Die wichtigsten Gruppenrichtlinieneinstellungen zur Verhinderung von Sicherheitsverletzungen

Der Gruppenrichtlinien-Editor kann Ihr bester Begleiter sein, wenn Sie bestimmte Funktionen oder Optionen aktivieren oder deaktivieren möchten, die im GUI-Formular nicht verfügbar sind. Egal, ob es um Sicherheit, Personalisierung, Individualisierung oder irgendetwas anderes geht. Aus diesem Grund haben wir einige der wichtigsten Gruppenrichtlinieneinstellungen zur Verhinderung von Sicherheitsverletzungen auf Windows 11/10-Computern konsolidiert.

Bevor Sie mit der vollständigen Liste beginnen, sollten Sie wissen, worüber wir sprechen werden. Es gibt bestimmte Bereiche, die abgedeckt werden müssen, wenn Sie einen vollsicheren Heimcomputer für sich oder Ihre Familienmitglieder bauen möchten. Sie sind:

• Software Installation
• Passwortbeschränkungen
• Netzwerkzugang
• Protokolle
• USB-Unterstützung
• Ausführung von Befehlszeilenskripts
• Computer herunterfahren und neu starten
• Windows-Sicherheit

Einige der Einstellungen müssen aktiviert werden, während andere genau das Gegenteil erfordern.

Die wichtigsten Gruppenrichtlinieneinstellungen zur Verhinderung von Sicherheitsverletzungen

Die wichtigsten Gruppenrichtlinieneinstellungen zur Verhinderung von Sicherheitsverletzungen sind:

1. Schalten Sie den Windows Installer aus
2. Verwendung des Restart Managers verbieten
3. Installieren Sie immer mit erhöhten Rechten
4. Führen Sie nur bestimmte Windows-Anwendungen aus
5. Passwort muss den Komplexitätsanforderungen entsprechen
6. Schwellenwert und Dauer der Kontosperrung
7. Netzwerksicherheit: Speichern Sie den LAN Manager-Hashwert nicht bei der nächsten Kennwortänderung
8. Netzwerkzugriff: Erlauben Sie keine anonyme Aufzählung von SAM-Konten und -Freigaben
9. Netzwerksicherheit: NTLM einschränken: NTLM-Authentifizierung in dieser Domäne überwachen
10. NTLM blockieren
11. Überwachen Sie Systemereignisse
12. Alle Wechselspeicherklassen: Jeglichen Zugriff verweigern
13. Alle Wechselspeicher: Direkten Zugriff in Remote-Sitzungen zulassen
14. Aktivieren Sie die Skriptausführung
15. Verhindern Sie den Zugriff auf Registrierungsbearbeitungstools
16. Zugriff auf die Eingabeaufforderung verhindern
17. Aktivieren Sie das Skript-Scannen
18. Windows Defender Firewall: Ausnahmen nicht zulassen

Um mehr über diese Einstellungen zu erfahren, lesen Sie weiter.

1] Schalten Sie den Windows Installer aus

Computerkonfiguration > Administrative Vorlagen > Windows-Komponenten > Windows Installer

Dies ist die wichtigste Sicherheitseinstellung, die Sie überprüfen müssen, wenn Sie Ihren Computer an Ihr Kind oder jemanden übergeben, der nicht weiß, wie er überprüfen kann, ob ein Programm oder die Quelle des Programms legitim ist oder nicht. Es blockiert sofort alle Arten von Softwareinstallationen auf Ihrem Computer. Sie müssen die Option Aktiviert und Immer aus dem Dropdown-Menü auswählen Liste.

2]Verbieten Sie die Verwendung von Restart Manager

Computerkonfiguration > Administrative Vorlagen > Windows-Komponenten > Windows Installer

Einige Programme benötigen einen Neustart, um vollständig auf Ihrem Computer zu funktionieren oder den Installationsvorgang abzuschließen. Wenn Sie nicht möchten, dass nicht autorisierte Programme von Dritten auf Ihrem Computer verwendet werden, können Sie mit dieser Einstellung den Neustart-Manager für Windows Installer deaktivieren. Sie müssen die Option Manager neu starten ausaus dem Dropdown-Menü auswählen.

3] Installieren Sie immer mit erhöhten Rechten

Computerkonfiguration > Administrative Vorlagen > Windows-Komponenten > Windows Installer

Benutzerkonfiguration > Administrative Vorlagen > Windows-Komponenten > Windows Installer

Für die Installation einiger ausführbarer Dateien ist eine Administratorberechtigung erforderlich, für andere ist eine solche nicht erforderlich. Angreifer nutzen solche Programme häufig, um aus der Ferne heimlich Apps auf Ihrem Computer zu installieren. Aus diesem Grund müssen Sie diese Einstellung aktivieren. Es ist wichtig zu wissen, dass Sie diese Einstellung sowohl in der Computerkonfiguration als auch unter „Konfiguration verwenden“ aktivieren müssen.

