Das Betriebssystem härten: Windows, macOS, Linux

Ein CISO übermittelt mir die Härtungs-Baseline seines Bestands: 220 Punkte, im Komitee validiert, von der IT-Leitung unterzeichnet, per GPO ausgerollt. Punkt 1, SMBv1 deaktivieren. Punkt 47, PowerShell v2 deaktivieren. Punkt 89, die Bildschirm-Standby-Verzögerung festlegen. Alles korrekt. Nur dass der Geschäftsführer im Alltag sein lokales Administrator-Konto nutzt, dass sein Passwort Muenchen2024! lautet, und dass das Gerät seit fünf Monaten kein Sicherheitsupdate erhalten hat, weil die Neustarts ihn in der Videokonferenz störten. Die Checkliste war perfekt. Der Arbeitsplatz, offen wie ein Scheunentor.

Die übliche Falle

Die Härtung eines Betriebssystems ist in den meisten Organisationen zu einer dokumentarischen Compliance-Übung geworden. Man lädt einen Benchmark herunter, hakt Kästchen ab, produziert einen Bericht, archiviert. Der Bericht sagt, der Arbeitsplatz sei gehärtet. Der Arbeitsplatz selbst hat nichts von der Bedrohung verstanden, die ihn wirklich anvisiert. Es ist genau dieselbe Falle wie die ComplianceDeutsche Bundesbehörde für Cybersicherheit, nationale Referenzbehörde.Zum Glossar ohne Bedrohungsmodell: ein Sicherheitstheater, das Budget verbraucht und falsche Sicherheit produziert.

Die CIS Benchmarks, die Microsoft-Baselines, die Konfigurationsleitfäden des BSI sind nützliche Dokumente. Sie listen eine Reihe von Einstellungen auf, die bekanntermaßen besser sind als die Standardwerte. Es sind keine Bedrohungsmodelle, und sie geben auch nicht vor, welche zu sein. Ein Windows-CIS-Benchmark zählt mehrere Hundert Empfehlungen. Sie alle gedankenlos anzuwenden läuft darauf hinaus, Punkte gleichförmig zu härten, deren Bedeutung sich um den Faktor hundert unterscheidet. SMBv1 auf einem Laptop zu deaktivieren, der nie Netzwerkfreigaben macht, ändert nichts an Ihrer Exposition. Täglich in einem Administrator-Konto zu arbeiten, ändert alles. Beide Maßnahmen haben dasselbe Gewicht im Compliance-Bericht. Sie haben nicht dasselbe Gewicht gegen einen Angreifer.

Die zweite Falle ist die der als Seriositätsbeweis wahrgenommenen Riesen-Checkliste. Je länger die Liste, desto rigoroser erscheint sie, und desto unhandhabbarer ist sie in Wirklichkeit. Eine Baseline von 220 Punkten, die niemand pflegt, verfällt in wenigen Monaten: hier eine gewährte Ausnahme, dort eine durch ein Update zerbrochene Einstellung, ein ohne das Profil neu installierter Arbeitsplatz. Nach einem Jahr zeigt der Bericht weiterhin 220 „konforme” Punkte an, während die Hälfte der Arbeitsplätze abgedriftet ist. Eine Handvoll wirklich angewandter und geprüfter Maßnahmen schlägt eine Enzyklopädie theoretischer Einstellungen. Die Härtung ist kein Projekt, das man abschließt, sondern ein Zustand, den man aufrechterhält.

Reales Bedrohungsmodell: wogegen man wirklich härtet

Bevor man Einstellungen aufreiht, muss man wissen, was die Arbeitsplätze wirklich trifft. Das vorherrschende Bedrohungsmodell ist nicht der ausgefeilte Kino-Angriff. Es ist der industrialisierte Opportunismus: eine generische Malware, geliefert per Anhang oder verseuchtem Download, die sich im Kontext des aktuellen Nutzers ausführt und eine Persistenz herzustellen versucht. Nahezu alle Arbeitsplatz-Kompromittierungen, die wir nachbesprechen, folgen diesem Schema, und drei Fakten kennzeichnen es.

