Das BSI hatte 2018 die Windows 10 1607 LTSB durchleuchtet, wie die Sicherheitseinstellungen und die Telemetrie in der Version ist. Anfang 2020 hatte sich dann das Bayerische Landesamt für Datenschutzaufsicht die Windows 10 1909 Enterprise vorgenommen.
Nun hat das BSI im Rahmen der „Studie zu Systemaufbau, Protokollierung, Härtung und Sicherheitsfunktionen in Windows 10“ (SiSyPHuS Win10) auf der Grundlage der Windows 10 Enterprise LTSC 2019 64-Bit eine neue Empfehlung und auch die Gruppenrichtlinien dazu bereitgestellt.
Bei dieser Studie darf man nicht vergessen, dass es hier vorrangig um behördliche oder Firmen-Rechner geht. Da die Enterprise eine Vielzahl von besseren Telemetrie-Einstellungen bietet. Wie das BSI aber betont, sind diese auch für normale Rechner ab Pro einsetzbar.
„Ziel ist es u. a., die Sicherheit und Restrisiken für eine Nutzung von Windows 10 bewerten zu können und Rahmenbedingungen für einen sicheren Einsatz des Betriebssystems zu identifizieren.“ So das BSI auf Twitter.
Info und Download:
- Die Pressemitteilung: bsi.bund.de/Presse
- Gruppenrichtlinien: bsi.bund.de/Studien/SiSyPHuS_Win10
Windows 10 Tutorials und Hilfe
In unserem Windows 10 Wiki findet ihr sehr viele hilfreiche Tipps und Tricks. Falls ihr Fragen habt, dann stellt diese ganz einfach bei uns im Forum.
- Installationsmedien: Aktuelle Installationsdateien findet ihr hier immer in der rechten Sidebar. Windows 10 2004 ISO (19041), oder 20H2 (2009) ISO (19042), Windows 10 21H1 (19043) ISO
- Installation: Windows 10 Clean installieren, Win 10 2004 / 20H2 / 21H1 neu installieren
- Aktuelle Probleme mit der: Windows 10 2004 / 20H2 / 21H1
- Reparaturen: Inplace Upgrade Reparatur, Win 10 reparieren über DISM, sfc und weiteres, Windows Update reparieren, Startmenü reparieren, Apps reparieren, Store reparieren, Netzwerk reparieren
- Anmeldung: Win 10 automatische Anmeldung
- Entfernen, Deinstallieren: Apps deinstallieren
- Datei Explorer: Ordner unter Dieser PC entfernen, Netzwerk, OneDrive u.a. im Explorer entfernen
- Richtige Nutzung: Startmenü richtig nutzen, Suche richtig nutzen,
- Wichtig: In jedem Tutorial steht, für welche Version es geeignet ist.
Danke für den Artikel… aber dem BSI traue ich noch weniger als Microsoft.
Aber ich werde mir das mal ansehen
Ansehen ist auch völlig in Ordnung.
Bin auch gerade dabei.
Mach ich auch. Allerdings trage ich bereits bei der Sichtung meinen ALu-Helm. Sischer isch Sischerer.
Es sind nur GPOs und ich glaube nicht, dass das BSI entsprechende Ports/Wege auf macht.
Aber natürlich sollte man nicht blind GPOs in seine Domäne importieren
Alles in eine GPO…das kann nur ne deutsche Idee sein, kein guter GPO-Admin macht sowas.
Ist spannend wenn ein Setting Probleme macht und man das ganze Ding ausknipsen muss. Aber ja 20 GPO sind auch nicht gut, zw. 8-10 sind gute Erfahrungswerte. Security, ADMT Office, ADMT Windows, ADMT Drittprodukte, ADMT Browser, GPP sind schon mal gute Möglichkeiten im WorstCase nicht die ganze GPO ausknipsen zu müssen.
Aber…ich kann die Docs von Australien empfehlen. Gut erklärt was und warum, wir haben damit ein Score von 76 zu 100 beim CIS geschafft und alle können noch arbeiten
https://www.cyber.gov.au/sites/default/files/2020-06/PROTECT%20-%20Hardening%20Microsoft%20Windows%2010%20version%201909%20Workstations%20%28June%202020%29.pdf
Hardening/Härtung etc. alles schön und gut. Will nur die Daten die abfließen minimieren. Fängt schon damit an das manche Schalter nur in der Enterprise-Edition funktionieren. Nur ein Eintrag auf S.42, als Pro-Nutzer für mich komplett nutzlos.
Härtung != Telemetrie
https://www.oo-software.com/de/shutup10
Einfacher…
Na gut das es in diesem Artikel um Härtung geht und nicht darum wie man Windows zum Schweigen bringt…
Aber einfacher, als sich mit Tools das Windows zu vermurksen um sich dann zu beschweren das das nächste Update/Upgrade nicht geht, wäre wohl eher die allseits bekannten „Schnüffeldomains“ einfach in die Filterliste seines Routers einzutragen.
Und wenn es ganz professionell sein darf, mach ein OpenWRT Router im HyperV und leite den ganzen Verkehr da durch, dann kannst du das Ding weltweit nutzen, ist keine Kunst, gibt native Images und der AdBlock für Openwrt weiss was er tut…
Auszug:
„Aufgrund der durchgeführten Analyse lässt sich jedoch keine Verbindung zwischen Anzahl an ETW-Anbietern und Telemetrie-Datenmenge, sowie deren Qualität ableiten.“
https://www.bsi.bund.de/DE/Service-Navi/Publikationen/Studien/SiSyPHuS_Win10/AP4/SiSyPHuS_AP4_node.html
Sorry, aber die zentralste und massiv DSGVO-verletzende Komponente wurde nicht untersucht! LÄCHERLICH!!!
Da brauch ich gar nicht weiterlesen…
Eine Frage zu „ auf der Grundlage der Windows 10 Enterprise LTSC 2019 64-Bit“:
Der LTSC war doch eigentlich die 1809 (Build 17763) und nicht die 1909 (Build 18363 bzw. „18362r2“); welcher ist denn nun gemeint?
Viele Grüße
Die LTSC ist die 1809. Die Bayern hatten damals die normale Enterprise untersucht, nicht die LTSC.
Also so, wie es auch im Beitrag steht.
Habe ich recht verstanden, dass dieses GPO Set für 1809 LTSC ist?
Im ersten Absatz steht sie haben Enterprise 1909 durchleuchtet.
gepostet mit der Deskmodder.de-App für Android
Die Bayern.
Moin zusammen, da habe ich mal eine Frage an die Fachleute. Ich habe in der Testumgebung die GPO´s mal importiert und habe ein Phänomen, was ich nicht mehr rückgängig bekomme. Outlook bekommt keine Verbindung mehr zum Exchange, da das Kennwort nicht angenommen wird. Es wird immer wieder neu nach der Eingabe des Kennwortes gefragt. Über OWA klappt der Zugriff sofort.
Hat jemand von Euch einen Ansetzpunkt für mich? Es geht um die 4 GPOs im Domänenumfeld
Wäre großartig, vielen Dank