ADMIN
2021
09
2021-09-01T12:00:00
Clientmanagement und Support
SCHWERPUNKT
076
Clientmanagement
Gruppenrichtlinien
Sicherheit
Security Baselines für Windows 10
Besser geschützt
von Thomas Joos
Veröffentlicht in Ausgabe 09/2021 - SCHWERPUNKT
Windows 10 lässt sich umfassend mit Gruppenrichtlinien steuern, das gilt vor allem auch für Sicherheitseinstellungen. Administratoren müssen sich dabei nicht selbst an allen Settings abarbeiten, denn Microsoft stellt für jede neue Windows-10-Version auch aktualisierte Gruppenrichtlinienvorlagen zur Verfügung. Zusätzlich bieten die Redmonder Empfehlungen und Vorlagen an, mit denen Sie Windows-10-Arbeitsstationen wie auch Server unter Windows Server 2016 und 2019 absichern.
Die Security Baselines von Microsoft nutzen Gruppenrichtlinieneinstellungen, die Bestandteil der aktuellen ADMX- und ADML-Dateien sind. Dadurch können Sie Ihre eigenen Einstellungen mit denen aus den Baselines ergänzen, um die Computer im Netzwerk sicherer zu betreiben. Natürlich ist es auch möglich, einzelne Optionen nicht zu verwenden, die Microsoft empfiehlt. Die gewünschten Anpassungen nehmen Sie im Gruppenrichtlinienverwaltungs-Editor vor. Wir zeigen in diesem Beitrag, wie Sie Einstellungen von Microsoft in eigene Richtlinien importieren und diese Settings so abändern und ergänzen, dass diese den Anforderungen Ihres Netzwerks entsprechen.
In dem Zusammenhang lassen sich auch Benutzerrechte für verschiedene Einstellungen und Ordner über Gruppenrichtlinien delegieren. Das ist sinnvoll, wenn Benutzer für bestimmte Verzeichnisse auf einem Computer Zugriff erhalten sollen. Die entsprechenden Einstellungen finden Sie in der Gruppenrichtlinienverwaltung über "Computerkonfiguration / Richtlinien / Windows-Einstellungen / Sicherheitseinstellungen". Mit Gruppenrichtlinien passen Sie also nicht nur Sicherheitseinstellungen an, sondern greifen bei Bedarf auch aktiv in die Berechtigungsstruktur von Windows 10 ein. Diese Einstellungen sind allerdings nicht Bestandteil der Security Baselines von Microsoft.
Seit Windows 10 Version 1903 startet die Fristdurchsetzung zur verpflichtenden Installation von Updates mit dem Datum, an dem Microsoft ein Update zur Verfügung stellt. Sie können über Gruppenrichtlinien Compliance-Fristen setzen, um das Verhalten von Windows-Rechnern bei der Installation von Feature-Updates, Qualitäts-Updates und Nicht-OS-Updates zu steuern. Diese Optionen lassen sich parallel zur Security Baseline ebenfalls umsetzen. Dazu hat Microsoft auch die Funktionen zur Steuerung von Windows-Updates in Gruppenrichtlinien erweitert. Die Einstellungen finden Sie bei "Computerkonfiguration / Administrative Vorlagen / Windows-Komponten / Windows Update".
Die Security Baselines von Microsoft nutzen Gruppenrichtlinieneinstellungen, die Bestandteil der aktuellen ADMX- und ADML-Dateien sind. Dadurch können Sie Ihre eigenen Einstellungen mit denen aus den Baselines ergänzen, um die Computer im Netzwerk sicherer zu betreiben. Natürlich ist es auch möglich, einzelne Optionen nicht zu verwenden, die Microsoft empfiehlt. Die gewünschten Anpassungen nehmen Sie im Gruppenrichtlinienverwaltungs-Editor vor. Wir zeigen in diesem Beitrag, wie Sie Einstellungen von Microsoft in eigene Richtlinien importieren und diese Settings so abändern und ergänzen, dass diese den Anforderungen Ihres Netzwerks entsprechen.
