Microsoft Windows 10 Sicherheitseinstellungen

- 09.03.2020

Arbeitsplätze und private Desktopcomputer können Opfer von Malwareattacken, Pishingversuchen und Datenklau werden. Daher ist es wichtig das eigene System so einzurichten, dass etwaige Risiken minimiert werden.

Auf dieser Seite finden Sie einige Einstellungen die Ihnen dabei helfen können Ihr System sicherer zu gestalten und sich somit vor ungewollten Mechaniken schützen.

Microsoft-Konten deaktivieren



Eine Neuerung in Windows 10 besteht darin, sämtliche Microsoft Accounts (ehemals WIndows Live ID) an lokale oder Domänenaccounts zu binden.

Wenn das geschieht, werden Nutzereinstellungen in der Cloud über OneDrive anstatt lokal gespeichert. Das hat zwar einen gewissen Vorteil der Bequemlichkeit dass Nutzer z.b. von der Arbeit oder unterwegs auf Daten zugreifen können, aber es stellt genauso ein Risiko dar, wenn Kontrolle über die eigenen Daten verlorengeht.

Um das Risiko zu verringern ist empfohlen dass Nutzer keine Konten verknüpfen. Beachten Sie dabei, dass mit diesen Einstellungen der Zugang zu Spielen wie Gears 5 oder Halo: The Masterchief Collection, der Zugang zum Microsoft Store sowie anderen Funktionen verwehrt bleibt.

Einstellungen der Gruppenrichtlinien

 
Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Microsoft-Konto
Benutzerauthentifizierung von Microsoft-Konten aller Anwender blockieren Aktiviert
Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\OneDrive
Verwendung von OneDrive für die Dateispeicherung verhindern Aktiviert
Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen
Konten: Microsoft-Konten blockieren Benutzer können keine Microsoft-Konten hinzufügen oder sich damit anmelden

Existente Accounts über die Windows Einstellungen aus dem Microsoft Store entfernen



Windows Einstellungen

Windows Einstellungen > Konten > E-Mail & Konten > Von anderen Apps verwendete Konten
Konto auswählen Entfernen

Gästeaccounts deaktivieren



Gästeaccounts können genutzt werden um sich über das Netzwerk anzumelden ohne andere Nutzerkonten kompromitieren zu müssen. Um dem Risiko entgegenzuwirken können integrierte Gastkonten über die Gruppenrichtlinie deaktiviert werden.

Einstellungen der Gruppenrichtlinien

Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen
Konten: Gastkontenstatus Deaktiviert

Autoplay und Autostart deaktivieren



Wenn neue Medien an den Computer angeschlossen oder eingelegt werden (Cd, DVD, USB oder sonstige Medien), besteht je nach Einstellung die Möglichkeit Aktionen auszuführen ohne dass diese aktiv durch Nutzer bestätigt werden. Das kann vor allem gefährlich werden wenn es darum geht Schadcode einzuschleusen.

Um das Risiko zu minimieren gibt es die Möglichkeit das Verhalten über die Gruppenrichtlinie abzuschalten.

Einstellungen der Gruppenrichtlinien

Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Richtlinien für die automatische Wiedergabe
Autoplay deaktivieren Aktiviert
Automatische Wiedergabe deaktivieren auf: [Alle Laufwerke]
   
Standardverhalten von AutoAusführen festlegen Aktiviert
AutoAusführen-Standardverhalten Keine AutoAusführen-Befehle ausführen
   
Automatische Wiedergabe für andere Geräte als Volumes nicht zulassen Aktiviert

System-Kryptographie



Wenn kryptografische Schlüssel gespeichert wurden, können Nutzer standardmäßig darauf zugreifen ohne vorher ein Kennwort zum Entsperren des Zertifikatspeichers einzugeben. Angreifer mit physischem oder kompromittiertem Zugang können das ausnutzen um an sensible Daten zu kommen.

Um das Risiko zu verringern besteht die Möglichkeit über Gruppenrichtlinien den Verschlüsselungsalgorithmus zu verstärken.

Einstellungen der Gruppenrichtlinien

Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen
Systemkryptografie: Starken Schlüsselschutz für auf dem Computer gespeicherte Benutzerschlüssel erzwingen Bei jeder Verwendung eines Schlüssels Kennwort eingeben
Systemkryptografie: FIPS-konformen Algorithmus für Verschlüsselung, Hashing und Signatur verwenden Aktiviert

Audiorecorder, Handschriftanpassung & Microsoft Speech deaktivieren



Der Audiorecorder ist ein "Feature" von Microsoft Windows, welches es ermöglicht Töne aufzunehmen und diese lokal zu speichern. Angreifer mit Remotezugang können das ausnutzen um an sensible Daten zu kommen oder Gespräche aufzunehmen.

Einstellungen der Gruppenrichtlinien

Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Audiorecorder
Ausführen des Audiorecorders nicht zulassen Aktiviert

Auch Dienste wie Microsoft Speech oder Erfassung von Freinhand- und Tastatureingaben sollte an dieser Stelle nicht unerwähnt bleiben, in dem sich die Microsoft Corporation wie z.B. die Konkurrenz von Amazon.com, Inc. mit "Alexa" sich selbst dazu legitmiert Gespräche zu erfassen und auszuwerten.

Wenn Sie den cloudbasierten Spracherkennungsdienst von Microsoft verwenden, erfasst und verwendet Microsoft Ihre Sprachaufzeichnungen, um eine Textabschrift der gesprochenen Wörter in den Sprachdaten zu erstellen. Die Sprachdaten insgesamt werden verwendet, um die Spracherkennung für alle Benutzer zu verbessern. Dazu dienen auch die Daten, die Microsoft von diesen Online-Diensten sammelt.

Microsoft Speech ist auch in Anwendungen wie Halo: The Masterchief Collection aktiv, die Spielern einen vermeintlich harmlosen Sprachchat zur Verfügung stellen und so Tür und Tor für unverhältnismäßige und leichtfertige Datenerfassung öffnen.

Computerkonfiguration\Administrative Vorlagen\Systemsteuerung\Regions- und Sprachoptionen
Aktivierung von Online-Spracherkennungsdiensten durch Benutzer zulassen Deaktiviert
   
Computerkonfiguration\Administrative Vorlagen\Systemsteuerung\Regions- und Sprachoptionen\Handschriftanpassung
Automatisches Lernen deaktivieren Aktiviert
   
Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Texteingabe
Freihand- und Eingabeerkennung verbessern Deaktiviert