Freigeben über


Sicherheitsbasispläne

Sicherheitsgrundwerte in Ihrer Organisation verwenden

Microsoft bietet seinen Kunden sichere Betriebssysteme wie Windows und Windows Server sowie sichere Apps wie Microsoft 365-Apps für Unternehmen und Microsoft Edge. Microsoft gewährleistet nicht nur die Sicherheit seiner Produkte, sondern ermöglicht auch mithilfe vielfältiger Konfigurationsfunktionen eine Feineinstellung Ihrer Umgebungen.

Obwohl Windows und Windows Server so konzipiert sind, dass sie ohne weitere Anpassung sicher sind, gibt es eine große Anzahl von Organisationen, die eine noch genauere Kontrolle über ihre Sicherheitskonfigurationen benötigen. Um effizient aus dieser großen Anzahl an Einstellungen zur Steuerung auszuwählen benötigen Unternehmen eine Anleitung für die Konfiguration der verschiedenen Sicherheitsfeatures. Microsoft stellt diese Anleitung in Form von Sicherheitsgrundwerten bereit.

Es wird empfohlen, eine Branchenstandardkonfiguration zu implementieren, die allgemein bekannt und ausführlich getestet ist. Sie sollten also vermeiden, diese Sicherheitsgrundwerte selbst zu erstellen, sondern beispielsweise Sicherheitsgrundwerte von Microsoft verwenden. Diese Branchenstandardkonfiguration trägt dazu bei, die Flexibilität zu erhöhen und Kosten zu senken.

Weitere Informationen finden Sie im folgenden Blogbeitrag: Festhalten an bekannten und bewährten Lösungen.

Was sind Sicherheitsgrundwerte?

Alle Unternehmen sind mit Sicherheitsrisiken konfrontiert. Die Arten von Sicherheitsbedrohungen, die für eine organization am wichtigsten sind, können sich jedoch von anderen organization unterscheiden. Beispielsweise kann sich ein E-Commerce-Unternehmen auf den Schutz seiner Internet-Apps konzentrieren, während sich ein Krankenhaus auf den Schutz vertraulicher Patienteninformationen konzentriert. Allen Organisationen gemein ist die Anforderung, dass sie ihre Apps und Geräte sicher halten müssen. Diese Geräte müssen mit der Sicherheitsstandards (oder Sicherheitsgrundwerten) konform sein, die von der Organisation definiert werden.

Eine Sicherheitsbaseline ist eine Gruppe von von Microsoft empfohlenen Konfigurationseinstellungen, die deren Auswirkungen auf die Sicherheit erläutern. Diese Einstellungen basieren auf Feedback von Microsoft Security-Entwicklungsteams, -Produktgruppen, -Partnern und -Kunden.

Warum werden Sicherheitsgrundwerte benötigt?

Sicherheitsgrundwerte bieten Kunden einen wichtigen Nutzen, da sie umfassendes Know-how von Microsoft, Partnern und Kunden zusammenbringen.

Beispielsweise gibt es mehr als 3.000 Gruppenrichtlinieneinstellungen für Windows 10, die nicht mehr als 1.800 Internet-Explorer 11-Einstellungen enthalten. Von diesen insgesamt 4.800 Einstellungen sind nur einige sicherheitsbezogen. Zwar bietet Microsoft umfassende Anleitungen zu den verschiedenen Sicherheitsfunktionen, es kann jedoch sehr viel Zeit in Anspruch nehmen, diese zu durchlaufen. Sie müssten die Sicherheitsausdeplikation jeder Einstellung selbst bestimmen. Dann müssten Sie weiterhin den entsprechenden Wert für jede Einstellung bestimmen.

In modernen Organisationen entwickelt sich die Sicherheitsbedrohungslandschaft ständig weiter, und IT-Experten und politische Entscheidungsträger müssen mit Sicherheitsbedrohungen Schritt halten und erforderliche Änderungen an den Sicherheitseinstellungen vornehmen, um diese Bedrohungen zu mindern. Um schnellere Bereitstellungen zu ermöglichen und die Verwaltung von Microsoft-Produkten zu vereinfachen, stellt Microsoft Kunden Sicherheitsbaselines bereit, die in verbrauchsbaren Formaten verfügbar sind, z. B. Gruppenrichtlinienobjektsicherungen.