In dem Zusammenhang lassen sich auch Benutzerrechte für verschiedene Einstellungen und Ordner über Gruppenrichtlinien delegieren. Das ist sinnvoll, wenn Benutzer für bestimmte Verzeichnisse auf einem Computer Zugriff erhalten sollen. Die entsprechenden Einstellungen finden Sie in der Gruppenrichtlinienverwaltung über "Computerkonfiguration / Richtlinien / Windows-Einstellungen / Sicherheitseinstellungen". Mit Gruppenrichtlinien passen Sie also nicht nur Sicherheitseinstellungen an, sondern greifen bei Bedarf auch aktiv in die Berechtigungsstruktur von Windows 10 ein. Diese Einstellungen sind allerdings nicht Bestandteil der Security Baselines von Microsoft.
Seit Windows 10 Version 1903 startet die Fristdurchsetzung zur verpflichtenden Installation von Updates mit dem Datum, an dem Microsoft ein Update zur Verfügung stellt. Sie können über Gruppenrichtlinien Compliance-Fristen setzen, um das Verhalten von Windows-Rechnern bei der Installation von Feature-Updates, Qualitäts-Updates und Nicht-OS-Updates zu steuern. Diese Optionen lassen sich parallel zur Security Baseline ebenfalls umsetzen. Dazu hat Microsoft auch die Funktionen zur Steuerung von Windows-Updates in Gruppenrichtlinien erweitert. Die Einstellungen finden Sie bei "Computerkonfiguration / Administrative Vorlagen / Windows-Komponten / Windows Update".
Auf die richtige Windows-Version achten
Um alle Gruppenrichtlinien-Funktionen zu nutzen, ist teilweise Windows 10 Enterprise notwendig. Zwar gibt es nahezu alle Richtlinien auch für die Pro-Edition, allerdings hat Microsoft einige Funktionen der Enterprise-Edition vorbehalten. Beispiele dafür sind Steuerungen des App-Stores und die Übertragung der Telemetriedaten. Auch die Konfiguration mit Applocker ist der Enterprise-Edition vorbehalten. Wer also umfassende Sicherheit im Unternehmen implementieren will, kommt oft nicht um den Einsatz von Windows 10 Enterprise herum.
Microsoft hat unter [1] eine Liste veröffentlicht, welche GPO-Einstellungen nur mit Windows 10 Enterprise und Windows 10 Education (entspricht Windows 10 Enterprise) möglich sind. Natürlich kann sich dies mit neuen Windows-10-Versionen oder dem Nachfolger Windows 11 ändern. Auch die Richtlinieneinstellungen bei "Computerkonfiguration / Richtlinien / Administrative Vorlagen / Windows-Komponenten / Datensammlung und Vorabversionen" sind in der Pro-Edition von Windows 10 nicht verfügbar. Die Optionen lassen sich zwar setzen, Windows Pro wendet diese aber nicht an. Das kann sich natürlich jederzeit ändern. Microsoft veröffentlicht daneben regelmäßig eine Liste der Gruppenrichtlinieneinstellungen als Excel-Tabelle [2]. Darin finden Sie auch neue Einstellungen der aktuellsten Windows-10-Versionen.
Vorlagen für Gruppenrichtlinien herunterladen
Um jeweils die neusten Sicherheitseinstellungen von Windows 10 über Gruppenrichtlinien zu verteilen, laden Sie die Vorlagen bei Microsoft herunter und binden diese in die Umgebung ein. Damit Sie diese über Gruppenrichtlinien verteilen können, müssen die Domänencontroller übrigens dazu in der Lage sein, die Einstellungen zu steuern. Die Vorlagen für Windows 10 21H1 finden Sie unter [3]. Um die Vorlagen für die jeweilige aktuelle Version zu finden, suchen Sie im Internet am besten nach "GPO Templates <aktuelle Windows-10-Version>".
Nach dem Download kopieren Sie die ADMX-Dateien und die dazugehörigen Sprachdateien (ADML) auf die Domänencontroller. Das Standardverzeichnis dafür lautet "C:\PolicyDefinitions". Die ADML-Dateien müssen Sie in die entsprechenden Unterordner für die Sprache kopieren. Im Richtlinien-Editor sind anschließend die neuen Einstellungen verfügbar und Sie können diese über Gruppenrichtlinien im Netzwerk verteilen.
