09_Security-Baselines & Härtung

Windows & AD

Baseline – Windows Server 2019
Baseline – Active Directory & GPO

Endpoints

Baseline – Windows 10/11
Festplattenverschlüsselung (BitLocker)
Lokale Adminrechte

Netzwerk & Firewall (Sophos XGS)

Baseline – Sophos XGS (Deutsch)
Netzwerksegmentierung

M365/Exchange/Teams

Baseline – M365 (Light)
E‑Mail Security (SPF/DKIM/DMARC)

Windows & AD

Windows & AD

Baseline – Windows Server 2019

Baseline – Windows Server 2019

CIS/MS Baselines als Orientierung; nur benötigte Rollen/Features
Lokale Firewall aktiv, SMB‑Signierung, NTLM‑Härtung
Protokollierung: Security, Sysmon (optional), Weiterleitung an SIEM

Windows & AD

Baseline – Active Directory & GPO

Baseline – Active Directory & GPO

Admin‑Tiering, getrennte Admin‑Konten, JIT/PIM (falls verfügbar)
Basis‑GPO: Passwort/MFA, Audit‑Policy, BitLocker, Applocker/WDAC (optional)
Regelmäßige Rezertifizierung von Gruppenmitgliedschaften

Endpoints

Endpoints

Baseline – Windows 10/11

Baseline – Windows 10/11

BitLocker, TPM, Secure Boot, Defender aktiv, SmartScreen
Angriffsflächenreduktion (ASR), Gerätestatus Compliance, Patch‑Zeitfenster
Lokale Adminrechte restriktiv, Softwareinstallationen über kontrollierte Wege

Endpoints

Festplattenverschlüsselung (BitLocker)

Festplattenverschlüsselung (BitLocker)

Richtlinien, Wiederherstellungsschlüsselablage, Nachweise

Endpoints

Lokale Adminrechte

Lokale Adminrechte

Prinzip: keine lokalen Admins; Ausnahme nur genehmigt & zeitlich befristet

Netzwerk & Firewall (Sophos XGS)

Netzwerk & Firewall (Sophos XGS)

Baseline – Sophos XGS (Deutsch)

Baseline – Sophos XGS

Menü (Deutsch, Beispiele):

Schutz → Regeln und Richtlinien → Firewall‑Regeln: Segmentierung, nur erforderliche Ports
VPN → IPSec/SSL VPN: Starke Verschlüsselung, MFA, Benutzergruppen
Protokollierung & Berichte → Berichte: Regelmäßige Auswertung, Export als Nachweis
Konfiguration → Sicherung & Wiederherstellung: Backup der Konfiguration, Versionierung

Kontrollen: Geo‑IP (falls erforderlich), Web/IPS, Anwendungskontrolle → auf relevante Zonen beschränkt

Netzwerk & Firewall (Sophos XGS)

Netzwerksegmentierung

Netzwerksegmentierung

VLANs nach Rolle/Schutzbedarf (Server, Clients, Drucker, Gäste)
East‑West‑Traffic minimieren, Jump‑Hosts für Adminzugriffe

M365/Exchange/Teams

M365/Exchange/Teams

Baseline – M365 (Light)

Baseline – M365 (Light)

MFA/CA Policies, sichere Adminrollen, Audit‑Logs
E‑Mail: Anti‑Phishing/Spam, DLP/Retention (falls lizenziert)

M365/Exchange/Teams

E‑Mail Security (SPF/DKIM/DMARC)

E‑Mail Security (SPF/DKIM/DMARC)

SPF‑Record restriktiv, DKIM aktiv, DMARC „quarantine/reject“ nach Monitoring‑Phase