Microsoft

Windows-Sicherheit verbessern: Ein gehärtetes Windows-10-Image anlegen

Mit einem angepassten Windows-10- Systemabbild können Admins die Sicherheit der Basisinstallation ihrer Endanwendersysteme erhöhen.

In Sachen Sicherheit hat Microsoft bei Windows 10 vieles richtig gemacht, und nicht nur das Unternehmen selbst behauptet, es sei das bislang sicherste Windows. Dennoch können Windows-Administratoren noch an einigen Stellschrauben drehen, um Windows 10 gegen Angriffe zu härten. Das ist insbesondere dann sinnvoll, wenn Referenz-Images des Betriebssystems angelegt werden sollen. Wer beim Erstellen solcher Images ein paar Sicherheitsregeln berücksichtigt, erhält ein deutlich sichereres Windows 10 als bei Werksauslieferung.

Windows-Admins verwenden häufig Systemvorbereitungs-Tools wie Sysprep, um ein Referenz-Image von Windows anzulegen, das dann später auf die Systeme im Unternehmen ausgerollt wird. Dabei gilt es in Sachen Sicherheit einige Punkte zu beachten.

Das Härten des Systems heißt in diesem Fall das Betriebssystem und die Anwendungen, die darauf laufen, sicherer zu machen. Durch eine Reduzierung der Angriffsfläche soll das System besser vor Attacken geschützt sein. Daher werden für das Härten von Windows alle zur Verfügung stehenden Mittel genutzt, um Angriffe zu verhindern oder zumindest zu erschweren.

Ein sinnvoller Ansatz beim Härten von Systemen ist stets alle Dienste oder Funktionen abzuschalten, die nicht benötigt werden oder die nicht genutzt werden. Ein Feature, das deaktiviert ist, bietet auch keine Angriffsfläche für Attacken.

Wie in vielen anderen Sicherheitsbereichen auch schützt zudem das Prinzip der minimalen Rechtevergabe vor Angriffen. Der Anwender sollte genau die Zugriffsrechte und Berechtigungen erhalten, die er benötigt, um seine Tätigkeit auszuüben, aber auch nicht mehr. Für den Admin beginnt dies mit der Erstellung eines entsprechenden Standard-Kontos für Benutzer, an dem sich die Anwender später anmelden müssen.

Und apropos Berechtigungen: Admins sollten sich nur dann mit Administrator-Rechten anmelden, wenn sie auch entsprechende Aufgaben zu erledigen haben. Und auch nur so lange mit dem Admin-Konto zu Werke gehen, bis diese erledigt sind. Daher sollten administrative Aufgaben weitgehend automatisiert werden, um die Zeit, in der jemand tatsächlich mit Admin-Rechten eingeloggt ist, weitgehend zu reduzieren. Administrative Aufgaben können in diesem Zusammenhang etwa Wartungsarbeiten, das Erstellen von Backups, das Einspielen von Updates oder auch die Systemkonfiguration sein.

Die bislang genannten Punkte gelten prinzipiell beim Härten von Systemen und nicht nur im speziellen Fall von Windows 10.

Windows 10: Einstellungen anpassen

Das Anlegen eines gehärteten Systemabbildes unterscheidet sich von einer Standardinstallation. Wenn Admins ein neues Windows-10-Image anlegen wollen, sollten zunächst in einer standardmäßigen Windows-10-Installation einige Einstellungen geändert werden. Wir haben im Folgenden einige empfehlenswerte Punkte zusammengefasst, die natürlich an die jeweiligen Gegebenheiten angepasst werden können. Die folgenden Optionen finden sich alle über Einstellungen in Windows 10:

  • Zeit und Sprache/Spracherkennung – kein Mikrofon eingerichtet
  • Zeit und Sprache/Spracherkennung/Datenschutzeinstellungen für Sprache Freihand und EingabeMich kennenlernen nicht einrichten
  • Datenschutz/Allgemein/Apps die Verwendung der Werbungs-ID für App-übergreifende Erlebnisse erlauben – Aus
  • Datenschutz/Position – Wenn die Nutzer den Standort nicht für die Suche oder anderen Anwendungen benötigen, schalten Sie die Positionserkennung aus. Wenn diese eingeschaltet ist, können Sie einzelne Apps bestimmen, die diese nutzen dürfen.
  • Netzwerk und Internet/WLAN/WLAN-Optimierung – Durch die WLAN-Optimierung wird das System mit vorgeschlagenen WLAN-Hotspots verbunden – diese Option ausschalten.
  • Datenschutz/Feedback und Diagnose – Wählen Sie in dem Bereich Diagnose- und Nutzungsdaten die Option Einfach, um die an Microsoft gesendeten Daten zu reduzieren.
  • Update und Sicherheit/Updateeinstellungen/Erweiterte Optionen/Übermittlung von Updates auswählen – stellen Sie sicher, dass die Option Windows-Updates im lokalen Netzwerk oder an PCs im Internet zu verteilen ausgeschaltet ist.
  • Microsoft Edge/Einstellungen/Erweiterte Einstellungen/Seitenvorhersage verwenden, um den Browser zu beschleunigen sowie das Lesen und die gesamte Nutzung zu verbessern – Aus

Diese Liste lässt sich je nach den eigenen Gegebenheiten nahezu beliebig erweitern. Wenn man schon mal in den Windows-10-Einstellungen unterwegs ist, empfiehlt es sich durchaus, diese einmal durchzuklicken. Das gilt insbesondere für den Datenschutz. In Windows 10 lässt sich ja auch sehr granular festlegen, welche Apps welche Optionen verwenden dürfen, dies sollte man ebenfalls detailliert auf den Prüfstand stellen. Installieren Sie zudem auf dem Image alle verfügbaren Sicherheits-Updates.

