Zusammenfassung
Sicherheitsanforderungen und Installationsvorgaben von Clients unter Windows 10
Diese Anleitung richtet sich besonders an folgende Zielgruppen:
- Studierende
- Zweit- und Gasthörende
- Lehrende
- Mitarbeitende
- Einrichtungen und Gremien (z.B. Fachschaftsräte)
- Arbeitsbereiche / Gruppen (z.B. Projekte)
- Sekretariate
- Gäste der Friedrich-Schiller-Universität
Anforderungen BSI
- Microsofts Cloud-Dienst OneDrive deaktivieren
- Nach einem funktionalen Update des Betriebssystems muss überprüft werden, ob alle Anforderungen aus dem IT-Grundschutz und den internen Vorgaben weiterhin erfüllt werden.
- Datenschutzoptionen, Spracherkennung, Diagnosedaten, Aktivitätsverlauf und Positionserkennung sollten deaktiviert werden.
- Sophos als Computer-Viren-Prüfprogramm installieren
- Online-Konten zur Anmeldung von Microsoft-Konto oder Konten anderer Anbieter von Identitätsmanagementsystemen sind nicht erlaubt.
- Alle nicht benötigten Anwendungen und Komponenten sollten deaktiviert werden.
- Die Datenausführungsverhinderung für alle Programme und Dienste (Opt-Out Modus) aktivieren, um zu verhindern, dass Programmcodes auf eine nicht erlaubte Weise ausgeführt werden.
- [Enterprise Version] Virtual Secure Mode (VSM) und Credential Guard aktivieren
- Schreibrechte für den Benutzer auf bestimmten Bereich einschränken
- kein Schreibrecht auf Betriebssystem Ordner für Benutzer
- Die SmartScreen-Funktion deaktivieren
- Den Sprachassistenten Cortana deaktivieren
- Den Windows Store deaktivieren
- Speicherung von Kennwörtern, Zertifikaten und anderen Anmeldeinformationen zur automatischen Anmeldung auf Webseiten und IT-Systemen ist nicht erlaubt.
- Der aktuell angemeldete Benutzer sollte dem Aufbau einer Fernwartungssitzung immer explizit zu stimmen müssen.
- Bei Verwendung des Fernzugriffes über Remote Desktop (RDP) muss die Ressourcenumleitung und die Druckerumleitung angepasst werden
- Alle Administrator-Konten sollten dokumentiert und in regelmäßigen Abständen eingeschätzt werden.
- Windows Powershell: Ausführen von Skripten sperren
Umsetzung
- Systemsteuerung → System und Sicherheit → Verwaltung → Gruppenrichtlinienverwaltung → Computerkonfiguration → Administrative Vorlagen → Windows-Komponenten → OneDrive
- In der Standardeinstellung erhält man Sicherheitsupdates und Funktionalupdates, die von Microsoft verteilt werden.
Man hat zusätzlich die Möglichkeit, Funktionalupdates zeitlich zu verschieben.
Einstellungen → Updates und Sicherheit → Windows Update → Erweiterte Optionen → [Featureupdates] zurückstellen - Windows 10 Einstellungen → Datenschutz
- Als Virenschutz sollte Sophos verwendet werden. Das Installationspaket erhält man vom Anschlussverantwortlichen. Alternativ kann ein Standard-Installationspaket über die Webseite der Stabsstelle Sicherheit Informationstechnischer Systeme (ST-SIS) bezogen werden.