Windows-Edition und Lizenzierungsanforderungen

In der folgenden Tabelle sind die Windows-Editionen aufgeführt, die Sicherheitsbaselines unterstützen:

Windows Pro Windows Enterprise Windows Pro Education/SE Windows Education
Ja Ja Ja Ja

Lizenzberechtigungen für Sicherheitsbaselines werden von den folgenden Lizenzen gewährt:

Windows Pro/Pro Education/SE Windows Enterprise E3 Windows Enterprise E5 Windows Education A3 Windows Education A5
Ja Ja Ja Ja Ja

Weitere Informationen zur Windows-Lizenzierung finden Sie unter Übersicht über die Windows-Lizenzierung.

Basisprinzipien

Unsere Empfehlungen folgen einem optimierten und effizienten Ansatz für Baselinedefinitionen. Die Grundlage dieses Ansatzes ist im Wesentlichen:

  • Die Baselines sind für gut verwaltete, sicherheitsbewusste Organisationen konzipiert, in denen Standard-Endbenutzer keine Administratorrechte haben.
  • Eine Baseline erzwingt eine Einstellung nur, wenn sie eine aktuelle Sicherheitsgefahr entschärft und keine Betriebsprobleme verursacht, die schlimmer sind als die Risiken, die sie mindern.
  • Eine Baseline erzwingt eine Standardeinstellung nur, wenn sie ansonsten wahrscheinlich von einem autorisierten Benutzer auf einen unsicheren Zustand festgelegt wird:
    • Wenn ein Nichtadministrator einen unsicheren Zustand festlegen kann, erzwingen Sie die Standardeinstellung.
    • Wenn das Festlegen eines unsicheren Zustands Administratorrechte erfordert, erzwingen Sie die Standardeinstellung nur, wenn es wahrscheinlich ist, dass ein falsch formatierter Administrator andernfalls eine schlechte Auswahl trifft.

Wie können Sie Sicherheitsgrundwerte verwenden?

Sie können Sicherheitsgrundwerte für Folgendes verwenden:

  • Sicherstellen, dass die Einstellungen für die Benutzer- und die Gerätekonfiguration mit den Grundwerten konform sind
  • Konfigurationseinstellungen vornehmen Sie können beispielsweise Gruppenrichtlinien, Microsoft Configuration Manager oder Microsoft Intune verwenden, um ein Gerät mit den in der Baseline angegebenen Einstellungswerten zu konfigurieren.

Wo erhalte ich die Sicherheitsgrundwerte?

Es gibt mehrere Möglichkeiten, Sicherheitsbaselines abzurufen und zu verwenden:

  1. Sie können die Sicherheitsgrundlagen aus dem Microsoft Download Center herunterladen. Diese Downloadseite ist für das Security Compliance Toolkit (SCT) vorgesehen, das Tools umfasst, die Administratoren bei der Verwaltung von Baselines zusätzlich zu den Sicherheitsbaselines unterstützen können. Das SCT enthält auch Tools, mit denen Sie die Sicherheitsbaselines verwalten können. Sie können auch Unterstützung für die Sicherheitsbaselines erhalten.

  2. Sicherheitsbaselines für die Verwaltung mobiler Geräte (Mobile Device Management, MDM) funktionieren wie die auf Gruppenrichtlinien basierenden Microsoft-Sicherheitsbaselines und können diese Baselines problemlos in ein vorhandenes MDM-Verwaltungstool integrieren.

  3. MDM-Sicherheitsbaselines können problemlos in Microsoft Intune auf Geräten konfiguriert werden, auf denen Windows 10 und Windows 11 ausgeführt werden. Weitere Informationen finden Sie unter Liste der Einstellungen in der Windows 10/11 MDM-Sicherheitsbaseline in Intune.