Der Eingangsvektor geht fast immer über den Nutzer. Geöffneter Anhang, aktiviertes Makro, von einer falschen Seite heruntergeladene ausführbare Datei, PhishingSocial-Engineering-Angriff, der das Ziel dazu bringt, Zugangsdaten preiszugeben oder Code auszuführen.Zum Glossar-Link, der einen verseuchten Installer liefert. Der Schadcode startet mit den Rechten der offenen Sitzung. Ist diese Sitzung Administrator, ist die Malware es sofort auch: Sie installiert eine RansomwareSchadsoftware, die Daten verschlüsselt und Lösegeld fordert, oft kombiniert mit vorherigen Datendiebstahl.Zum Glossar, deaktiviert das Antivirus, legt ein RootkitSchadsoftware, die sich tief im OS installiert, um unsichtbar und persistent zu bleiben.Zum Glossar ab, und der Arbeitsplatz ist verloren. Ist die Sitzung Standard, ist dieselbe verseuchte Datei auf die persönlichen Dateien des Nutzers beschränkt — ärgerlich, reparierbar, ohne Eskalation zum System.

Der durchschnittliche Angreifer nutzt bereits behobene Schwachstellen aus. Laut den wiederkehrenden Analysen der realen Angriffsvektoren nutzt die überwältigende Mehrheit der Kompromittierungen Lücken aus, für die seit mehr als einem Monat ein Patch existierte. Der gewöhnliche Gegner verbrennt keinen 0-Day auf einem x-beliebigen Arbeitsplatz: Er scannt die im Patch-Rückstand befindlichen Maschinen und tritt durch die Tür ein, die der Hersteller für die, die aktualisieren, bereits dokumentiert und geschlossen hat. Der Update-Rückstand ist statistisch der erste Kompromittierungsfaktor.

Die Persistenz versteckt sich an vorhersehbaren Orten. Eine Malware, die den Neustart überleben will, trägt sich in bekannte Mechanismen ein: Run-Schlüssel der Windows-Registrierung, geplante Aufgaben, Dienste, LaunchAgents und LaunchDaemons auf macOS, systemd-Units und cron auf Linux. Und sie installiert sich in Verzeichnissen, die ohne erhöhte Rechte zugänglich sind: %TEMP%, %APPDATA%, der Benutzerordner. Effektiv zu härten heißt, diese Orte und Mechanismen ungastlich zu machen, nicht einen Benchmark herzubeten.

Der richtige Ansatz: nach Wirkung härten, nicht nach Vollständigkeit

Der pragmatische Umschwung besteht darin, die Maßnahmen nach ihrer realen Wirkung auf das obige Bedrohungsmodell zu ordnen und dann zuerst die anzuwenden, die die meisten Szenarien für den geringsten Aufwand blockieren. Ein knappes Dutzend Maßnahmen, übergreifend oder pro Betriebssystem, leisten den Großteil der Arbeit. Der Rest ist Feinabstimmung, vorbehalten den Profilen, die sie brauchen.

Der übergreifende Sockel, gültig auf allen drei Betriebssystemen

Standard-Konto für den Alltag, Administrator reserviert für Installationen. Das ist die effektivste und am wenigsten angewandte Härtungsmaßnahme. Sie bricht glatt die automatische Eskalation der Malware: Eine in einer Standard-Sitzung geöffnete verseuchte Datei kann sich nicht ins System installieren, die Schutzmechanismen nicht deaktivieren, noch sich auf Maschinenebene persistent machen. Unter Windows erstellen Sie ein Standard-Konto zum Arbeiten und ein getrenntes Administrator-Konto zum Installieren. Unter macOS dieselbe Logik — ein Standard-Konto arbeitet, die Systemaktionen verlangen ein punktuelles Administrator-Passwort. Unter Linux ist das bereits die Voreinstellung jeder ernsthaften Distribution; die Falle ist, es durch die Gewährung eines permanenten und weiten sudo zu zerbrechen.

