Windows 10 Logo

Bitte einmal Windows 10, sicher und zum Mitnehmen!

Windows 10 bietet für Unternehmen eine fast unüberschaubare Anzahl von Hebeln und Schaltern (bzw. Registry Keys), um das System gegenüber dem Auslieferungszustand zu härten. Während man in großen Konzernen über die Kapazitäten verfügt sich alle wichtigen Einstellungen zu erarbeiten und regelmäßig auch neue Sicherheitsfeature für sich aktivieren kann, ist das für viele Unternehmen mit kleineren IT-Abteilungen eine Mammutaufgabe. 

Um dem entgegenzuwirken hat Microsoft das Konzept der Security Baselines ins Leben gerufen. Bei den Security Baselines handelt es sich um ein Bündel von Einstellungen, die man über Intune auf damit verwaltete Geräte zur Anwendung bringen kann. Die Einstellungen sind dabei so gewählt, dass diese gängigen Empfehlungen für eine sichere Arbeitsumgebung folgen. Wer sich jetzt auf eine „Fire & Forget“-Funktion freut den muss ich leider enttäuschen: Auch wenn diese Funktion den Client auf einen Schlag sicher macht, ist eine Detailbetrachtung einiger Optionen immer noch notwendig. Denn ein sicherer Client ist einer auf dem man nicht mehr alles kann und darf. Wer diese Baselines beispielsweise an Softwareentwickler ausrollt, darf sich auf einigen Unmut gefasst machen. Weiterhin erscheinen regelmäßig (alle paar Monate) Updates für diese Baselines, durch die dann neue Funktionen in die Nutzung gebracht werden. 

Dazu kommt, dass es mittlerweile nicht nur ein Security Baseline gibt, sondern einmal für  

  • Windows 10 (MDM Security Baseline) 
  • Microsoft Defender ATP 
  • Microsoft Edge 

Um mit den Baselines zu starten empfiehlt es sich diese zunächst mal für ein paar Testgeräte zu aktivieren. Eine gute Anleitung zum Start findet man in der Microsoft Dokumentation: https://docs.microsoft.com/de-de/mem/intune/protect/security-baselines#manage-baselines  

Wichtig ist es im Schritt „Assignments“ eine passende Testgruppe für die Geräte zu wählen mit denen man seine Tests fährt. Am besten startet man mit den Windows 10 Baselines, verprobt diese gegen die wichtigsten Anwendungen und nimmt dann einzelne, problematische Einstellungen zurück. Sobald man hier eine stabile, eigene Baseline gefunden hat, kann man damit starten diese einem breiteren User-Kreis zur Verfügung zu stellen. Auf die gleiche Art und Weise kann man sich bei den Baselines für Edge und den Defender ATP (sofern in Nutzung) durcharbeiten.  

Im nächsten Blog-Artikel zu diesem Thema gehen wir dann auf ein paar der Einstellungen genauer ein und erklären, welche besonders häufig zu Problemen bei den Anwendern führen. 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.