4] Führen Sie nur bestimmte Windows-Anwendungen aus

Benutzerkonfiguration > Administrative Vorlagen > System

Wenn Sie ohne Ihre vorherige Erlaubnis keine Apps im Hintergrund ausführen möchten, ist diese Einstellung genau das Richtige für Sie. Sie können Ihren Computerbenutzern erlauben, nur vordefinierte Apps auf Ihrem Computer auszuführen. Dazu können Sie diese Einstellung aktivieren und auf die Schaltfläche Anzeigen klicken, um alle Apps einzutragen, die Sie ausführen möchten.

5] Das Passwort muss den Komplexitätsanforderungen entsprechen

Computerkonfiguration > Windows-Einstellungen > Sicherheitseinstellungen > Kontorichtlinien > Kennwortrichtlinie

Ein sicheres Passwort ist das erste, was Sie verwenden müssen, um Ihren Computer vor Sicherheitsverletzungen zu schützen. Standardmäßig können Benutzer von Windows 11/10 fast alles als Passwort verwenden. Wenn Sie jedoch bestimmte Anforderungen für das Passwort aktiviert haben, können Sie diese Einstellung aktivieren, um es durchzusetzen.

6] Schwellenwert und Dauer der Kontosperrung

Computerkonfiguration > Windows-Einstellungen > Sicherheitseinstellungen > Kontorichtlinien > Richtlinie zur Kontosperrung

Es gibt zwei Einstellungen mit den Namen Kontosperrungsschwelle und Kontosperrungsdauer das sollte aktiviert sein. Mit der ersten Funktion können Sie Ihren Computer nach einer bestimmten Anzahl fehlgeschlagener Anmeldungen sperren. Mit der zweiten Einstellung können Sie bestimmen, wie lange die Sperre bestehen bleibt.

7] Netzwerksicherheit: LAN Manager-Hashwert bei der nächsten Passwortänderung nicht speichern

Computerkonfiguration > Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Sicherheitsoptionen

Da der LAN Manager bzw. LM in puncto Sicherheit vergleichsweise schwach ist, müssen Sie diese Einstellung aktivieren, damit Ihr Computer den Hashwert des neuen Passworts nicht speichert. Windows 11/10 speichert den Wert im Allgemeinen auf dem lokalen Computer und erhöht daher die Wahrscheinlichkeit einer Sicherheitsverletzung. Standardmäßig ist es aktiviert und muss aus Sicherheitsgründen ständig aktiviert sein.

8] Netzwerkzugriff: Erlauben Sie keine anonyme Aufzählung von SAM-Konten und -Freigaben

Computerkonfiguration > Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Sicherheitsoptionen

Standardmäßig erlaubt Windows 11/10 unbekannten oder anonymen Benutzern, verschiedene Dinge auszuführen. Wenn Sie als Administrator dies auf Ihren Computern nicht zulassen möchten, können Sie diese Einstellung aktivieren, indem Sie den Wert Aktivieren auswählen. Bedenken Sie jedoch, dass dies Auswirkungen auf einige Clients und Apps haben kann.

9] Netzwerksicherheit: NTLM einschränken: NTLM-Authentifizierung in dieser Domäne überwachen

Computerkonfiguration > Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Sicherheitsoptionen

Mit dieser Einstellung können Sie die Prüfung der Authentifizierung durch NTLM aktivieren, deaktivieren und anpassen. Da NTML zwingend erforderlich ist, um die Vertraulichkeit gemeinsam genutzter Netzwerk- und Remote-Netzwerkbenutzer zu erkennen und zu schützen, müssen Sie diese Einstellung ändern. Wählen Sie zur Deaktivierung die Option Deaktivieren . Unserer Erfahrung nach sollten Sie jedoch Für Domänenkonten aktivierenwählen, wenn Sie einen Heimcomputer haben.

10] NTLM blockieren

Computerkonfiguration > Administrative Vorlagen > Netzwerk > Lanman-Workstation

Diese Sicherheitseinstellung hilft Ihnen NTLM-Angriffe über SMB zu blockieren oder Server Message Block, was heutzutage sehr verbreitet ist. Obwohl Sie es mit PowerShell aktivieren können, verfügt auch der Editor für lokale Gruppenrichtlinien über dieselbe Einstellung. Sie müssen die Option Aktiviertwählen, um die Aufgabe zu erledigen.

11] Systemereignisse überwachen

Computerkonfiguration > Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Audit-Richtlinie

Standardmäßig protokolliert Ihr Computer bestimmte Ereignisse wie Systemzeitänderungen, Herunterfahren/Starten, Verlust von Systemüberwachungsdateien und Fehlern usw. nicht. Wenn Sie alle davon im Protokoll speichern möchten, müssen Sie diese Einstellung aktivieren. Es hilft Ihnen zu analysieren, ob ein Drittanbieterprogramm über eines dieser Dinge verfügt oder nicht.

12] Alle Wechselspeicherklassen: Jeglichen Zugriff verweigern

Computerkonfiguration > Administrative Vorlagen > System > Zugriff auf Wechselspeicher

Mit dieser Gruppenrichtlinieneinstellung können Sie alle USB-Klassen und -Anschlüsse gleichzeitig deaktivieren. Wenn Sie Ihren PC oft im Büro oder anderswo stehen lassen, müssen Sie diese Einstellung überprüfen, damit andere nicht über USB-Geräte Lese- oder Schreibzugriff erhalten können.