Automatische Updates, ohne Ausnahme oder Aufschub. Da der Patch-Rückstand der erste Kompromittierungsfaktor ist, ist die Automatisierung die Kontrolle mit dem besten Aufwand-Wirkungs-Verhältnis. Windows Update im Automatikmodus mit erzwungenem Neustartfenster. macOS mit angehaktem automatischem Installieren der System- und Anwendungsupdates. Linux mit unattended-upgrades auf Debian/Ubuntu oder dnf-automatic auf Fedora/RHEL, mit --dry-run getestet vor der Aktivierung. Die kulturelle Regel, die zählt: Ein ausstehender Neustart ist nicht verhandelbar, auch nicht für einen Geschäftsführer in der Videokonferenz.

Festplattenverschlüsselung mit Benutzergeheimnis, nicht nur Hardware. Aktives BitLockerMicrosoft-Lösung zur Festplattenverschlüsselung, in Windows Pro/Enterprise integriert.Zum Glossar, FileVaultIn macOS seit OS X Lion integrierte Festplattenverschlüsselung.Zum Glossar oder LUKSLinux-Standard zur Festplattenverschlüsselung, normalerweise via cryptsetup und dm-crypt.Zum Glossar genügt nicht: Es braucht eine PIN oder Passphrase, nicht das alleinige Entsperren per TPMAuf dem Mainboard verlöteter Kryptochip, der Schlüssel speichert und die Boot-Integrität bestätigt.Zum Glossar. Das Detail der Modi, der Standby-Zustände und der Verwaltung der Wiederherstellungsschlüssel ist Gegenstand eines eigenen Artikels — es ist die natürliche Ergänzung der Härtung, und der häufigste Rollout-Fehler in diesem Punkt ist BitLocker im reinen TPM-Modus.

Schnelle Bildschirmsperre und verifizierter Start. Automatische Sperre unter zwei Minuten Inaktivität, Entsperren per Passwort oder Biometrie — nicht nur ein Standby. Secure BootUEFI-Mechanismus, der die Boot-Kette kryptografisch verifiziert.Zum Glossar im UEFI aktiviert, um das Laden eines nicht signierten Bootloaders oder Kernels zu verhindern. Diese beiden Einstellungen kosten null und schließen gängige physische Zugriffsvektoren.

Windows: die zusätzlichen Einstellungen, die zählen

Über den übergreifenden Sockel hinaus bietet Windows vier wirkungsstarke Hebel, die die meisten Baselines inmitten Hunderter unbedeutender Punkte untergehen lassen.

Der erste sind die ASR-Regeln (Attack Surface Reduction) von Windows Defender, weitgehend unterausgenutzt, obwohl sie kostenlos und per GPO oder Intune ausrollbar sind. Drei Regeln sind sofort ihre Aktivierung wert: das Blockieren der von Office-Anwendungen gestarteten Kindprozesse (ein Word, das PowerShell startet, ist fast immer ein Angriff), das Blockieren der Ausführung obfuskierter Skripte und das Blockieren des Starts von Binärdateien aus den Temp- und Download-Ordnern. Diese drei Regeln decken allein die häufigste Infektionskette ab: Anhang, Makro, Skript, Nutzlast in %TEMP%.

Der zweite ist das Blockieren nicht signierter Office-Makros. Im Trust Center jeder Office-Anwendung wählen Sie „Alle Makros außer digital signierten Makros deaktivieren”. Die per Mail empfangenen verseuchten Word- und Excel-Dokumente bleiben ein aktiver Vektor, und das Makro bleibt das bevorzugte Werkzeug der Massenkampagnen, weil es sich ausführt, ohne irgendetwas zu installieren. Microsoft blockiert inzwischen standardmäßig die Makros von Dateien aus dem Internet, aber dieser Schutz lässt sich umgehen und deaktivieren: Verlassen Sie sich nicht allein darauf.

