BSI hilft beim Windows-Schutz

Wer nicht von Hackern überrascht werden möchte, muss Schutzmaßnahmen treffen. Mit den Windows-Gruppenrichtlinien des BSI ist das jetzt besonders einfach.

Lesezeit: 3 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen

(Bild: VideoFlow/Shutterstock.com)

Von
  • Ronald Eikenberg

Windows ist bei Angreifern weiterhin hoch im Kurs und wer es den Cyber-Gangs nicht leichter als nötig machen will, muss geeignete Schutzmaßnahmen treffen. Doch welche sind das? Diese Frage versucht das Bundesamt für Sicherheit in der Informationstechnik (BSI) im Rahmen seines SiSyPHuS-Projekts zu beantworten.

Das Bundesamt hat nun konkrete Schutzkonfigurationen für drei Einsatzprofile als importierbare Windows-Gruppenrichtlinien herausgegeben, die sich zwar in erster Linie an Behörden in Bund und Ländern und Unternehmen richten, "aber auch technisch versierte Bürgerinnen und Bürger können die Empfehlungen umsetzen", erklärt das BSI. Für die Härtung des Betriebssystems kommen ausschließlich Windows-Bordmittel zum Einsatz.

Mehr von c't Magazin Mehr von c't Magazin

Die Konfigurationen gibt es für Anwender mit "normalem Schutzbedarf", die entweder Einzelrechner nutzen, oder Systeme, die Teil einer Domäne sind. Für Domänenmitglieder mit hohem Schutzbedarf hat das BSI eine weitere Konfiguration vorgesehen. Die Gruppenrichtlinien-Dateien werden von einer ausführlichen Anleitung begleitet, die den Import per Local Group Policy Object Utility (LGPO, Einzelrechner) und Gruppenrichtlinienverwaltung (für Rechner im Active Directory) beschreibt.

Die Schutzmaßnahmen basieren auf den bereits zuvor veröffentlichten BSI-Empfehlungen zu Protokollierung (Arbeitspaket 10) und Härtung (Arbeitspaket 11), welche die IT-Sicherheitsfirma ERNW GmbH im Auftrag des BSI erarbeitet hat. Das BSI weist darauf hin, dass nicht alle Empfehlungen allgemeingültig über Gruppenrichtlinien umgesetzt werden können. Wo genau man noch mal Hand anlegen muss, erfährt man in dem Begleitdokument, dazu zählt die Umbenennung von Administrator- und Gastkonten sowie die individuelle Zuweisung von Benutzerrechten.

Die Windows-Gruppenrichtlinien des BSI begleitet eine Anleitung, die nicht nur deren Einsatz beschreibt, sondern auch, welche Handgriffe über den Import hinaus nötig sind.

SiSyPHuS Win10 steht für "Studie zu Systemintegrität, Protokollierung, Härtung und Sicherheitsfunktionen in Windows 10" – ein passender Name für ein Projekt, das Grundlagen schaffen soll, "die Gesamtsicherheit und Restrisiken für eine Nutzung von Windows 10 bewerten zu können", sowie praktisch nutzbare Schutzempfehlungen liefern soll. Dazu zählt auch, die Telemetriefunktionen von Windows 10 in die Schranken zu weisen. Erste Ergebnisse hierzu hatte das BSI bereits Ende 2018 veröffentlicht. Anfang 2019 wurde durch eine Antwort der Bundesregierung auf eine Anfrage der Bundestagsfraktion "Die Linke" bekannt, dass die SiSyPHuS-Arbeit zu diesem Zeitpunkt bereits 1,37 Millionen Euro gekostet hat.

Die konkreten Handlungsempfehlungen aus dem SiSyPHuS-Projekt richten sich an Admins und technisch versierte Nutzer, die sich nicht scheuen, die Windows-Innereien zu studieren. Wem das zu viel des Guten ist, dem liefert das BSI auf seiner Website "BSI für Bürger" seit einiger Zeit auch leichter verständliche und umsetzbare Basistipps zur IT-Sicherheit. Eine weitere Anlaufstelle für gleichermaßen pragmatische wie effektive Schutzempfehlungen sind unsere c’t-Sicherheits-Checklisten, die viele Bereiche des digitalen Alltags abdecken.

c’t Ausgabe 12/2021

In c’t 12/2021 widmen wir uns dem brandneuen Desinfec't 2021 mit vier Virenscannern inklusive einem Jahr kostenloser Signatureupdates. Wir erkunden spannende Smartphone-Apps für Streifzüge durch die Natur und haben Boards für Core i-1000, externe SSDs für den Datentransport, Videoleuchten fürs Homeoffice und smarte Displays für Alexa & Co. getestet. Ausgabe 12/2021 finden Sie ab dem 21. Mai im Heise-Shop und am gut sortierten Zeitschriftenkiosk.

(rei)