13] Alle Wechselspeicher: Direkten Zugriff in Remote-Sitzungen zulassen

Computerkonfiguration > Administrative Vorlagen > System > Zugriff auf Wechselspeicher

Remote-Sitzungen sind irgendwie die anfälligste Sache, wenn Sie keine Kenntnisse haben und Ihren Computer mit einer unbekannten Person verbinden. Mit dieser Einstellung können Sie den gesamten direkten Zugriff auf Wechselgeräte in allen Remote-Sitzungen deaktivieren. In diesem Fall haben Sie die Möglichkeit, unbefugten Zugriff zu genehmigen oder abzulehnen. Zu Ihrer Information: Diese Einstellung muss Deaktiviert sein.

14] Aktivieren Sie die Skriptausführung

Computerkonfiguration > Administrative Vorlagen > Windows-Komponenten > Windows PowerShell

Wenn Sie diese Einstellung aktivieren, kann Ihr Computer Skripts über Windows PowerShell ausführen. In diesem Fall sollten Sie die Option Nur signierte Skripte zulassen wählen. Es wäre jedoch am besten, wenn Sie die Skriptausführung nicht zulassen oder die Option Deaktiviert auswählen.

15] Verhindern Sie den Zugriff auf Registrierungsbearbeitungstools

Benutzerkonfiguration > Administrative Vorlagen > System

Mit dem Registrierungseditor können Sie fast jede Einstellung auf Ihrem Computer ändern, auch wenn in den Windows-Einstellungen oder der Systemsteuerung keine Spur einer GUI-Option vorhanden ist. Einige Angreifer ändern häufig Registrierungsdateien, um Malware zu verbreiten. Aus diesem Grund müssen Sie diese Einstellung aktivieren, um Benutzern den Zugriff auf den Registrierungseditor zu verweigern.

16] Verhindern Sie den Zugriff auf die Eingabeaufforderung

Benutzerkonfiguration > Administrative Vorlagen > System

Wie die Windows PowerShell-Skripts können Sie auch verschiedene Skripts über die Eingabeaufforderung ausführen. Aus diesem Grund müssen Sie diese Gruppenrichtlinieneinstellung aktivieren. Nachdem Sie die Option Aktiviert ausgewählt haben, erweitern Sie das Dropdown-Menü und wählen Sie die Option Ja

17] Aktivieren Sie das Skript-Scannen

Computerkonfiguration > Administrative Vorlagen > Windows-Komponenten > Microsoft Defender Antivirus > Echtzeitschutz

Standardmäßig scannt die Windows-Sicherheit nicht alle Arten von Skripts auf Malware oder ähnliches. Aus diesem Grund wird empfohlen, diese Einstellung zu aktivieren, damit Ihr Sicherheitsschild alle auf Ihrem Computer gespeicherten Skripte scannen kann. Da Skripte verwendet werden können, um Schadcodes in Ihren Computer einzuschleusen, bleibt diese Einstellung stets wichtig.

18] Windows Defender Firewall: Ausnahmen nicht zulassen

Computerkonfiguration > Administrative Vorlagen > Netzwerk > Netzwerkverbindungen > Windows Defender-Firewall > Domänenprofil

Computer Configuration > Administrative Templates > Network > Network Connections > Windows Defender Firewall > Standard Profile

Die Windows Defender-Firewall kann je nach Benutzeranforderungen häufig unterschiedlichen ein- und ausgehenden Datenverkehr zulassen. Es wird jedoch nicht empfohlen, dies zu tun, es sei denn, Sie kennen das Programm sehr gut. Wenn Sie sich über den ausgehenden oder eingehenden Datenverkehr nicht hundertprozentig sicher sind, können Sie diese Einstellung aktivieren.

Teilen Sie uns mit, wenn Sie weitere Empfehlungen haben.

Was sind drei Best Practices für GPOs?

Drei der Best Practices für GPO sind: Erstens sollten Sie eine Einstellung nur dann anpassen, wenn Sie wissen, was Sie tun. Zweitens: Deaktivieren oder aktivieren Sie keine Firewall-Einstellungen, da diese möglicherweise unbefugten Datenverkehr willkommen heißen. Drittens sollten Sie die Aktualisierung der Änderung immer manuell erzwingen, wenn sie nicht automatisch übernommen wird.

Welche Gruppenrichtlinieneinstellung sollten Sie konfigurieren?

Solange Sie über ausreichende Kenntnisse und Erfahrung verfügen, können Sie jede Einstellung im Editor für lokale Gruppenrichtlinien konfigurieren. Wenn Sie nicht über dieses Wissen verfügen, lassen Sie es so sein, wie es ist. Wenn Sie jedoch die Sicherheit Ihres Computers erhöhen möchten, können Sie diese Anleitung durchgehen, da hier einige der wichtigsten Sicherheitseinstellungen für Gruppenrichtlinien aufgeführt sind.