Blog home
Microsoft

Windows CIS Benchmarks 2.0: Was Sie wissen müssen

Tim Smith
July 26, 2023
Lesedauer: 5 Minuten

Das Center for Internet Security (CIS) hat kürzlich eine aktualisierte 2.0-Version seiner Workstation- und Server-Benchmarks für Windows 10, 11, 2016, 2019 und 2022 veröffentlicht. Diese neuen Versionen enthalten wichtige Änderungen, darunter neue Sicherheitsempfehlungen und die Beseitigung veralteter Praktiken.

Das Center for Internet Security (CIS) hat kürzlich eine aktualisierte 2.0-Version seiner Workstation- und Server-Benchmarks für Windows 10, 11, 2016, 2019 und 2022 veröffentlicht. Diese neuen Versionen enthalten wichtige Änderungen, darunter neue Sicherheitsempfehlungen und die Beseitigung veralteter Praktiken.

Über das Zentrum für Internetsicherheit (CIS)

CIS ist eine gemeinnützige Organisation, die IT-System-Benchmarks entwickelt, um die Cybersicherheitsbereitschaft zu verbessern. In Zusammenarbeit mit verschiedenen Interessengruppen aktualisiert CIS seine Benchmarks kontinuierlich, um auf sich ändernde Sicherheitsbedrohungen zu reagieren.

Windows CIS Benchmarks 2.0: Die Änderungen

CIS-Benchmark-Updates beinhalten in der Regel Verbesserungen der Dokumentation zur Erkennung und Behebung sowie einige neue Sicherheitsempfehlungen. Die neue Version 2.0 brach jedoch mit der Tradition, indem sie satte 35 neue Empfehlungen einführte und zwei veraltete entfernte.

Raus mit dem Alten

Die folgenden früheren Empfehlungen wurden gestrichen:

18.5.4 Stellen Sie sicher, dass „Namensauflösung für DNS über HTTPS (DoH) konfigurieren“ auf „Aktiviert: DoH zulassen“ gesetzt ist

Diese Empfehlung wurde 2022 zu allen Windows CIS-Benchmarks hinzugefügt, aber später wurde festgestellt, dass diese Funktion nur auf Windows 11/2022 angewendet werden kann, weshalb sie aus den Windows 10/2016/2019-Benchmarks entfernt wurde.

2.3.1 Stellen Sie sicher, dass „Konten: Administratorkontostatus“ auf „Deaktiviert“ gesetzt ist

Wenn Sie Windows-Systeme schon eine Weile verwalten, erkennen Sie vielleicht, dass dies eine der ursprünglichen Sicherheitsempfehlungen für Windows-Server ist. Tatsächlich wird es schon länger empfohlen, als es das Center for Internet Security gibt. Die Zeiten haben sich jedoch geändert, und jetzt wird empfohlen, das Sperren von Administratorkonten bei Authentifizierungsfehlern zu konfigurieren, anstatt das Konto vollständig zu entfernen.

Rein mit dem Neuen

Bei 35 neuen Sicherheitsempfehlungen sind es zu viele, um sie alle im Detail zu behandeln, aber es gibt einige wichtige Änderungen in dieser Liste.

18.4 (L1) Stellen Sie sicher, dass „LSA Protection“ auf „Aktiviert“ gesetzt ist (10/2016/2019)

Die Local Security Authority in Windows ist das Herzstück der lokalen und Remote-Benutzerauthentifizierung in Windows. Die Aktivierung des LSA-Schutzes bietet eine wichtige Sicherheitsebene gegen Codeinjektionen von außen gegen den LSA-Prozess.

Arbeitsstation Arbeitsstation

Der vielleicht beeindruckendste Aspekt dieser neuen CIS-Benchmarks ist der verstärkte Fokus auf die Sicherung von Windows-Workstations. Angesichts der Umstellung auf Telearbeit als neue Norm ist es wichtiger denn je, die Arbeitsplätze der Mitarbeiter abzusichern. Durch die Hinzufügung von 32 neuen Empfehlungen, die nur für Workstations gelten, in diesen neuen Benchmarks erhalten Unternehmen die Sicherheitsempfehlungen, die sie benötigen, um die Sicherheit dieser Systeme zu gewährleisten.

