Duitse overheid publiceert instellingen voor het beveiligen van Windows 10
De Duitse overheid heeft vandaag een reeks van instellingen gepubliceerd voor het beveiligen van computers die op Windows 10 draaien. De aanbevolen configuratie-instellingen worden door het Bundesamt für Sicherheit in der Informationstechnik (BSI), onderdeel van het Duitse ministerie van Binnenlandse Zaken, als Group Policy Objects (GPO) aangeboden en zijn in principe bedoeld voor Windows 10 Enterprise LTSC 2019 64-bit.
De instellingen beslaan allerlei onderdelen van het besturingssysteem, zoals telemetrie, Device Guard, logging, Universal Windows Platform, Windows Update, Powershell-omgeving, Windows Script Host (WSH), TPM en UEFI SecureBoot en Virtual Secure Mode. Via de GPO's kan worden gekozen voor een normaal of hoog beveiligingsniveau.
"We helpen overheden, bedrijven en burgers om it-producten en software veilig te kunnen gebruiken. Meer dan een derde van de computergebruikers wereldwijd maakt gebruik van Windows 10 en dit aantal is stijgende. Daarom hebben we het besturingssysteem getest en specifieke aanbevelingen afgeleid om de digitalisering veiliger te maken", zegt BSI-voorzitter Arne Schönbohm.
De aanbevolen instellingen zijn volgens het BSI met name bedoeld voor overheidsinstanties en bedrijven, maar ook "technische" burgers kunnen de aanbevelingen afhankelijk van de gebruikte Windows 10-versie doorvoeren, aldus de Duitse overheidsinstantie.
Vereist wat technische handelingen.
"Studie zu Systemaufbau, Protokollierung, Härtung und Sicherheitsfunktionen in Windows 10"
SiSyPHuS Win10
https://nl.wikipedia.org/wiki/Sisyphos
Ik heb het net gelezen, ik zie alleen uitleg, niet wat je moet doen om de telemetry uit te zetten.
Immers, als je deze GPO gebruikt heb je iets te verbergen en ben je interessant voor de afluisterdiensten.
Immers, als je deze GPO gebruikt heb je iets te verbergen en ben je interessant voor de afluisterdiensten.
Daar gaan we weer.... Aangescherpte privacy- en beveiligingsinstellingen hebben niets met "iets te verbergen hebben" te maken, maar alles met bescherming van eigendomsrechten en persoonlijke integriteit.
Nu het NCSC nog die dat soort zaken gaat publiceren / overnemen / samenwerking tonen.
ha ha ha hier gaan we je aan houden !
Vereist wat technische handelingen.
OT: ik heb net de policies als eindgebruiker aangepast met 1 regel in het command prompt, werkt prima en binnen 30 seconden gefixt. Policies nagekeken en inderdaad veel onnodige policies staan nu "goed", die ik eerder over het hoofd zag.
Je kunt verder het verder 'hardenen', maar ik ben geen lid van een domein, want ik zit niet op het werk.
Je schijnt vanuit de thuis/bibliotheek of waar je je op dit moment ook bevindt een domein te joinen als eindgebruiker via deze link: https://joscor.com/blog/using-microsoft-rsat-from-a-non-domain-pc/
Maar weet niet of dit lukt en ik heb er eerlijk gezegd ook niet zo veel zin an.
Hier is de manual van BSI hoe je de policies kunt implementeren(in het engels), ik koos zelf voor "Normal protection requirement single computer (NE) - computer"
https://translate.google.com/translate?hl=&sl=de&tl=en&u=https%3A%2F%2Fwww.bsi.bund.de%2FSharedDocs%2FDownloads%2FDE%2FBSI%2FCyber-Sicherheit%2FSiSyPHus%2FWorkpackage12_Gruppenrichtlinienobjekte_Anleitung.pdf%3F__blob%3DpublicationFile%26v%3D1
Je kunt je beter afvragen of het NCSC.nl hier een goed voorbeeld aan gaat nemen.
Microsoft adviseert zelf ook, alleen wist je dit blijkbaar niet :-)
Microsoft doet dit in de vorm van "Microsoft Security Baselines".
Kant en klare GPO's die je zo kan importeren.
Deze zijn er voor meerdere producten, zoals Windows, Edge, Office, etc
Zelf per Windows 10 build bieden ze nieuwe versies aan.
Algemeen:
https://docs.microsoft.com/en-us/windows/security/threat-protection/windows-security-baselines
Download (GPO's inclusief documentatie):
https://www.microsoft.com/en-us/download/details.aspx?id=55319
Geen winst maken op Microsoft producten.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.