Nieuws

Duitse overheid publiceert instellingen voor het beveiligen van Windows 10

maandag 3 mei 2021, 11:34 door Redactie, 16 reacties

De Duitse overheid heeft vandaag een reeks van instellingen gepubliceerd voor het beveiligen van computers die op Windows 10 draaien. De aanbevolen configuratie-instellingen worden door het Bundesamt für Sicherheit in der Informationstechnik (BSI), onderdeel van het Duitse ministerie van Binnenlandse Zaken, als Group Policy Objects (GPO) aangeboden en zijn in principe bedoeld voor Windows 10 Enterprise LTSC 2019 64-bit.

De instellingen beslaan allerlei onderdelen van het besturingssysteem, zoals telemetrie, Device Guard, logging, Universal Windows Platform, Windows Update, Powershell-omgeving, Windows Script Host (WSH), TPM en UEFI SecureBoot en Virtual Secure Mode. Via de GPO's kan worden gekozen voor een normaal of hoog beveiligingsniveau.

"We helpen overheden, bedrijven en burgers om it-producten en software veilig te kunnen gebruiken. Meer dan een derde van de computergebruikers wereldwijd maakt gebruik van Windows 10 en dit aantal is stijgende. Daarom hebben we het besturingssysteem getest en specifieke aanbevelingen afgeleid om de digitalisering veiliger te maken", zegt BSI-voorzitter Arne Schönbohm.

De aanbevolen instellingen zijn volgens het BSI met name bedoeld voor overheidsinstanties en bedrijven, maar ook "technische" burgers kunnen de aanbevelingen afhankelijk van de gebruikte Windows 10-versie doorvoeren, aldus de Duitse overheidsinstantie.

NSA: wees voorzichtig met aansluiten van OT-systemen op IT-netwerken

SIDN hoeft zonefile met alle .nl-domeinnamen niet aan bedrijf te verstrekken

Reacties (16)

03-05-2021, 12:19 door Anoniem

Telemetry uit ?

03-05-2021, 13:14 door Anoniem

https://www.youtube.com/watch?v=PdKMiFKGQuc

Vereist wat technische handelingen.

03-05-2021, 13:50 door Anoniem

Het zou geweldig zijn als settings niet weer naar defaults worden gezet na bepaalde updates.

03-05-2021, 14:04 door Anoniem

Door Anoniem: Telemetry uit ?

zeker

03-05-2021, 14:19 door Anoniem

De onderzoekers bij de BSI hebben een toepasselijke lange titel gekozen:

"Studie zu Systemaufbau, Protokollierung, Härtung und Sicherheitsfunktionen in Windows 10"

SiSyPHuS Win10

Sisyphos (Oudgrieks) of Sisyphus (Latijn) is een figuur uit de Griekse mythologie. Hij was de stichter en koning van Korinthe. Hij was een sluwe man, maar beging de vergissing de goden uit te dagen. Hij wist telkens aan hen te ontsnappen, maar verergerde hiermee zijn uiteindelijke straf. Die luidde dat hij tot het einde der tijden in de Tartaros een rotsblok tegen een berg moest duwen.

https://nl.wikipedia.org/wiki/Sisyphos

03-05-2021, 15:40 door Anoniem

Door Anoniem:

Door Anoniem: Telemetry uit ?

zeker

Ik heb het net gelezen, ik zie alleen uitleg, niet wat je moet doen om de telemetry uit te zetten.

03-05-2021, 16:01 door Anoniem

Mooi om te zien dat Duitsers wel adviseren naar de eindgebruiker. En de publicaties op de BSI zijn ook erg interessant, zowel voor bedrijven als eindgebruikers.

03-05-2021, 16:56 door Anoniem

"Met deze instellingen maken we het de russen/chinezen/marsmannetjes het zo moeilijk mogelijk terwijl we er direct voor zorgen dat met deze instellingen, wij, BSI, CGHQ en NSA vrolijk erbij kunnen komen.
Immers, als je deze GPO gebruikt heb je iets te verbergen en ben je interessant voor de afluisterdiensten.

03-05-2021, 17:17 door Anoniem

Door Anoniem: "Met deze instellingen maken we het de russen/chinezen/marsmannetjes het zo moeilijk mogelijk terwijl we er direct voor zorgen dat met deze instellingen, wij, BSI, CGHQ en NSA vrolijk erbij kunnen komen.
Immers, als je deze GPO gebruikt heb je iets te verbergen en ben je interessant voor de afluisterdiensten.

