Endpoints

Baseline – Windows 10/11
Baseline – Windows 10/11 
 
 BitLocker, TPM, Secure Boot, Defender aktiv, SmartScreen 
 Angriffsflächenreduktion (ASR), Gerätestatus Compliance, Patch‑Zeitfenster 
 Lokale Adminrechte restriktiv, Softwareinstallationen über kontrollierte Wege

Festplattenverschlüsselung (BitLocker)
Festplattenverschlüsselung (BitLocker) 
 
 Richtlinien, Wiederherstellungsschlüsselablage, Nachweise

Lokale Adminrechte
Lokale Adminrechte 
 
 Prinzip: keine lokalen Admins; Ausnahme nur genehmigt & zeitlich befristet