- Systemsteuerung → Programme → Programme und Features
- Systemsteuerung → System und Sicherheit → System → Erweiterte Systemeinstellungen → Erweitert → Leistung Einstellungen → Datenausführungsverhinderung → für alle Programme und Dienste Einschalten
- Systemsteuerung → System und Sicherheit → Verwaltung → Gruppenrichtlinienverwaltung → Computerkonfiguration → Administrative Vorlagen → System → Device Guard → Virtualisierungsbasierte Sicherheit aktivieren
- Rechtsklick → Eigenschaften → Sicherheit → Bearbeiten
- Rechtsklick → Eigenschaften → Sicherheit → Bearbeiten
- Systemsteuerung → System und Sicherheit → Verwaltung → Gruppenrichtlinienverwaltung → Computerkonfiguration → Administrative Vorlagen → Windows-Komponenten → Datei-Explorer → Windows Defender SmartScreen konfigurieren
- Systemsteuerung → System und Sicherheit → Verwaltung → Gruppenrichtlinienverwaltung → Computerkonfiguration → Administrative Vorlagen → Windows-Komponenten → Suche → Cortana zulassen
- Systemsteuerung → System und Sicherheit → Verwaltung → Gruppenrichtlinienverwaltung → Computerkonfiguration → Administrative Vorlagen → Windows-Komponenten → Store → Store-Anwendung deaktivieren
- Chrome: anpassen und einstellen → Einstellungen → AutoFill → Passwörter / Zahlungsmethoden / AutoFill-Einstellungen
- Systemsteuerung → System und Sicherheit → Verwaltung → Gruppenrichtlinienverwaltung → Computerkonfiguration → Administrative Vorlagen → Windows-Komponenten → Remotedesktopdienste → Remotedesktopsitzungs-Host → Geräte- und Ressourcenumleitung / Druckerumleitung
Checkliste
| Betriebssystem und Rechte | ||
|---|---|---|
Personal Firewall | ||
Anti-Spyware-Programme (z.B. Windows-Defender) | ||
| eingeschränkte Benutzerrechte | ||
Schreibrechte für den Benutzer auf bestimmten Bereich einschränken | ||
| kein Schreibrecht auf Betriebssystem Ordner für Benutzer | ||
| OneDrive deaktivieren | ||
| Telemetrie und Datenschutzeinstellungen | ||
| Datenschutzoptionen | ||
| Spracherkennung | ||
| Diagnosedaten | ||
| Aktivitätsverlauf | ||
| Positionserkennung | ||
Die Datenausführungsverhinderung für alle Programme und Dienste (Opt-Out Modus) aktivieren. | ||
[Enterprise Version] Virtual Secure Mode (VSM) und Credential Guard aktivieren | ||
| SmartScreen-Funktion deaktivieren | ||
| Sprachassistenten Cortana deaktivieren | ||
| Windows Powershell: ausführen von Skripten sperren | ||
| Virenscanner | ||
| Sophos als Computer-Viren-Prüfprogramm | ||
| Patches und Updates | ||
| Aktualisierung von Windows über Update Service | ||
| eingesetzte Applikationen (einschließlich ihrer Erweiterungen/ Plugins) und Treiber durch automatische Update-Services oder den regelmäßigen Besuch der Hersteller-Webseiten aktualisieren | ||
| Login Daten | ||
| sicheres Passwort | ||
| Login Daten nicht speichern oder weitergeben | ||
| Online-Konten zur Anmeldung von Microsoft-Konto oder Konten anderer Anbieter von Identitätsmanagementsystemen ist nicht erlaubt | ||
| E-Mail-Programme und Browser | ||
| automatische Ausführen aktiver Inhalte im Browser abschalten oder einschränken | ||
| grundsätzlich keine Software aus Anhängen einer E-Mail ausführen | ||
| E-Mails mit unerwünschtem oder zweifelhaftem Inhalt nicht beachten/löschen | ||
| Passwörter, Kreditkartennummern, PINs, TAN niemals übermitteln | ||
| Software | ||
| ausschließlich Originalsoftware verwenden und direkt vom Hersteller bzw. von einer vertrauenswürdigen Quelle beziehen | ||
| Alle nicht benötigten Anwendungen und Komponenten sollten deaktiviert werden | ||
| Windows Store deaktivieren | ||
| Aktualität und Vorsicht | ||
| informiert und sensibilisiert sein | ||
| Zugriffsschutz | ||
| Rechner nicht unbeobachtet lassen, ausloggen, Zugriff sperren, Bildschirmschoner mit sicherem Passwort aktivieren | ||
Administrator Konten dokumentieren und überprüfen | ||
| Datensicherung | ||
| Daten regelmäßig sichern | ||
| Fernwartung | ||
Fernwartungssitzung nur mit Bestätigung des Benutzers | ||
RDP Ressourcenumleitung und Druckerumleitung anpassen | ||
Titel: "Clients unter Windows 10"
Stand: 01.01.2021
