+41 71 461 44 44 [email protected]

News & Resources

GPO Hardening: Praxis-Leitfaden fรผr KMU und Admins

Bg Gold 3

Warum ist GPO-Hardening fรผr Schweizer Unternehmen wichtig?

Cyberangriffe gefรคhrden zunehmend auch kleine und mittlere Unternehmen (KMU). Nicht selten sind Fehler bei der Systemkonfiguration โ€“ insbesondere in Active Directory (AD) Umgebungen โ€“ Auslรถser fรผr Vorfรคlle. Als IT-Dienstleister sehen wir in Amriswil und darรผber hinaus: Wer seine Systeme nicht gezielt hรคrtet, รถffnet Hackern Tรผr und Tor. Mit Group Policy Objects (GPOs) lassen sich Windows-Netzwerke einfach und effektiv absichern โ€“ vorausgesetzt, die wichtigsten Einstellungen werden umgesetzt und vorab getestet.

Die wichtigsten GPO-Einstellungen fรผr mehr Sicherheit

Im Folgenden prรคsentieren wir erprobte GPO-Massnahmen, die jede IT-Abteilung sofort prรผfen und ausrollen kann.

1. Benutzerkontensteuerung (UAC)

Warum? UAC schรผtzt vor versehentlicher Ausfรผhrung von Programmen mit Administratorrechten โ€“ ein hรคufiger Angriffsvektor bei Ransomware-Infektionen.

Empfohlene Einstellungen:

  • Admin Approval Mode fรผr den integrierten Admin: Aktivieren
  • Nur Anwendungen mit UIAccess aus sicheren Pfaden erhรถhen: Aktivieren
  • Verhaltensweise Erhรถhungsabfrage Admin: Bestรคtigung auf sicherem Desktop
  • Verhaltensweise Erhรถhungsabfrage Standardbenutzer: Automatisch ablehnen

Praxis-Tipp: Fรผhren Sie eine Pilotgruppe zum Testen der Einstellungen ein.

2. LDAP- und SMB-Signierung

Warum? Diese Funktionen verhindern Manipulation und Abhรถren von Authentifizierungsdaten im Netzwerk.

LDAP-Signierung:

  • Domรคnencontroller: Require signing
  • Clients: Require signing
  • Channel Binding Token: Always

SMB-Signierung:

  • Server & Clients: Digitale Signierung immer erforderlich

Hinweis: Prรผfen Sie Kompatibilitรคt mit alten Systemen.3. Sichere Authentisierungsprotokolle

NTLMv2 Only:

  • LAN Manager Authentication Level: Nur NTLMv2 akzeptieren; veraltete Protokolle (LM, NTLM) verbieten

CPasswords konsequent vermeiden!

  • Keine Passwรถrter in GPOs oder GPPs hinterlegen.
  • Nutzen Sie stattdessen Microsoft LAPS fรผr die Verwaltung lokaler Admin-Passwรถrter.

4. Starke Passwortrichtlinien

Empfohlen:

  • Passwortlรคnge: Mindestens 10 Zeichen bei 2FA-Nutzung
  • Komplexitรคtsregeln individuell prรผfen, alternative Listen/Blacklists lohnen sich erst mit Azure AD

Ressource: Der CIS Password Policy Guide gibt weitere Details je nach Anwendungsfall.

5. Remote-Verbindungen & RDP absichern

  • Remote Credential Guard: Aktivieren ab Windows 10/Server 2016 โ€“ schรผtzt Anmeldedaten bei RDP-Zugriffen
  • NLA (Network Level Authentication): RDP-Zugriff nur nach erfolgreicher Authentifizierung erlauben

6. Logging und Auditing

Security-Logs:

  • Log-GrรถรŸe ausreichend dimensionieren (Ziel: 3 Monate Log-Archiv)
  • Audit-Policy definieren: Welche Ereignisse/ร„nderungen am AD, Netzwerkzugriffe und PowerShell-Aktivitรคten mรผssen dokumentiert werden?

PowerShell Script Block Logging:

  • Befehlshistorie via GPO einschalten

7. Gerรคtezugriffe und AD-Objekte schรผtzen

  • Gerรคte hinzufรผgen: Nur Administratoren dรผrfen neue Gerรคte zur Domรคne hinzufรผgen.
  • LLMNR/NetBIOS & WPAD: Deaktivieren Sie diese unnรถtigen Protokolle, um Angriffsflรคchen wie z.B. Relay/Phishing zu minimieren.Weiterfรผhrende Ressourcen

CIS Benchmarks
Microsoft Security Baselines
Microsoft LAPS

Fazit

Das Hรคrtungkonzept mit GPOs sollte nie als stรถrende Zusatzaufgabe verstanden werden, sondern als essentieller Bestandteil jeder IT-Strategie โ€“ gerade fรผr wachsende Schweizer KMU. Schritt fรผr Schritt, mit Tests und praxiserprobten Settings, lรคsst sich die Security auf ein neues Level heben. Haben Sie Fragen zur praktischen Umsetzung? Kontaktieren Sie uns โ€“ Ihr A BOT GmbH Team aus Amriswil steht Ihnen gern beratend zur Seite!