Sicherheitseinstellungen per Gruppenrichtlinie konfigurieren
Stehen alle aktuellen Richtlinien zur Verfügung, können Sie manuell Gruppenrichtlinien anpassen oder Änderungen an den Security Baselines vornehmen, sobald Sie diese in eine Richtlinie integriert haben. Zu den Optionen zur Deaktivierung des App-Stores in Windows 10 etwa gelangen Sie über den folgenden Weg: "Computerkonfiguration / Benutzerkonfiguration / Richtlinien / Administrative Vorlagen / Windows-Komponenten / Store". Über die Einstellung "Alle Apps aus dem Store deaktivieren" lassen sich Apps aus dem Microsoft-Store auf den Rechnern ausschalten. Die Settings gelten nur für Windows 10 Enterprise.
In Windows 10 lassen sich auch Datenübertragungen der integrierten Windows-Spiele steuern. Dazu steht "Computerkonfiguration / Richtlinien / Administrative Vorlagen / Windows-Komponenten / Windows-Spielaufzeichnung und -übertragung" zur Verfügung. Eine weitere wichtige Einstellung für besseren Datenschutz ist das Aktivieren der Einstellung "Werbe-ID deaktivieren" unter "Computerkonfiguration / Richtlinien / Administrative Vorlagen / System / Benutzerprofile". Sie können auch die Fehler-Berichterstattung deaktivieren: "Computerkonfiguration / Richtlinien / Administrative Vorlagen / Windows-Komponenten / Windows-Fehlerberichterstattung".
Diese Settings bilden eine sinnvolle Ergänzung der Sicherheitseinstellungen, die Microsoft in den Security Baselines integriert hat, und lassen sich natürlich auch ohne diese Baselines umsetzen.
Cortana mit Gruppenrichtlinien konfigurieren
Auch Cortana lässt sich über Gruppenrichtlinien steuern, ebenfalls ergänzend zur Security Baseline von Microsoft. Die Einstellungen für Cortana sind in den Gruppenrichtlinien im Bereich "Computerkonfiguration \ Administrative Vorlagen \ Windows-Komponenten \ Suche" zu finden. Auch hier gibt es mit jeder neuen Windows-10-Version in den Vorlagedateien neue Einstellungen für Cortana, die auch eine große Auswirkung auf die Sicherheit von Windows 10 haben.
Über Gruppenrichtlinieneinstellungen lässt sich Cortana generell bremsen. Mit der Option "Nicht im Web suchen und keine Webergebnisse in der Suche anzeigen" verhindern Sie, dass Anwender über Cortana direkt im Internet nach Informationen suchen können. Cortana nutzt stattdessen nur Daten aus dem internen Netzwerk. Mit der Richtlinieneinstellung "Cortana zulassen" schalten Sie über die Option "Deaktivieren" den Suchassistenten komplett aus. Die Standardsuche in Windows funktioniert dann weiterhin. Über "Cortana auf Sperrbildschirm zulassen" legen Sie fest, ob Cortana auch auf dem Sperrbildschirm zur Verfügung stehen soll.
Microsoft Edge einrichten
Der Nachfolger des Internet Explorer ist in Windows 10 eng integriert. Da der Webbrowser auf die Chromium-Engine setzt, gilt er als schnell und stabil. Es ist zudem möglich, Erweiterungen zu installieren. Die zum Browser gehörigen Gruppenrichtlinien finden Sie unter "Computerkonfiguration / Richtlinien / Administrative Vorlagen / Windows-Komponenten / Microsoft Edge". Hier integriert Microsoft mit jeder neuen Windows-10-Version weitere Funktionen zur Steuerung von Edge. An dieser Stelle können Sie zum Beispiel Cookies verbieten oder die Skriptausführung in Edge blocken. Außerdem legen Sie hier fest, dass Anwender keine Erweiterungen installieren dürfen. Dazu deaktivieren Sie die Richtlinieneinstellung "Erweiterungen zulassen". In den Security Baselines sind auch Vorlagen für die Anpassung von Edge per Gruppenrichtlinie enthalten. Diese können Sie bei Bedarf in eigene Richtlinien einbinden und mit weiteren Settings ergänzen.
Windows Defender Application Guard (WDAG) kann derweil Sitzungen im Webbrowser über Hyper-V virtualisieren und dadurch sicherstellen, dass Malware nicht über das Internet auf einen PC einfallen kann. Auf deutschen Rechnern befindet sich die entsprechende Einstellung bei "Computerkonfiguration / Administrative Vorlagen / Windows-Komponenten / Windows Defender Application
Guard". Diese Optionen aktiviert die Security Baseline nicht, sondern Sie müssen manuell nach der Einbindung von Richtlinien der Security Baseline die Richtlinien anpassen und ergänzen.
