IT-Sicherheit: Windows härten mit Microsoft-Tools
Microsoft liefert Windows fĂĽr Clients und Server in einem Zustand aus, in dem das System auf Anhieb funktioniert, aber nicht auf Sicherheit ausgerichtet ist.
- Christian Biehler
Seit der Einführung von Windows 2000 erfolgt die Administration von Clients und Servern der Microsoft-Welt in vielen Unternehmen über Gruppenrichtlinienobjekte, kurz: GPOs. Auch das aktuelle Windows 11 sowie der Windows Server 2025 lassen sich auf diese Weise verwalten. Wer einen Domänencontroller (DC) hat, kann Gruppenrichtlinien bequem zentral administrieren. Aber auch für isolierte Systeme oder Heimanwender mit der Pro-Version von Windows 11 lassen sich GPOs zur Absicherung der Systeme verwenden.
Gruppenrichtlinienobjekte sind losgelöst von der Cloud und Microsoft Intune und bieten damit eine gewisse Unabhängigkeit von externen Diensten. Für den Einsatz und das Verwalten der Gruppenrichtlinien bietet Microsoft mit dem Security Compliance Toolkit (SCT) ein kostenfreies Set an Richtlinien und Werkzeugen für den eigenen Gebrauch an. Die Werkzeuge im SCT sind nicht Open Source, obgleich auch einige lesbare PowerShell-Skripte in der Sammlung enthalten sind. Hilfreich sind sie dennoch.
- Der Auslieferungszustand von Windows ist auf Kompatibilität und nicht auf Sicherheit zugeschnitten. Systemverantwortliche sollten als Erstes die wichtigsten Sicherheitseinstellungen vornehmen.
- Microsoft liefert einige nützliche Tools für das Härten von Windows-Systemen, etwa das Security Compliance Toolkit. Der darin enthaltene Policy Analyzer gibt Aufschluss darüber, wie sicher das System konfiguriert ist.
- Mit dem Policy Analyzer lassen sich auch verschiedene Benchmarks und Empfehlungen zur Windows-Härtung vergleichen.
- Das Absichern und Härten von Windows-Systemen muss Pflichtprogramm vor jeder Inbetriebnahme sein. Orientierungshilfen und Benchmarks gibt es genug, zur Umsetzung reichen oft schon Bordmittel.
Das SCT benötigt keine Installation. Es ist eher eine Sammlung portierbarer signierter ausführbarer Dateien und Skripte. Hinzu kommen Härtungsvorschläge in Form von GPO-Sets von Microsoft. Diese verbessern die Sicherheit der einzelnen Windows-Systeme gegenüber dem Auslieferungszustand, können allerdings in einigen Umgebungen auch zum Verlust von Funktionen führen. Das ist vermutlich einer der Gründe, warum Microsoft sein Betriebssystem nicht standardmäßig mit dieser Härtung ausliefert, sondern dem Administrator nur ein Mittel an die Hand gibt, um sich selbst zu schützen – oder ins Knie zu schießen.
Das war die Leseprobe unseres heise-Plus-Artikels "IT-Sicherheit: Windows härten mit Microsoft-Tools". Mit einem heise-Plus-Abo können Sie den ganzen Artikel lesen.
