Client-PCs

  • BIOS mit Password schützen

  • BIOS-Boot Reihenfolge festlegen

  • UEFI/ SecureBoot aktivieren

  • Festplatten-Verschlüsselung aktivieren (BitLocker), macht Rechner allerdings unter Umständen langsamer. Dies dürfte auf aktuellen Rechnern allerdings vernachlässigbar sein.

  • USB-Laufwerke/Sticks deaktivieren

  • Konfiguration über Group Policies

  • Windows-Updates regelmäßig durchführen (zentral gesteuert über WSUS®)

  • Inventarisierung der Clients um immer einen aktuellen Überblick zu haben über Windows-Patches, installierte Software, Treiber etc. → Beispiel: https://www.opsi.org

  • Third-Party Software über Software-Depot installieren und aktuell halten (https://fogproject.org/)

  • Black-/White-Listen von Third-Party Software erstellen

  • Über Policy definieren was Benutzer (nicht) dürfen

  • Windows-Schutzfunktionen wie Defender nutzen

  • Browser als besonderes Einfallstor

    • Gegen Ausführen von Skripten mittels Plugins wie uMatrix, NoScript oder uBlock Origin schützen

    • Blacklisten mittels Proxy einführen (z.B. https://www.shallalist.de)