Daar gaan we weer.... Aangescherpte privacy- en beveiligingsinstellingen hebben niets met "iets te verbergen hebben" te maken, maar alles met bescherming van eigendomsrechten en persoonlijke integriteit.

03-05-2021, 18:04 door Anoniem

Wat kan de Duitse overheid wat Microsoft niet kan?

03-05-2021, 19:32 door karma4

De eerste versie uit 2018! Bericht heeft hier eerder gestaan. Het is wel de aanpak hoe het zou moeten. Onderzoek en onderbouwede resultaten publiceren is wat anders dan niet bewezen vermoedens als bewijs van schuld gebruiken.
Nu het NCSC nog die dat soort zaken gaat publiceren / overnemen / samenwerking tonen.

03-05-2021, 19:54 door Anoniem

Onderzoek en onderbouwede resultaten publiceren is wat anders dan niet bewezen vermoedens als bewijs van schuld gebruiken.

ha ha ha hier gaan we je aan houden !

03-05-2021, 20:18 door Anoniem

Door Anoniem: https://www.youtube.com/watch?v=PdKMiFKGQuc

Vereist wat technische handelingen.

Snap niet heel goed wat je met dit filmpje bedoelt. Het filmpje komt draait na 30 minuten kijken een powershell script genaamd "decrapifier". Hoe correleert dit met de aanbevelingen die worden onderbouwd door BSI?

OT: ik heb net de policies als eindgebruiker aangepast met 1 regel in het command prompt, werkt prima en binnen 30 seconden gefixt. Policies nagekeken en inderdaad veel onnodige policies staan nu "goed", die ik eerder over het hoofd zag.

Je kunt verder het verder 'hardenen', maar ik ben geen lid van een domein, want ik zit niet op het werk.
Je schijnt vanuit de thuis/bibliotheek of waar je je op dit moment ook bevindt een domein te joinen als eindgebruiker via deze link: https://joscor.com/blog/using-microsoft-rsat-from-a-non-domain-pc/
Maar weet niet of dit lukt en ik heb er eerlijk gezegd ook niet zo veel zin an.

Hier is de manual van BSI hoe je de policies kunt implementeren(in het engels), ik koos zelf voor "Normal protection requirement single computer (NE) - computer"
https://translate.google.com/translate?hl=&sl=de&tl=en&u=https%3A%2F%2Fwww.bsi.bund.de%2FSharedDocs%2FDownloads%2FDE%2FBSI%2FCyber-Sicherheit%2FSiSyPHus%2FWorkpackage12_Gruppenrichtlinienobjekte_Anleitung.pdf%3F__blob%3DpublicationFile%26v%3D1

03-05-2021, 21:21 door Anoniem

Door Anoniem: Wat kan de Duitse overheid wat Microsoft niet kan?

Je kunt je beter afvragen of het NCSC.nl hier een goed voorbeeld aan gaat nemen.

03-05-2021, 23:27 door Anoniem

Door Anoniem: Wat kan de Duitse overheid wat Microsoft niet kan?

Microsoft adviseert zelf ook, alleen wist je dit blijkbaar niet :-)

Microsoft doet dit in de vorm van "Microsoft Security Baselines".
Kant en klare GPO's die je zo kan importeren.
Deze zijn er voor meerdere producten, zoals Windows, Edge, Office, etc
Zelf per Windows 10 build bieden ze nieuwe versies aan.

Algemeen:
https://docs.microsoft.com/en-us/windows/security/threat-protection/windows-security-baselines

Download (GPO's inclusief documentatie):
https://www.microsoft.com/en-us/download/details.aspx?id=55319

04-05-2021, 09:00 door botbot

Door Anoniem: Wat kan de Duitse overheid wat Microsoft niet kan?

Geen winst maken op Microsoft producten.

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Pick one:

Advertentie

Specialiseer je in Forensisch ICT

Online informatieavond 19 november

Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:

Bachelor Informatica Forensisch ICT (deeltijd)
Master Digital Forensics (vol- en deeltijd)
Module Mobile Forensics
Module Data Analytics

Interesse? Meld je aan!

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

31 reacties

Lees meer