nicht authentifizierte Clients für RPC-Laufzeit: Authentifiziert

Netzwerkprofiltyp außerhalb von Domänen-Betrieb

 Windows unterscheidet zwischen Netzwerkprofiltypen: "Public" und "Privat" (sowie "DomainAuthenticated" für DC-Betrieb). Am Universitätsnetz (LAN und WLAN), außerhalb einer Domäne, stellen Sie den Netzwerktyp auf "Public" (Öffentlich) - dies ist mit den Standard-Profil-Einstellungen die restriktivste Einstellung. Eine nachträgliche Umstellung ist über die PowerShell (mit Administratorrechten) möglich:

> Set-NetConnectionProfile -name "[NETZWERKNAME]" -NetworkCategory public

Lokale Firewall

Geschieht die Filterung von Netzwerkverkehr nicht (oder nicht dem Schutzbedarf des Systems angemessen) durch eine externe Firewall, braucht es eine lokale Firewall. Die integrierte Windows-Firewall ist so eingestellt, dass sie eingehenden Datenverkehr blockiert (mit leider sehr vielen Ausnahmen) und jeden ausgehenden Verkehr zulässt. Bei erhöhten Sicherheitsanforderungen an das System sollte das Regelwerk auf die unbedingt benötigten eingehenden (Löschen von Ausnahmeregeln) und ausgehenden (Aktivierung des Whitelistings und Pflege des Regelwerks) Netzwerkverbindungen reduziert werden.[1]

Sichere SMB-Protokollverbindungen

Das Server Message Block (SMB)-Protokoll bildet die Grundlage für viele Netzwerkoperationen. Digital signierte SMB-Pakete helfen, Man-in-the-Middle-Angriffe zu verhindern.

Computerkonfiguration | Windows-Einstellungen | Sicherheitseinstellungen | Lokale Richtlinien | Sicherheitsoptionen

GruppenrichtlinieneinstellungEmpfohlene Option
Microsoft-Netzwerk (Client): Kommunikation digital signieren (immer)Aktiviert
Microsoft-Netzwerk (Server): Kommunikation digital signieren (immer)Aktiviert
Microsoft-Netzwerk (Server): Kommunikation digital signieren (wenn Client zustimmt)Aktiviert

Fußnoten