Windows 10 Device Guard zentral steuern
Microsoft bietet mit dem Windows Device Guard [4] die Möglichkeit, Arbeitsstationen so abzusichern, dass sich nur definierte Anwendungen starten lassen. Device Guard erlaubt die zentrale Steuerung von erlaubten Anwendungen, zusammen mit AppLocker. Die Absicherung erfolgt über "Codeintegritätsrichtlinien".
Anwendungen, deren Signatur nicht in den Richtlinien hinterlegt ist, können Benutzer nicht starten. Für Windows 10 Device Guard müssen Unternehmen auf Arbeitsstationen mit Windows 10 Enterprise setzen. Außerdem muss auf dem Rechner UEFI 2.3.1 oder neuer verfügbar sein. Neben Device Guard können Sie auch Applocker nutzen, um Anwendungen zu blockieren. AppLocker lässt sich in den Gruppenrichtlinien über "Computerkonfiguration / Windows-Einstellungen / Sicherheitseinstellungen/ Anwendungssteuerungsrichtlinien / AppLocker" steuern. Für den umfassenden Schutz von Windows 10 ist auch hier die Enterprise-Edition notwendig.
Die Konfiguration von Device Guard erfolgt ebenfalls über Gruppenrichtlinien. Die Einstellungen dazu sind bei "Computerkonfiguration / Administrative Vorlagen / System / Device Guard" zu finden. Die meisten Einstellungen von Device Guard können Sie über die PowerShell steuern. Microsoft zeigt die Möglichkeiten unter [5]. Device Guard ist eine optimale Ergänzung der Security Baselines von Windows 10.
Telemetrie in Windows 10 unterbinden
Die Telemetrie in Windows 10 ist vielen Datenschützern ein Dorn im Auge. Auch wenn sich in den Einstellungen anpassen lässt, welche und wieviele Daten ein Windows-10-PC an Microsoft sendet, lässt sich die komplette Telemetrie nicht deaktivieren. Mit dem kostenlosen Tool "Diagnosedatenanzeige" (Windows Diagnostic Data Viewer) können Sie die Daten anzeigen, die Windows 10 zur Diagnose an Microsoft schickt. Das Tool ist in Windows 10 bei "Datenschutz / Diagnose und Feedback" in den Einstellungen zu finden.
Viele Einstellungen bezüglich der Telemetrie steuern Sie mit Gruppenrichtlinien. Hier kann es sinnvoll sein, die Umsetzung auch zusammen mit der Baseline durchzuführen. Wichtige Einstellungen nehmen Sie unter "Computerkonfiguration / Windows-Komponenten / Administrative Vorlagen / Datensammlung & Vorabversionen" vor. Dort bremsen Sie mit "Telemetrie zulassen" zumindest weitgehend die Datensammlung von Microsoft. Dazu setzen Sie die Richtlinieneinstellung auf "Deaktiviert", anschließend legen Sie die Sicherheitsstufe fest. Auf Rechnern mit Windows 10 Enterprise können Sie die Option "Sicherheit" aktivieren. Aber auch diese Auswahl verhindert nicht das Senden von Daten zu Microsoft.
Die verschiedenen Auswahlmöglichkeiten haben folgende Auswirkungen:
- 0 (Sicherheit): Sendet nur eine minimale Datenmenge an Microsoft.
- 1 (Einfach): Sendet dieselben Daten wie ein Wert von 0, zuzüglich einer Anzahl von Diagnosedaten, wie zum Beispiel Geräteinformationen.
- 2 (Erweitert): Sendet dieselben Daten wie ein Wert von 1 sowie Daten zur Leistung und erweiterte Zuverlässigkeitsdaten.
- 3 (Vollständig): Sendet die gleichen Daten wie ein Wert von 2 und weitere Daten, um Probleme mit Geräten zu diagnostizieren und zu beheben.
