Für Windows 10 ist eine Konfigurationsempfehlung zur Protokollierung erstellt worden, welche es ermöglicht, unerwünschte Aktivitäten zu erkennen, welche die Vertraulichkeit, Verfügbarkeit oder Integrität des IT-Systems bedrohen. Die Empfehlung richtet sich an fortgeschrittene Anwender und Administratoren und ist geeignet, die Konfigurationseinstellungen des Betriebssystems direkt umsetzen zu können.

• Empfehlung zur Konfiguration der Protokollierung in Windows 10
  

Inhaltsverzeichnis

1 Einleitung
1.1 Zusammenfassung
2 Allgemeines
2.1 Geltungsbereich
2.2 Rahmenbedingungen
3 Generelle Maßnahmenempfehlungen
3.1 Zeitsynchronisation der Systeme
3.2 Zentrale Sammlung der Protokollierungsdaten
3.3 Umgang mit sensitiven Protokollierungsdaten
4 Konfigurationsempfehlungen: Systemweite Einstellungen
4.1 Sicherheitsoptionen
4.2 Windows Defender Firewall mit erweiterter Sicherheit
4.3 Administrative Vorlagen
5 Konfigurationsempfehlungen: Überwachungsrichtlinien und Ereignisprotokolle
5.1 Aktivität von Konten
5.2 Aktivität von Kernsystemkomponenten
5.3 Konfigurationsänderungen
5.4 Netzwerkaktivität
5.5 Prozessaktivität
5.6 Registrierungsaktivität
Anhang
Werkzeuge
Ereignis-Ids
Referenzen
Abkürzungsverzeichnis

Kurzzusammenfassung

Die Inhalte der Empfehlung zur Härtung basieren auf den im Projekt erarbeiteten Analyseergebnissen, auf Security Best Practices sowie auf langjähriger Expertise von ERNW. Zu allen Empfehlungen erfolgt ein Abgleich mit den in der Security Baseline für Windows 10 1809 von Microsoft enthaltenen Einstellungen sowie dem Center for Internet Security (CIS) Benchmark für Windows 10 Enterprise (Version 1809). Abweichungen von der Security Baseline oder dem CIS-Benchmark werden im Dokument für die betroffenen Einstellungen erläutert und begründet.

Das Dokument und die darin enthaltenen Konfigurationsempfehlungen sind gültig für das Betriebssystem Microsoft Windows 10 Long Term Servicing Channel (LTSC), Version 2019. Die hierzu äquivalente Semi-Annual Channel (SAC) Version entspricht Windows 10, Version 1809 und ist zu Windows 10 LTSC Version 2019 hinsichtlich des Kernels und der Komponenten, die in beiden Versionen enthalten sind, funktionsgleich.

Die beschriebenen Konfigurationsempfehlungen für die Protokollierung gehen von einem Standardnutzungsszenario, wie der Verwendung eines Windows 10-Systems zur Büroarbeit, aus. Sie können jedoch auch als Grundlage für die Definition von Protokollierungskonfigurationen für spezifischere Anwendungsfälle (z. B. administrative Tätigkeiten oder Verarbeitung schutzbedürftiger Informationen) herangezogen werden.

Bei der Erstellung der Empfehlung folgte die Auswahl der konkreten Konfigurationsempfehlungen den folgenden Grundprinzipien zur Erhöhung der Systemsicherheit:

• Erhebung von für die Entdeckung von bekannten und verbreiteten Angriffsszenarien relevanten Daten, so dass diese für eine aktive Überwachung zur Identifikation von versuchten und andauernden Angriffen nutzbar sind.
• Erhebung von für die Aufklärung von bekannten und verbreiteten Angriffsszenarien relevanten Daten, so dass diese für eine weitergehende Analyse im Zuge forensischer Untersuchungen auswertbar sind.
• Erhebung von relevanten Daten zu Konfigurationsänderungen an sicherheitsrelevanten Objekten und der Funktion von sicherheitsrelevanten Komponenten, so dass diese im Zuge einer kontinuierlichen Überwachung des Sicherheitsniveaus eines Systems nutzbar sind.
• Erzwingen von Einstellungen, um eine Modifikation durch den Benutzer zu verhindern.
• Erweitern der Standardkonfiguration, um die Generierung und Speicherung von relevanten Protokollierungsdaten sicherzustellen.
• Berücksichtigung des Datenschutzes, indem Konfigurationen, die zur Preisgabe von sensiblen Daten in Protokollierungsdateien führen können, als solche kenntlich gemacht werden.

Nicht betrachtet wurde die Erhebung von Protokollierungsdaten zur Überwachung und Sicherstellung der operationellen Zuverlässigkeit eines Systems. Ebenso nicht Teil dieses Dokuments ist die konkrete Auswertung der protokollierten Daten.

Konfigurationsempfehlungen, die im Zusammenhang mit allgemeiner Härtung des Systems stehen, finden sich in der „Konfigurationsempfehlungen zur Härtung von Windows 10 mit Bordmitteln“ des Projekts.

Gruppenrichtlinien-Objekte zu den Empfehlungen zur Konfiguration der Protokollierung und zur Härtung werden gesondert unter dem Punkt "Gruppenrichtlinien zur Konfiguration" bereitgestellt.