Der dritte ist die auf „Immer benachrichtigen” eingestellte UAC. Ja, das ist intrusiver als die Standardeinstellung „Nur benachrichtigen, wenn Anwendungen versuchen, das System zu ändern”. Und ja, genau dieser Mehraufwand an Benachrichtigung gibt Ihnen die Chance, eine Rechteerhöhung zu bemerken, die Sie nicht ausgelöst haben.

Der vierte, vorbehalten den sensiblen Arbeitsplätzen unter Windows Enterprise oder Education, ist das applikative Allow-Listing per AppLocker oder Windows Defender Application Control. Das Prinzip: nur die explizit autorisierten ausführbaren Dateien, Skripte und DLLs laufen lassen. Der Rollout erfolgt in zwei Schritten — zuerst im Audit-Modus während zwei bis drei Wochen, der protokolliert ohne zu blockieren und erlaubt, die Fehlalarme und die legitimen Fachwerkzeuge zu kartieren, dann im Enforce-Modus, sobald die Liste stabilisiert ist. Den Audit-Schritt zu überspringen, heißt sich eine Welle von Tickets und eine überstürzte Rückkehr zu garantieren.

macOS: Gatekeeper, SIP und der Werkzeugkasten Objective-See

macOS kommt mit einem soliden Schutzsockel, und der Großteil der Härtung besteht darin, ihn nicht zu sabotieren. Behalten Sie Gatekeeper im strikten Modus (App Store und identifizierte Entwickler), die Standardeinstellung seit mehreren Versionen: Er verweigert die nicht signierten und nicht notarisierten Anwendungen. Der einzige Moment, in dem man versucht ist, ihn zu umgehen, ist die Installation einer zweifelhaften, aus einem Forum bezogenen Software — genau der Moment, es nicht zu tun.

Deaktivieren Sie niemals SIP (System Integrity Protection), egal welche Tutorials es „vorübergehend” verlangen, um dieses oder jenes Hilfsprogramm zum Laufen zu bringen. SIP schützt die Systemverzeichnisse gegen jede Änderung, auch durch root. Es ist einer der Mechanismen, die verhindern, dass eine Malware, die erhöhte Rechte erlangt hat, sich dauerhaft im System einnistet. Ein deaktiviertes und vergessenes SIP verwandelt einen geringfügigen Vorfall in eine tiefe Kompromittierung.

Fügen Sie dann die kostenlose Suite von Objective-See hinzu, gepflegt von Patrick Wardle, ehemals NSA, der die besten macOS-spezifischen Verteidigungswerkzeuge produziert. LuLu ist eine applikative Firewall, die Sie fragt, ob eine neue ausgehende Verbindung legitim ist: Sie kappt das „Nach-Hause-Telefonieren” einer Malware, die ihren Steuerungsserver erreichen wollte. BlockBlock überwacht in Echtzeit die gängigen Persistenzmechanismen — LaunchAgents, LaunchDaemons, cron — und alarmiert, wenn etwas versucht, sich dort zu installieren. KnockKnock erstellt das Inventar von allem, was zum Start konfiguriert ist; starten Sie es nach jeder Anwendungsinstallation, um zu sehen, was ohne Ihr Wissen hinzugefügt wurde.

Schließlich, für die wirklich gezielten Angriffen ausgesetzten Profile — Journalisten, Führungskräfte, Aktivisten —, deaktiviert oder beschränkt der Lockdown Mode eine Reihe von Funktionen, die historisch von Spähsoftware vom Typ Pegasus ausgebeutet wurden: JIT-Kompilierung WebKit, Link-Vorschauen in Nachrichten, kabelgebundene Verbindungen zu unbekannten Geräten, wenn der Mac gesperrt ist, bestimmte APIs. Der ergonomische Preis ist real — langsameres Surfen auf manchen Seiten, weniger Funktionen — und rechtfertigt sich nur für den, der ein echtes Zielprofil hat. Ihn „für alle Fälle” auf einem x-beliebigen Arbeitsplatz zu aktivieren, ist Reibung ohne Nutzen.

