Warum ist GPO-Hardening für Schweizer Unternehmen wichtig?
Cyberangriffe gefährden zunehmend auch kleine und mittlere Unternehmen (KMU). Nicht selten sind Fehler bei der Systemkonfiguration – insbesondere in Active Directory (AD) Umgebungen – Auslöser für Vorfälle. Als IT-Dienstleister sehen wir in Amriswil und darüber hinaus: Wer seine Systeme nicht gezielt härtet, öffnet Hackern Tür und Tor. Mit Group Policy Objects (GPOs) lassen sich Windows-Netzwerke einfach und effektiv absichern – vorausgesetzt, die wichtigsten Einstellungen werden umgesetzt und vorab getestet.
Die wichtigsten GPO-Einstellungen für mehr Sicherheit
Im Folgenden präsentieren wir erprobte GPO-Massnahmen, die jede IT-Abteilung sofort prüfen und ausrollen kann.
1. Benutzerkontensteuerung (UAC)
Warum? UAC schützt vor versehentlicher Ausführung von Programmen mit Administratorrechten – ein häufiger Angriffsvektor bei Ransomware-Infektionen.
Empfohlene Einstellungen:
- Admin Approval Mode für den integrierten Admin: Aktivieren
- Nur Anwendungen mit UIAccess aus sicheren Pfaden erhöhen: Aktivieren
- Verhaltensweise Erhöhungsabfrage Admin: Bestätigung auf sicherem Desktop
- Verhaltensweise Erhöhungsabfrage Standardbenutzer: Automatisch ablehnen
Praxis-Tipp: Führen Sie eine Pilotgruppe zum Testen der Einstellungen ein.
2. LDAP- und SMB-Signierung
Warum? Diese Funktionen verhindern Manipulation und Abhören von Authentifizierungsdaten im Netzwerk.
LDAP-Signierung:
- Domänencontroller: Require signing
- Clients: Require signing
- Channel Binding Token: Always
SMB-Signierung:
- Server & Clients: Digitale Signierung immer erforderlich
Hinweis: Prüfen Sie Kompatibilität mit alten Systemen.3. Sichere Authentisierungsprotokolle
NTLMv2 Only:
- LAN Manager Authentication Level: Nur NTLMv2 akzeptieren; veraltete Protokolle (LM, NTLM) verbieten
CPasswords konsequent vermeiden!
- Keine Passwörter in GPOs oder GPPs hinterlegen.
- Nutzen Sie stattdessen Microsoft LAPS für die Verwaltung lokaler Admin-Passwörter.
4. Starke Passwortrichtlinien
Empfohlen:
- Passwortlänge: Mindestens 10 Zeichen bei 2FA-Nutzung
- Komplexitätsregeln individuell prüfen, alternative Listen/Blacklists lohnen sich erst mit Azure AD
Ressource: Der CIS Password Policy Guide gibt weitere Details je nach Anwendungsfall.
5. Remote-Verbindungen & RDP absichern
- Remote Credential Guard: Aktivieren ab Windows 10/Server 2016 – schützt Anmeldedaten bei RDP-Zugriffen
- NLA (Network Level Authentication): RDP-Zugriff nur nach erfolgreicher Authentifizierung erlauben
6. Logging und Auditing
Security-Logs:
- Log-Größe ausreichend dimensionieren (Ziel: 3 Monate Log-Archiv)
- Audit-Policy definieren: Welche Ereignisse/Änderungen am AD, Netzwerkzugriffe und PowerShell-Aktivitäten müssen dokumentiert werden?
PowerShell Script Block Logging:
- Befehlshistorie via GPO einschalten
7. Gerätezugriffe und AD-Objekte schützen
- Geräte hinzufügen: Nur Administratoren dürfen neue Geräte zur Domäne hinzufügen.
- LLMNR/NetBIOS & WPAD: Deaktivieren Sie diese unnötigen Protokolle, um Angriffsflächen wie z.B. Relay/Phishing zu minimieren.Weiterführende Ressourcen
CIS Benchmarks
Microsoft Security Baselines
Microsoft LAPS
Fazit
Das Härtungkonzept mit GPOs sollte nie als störende Zusatzaufgabe verstanden werden, sondern als essentieller Bestandteil jeder IT-Strategie – gerade für wachsende Schweizer KMU. Schritt für Schritt, mit Tests und praxiserprobten Settings, lässt sich die Security auf ein neues Level heben. Haben Sie Fragen zur praktischen Umsetzung? Kontaktieren Sie uns – Ihr A BOT GmbH Team aus Amriswil steht Ihnen gern beratend zur Seite!
Deutsch (Schweiz) 
English