Anonyme Verbindungen verhindern
Angreifende können ungeschützte, anonyme Verbindungen nutzen, um Informationen über das System (z.B. Liste von Benutzer*innen und Gruppen, SIDs von Konten, Listen von Freigaben, Betriebssystemversionen und Patch-Level) zu erhalten. Um dieses Risiko zu verringern, sollten anonyme Verbindungen zu Arbeitsplätzen deaktiviert werden:
Computerkonfiguration | Administrative Vorlagen | Netzwerk | LanMan-Arbeitsstation
| Gruppenrichtlinieneinstellung | Empfohlene Option |
|---|---|
| Unsichere Gastanmeldungen aktivieren | Deaktiviert |
Computerkonfiguration | Windows-Einstellungen | Sicherheitseinstellungen | Lokale Richtlinien | Sicherheitsoptionen
| Gruppenrichtlinieneinstellung | Empfohlene Option |
|---|---|
| Netzwerkzugriff: Anonyme Aufzählung von SAM-Konten und Freigaben nicht erlauben | Aktiviert |
| Netzwerksicherheit: Lokalem System die Verwendung der Computeridentität für NTLM erlauben | Aktiviert |
| Netzwerksicherheit: Zurückgreifen auf NULL-Sitzung für lokales System zulassen | Deaktiviert |
Computerkonfiguration | Windows-Einstellungen | Sicherheitseinstellungen | Lokale Richtlinien | Zuweisen von Benutzerrechten
| Gruppenrichtlinieneinstellung | Empfohlene Option |
|---|---|
| Auf diesen Computer vom Netzwerk aus zugreifen | Administrator*innen; Remoteverwaltungsbenutzer*innen |
| Zugriff vom Netzwerk auf diesen Computer verweigern | Gast; Lokales Konto |
Computerkonfiguration | Administrative Vorlagen | System | Remoteprozeduraufruf
| Gruppenrichtlinieneinstellung | Empfohlene Option |
|---|---|
| Nicht authentifizierte RPC-Clients einschränken | Aktiviert
|
Netzwerkprofiltyp außerhalb von Domänen-Betrieb
Windows unterscheidet zwischen Netzwerkprofiltypen: "Public" und "Privat" (sowie "DomainAuthenticated" für DC-Betrieb). Am Universitätsnetz (LAN und WLAN), außerhalb einer Domäne, stellen Sie den Netzwerktyp auf "Public" (Öffentlich) - dies ist mit den Standard-Profil-Einstellungen die restriktivste Einstellung. Eine nachträgliche Umstellung ist über die PowerShell (mit Administratorrechten) möglich:
> Set-NetConnectionProfile -name "[NETZWERKNAME]" -NetworkCategory public
Lokale Firewall
Geschieht die Filterung von Netzwerkverkehr nicht (oder nicht dem Schutzbedarf des Systems angemessen) durch eine externe Firewall, braucht es eine lokale Firewall. Die integrierte Windows-Firewall ist so eingestellt, dass sie eingehenden Datenverkehr blockiert (mit leider sehr vielen Ausnahmen) und jeden ausgehenden Verkehr zulässt. Bei erhöhten Sicherheitsanforderungen an das System sollte das Regelwerk auf die unbedingt benötigten eingehenden (Löschen von Ausnahmeregeln) und ausgehenden (Aktivierung des Whitelistings und Pflege des Regelwerks) Netzwerkverbindungen reduziert werden.[1]
Sichere SMB-Protokollverbindungen
Das Server Message Block (SMB)-Protokoll bildet die Grundlage für viele Netzwerkoperationen. Digital signierte SMB-Pakete helfen, Man-in-the-Middle-Angriffe zu verhindern.
Computerkonfiguration | Windows-Einstellungen | Sicherheitseinstellungen | Lokale Richtlinien | Sicherheitsoptionen
| Gruppenrichtlinieneinstellung | Empfohlene Option |
|---|---|
| Microsoft-Netzwerk (Client): Kommunikation digital signieren (immer) | Aktiviert |
| Microsoft-Netzwerk (Server): Kommunikation digital signieren (immer) | Aktiviert |
| Microsoft-Netzwerk (Server): Kommunikation digital signieren (wenn Client zustimmt) | Aktiviert |
Uni-Zeitserver auch für Nicht-Domain-Mitglieder
Als Zeitserver sollte in jedem Fall der der Universität (time.uni-konstanz.de) konfiguriert werden.
Dazu muss ggf. der via gp-pack vorgenommene Registry-Eintrag, die Zeitsynchronisation zu deaktivieren, zurück gesetzt werden:
Computerkonfiguration | Administrative Vorlagen | Klassische administrative Vorlagen (ADM) | gp-Pack: Privacy and Telemetry
| Gruppenrichtlinieneinstellung | Empfohlene Option |
|---|---|
| 3. Prevent Windows from time synchronisation | Deaktiviert |
Auf Nicht-Domänen-Mitgliedern kann dann etwa der folgende Befehl (mit Administratorrechten) für die Zuweisung des Uni-Zeitservers verwendet werden:
> w32tm /config /syncfromflags:manual /update /reliable:yes /manualpeerlist:"time.uni-konstanz.de"
Automatisches Update von Stammzertifikaten
In Windows-Systeme ist eine Liste von Unternehmen und Organisationen enthalten, die von Microsoft als vertrauenswürdige Stelle für das Ausstellen von Zertifikaten eingestuft wurden. Diese Liste pflegt Microsoft selbst und verteilt die Informationen über vertrauenswürdige Zertifizierungsstellen an Windows-Systeme. Dies geschieht im Hintergrund und erfordert keine Eingabe oder Interaktion durch den*die Benutzer*in. In der Vergangenheit hatte Microsoft einmal einige Tage gebraucht, um ein kompromittiertes Zertifikat korrekt für ungültig zu erklären. Sicherheitsexpert*innen raten dazu, die Listen selbst zu kontrollieren. Auch im gp-pack wird die Deaktivierung dieses automatischen Updates von Stammzertifikaten vorgeschlagen, was jedoch nur dann empfohlen werden kann, wenn der Prozess der manuellen, systematischen Zertifikatslistenpflege etabliert wurde sowie die Fähigkeit und die Ressourcen bereit stehen, diese Verantwortung selbst zu übernehmen. Ansonsten sollte die Einstellung wieder zurück gesetzt werden, um nicht versehentlich abgelaufene Stammzertifikate auf den Systemen als gültig zu behandeln:
Computerkonfiguration | Administrative Vorlagen | System | Internetkommunikationsverwaltung | Internetkommunikationseinstellungen
| Gruppenrichtlinieneinstellung | Empfohlene Option |
|---|---|
| Automatisches Update von Stammzertifikaten deaktivieren | Deaktiviert |