Linux: nicht sabotieren, was schon schützt

Die Sicherheit eines Linux-Arbeitsplatzes hängt stark von der Distribution, der Desktop-Umgebung und davon ab, wer die Maschine administriert. Die Härtung besteht zuerst darin, die standardmäßig aktiven Schutzmechanismen nicht zu deaktivieren.

Deaktivieren Sie weder AppArmor (Debian/Ubuntu) noch SELinux (RHEL/Fedora). Diese Systeme der obligatorischen Zugriffskontrolle beschränken jeden Prozess auf das, was er braucht, und sind ein Hauptgrund für die bessere Widerstandsfähigkeit von Linux gegen lokale Exploits im Vergleich zu vielen Windows-Konfigurationen. Der Reflex „ich deaktiviere SELinux, weil es meine Anwendung blockiert” ist ein Fehler: Die richtige Antwort ist, die passende Policy zu schreiben, nicht alles zu öffnen.

Reduzieren Sie die Cache-Dauer von sudo. Standardmäßig behält sudo die Rechte etwa fünfzehn Minuten nach der Authentifizierung; auf einem geteilten oder exponierten Arbeitsplatz bringen Sie diesen Wert auf einige Minuten zurück, ja sogar auf null mit Defaults timestamp_timeout=0 in /etc/sudoers. Und gewähren Sie sudo nur den Konten, die einen dokumentierten Bedarf haben, ohne permissive Regel „alles erlaubt ohne Passwort”, die das Interesse des Standard-Kontos aufhebt.

Prüfen Sie schließlich, dass der Swap verschlüsselt ist. Ein Klartext-Swap kann Speicherfragmente sammeln — Schlüssel, Geheimnisse, entschlüsselte Daten — und sie auf der Festplatte aufbewahren. Auf einer LVM-on-LUKS-Konfiguration, wo die gesamte Volume-Gruppe in einem LUKS-Container ist, ist der Swap automatisch geschützt; andernfalls kontrollieren Sie mit lsblk -f, dass die Swap-Partition wirklich als verschlüsselt erscheint.

Was performativ ist und nichts ändert

Ein Teil der „Härtung”, die man angewandt sieht, dient zu nichts anderem, als einen Bericht zu füllen. Diese Maßnahmen zu erkennen erlaubt, ihnen keine Zeit zu widmen und sich von ihnen nicht geschützt zu glauben.

Das Administrator-Konto umbenennen. Das ist Security by Obscurity in Reinform. Ein Angreifer, der einen Fuß auf der Maschine hat, zählt die Konten in zwei Sekunden auf, einschließlich der eindeutigen Kennung. „Administrator” in „HansMüller” umzutaufen verzögert niemanden und erschwert die legitime Administration.

PowerShell „für die Sicherheit” vollständig deaktivieren. PowerShell ist ein legitimes und mächtiges Administrationswerkzeug. Es zu entfernen schafft Betriebsprobleme, ohne die Angreifer zu stoppen, die auf cmd.exe, WScript oder eine zweckentfremdete Systembinärdatei ausweichen. Der richtige Ansatz ist nicht die Deaktivierung, sondern der Constrained Language Mode, die Protokollierung der Skriptblöcke (ScriptBlock Logging) und die Signierung der internen Skripte.

