Anonyme Verbindungen verhindern

Ein Angreifer kann ungeschützte, anonyme Verbindungen nutzen, um Informationen über das System (z.B. Liste von Benutzern und Gruppen, SIDs von Konten, Listen von Freigaben, Betriebssystemversionen und Patch-Level) zu erhalten. Um dieses Risiko zu verringern, sollten anonyme Verbindungen zu Arbeitsplätzen deaktiviert werden:

Computerkonfiguration | Administrative Vorlagen | Netzwerk | LanMan-Arbeitsstation

Gruppenrichtlinieneinstellung	Empfohlene Option
Unsichere Gastanmeldungen aktivieren	Deaktiviert

Computerkonfiguration | Windows-Einstellungen | Sicherheitseinstellungen | Lokale Richtlinien | Sicherheitsoptionen

Gruppenrichtlinieneinstellung	Empfohlene Option
Netzwerkzugriff: Anonyme Aufzählung von SAM-Konten und Freigaben nicht erlauben	Aktiviert
Netzwerksicherheit: Lokalem System die Verwendung der Computeridentität für NTLM erlauben	Aktiviert
Netzwerksicherheit: Zurückgreifen auf NULL-Sitzung für lokales System zulassen	Deaktiviert

Computerkonfiguration | Windows-Einstellungen | Sicherheitseinstellungen | Lokale Richtlinien | Zuweisen von Benutzerrechten

Gruppenrichtlinieneinstellung	Empfohlene Option
Auf diesen Computer vom Netzwerk aus zugreifen	Administratoren; Remoteverwaltungsbenutzer
Zugriff vom Netzwerk auf diesen Computer verweigern	Gast; Lokales Konto

Computerkonfiguration | Administrative Vorlagen | System | Remoteprozeduraufruf

Gruppenrichtlinieneinstellung	Empfohlene Option
Nicht authentifizierte RPC-Clients einschränken	Aktiviert Zu übernehmende Einschränkung für nicht authentifizierte Clients für RPC-Laufzeit: Authentifiziert

Netzwerkprofiltyp außerhalb von Domänen-Betrieb

 Windows unterscheidet zwischen Netzwerkprofiltypen: "Public" und "Privat" (sowie "DomainAuthenticated" für DC-Betrieb). Am Universitätsnetz (LAN und WLAN), außerhalb einer Domäne, stellen Sie den Netzwerktyp auf "Public" (Öffentlich) - dies ist mit den Standard-Profil-Einstellungen die restriktivste Einstellung. Eine nachträgliche Umstellung ist über die PowerShell (mit Administratorrechten) möglich:

> Set-NetConnectionProfile -name "[NETZWERKNAME]" -NetworkCategory public

Lokale Firewall

Geschieht die Filterung von Netzwerkverkehr nicht (oder nicht dem Schutzbedarf des Systems angemessen) durch eine externe Firewall, braucht es eine lokale Firewall. Die integrierte Windows-Firewall ist so eingestellt, dass sie eingehenden Datenverkehr blockiert (mit leider sehr vielen Ausnahmen) und jeden ausgehenden Verkehr zulässt. Bei erhöhten Sicherheitsanforderungen an das System sollte das Regelwerk auf die unbedingt benötigten eingehenden (Löschen von Ausnahmeregeln) und ausgehenden (Aktivierung des Whitelistings und Pflege des Regelwerks) Netzwerkverbindungen reduziert werden.

Sichere SMB-Protokollverbindungen

Das Server Message Block (SMB)-Protokoll bildet die Grundlage für viele Netzwerkoperationen. Digital signierte SMB-Pakete helfen, Man-in-the-Middle-Angriffe zu verhindern.

Computerkonfiguration | Windows-Einstellungen | Sicherheitseinstellungen | Lokale Richtlinien | Sicherheitsoptionen

Gruppenrichtlinieneinstellung	Empfohlene Option
Microsoft-Netzwerk (Client): Kommunikation digital signieren (immer)	Aktiviert
Microsoft-Netzwerk (Server): Kommunikation digital signieren (immer)	Aktiviert
Microsoft-Netzwerk (Server): Kommunikation digital signieren (wenn Client zustimmt)	Aktiviert

Uni-Zeitserver auch für Nicht-Domain-Mitglieder

Als Zeitserver sollte in jedem Fall der der Universität (ntp.uni-ulm.de) konfiguriert werden.

Dazu muss ggf. der via gp-pack vorgenommene Registry-Eintrag, die Zeitsynchronisation zu deaktivieren, zurückgesetzt werden:

Computerkonfiguration | Administrative Vorlagen | Klassische administrative Vorlagen (ADM) | gp-Pack: Privacy and Telemetry

Gruppenrichtlinieneinstellung	Empfohlene Option
3. Prevent Windows from time synchronisation	Deaktiviert

Auf Nicht-Domänen-Mitgliedern kann dann etwa der folgende Befehl (mit Administratorrechten) für die Zuweisung des Uni-Zeitservers verwendet werden:

> w32tm /config /syncfromflags:manual /update /reliable:yes /manualpeerlist:"ntp.uni-ulm.de"

Automatisches Update von Stammzertifikaten

In Windows-Systemen ist eine Liste von Unternehmen und Organisationen enthalten, die von Microsoft als vertrauenswürdige Stelle für das Ausstellen von Zertifikaten eingestuft wurden. Diese Liste pflegt Microsoft selbst und verteilt die Informationen über vertrauenswürdige Zertifizierungsstellen an Windows-Systeme. Dies geschieht im Hintergrund und erfordert keine Eingabe oder Interaktion des Benutzers. In der Vergangenheit hatte Microsoft einmal einige Tage gebraucht, um ein kompromittiertes Zertifikat korrekt für ungültig zu erklären. Sicherheitsexperten raten dazu, die Listen selbst zu kontrollieren. Auch im gp-pack wird die Deaktivierung dieses automatischen Updates von Stammzertifikaten vorgeschlagen, was jedoch nur dann empfohlen werden kann, wenn der Prozess der manuellen, systematischen Zertifikatslistenpflege etabliert wurde sowie die Fähigkeit und die Ressourcen bereit stehen, diese Verantwortung selbst zu übernehmen. Ansonsten sollte die Einstellung wieder zurückgesetzt werden, um nicht versehentlich abgelaufene Stammzertifikate auf den Systemen als gültig zu behandeln:

Computerkonfiguration | Administrative Vorlagen | System | Internetkommunikationsverwaltung | Internetkommunikationseinstellungen

Gruppenrichtlinieneinstellung	Empfohlene Option
Automatisches Update von Stammzertifikaten deaktivieren	Deaktiviert