Security Baseline für Windows 10
Neben Empfehlungen und ständig neuen Richtlinien für eine bessere Steuerung von Windows 10 stellt Microsoft auch Vorlagen und spezifische Empfehlungen zur Verfügung, mit denen sich die Sicherheit verbessern lässt. Für Windows 10 und Windows Server 2019 gibt es dazu Security Baselines. Mit diesen lassen sich Computer schützen, und zwar nach Empfehlungen von Microsoft. Für die Umsetzung nutzen Sie das kostenlose Microsoft Security Compliance Toolkit 1.0 [6]. Microsoft aktualisiert die Dateien im Security Compliance Toolkit regelmäßig mit neuen Vorlagen und Informationen zur aktuellen Windows-Version. Es lohnt sich also, möglichst immer die aktuelle Version zu nutzen, die alle Einstellungen für alle aktuellen Windows-Systeme erhält.
Der Download der Baselines besteht aus verschiedenen Tools und Zip-Dateien für die einzelnen Windows-Versionen. Dabei sind Gruppenrichtlinienvorlagen, Backups von Gruppenrichtlinien, die Sie einfach wiederherstellen können, wie auch Anleitungen für die Umsetzung enthalten. Mit dem Policy Analyzer aus dem Microsoft Security Compliance Toolkit können Sie Ihre vorhandenen Gruppenrichtlinien analysieren und mit den empfohlenen Einstellungen von Microsoft vergleichen. Das Tool ist vor allem sinnvoll, wenn mehrere Gruppenrichtlinien im Einsatz sind und Sie Computer mit Windows 10 und Windows Server 2019 möglichst sicher betreiben wollen, im Vergleich mit den Empfehlungen von Microsoft. Der Policy Analyzer hilft dabei festzustellen, in welcher Richtlinie Einstellungen nicht optimal gesetzt sind und welche Sicherheitseinstellungen Microsoft ergänzend empfiehlt. Der Analyzer liest hierfür die vorhandenen Richtlinien aus und zeigt in einer Tabelle die empfohlenen Registry-Werte an, die Sie umsetzen sollten. Sie müssen das Tool nicht installieren, es lässt sich direkt starten.
Im Policy Analyzer können Sie ferner die Sicherungsdateien der GPOs einlesen, die Sie im Unternehmen einsetzen. Es ist also sinnvoll, vor Anpassungen die aktuellen Richtlinien in der Gruppenrichtlinienverwaltung zu sichern. Bestandteil des Zip-Archivs der Sicherheitsempfehlungen von Microsoft sind auch Dateien mit der Endung "PolicyRules". Dabei handelt es sich um die Files, die die Policy-Analyzer-Daten der neuen Gruppenrichtlinien enthalten.
Die Tabellen für die einzelnen Windows-10-Versionen, die das Security Compliance Toolkit unterstützt, bestehen aus einer mehrseitigen Arbeitsmappe mit allen Gruppenrichtlinien-Einstellungen, die für Windows 10 und Windows Server 2019 zur Verfügung stehen. Einige Zellen sind farblich gekennzeichnet. Das zeigt, dass sich diese Einstellungen nicht auf alle Systeme anwenden lassen.
Durch die Aktivierung der diversen Sicherheitseinstellungen besteht natürlich die Gefahr, dass Sie den Benutzerkomfort der Benutzer einschränken, wenn verschiedene Funktionen in Windows dann nicht mehr zur Verfügung stehen. Im Rahmen der Umsetzung der Richtlinien verschärft Windows auch die Benutzerkontensteuerung auf den Clients deutlich. Daher lassen sich verschiedene Einstellungen bei Bedarf deaktivieren, wenn diese unerwünscht sind. Aus diesem Grund sollten Sie die Einstellungen auch nicht komplett im Active Directory verteilen, sondern erst auf einigen Arbeitsstationen Tests durchführen.
Gruppenrichtlinieneinstellungen verstehen
Natürlich ist es selten sinnvoll, alle Richtlinieneinstellungen umzusetzen, ohne zumindest zu verstehen, was die Richtlinien auf den Computern verändern. Microsoft hat dazu im Verzeichnis "Documentation" des Zip-Archivs eine Excel-Tabelle integriert. Hier sind alle Einstellungen aufgelistet, die die Baselines für die aktuelle Windows-10-Version umsetzen.
Über die Registerkarten im unteren Bereich können Sie zwischen den Einstellungen in der Dokumentation umschalten. Bei "Security Template" zeigt die Tabelle die Sicherheitseinstellungen an, die Sie über Richtlinien umsetzen können. Die Tabelle zeigt die Einstellungen für Arbeitsstationen mit Windows 10 und Mitgliedsserver sowie Domänencontroller auf Basis von Windows Server 2019 jeweils in eigenen Spalten an. In weiteren Spalten sehen Sie die Einstellungen für lokale Computer und Server, der Windows Defender Firewall und für Applocker.