Bluetooth oder WLAN aus Prinzip deaktivieren. Eine Funkverbindung zu kappen, die Sie nicht nutzen, reduziert die Angriffsfläche marginal, und es ist eine vernünftige Gewohnheit. Es ist keine entscheidende Sicherheitsmaßnahme: Ein entschlossener Angreifer mit physischem oder Netzwerkzugriff wird nicht durch das Fehlen von Bluetooth gestoppt. Ordnen Sie diese Aktion eher der Kategorie „Hygiene” als „starker Schutz” zu.

Den SSH-Port ändern oder die kosmetischen Einstellungen vervielfachen. SSH von Port 22 auf einen anderen zu verlegen reduziert das Rauschen der automatisierten Scanner in den Logs, mehr nicht. Der Schutz kommt von der Schlüssel-Authentifizierung, der Deaktivierung des Root-Logins und des Passworts, nicht von der Portnummer. Die Stille in den Logs mit einer Sicherheitsverbesserung zu verwechseln ist ein klassischer Fehler.

Sicherheitswerkzeuge anhäufen, ohne die Angriffsfläche zu reduzieren. Antivirus, EDR, Drittanbieter-Firewall und „Reinigungs”-Hilfsprogramme auf einem Arbeitsplatz zu stapeln, auf dem der Nutzer Administrator bleibt, heißt das Symptom zu behandeln und die Ursache zu belassen. Eine mit erhöhten Rechten gestartete Malware neutralisiert diese Werkzeuge, bevor sie alarmieren. Die Erkennung ergänzt die Reduktion der Angriffsfläche; sie ersetzt sie nie.

Qubes OS: die Kompartimentierung, und für wen

Wenn das Bedrohungsprofil sehr hoch ist, erreicht die klassische Härtung ihre Grenze: Alles lebt im selben System, und eine Kompromittierung des Browsers kann durch Verkettung von Exploits die sensiblen Dokumente erreichen. Qubes OS beantwortet dieses Problem durch die Architektur. Auf dem Xen-Hypervisor aufgebaut, führt es jede Nutzungsdomäne in einer isolierten virtuellen Maschine aus: eine VM für den Browser, eine für die E-Mails, eine für die sensiblen Dokumente, eine wegwerfbare, um einen zweifelhaften Anhang zu öffnen. Die Kompromittierung einer VM gibt keinen Zugang zu den anderen.

Das ist auf dem Papier die solideste Konzeption für einen Arbeitsplatz. Es ist auch die anspruchsvollste: reale Lernkurve, begrenzte Hardwarekompatibilität (nicht alle Laptops eignen sich), manche Anwendungen schwer zu integrieren, zurückhaltende Performance. Qubes rechtfertigt sich für investigative Journalisten, Sicherheitsforscher oder Profile mit staatlicher Bedrohung, die die Zeit haben, in die Einführung zu investieren — und die den Sockel der anderen Betriebssysteme bereits rigoros anwenden. Es „weil es sicherer ist” zu installieren, ohne das Modell der Kompartimentierung zu verstehen, erzeugt einen falschen Sicherheitseindruck und einen echten Produktivitätsverlust.