Abbildung 1: Deaktivieren Sie in den Einstellungen fürs WLAN die Option zur Verbindungsherstellung mit öffentlichen Hotspots.

Stellen Sie darüber hinaus sicher, dass alle notwendigen Gerätetreiber installiert und auf dem aktuellen Stand sind.

Das Windows-10-Image anlegen

Microsoft stellt für Administratoren eine Reihe von Tools zur Verfügung, die bei der Erstellung und Bereitstellung von Images hilfreiche Dienste leisten. Hierfür gibt es unterschiedliche Ansätze, beispielsweise mit dem Vorbereitungs-Tool Sysprep. Mit dessen Hilfe lässt sich das Windows-10-Image anpassen. Im MSDN finden Sie ausführliche Informationen zu Sysprep.

Wenn beim Beenden der Installation von Windows 10 das entsprechende Dialogfeld mit den Optionen Anpassen oder Express-Einstellungen erscheint, muss man stattdessen STRG und die Umschalttaste gedrückt halten und zusätzlich F3 drücken. Windows startet dann im sogenannten Überwachungsmodus neu. Bei diesem wird das Dialogfeld Sysprep angezeigt. Vor der Verwendung von Sysprep gilt es noch einige Punkte zu erledigen, daher an dieser Stelle abbrechen und die Dialogbox schließen. Im Überwachungsmodus kann man zusätzliche Änderungen an der Installation vornehmen, bevor das Image aufgezeichnet wird.

Dafür sollte man das Windows ADK (Assessment and Deployment Kit) zu installieren. Hierbei handelt es sich um ein Tool, das Admins bei der Bereitstellung von Windows unterstützt. Auch hier finden sich im TechNet ausführliche Anleitungen. So beinhaltet dieses den Windows System Image Manager (SIM), mit Hilfe dessen sich Antwortdateien für Sysprep erstellen lassen, die bei der Installation Windows-Einstellungen ändern oder Skripts ausführen. Sysprep entfernt auch systemspezifische Informationen aus dem Image, einschließlich von Sicherheits-IDs, so dass sich das Abbild auf andere PCs anwenden lässt.

Die Aufzeichnung des Images kann mit DISM (Deployment Image Servicing and Management) erfolgen. Anleitungen zur Verwendung von DISM finden sich im MSDN. Geben Sie dem Image, dass anlegt wird, einen Namen mit Wiederkennungswert, also etwa „Windows 10 Basis, Version 1607“, um die derzeit aktuelle Windows-Version zu kennzeichnen. Da Microsoft die genannten Tools aktualisiert und an die neuesten Windows-Versionen anpasst, empfiehlt sich hin und wieder ein Blick ins TechNet oder MSDN, da sich dort entsprechende Anleitungen finden. Etwa auch für das Erstellen und Bereitstellen eines Images von Windows 10 mit Hilfe von Windows ICD.

Ein gehärtetes Windows-Image aktualisieren

Zwangsläufig muss nach einiger Zeit ein solches Basis-Image neu angelegt oder zumindest aktualisiert werden. Dann gilt es die entsprechenden Schritte zu wiederholen. Dies ist natürlich insbesondere dann notwendig, wenn ein Windows-10-Update beziehungsweise Funktionsupdate wie etwa von Version 1511 auf 1607 anliegt. Dann gilt es den Ablauf von Anfang an zu wiederholen. Bei anderen Updates kann man das angefertigte Basis-Image einfach starten und updaten, oder auch ändern, und dann die Sysprep-Datei neu erstellen. So lassen sich alle Anwendungen und Einstellungen oder auch Konto-Informationen aktualisieren.

Abbildung 2: Schalten Sie im Windows-10-Browser Microsoft Edge in den Erweiterten Einstellungen die Seitenvorhersage aus.

Halten Sie sich immer an die einmal festlegte Namenskonvention und legen Sie mit jeder Änderung neue Dateien an. So können Sie gegebenenfalls zu jeder Version zurückkehren. Dies ist insbesondere bei Fehlern in der Installation oder Kompatibilitätsproblemen von Bedeutung.

Wenn man sich an ein paar grundlegende Regeln beim Anlegen des Windows-Images hält, kann man die Windows-Sicherheit deutlich erhöhen. Verwenden Sie nicht zu viele unterschiedliche Systemabbilder. Und überlegen Sie bei jeder Änderung, ob diese es wirklich wert ist, in ein Referenz-Image integriert zu werden.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

System und Anwendungen gegen Attacken schützen

Windows-Sicherheit: Beim Patchen Flash und Co. berücksichtigen

Windows-Security: Einfache Sicherheitslücken beseitigen

Die am häufigsten ausgenutzten Software-Schwachstellen

Erfahren Sie mehr über IT-Sicherheits-Management