Zusätzlich ist im Verzeichnis "GP Reports" für jede Richtlinie ein Bericht als HTML-Datei zu finden. So ist schnell erkennbar, welche Einstellungen Sie auf den Computern umsetzen, wenn Sie die Richtlinienvorlagen nutzen wollen.
Vorlagen manuell importieren
Um Gruppenrichtlinien auf Basis der von Microsoft empfohlenen Vorlagen zu erstellen, besteht der einfachste Weg zunächst darin, in der Gruppenrichtlinienverwaltung eine neue, leere GPO zu erstellen. Diese legen Sie in der Gruppenrichtlinienverwaltungs-Konsole über das Kontextmenü von "Gruppenrichtlinienobjekte" an. Sie können die Richtlinie zum Beispiel "Windows 10-Baseline" benennen. Solange sie noch nicht mit einem Container verknüpft ist, sind die Einstellungen nicht aktiv.
Um nun die Richtlinieneinstellungen von Microsoft zu integrieren, importieren Sie diese aus den Vorlagen der Security Baselines. Diesen Vorgang starten Sie über das Kontextmenü der neu erstellten Richtlinie mit dem Befehl "Einstellungen importieren". Sie können den Importvorgang natürlich auch in bereits bestehende Richtlinien vornehmen, riskieren hier aber, dass Einstellungen überschrieben werden.
Sie sollten allerdings auf keinen Fall die Einstellungen der Security Baseline in die Default Domain Policy importieren, sondern diese Richtlinie unverändert lassen. Beim Einsatz einer eigenen Richtlinie steuern Sie dadurch präzise, welche Settings Sie von den Security Baselines übernehmen möchten. Funktioniert etwas nicht richtig, können Sie diese Richtlinie deaktivieren – alle anderen bleiben erhalten. Der Assistent zum Importieren von neuen Einstellungen ermöglicht auch das Sichern der aktuellen Gruppenrichtlinie. Verwenden Sie eine bereits vorhandene, können Sie über diesen Weg den aktuellen Zustand sichern und bei Problemen die Gruppenrichtlinie wiederherstellen.
Über den Assistenten wählen Sie anschließend das Verzeichnis aus, in dem sich die Gruppenrichtlinien befinden, deren Konfigurationen Sie importieren möchten. Dazu befindet sich im Zip-Archiv jeder aktuellen Windows-10-Version ein Unterverzeichnis namens "GPOs", das Sie auswählen. Anschließend zeigt der Importassistent die einzelnen Richtlinien an, deren Einstellungen Sie einspielen können.
Durch Auswahl der entsprechenden Sicherung der Richtlinien in der Baseline importiert die Gruppenrichtlinienverwaltung diese Optionen in die von Ihnen erstellte Richtlinie. Mit "Einstellungen anzeigen" zeigt die Konsole die Settings der zu importierenden Richtlinie an. Hierbei handelt es sich im Grunde genommen um den gleichen Bericht, der auch in "GP Reports" zu finden ist. Im Unterordner, in dem die Gruppenrichtlinie für den Import liegt, steht auch die Excel-Tabelle bereit, deren Einstellungen Sie umsetzen.
Wenn Sie den Vorgang abschließen, befüllt der Assistent Ihre Richtlinien mit den empfohlenen Optionen von Microsoft. Sobald Sie die Richtlinie mit der gewünschten Organisationseinheit (OU) oder Computerkonten verknüpfen, wenden die Rechner die Einstellungen an. Nutzen Sie Settings, die Microsoft nach dem Erscheinen von Windows 10 neu implementiert hat, müssen Sie die jeweilige ADMX- und ADML-Dateien noch auf den Domänencontrollern einbinden, wie zuvor erläutert.
Fazit
Mit Vorlagen lassen sich die Sicherheitsfunktionen von Windows 10 mit jeder neuen Version deutlich erweitern. Microsoft stellt diese kostenlos bereit, genau wie das Security Compliance Tool. Mit beiden Werkzeugen verbessern Sie die Windows-Sicherheit im Netzwerk deutlich.
(dr)