Was das konkret bedeutet

Fehler, die man ständig sieht

• Täglich im Administrator-Konto arbeiten. Der am einfachsten zu korrigierende und am weitesten verbreitete Fehler: Man findet ihn auf der Mehrzahl der auditierten Arbeitsplätze. Eine einzige in einer Admin-Sitzung geöffnete verseuchte Datei, und die Malware erbt alle Ihre Rechte, ohne zu fragen.
• Einen CIS-Benchmark ohne Bedrohungsmodell anwenden. SMBv1 auf einem Arbeitsplatz zu deaktivieren, der nichts teilt, beruhigt den Bericht und ändert nichts an der Exposition. Zu verstehen, warum jeder Punkt existiert, ist besser als alles abzuhaken.
• Die Updates „wenn ich Zeit habe” aufschieben. In der Praxis nie innerhalb von 30 Tagen. Der Patch-Rückstand ist der erste Kompromittierungsfaktor, weit vor dem Fehlen einer exotischen Einstellung.
• Die Länge der Checkliste mit dem Sicherheitsniveau verwechseln. Eine nie gepflegte Baseline von 220 Punkten driftet in wenigen Monaten ab. Zehn angewandte und geprüfte Maßnahmen schlagen eine theoretische Enzyklopädie.
• Die Schutzmechanismen deaktivieren, „weil sie stören”. SIP auf macOS gekappt, UAC auf Windows heruntergesetzt, SELinux auf Linux deaktiviert, Gatekeeper-/SmartScreen-Warnungen reflexhaft ignoriert: Jede Deaktivierung öffnet genau den Vektor wieder, den die Kontrolle blockierte.
• Glauben, die EDR ersetze die Härtung. Eine als Administrator gestartete Malware neutralisiert die EDR, bevor sie alarmiert. Die Erkennung ersetzt nicht die Reduktion der Angriffsfläche; sie ergänzt sie.
• Security by Obscurity betreiben. Das Konto „Administrator” umbenennen, den SSH-Port ändern: Ein Angreifer, der einen Fuß auf der Maschine hat, liest die Konfiguration in zwei Sekunden. Das stoppt niemanden.

Umsetzbare Checkliste

• N1 In einem Standard-Benutzerkonto arbeiten, getrenntes Administrator-Konto reserviert für Installationen
• N1 Automatische OS- und Anwendungsupdates aktivieren, Neustarts nicht verhandelbar
• N1 Festplatte mit PIN/Passphrase verschlüsseln (FileVault, BitLocker+PIN, LUKS), Wiederherstellungsschlüssel außerhalb des Geräts
• N1 Automatische Bildschirmsperre unter 2 Minuten und Secure Boot im UEFI aktiviert
• N2 OS-Firewall aktivieren und auf macOS LuLu installieren, um die ausgehenden Verbindungen zu kontrollieren
• N2 Nicht signierte Office-Makros blockieren und die ASR-Regeln von Windows Defender aktivieren
• N2 CIS Benchmark Level 1 als Baseline übernehmen, Level 2 für die Arbeitsplätze der sensiblen Funktionen
• N2 Die Compliance des Bestands zum Zielniveau automatisch messen und das Abdriften monatlich verfolgen
• N2 Die Konten mit lokalen Administratorrechten reduzieren und sudo/AppArmor/SELinux auf Linux auditieren
• N3 AppLocker oder WDAC als Allow-List (Audit dann Enforce) auf den sensiblen Windows-Arbeitsplätzen ausrollen
• N3 Lockdown Mode aktivieren und BlockBlock + KnockKnock für die Profile mit gezieltem Risiko installieren (macOS)
• N3 Qubes OS für die stark exponierten Profile mit den technischen Kompetenzen evaluieren

Zum Weiterlesen

Die Referenzen des Frontmatters rahmen die Härtung, ohne sie auf Compliance zu reduzieren: Die CIS Benchmarks und die Microsoft-Security-Baselines geben die Referenzwerke Level 1/Level 2, die Empfehlungen des BSI ergänzen auf Seite der Client-Konfiguration, und die Suite Objective-See rüstet macOS konkret aus. Die Qubes-OS-Dokumentation erhellt die Wahl einer Architektur per Kompartimentierung für die stark exponierten Profile.

Die Härtung des Betriebssystems ergibt nur Sinn, wenn sie mit dem Rest der Arbeitsplatz-Kette verknüpft ist. Die unmittelbare Ergänzung ist Festplattenverschlüsselung, wirklich?, die die Schutzzustände und die Verwaltung der Wiederherstellungsschlüssel beschreibt. Für die phishingsichere Authentifizierung, die die Konten hinter dem Betriebssystem schützt, siehe YubiKey und FIDO2. Und um diese Maßnahmen auf einen Arbeitsplatz zu übertragen, der den beherrschten Perimeter verlässt, lesen Sie Der Reise-Laptop.