Empfehlungen für neue Workstations und Server

  • 1.2 (L1) Stellen Sie sicher, dass „Administratorkontosperrung zulassen“ auf „Aktiviert“ gesetzt ist (10.11.2016/2019/2022)
  • 18.4 (L1) Stellen Sie sicher, dass „LSA Protection“ auf „Aktiviert“ gesetzt ist (10/2016/2019)
  • 18.4 (L1) Stellen Sie sicher, dass „Datenschutzeinstellungen auf RPC-Paketebene für eingehende Verbindungen konfigurieren“ auf „Aktiviert“ gesetzt ist (10.11.2016/2019/2022)
  • 18.6.4 (L1) Stellen Sie sicher, dass „NetBIOS-Einstellungen konfigurieren“ auf „Aktiviert: NetBIOS-Namensauflösung in öffentlichen Netzwerken deaktivieren“ gesetzt ist (10.11.2016/2019/2022)
  • 18.7 (L1) Stellen Sie sicher, dass „RPC über TCP-Port konfigurieren“ auf „Aktiviert: 0“ gesetzt ist (10.11.2016/2019/2022)
  • 18.7 (L1) Stellen Sie sicher, dass „Verarbeitung warteschlangenspezifischer Dateien verwalten“ auf „Aktiviert: Warteschlangenspezifische Dateien auf Farbprofile beschränken“ gesetzt ist (10.11.2016/2019/2022)
  • 18.7 (L1) Stellen Sie sicher, dass „RPC-Listener-Einstellungen konfigurieren: Authentifizierungsprotokoll, das für eingehende RPC-Verbindungen verwendet werden soll“ auf „Aktiviert: Aushandeln“ oder höher gesetzt ist (10.11.2016/2019/2022)
  • 18.7 (L1) Stellen Sie sicher, dass „RPC-Listener-Einstellungen konfigurieren: Protokolle, die eingehende RPC-Verbindungen zulassen“ auf „Aktiviert: RPC über TCP“ gesetzt ist (10.11.2016/2019/2022)
  • 18.7 (L1) Stellen Sie sicher, dass „RPC-Verbindungseinstellungen konfigurieren: Authentifizierung für ausgehende RPC-Verbindungen verwenden“ auf „Aktiviert: Standard“ gesetzt ist (10.11.2016/2019/2022)
  • 18.7 (L1) Stellen Sie sicher, dass „RPC-Verbindungseinstellungen konfigurieren: Für ausgehende RPC-Verbindungen zu verwendendes Protokoll“ auf „Aktiviert: RPC über TCP“ gesetzt ist (10.11.2016/2019/2022)
  • 18.7 (L1) Stellen Sie sicher, dass „Redirection Guard konfigurieren“ auf „Aktiviert: Redirection Guard aktiviert“ gesetzt ist (10.11.2016/2019/2022)
  • 18.9.25 (NG) Stellen Sie sicher, dass „LSASS so konfiguriert, dass es als geschützter Prozess ausgeführt wird“ auf „Aktiviert: Aktiviert mit UEFI-Sperre“ gesetzt ist (10/2022)
  • 18.9.25 (L1) Stellen Sie sicher, dass „Zulassen, dass benutzerdefinierte SSPs und APs in LSASS geladen werden“ auf „Deaktiviert“ gesetzt ist (10.11.2022)
  • 18.10.17 (L1) Stellen Sie sicher, dass „App Installer ms-appinstaller-Protokoll aktivieren“ auf „Deaktiviert“ gesetzt ist (10.11.2019/2022)
  • 18.10.17 (L1) Stellen Sie sicher, dass „App Installer Hash Override aktivieren“ auf „Deaktiviert“ gesetzt ist (10.11.2019/2022)
  • 18.10.17 (L1) Stellen Sie sicher, dass „Experimentelle Funktionen des App-Installationsprogramms aktivieren“ auf „Deaktiviert“ gesetzt ist (10.11.2019)
  • 18.10.17 (L1) Stellen Sie sicher, dass „App-Installer aktivieren“ auf „Deaktiviert“ gesetzt ist (10.11.2019/2022)
  • 18.10.82 (L1) Stellen Sie sicher, dass „MPR-Benachrichtigungen für das System aktivieren“ auf „Deaktiviert“ gesetzt ist (10.11.2022)
  • 18.10.57.3.3 (L2) Stellen Sie sicher, dass „WebAuthn-Umleitung nicht zulassen“ auf „Aktiviert“ gesetzt ist (10.11.2022)
  • 18.10.59 (L2) Stellen Sie sicher, dass „Suchhervorhebungen zulassen“ auf „Deaktiviert“ gesetzt ist (10.11.2016/2019/2022)

Empfehlungen nur für neue Server:

  • 18.9.13 (L2) Stellen Sie sicher, dass „Cloud-optimierte Inhalte ausschalten“ auf „Aktiviert“ gesetzt ist (2022)
  • 18.9.47.5.1 „Regeln zur Reduzierung der Angriffsfläche konfigurieren“ ist auf „Aktivieren“ gesetzt (2016)

Empfehlungen nur für neue Workstations:

  • 18.9.5 (L1) Stellen Sie sicher, dass „Virtualisierungsbasierte Sicherheit einschalten: Hardware-erzwungener Stack-Schutz im Kernelmodus“ auf „Aktiviert: Im Erzwingungsmodus aktiviert“ gesetzt ist (11)
  • 18.9.25 (L1) Stellen Sie sicher, dass „LSASS so konfiguriert, dass es als geschützter Prozess ausgeführt wird“ auf „Aktiviert: Aktiviert mit UEFI-Sperre“ gesetzt ist (11)
  • 18.9.39 (L1) 'Internet Explorer 11 als eigenständigen Browser deaktivieren' ist auf „Aktiviert: Immer“ gesetzt (10)
  • 18.9.50.1 (L2) Stellen Sie sicher, dass „Windows NTP-Client aktivieren“ auf „Aktiviert“ gesetzt ist (10/11)
  • 18.9.50.1 (L2) Stellen Sie sicher, dass „Windows NTP Server aktivieren“ auf „Deaktiviert“ gesetzt ist (10/11)
  • 18.10.29 (L2) Stellen Sie sicher, dass „Dateien von Office.com in der Schnellzugriffsansicht ausschalten“ auf „Aktiviert“ gesetzt ist (11)
  • 18.10.57.2 (L2) Stellen Sie sicher, dass „Cloud-Zwischenablage-Integration für Server-zu-Client-Datenübertragung deaktivieren“ auf „Aktiviert“ gesetzt ist (11)
  • 18.10.76.1 (L1) Stellen Sie sicher, dass „Malicious benachrichtigen“ auf „Aktiviert“ gesetzt ist (11)
  • 18.10.76.1 (L1) Stellen Sie sicher, dass „Passwortwiederverwendung benachrichtigen“ auf „Aktiviert“ gesetzt ist (11)
  • 18.10.76.1 (L1) Stellen Sie sicher, dass „Unsichere App benachrichtigen“ auf „Aktiviert“ gesetzt ist (11)
  • 18.10.76.1 (L1) Stellen Sie sicher, dass „Service aktiviert“ auf „Aktiviert“ gesetzt ist (11)
  • 18.10.79 (L1) Stellen Sie sicher, dass „ESS mit unterstützten Peripheriegeräten aktivieren“ auf „Aktiviert: 1“ gesetzt ist (11)

Find and fix the security risks that pose the biggest threat to your business.

Get started

Sichern Sie Ihre Windows-Systeme mit Mondoo

CIS_Windows_Scan

Angesichts sich ändernder Benchmarks konform und sicher zu bleiben, ist eine Herausforderung. An dieser Stelle kommt Mondoo ins Spiel. Wir bieten umfassenden Schutz für Ihren Tech-Stack und helfen Ihnen dabei, Sicherheitslücken mit hohem Risiko zu identifizieren und umsetzbare Lösungen bereitzustellen. Mondoo lässt sich von der Entwicklung bis zur Bereitstellung in Ihre Anwendungen integrieren und gewährleistet so eine robuste Abwehr. Wir bleiben auf dem Laufenden die neuesten CIS-Benchmarks, und unsere Plattform wird entsprechend aktualisiert, damit Ihr Unternehmen sicher und konform bleibt.

Sind Sie bereit, Ihre Sicherheit mit Mondoo zu verbessern?

Lassen Sie Ihre Infrastruktur kein leichtes Ziel sein. Starten Sie noch heute kostenlos mit Mondoo. Scannen Sie innerhalb weniger Minuten Ihre Systeme, identifizieren Sie Sicherheitslücken und erkennen Sie riskante Fehlkonfigurationen.

Tim Smith

Tim Smith ist Produktmanager bei Mondoo. Er arbeitet seit 2007 in den Bereichen Webbetrieb und Softwareentwicklung und seit 1994 in der Portscan-Klasse As. Er lud seine erste Linux-Distribution auf ein 14.4-Modem herunter. Tim hatte zuletzt Positionen bei Limelight Networks, Cozy Co und Chef Software inne.

You might also like

Vergleiche
Mondoo gegen Tenable — Zehn Möglichkeiten, Tenable-Alternativen zu vergleichen
Deborah Galea
August 4, 2025
Sanierung
Wie wir unser Risiko in weniger als drei Stunden um 54% reduziert haben
Parag Baxi
July 24, 2025
Sanierung
Branchenweit erste Priorisierung von Problembehebungen unter Berücksichtigung der Auswirkungen und des Aufwands
Deborah Galea
July 24, 2025

Stay informed with our news and new articles

Danke! Deine Einreichung ist eingegangen!
Hoppla! Beim Absenden des Formulars ist etwas schief gelaufen.