# 09_Security-Baselines & Härtung # Windows & AD # Baseline – Windows Server 2019 # Baseline – Windows Server 2019 - CIS/MS Baselines als Orientierung; nur benötigte Rollen/Features - Lokale Firewall aktiv, SMB‑Signierung, NTLM‑Härtung - Protokollierung: Security, Sysmon (optional), Weiterleitung an SIEM # Baseline – Active Directory & GPO # Baseline – Active Directory & GPO - Admin‑Tiering, getrennte Admin‑Konten, JIT/PIM (falls verfügbar) - Basis‑GPO: Passwort/MFA, Audit‑Policy, BitLocker, Applocker/WDAC (optional) - Regelmäßige Rezertifizierung von Gruppenmitgliedschaften # Endpoints # Baseline – Windows 10/11 # Baseline – Windows 10/11 - BitLocker, TPM, Secure Boot, Defender aktiv, SmartScreen - Angriffsflächenreduktion (ASR), Gerätestatus Compliance, Patch‑Zeitfenster - Lokale Adminrechte restriktiv, Softwareinstallationen über kontrollierte Wege # Festplattenverschlüsselung (BitLocker) # Festplattenverschlüsselung (BitLocker) - Richtlinien, Wiederherstellungsschlüsselablage, Nachweise # Lokale Adminrechte # Lokale Adminrechte - Prinzip: keine lokalen Admins; Ausnahme nur genehmigt & zeitlich befristet # Netzwerk & Firewall (Sophos XGS) # Baseline – Sophos XGS (Deutsch) # Baseline – Sophos XGS **Menü (Deutsch, Beispiele):** - *Schutz* → **Regeln und Richtlinien** → *Firewall‑Regeln*: Segmentierung, nur erforderliche Ports - *VPN* → **IPSec/SSL VPN**: Starke Verschlüsselung, MFA, Benutzergruppen - *Protokollierung & Berichte* → **Berichte**: Regelmäßige Auswertung, Export als Nachweis - *Konfiguration* → **Sicherung & Wiederherstellung**: Backup der Konfiguration, Versionierung **Kontrollen:** Geo‑IP (falls erforderlich), Web/IPS, Anwendungskontrolle → auf relevante Zonen beschränkt # Netzwerksegmentierung # Netzwerksegmentierung - VLANs nach Rolle/Schutzbedarf (Server, Clients, Drucker, Gäste) - East‑West‑Traffic minimieren, Jump‑Hosts für Adminzugriffe # M365/Exchange/Teams # Baseline – M365 (Light) # Baseline – M365 (Light) - MFA/CA Policies, sichere Adminrollen, Audit‑Logs - E‑Mail: Anti‑Phishing/Spam, DLP/Retention (falls lizenziert) # E‑Mail Security (SPF/DKIM/DMARC) # E‑Mail Security (SPF/DKIM/DMARC) - SPF‑Record restriktiv, DKIM aktiv, DMARC „quarantine/reject“ nach Monitoring‑Phase