Viele der Empfehlungen im gp-pack PaT dienen auch der IT-Sicherheit. Zu Bedenken gilt, dass manche Einstellungen zwar die Privatsphäre der Nutzer stärker schützen, sich jedoch nachteilig auf die IT-Sicherheit und/oder den Komfort auswirken können. Daher müssen die potenziellen Auswirkungen von Konfigurationsempfehlungen immer kritisch in den Kontext der eigenen Anforderungen und Voraussetzungen gesetzt werden. Auf dieser Seite werden die identifizierten potenziell problematischen Einstellungen diskutiert und abweichende oder ergänzende Empfehlungen ausgesprochen.

Automatische Updates

Das Bayerischen Landesamtes für Datenschutzaufsicht (BayLDA) vertritt die Meinung, dass zur Verfügung stehende Updates nicht automatisch heruntergeladen und laut Zeitplan installiert werden sollten, welche im gp-pack PaT übernommen wurde. In dieser Empfehlung kann kein Datenschutzvorteil erkannt werden. In Verbindung mit einem WSUS, bei dem Updates freigegeben werden müssen, um die Systemstabilität zu gewährleisten, kann diese Empfehlung sogar der IT-Sicherheit abträglich sein, wenn der Zeitpunkt des Einspielens durch den Nutzer aufgeschoben wird. Daher empfiehlt das ACSC (s. Literatur), abweichend vom gp-pack, folgende Einstellungen:

Computerkonfiguration | Administrative Vorlagen | Windows-Komponenten | Windows Update

GruppenrichtlinieneinstellungEmpfohlene Option
Automatische Updates konfigurieren

Aktiviert

  • Automatische Updates konfigurieren: 4 – Autom. herunterladen und laut Zeitplan installieren
  • Updates für andere Microsoft-Produkte installieren

Ebenfalls im gp-pack enthalten ist die Empfehlung, keine Verbindungen mit Windows Update-Internetadressen herzustellen, wenn das System so konfiguriert ist, dass die Verbindung mit einem internen Updatedienst (WSUS) hergestellt wird. Diese Konfiguration gewährleistet, dass externe Stellen weniger Informationen über das System und die darauf installierten Programme ermitteln können, kann allerdings nur empfohlen werden, wenn Updates trotz Nichterreichbarkeit des WSUS zeitnah ausgerollt werden können. Solange dieser Problemfall (noch) nicht vorbereitet wurde, sollte zugunsten der IT-Sicherheit das System stattdessen (abweichend zu gp-pack) so konfiguriert werden, dass in regelmäßigen Abständen Informationen vom öffentlichen Windows Update-Dienst abgerufen werden (Dual-Scan):

Computerkonfiguration | Administrative Vorlagen | Windows-Komponenten | Windows Update

GruppenrichtlinieneinstellungEmpfohlene Option
Keine Verbindungen mit Windows Update-Internetadressen herstellenDeaktiviert

Uni-Zeitserver auch für Nicht-Domain-Mitglieder

Als Zeitserver sollte in jedem Fall der der Universität (time.uni-konstanz.de) konfiguriert werden.

Dazu muss ggf. der via gp-pack vorgenommene Registry-Eintrag, die Zeitsynchronisation zu deaktivieren, zurück gesetzt werden:

Computerkonfiguration | Administrative Vorlagen | Klassische administrative Vorlagen (ADM) | gp-Pack: Privacy and Telemetry

GruppenrichtlinieneinstellungEmpfohlene Option
3. Prevent Windows from time synchronisationDeaktiviert

Auf Nicht-Domänen-Mitgliedern kann dann etwa der folgende Befehl (mit Administratorrechten) für die Zuweisung des Uni-Zeitservers verwendet werden:

> w32tm /config /syncfromflags:manual /update /reliable:yes /manualpeerlist:"time.uni-konstanz.de"

Automatisches Update von Stammzertifikaten

In Windows-Systeme ist eine Liste von Unternehmen und Organisationen enthalten, die von Microsoft als vertrauenswürdige Stelle für das Ausstellen von Zertifikaten eingestuft wurden. Diese Liste pflegt Microsoft selbst und verteilt die Informationen über vertrauenswürdige Zertifizierungsstellen an Windows-Systeme. Dies geschieht im Hintergrund und erfordert keine Eingabe oder Interaktion des Benutzers. In der Vergangenheit hatte Microsoft einmal einige Tage gebraucht, um ein kompromittiertes Zertifikat korrekt für ungültig zu erklären. Sicherheitsexperten raten dazu, die Listen selbst zu kontrollieren. Auch im gp-pack wird die Deaktivierung dieses automatischen Updates von Stammzertifikaten vorgeschlagen, was jedoch nur dann empfohlen werden kann, wenn der Prozess der manuellen, systematischen Zertifikatslistenpflege etabliert wurde sowie die Fähigkeit und die Ressourcen bereit stehen, diese Verantwortung selbst zu übernehmen. Ansonsten sollte die Einstellung wieder zurück gesetzt werden, um nicht versehentlich abgelaufene Stammzertifikate auf den Systemen als gültig zu behandeln:

Computerkonfiguration | Administrative Vorlagen | System | Internetkommunikationsverwaltung | Internetkommunikationseinstellungen

GruppenrichtlinieneinstellungEmpfohlene Option
Automatisches Update von Stammzertifikaten deaktivierenDeaktiviert

Windows Defender Antivirus

Das Bayerischen Landesamtes für Datenschutzaufsicht (BayLDA) empfiehlt, den Windows Defender Antivirus nicht zu verwenden, erklärt ihre Gründe dafür aber nicht. Die BPOL, das ACSC und das NCSC (s. Literatur) hingegen halten den eingebauten Antiviren-Schutz nicht grundsätzlich für ungeeignet. Auch in neueren unabhängigen Tests schneidet die Antiviren-Software sehr gut ab. Es scheinen derzeit keine belastbaren Gründe zu geben, die es zweifelsfrei rechtfertigen, von der Verwendung abzuraten und statt dessen eine Lösung eines Drittanbieters (z.B. Sophos) einzusetzen. Um nach Anwendung des gp-pack den Defender Antivirus wieder zu reaktivieren, müssen folgende Einstellungen gesetzt werden:

Computerkonfiguration | Administrative Vorlagen | Windows-Komponenten | Windows Defender Antivirus

GruppenrichtlinieneinstellungEmpfohlene Option
Windows Defender Antivirus deaktivierenDeaktiviert

Computerkonfiguration | Administrative Vorlagen | Windows-Komponenten | Windows Defender Antivirus | Echtzeitschutz

GruppenrichtlinieneinstellungEmpfohlene Option
Aktivieren der VerhaltensüberwachungAktiviert
Deaktivieren von EchtzeitschutzDeaktiviert

Computerkonfiguration | Administrative Vorlagen | Windows-Komponenten | Windows Defender Antivirus | Signaturaktualisierungen

GruppenrichtlinieneinstellungEmpfohlene Option
Definieren der Dateifreigaben für das Herunterladen von DefinitionsupdatesNicht konfiguriert
Definieren der Reihenfolge der Quellen für das Herunterladen von DefinitionsupdatesNicht konfiguriert

Bemerkung: Aus Datenschutzperspektive ist jedoch der Cloud-basierte Schutz des Defenders problematisch und im gp-pack auch explizit deaktiviert: Microsoft Antimalware Protection Service (MAPS) ist die Onlinecommunity, die die Verbreitung neuer Infektionen durch Schadsoftware zu verhindern versucht, in dem Informationen wie Speicherort zusammen getragen werden, falls Schadsoftware entfernt wurde. Diese zusätzlichen Informationen helfen Microsoft dann bei der Erstellung neuer Definitionen. In einigen Fällen könnten unbeabsichtigt vertrauliche Informationen gesendet werden, so dass Datenschützer und die BPOL nicht zur Aktivierung raten.

Protokollierung von Aktivitäten und Ereignissen

Im Spannungsfeld zwischen IT-Sicherheit und Datenschutz liegt typischer Weise die Aufzeichnung von Aktivitäten und Ereignissen (in Verbindung mit deren Zeitstempeln und Informationen, die sich möglicherweise mit einer Person in Beziehung bringen lassen) zum Zwecke der Sicherung eines ordnungsgemäßen und sicheren Betriebs eines IT-Systems. Empfehlungen zur Protokollierung finden sich insbesondere in:

  • Microsoft: "Security baseline (FINAL) for Windows 10 v1809 and Windows Server 2019", 2018 (Abschnitt "Advanced Audit Configuration")
  • Bundespolizei (BPOL): "SiM-08202 Client unter Windows 10", 2017 (Abschnitt "SYS.02.01.A007 (B) Protokollierung", S. 81 ff.)
  • Australian Cyber Security Centre (ACSC): "Hardening Microsoft Windows 10 version 1709 Workstations", 2019 (Abschnitt "Audit event management", S. 25 ff.)
  • Defense Information Systems Agency (DISA): "Windows 10 Security Technical Implementation Guide", 2019 (Einträge beginnend mit "The system must be configured to audit [...]")

Zur Sicherung der Effektivität der Protokollierung und ihrer Auswertung sowie ihrer Vereinbarkeit mit dem Datenschutzrecht sollte ein Konzept erstellt werden, dass den Zweck der Protokollierung, deren Inhalt, Umfang, Manipulationssicherheit, Speicherdauer und Auswertung sowie Schutzmechanismen für die Rechte der betroffenen Personen klar definiert.

Im gp-pack wird dazu geraten, die Windows-Fehlerberichterstattung an Microsoft zu deaktivieren. Um die Probleminformationen, wenn Software unerwartet beendet wird oder ausfällt, dennoch zum Zwecke der Fehlerbehebung zu sammeln, kann alternativ das System auch so eingestellt werden, dass es Fehlermeldungen lokal oder auf einem zentralen Log-Server speichert.