Security Baselines
Der Concat Security Standard für alle verwalteten Endgeräte — konsequent und vollständig basierend auf der Open Intune Baseline (OIB).
Was ist die Open Intune Baseline (OIB)?
Die Open Intune Baseline ist ein Open-Source, Community-getriebenes Projekt, das 2021 von SkipToTheEndpoint gestartet wurde. Ziel des Projekts ist es, eine praxiserprobte, sichere Baseline-Konfiguration für Windows-Geräte unter Microsoft Intune bereitzustellen — mit dem Anspruch, Sicherheit und Benutzerfreundlichkeit gleichermaßen zu adressieren.
Warum OIB als Concat Standard?
| Kriterium | OIB | Microsofts eigene Intune Security Baseline |
|---|---|---|
| Praxistauglichkeit | Entwickelt aus realer Projekterfahrung mit Fokus auf User Experience | Eher theoretisch, oft disruptiv für Endanwender |
| Transparenz | Open Source auf GitHub — jede Einstellung ist nachvollziehbar und begründet | Geschlossene „Black Box”, Änderungen zwischen Versionen schwer nachvollziehbar |
| Anpassbarkeit | Modularer Aufbau, einzelne Policies können unabhängig angepasst werden | Monolithisch, Änderungen an einzelnen Settings schwierig |
| Updates | Community-getrieben, regelmäßige Releases mit Changelog | Unregelmäßige Updates, oft an Windows-Versionen gekoppelt |
| Admin Experience | Berücksichtigt explizit die Verwaltbarkeit durch die IT | Fokus liegt primär auf Security Compliance |
| User Experience | Benutzerbezogene Einstellungen (z. B. Start Menu, Energieoptionen) integriert | Nur sicherheitsrelevante Einstellungen |
Security Framework Adherence
Die OIB wurde nicht durch blindes Anwenden eines einzelnen Frameworks erstellt, sondern durch eine umfassende Analyse und Kombination mehrerer anerkannter Security Frameworks:
- NCSC Device Security Guidance — UK National Cyber Security Centre
- CIS Windows Benchmarks — Center for Internet Security
- ACSC Essential Eight — Australian Cyber Security Centre
- Intune Security Baselines — Microsofts eigene Baselines für Windows, Edge & Defender
- Microsoft Best Practices — Empfehlungen aus der offiziellen Microsoft-Dokumentation
Concat Position: Die OIB ist unser verbindlicher Standard für alle Kundenprojekte. Sie wird als Grundlage deployt und nur bei dokumentiertem Bedarf kundenspezifisch angepasst. Jede Abweichung wird im Decision Log festgehalten. Die OIB ersetzt dabei sowohl die Microsoft Intune Security Baselines als auch manuelle GPO-Migrationen.
Versionen & Plattformen
| Plattform | Aktuelle OIB-Version | Status |
|---|---|---|
| Windows | v3.6 | Concat Standard |
| Windows 365 | v1.0 | Für Cloud PCs |
| macOS | v1.0 | Für Apple-Geräte |
GitHub Repo: github.com/SkipToTheEndpoint/OpenIntuneBaseline — Hier finden sich alle JSON-Dateien zum Import, Changelogs und detaillierte Dokumentation zu jeder einzelnen Einstellung.
OIB Policy-Naming Convention
Die OIB verwendet eine standardisierte Namenskonvention für alle Policies, die auch der Concat Standard übernimmt:
OIB-[Scope]-[Category]-[Description]| Scope | Bedeutung | Beispiel |
|---|---|---|
| D | Device-Konfiguration (gilt für das Gerät) | OIB-D-Windows Security-BitLocker |
| U | User-Konfiguration (gilt für den angemeldeten User) | OIB-U-Edge-Browser Settings |
Warum D und U? Intune unterscheidet zwischen Device- und User-Scope. Device-Policies greifen unabhängig davon, wer sich anmeldet. User-Policies folgen dem Benutzer über mehrere Geräte hinweg. Die korrekte Trennung ist essenziell für die Funktionsfähigkeit der Baseline.
OIB Import & Deployment
Baseline herunterladen
Die aktuellen JSON-Dateien aus dem GitHub Release herunterladen (oder das Repository klonen).
Import via IntuneManagement Tool
Der empfohlene Weg ist der Import über das IntuneManagement Tool oder den OIB Deployer. Microsofts nativer Import im Settings Catalog hat Limitierungen bei bestimmten Policy-Typen.
Zielgruppen zuweisen
Alle OIB-Policies der Gruppe „DEV-WIN-Alle” (alle verwalteten Windows-Geräte) zuweisen. Bei Multi-Standort-Setups ggf. Scope Tags verwenden.
Kundenspezifische Anpassungen
Nach dem Import die Baseline an den Kunden anpassen:
- Ausnahmen dokumentieren (Decision Log)
- Sicherheitsniveau darf nicht signifikant gesenkt werden
- Neue Einstellungen als separate Policy anlegen (nicht die OIB-Policy direkt editieren)
Baseline-Inhalte im Detail
Windows Security
Windows Security Baseline
Sämtliche Einstellungen richten sich nach dem aktuellen OIB-Standard für Windows:
| Einstellung | Wert | Quelle |
|---|---|---|
| Password History | 24 | OIB / CIS |
| Account Lockout Threshold | 5 Versuche | OIB / CIS |
| Audit Logon Events | Success + Failure | OIB / NCSC |
| Remote Desktop | Deaktiviert | OIB |
| PowerShell Execution Policy | AllSigned | OIB |
| SMBv1 | Deaktiviert | OIB / Microsoft Best Practice |
| Windows Script Host | Deaktiviert | OIB |
| LLMNR | Deaktiviert | OIB / CIS |
| NetBIOS over TCP/IP | Deaktiviert | OIB |
| WDigest Authentication | Deaktiviert | OIB / NCSC |
BitLocker (OIB Standard)
Die Festplattenverschlüsselung wird silent (ohne User-Interaktion) im Hintergrund aktiviert:
| Einstellung | Wert |
|---|---|
| Encryption Method | XTS-AES 256 |
| OS Drive Encryption | Required |
| Startup Authentication | TPM (Standard) / TPM + PIN (optional High-Security) |
| Recovery Key | Zwingend in Entra ID speichern vor Verschlüsselung |
| Fixed Drive Encryption | Required |
Weitere Standard-Einstellungen
- Energieoptionen: Bildschirm aus nach 15 Min, Sleep nach 30 Min
- Telemetrie: Required (Minimum, gemäß OIB)
- Start Menu / Taskbar: Aufgeräumtes Standard-Layout mit angehefteten Apps
- Network Profiles: Firmen-WLAN (SSID & Auto-Connect)
PowerShell Execution Policy: AllSigned erfordert eine saubere Zertifikatsinfrastruktur (PKI) für interne Automatisierungs-Skripte. Falls beim Kunden noch nicht gegeben, kann für den Übergang RemoteSigned evaluiert werden — dies muss im Decision Log dokumentiert werden.
Kundenspezifische Ausnahmen
Wann sind Abweichungen von der OIB erlaubt?
| Szenario | Beispiel | Vorgehen |
|---|---|---|
| Legacy-Anwendung | LOB-App benötigt aktiviertes SMBv1 | Separate Policy nur für betroffene Gerätegruppe, Decision Log |
| Branche mit Sonderanforderungen | Gesundheitswesen benötigt USB-Freigabe für Medizingeräte | ASR-Rule Ausnahme für spezifische Geräte-IDs, Decision Log |
| Kunden-Wunsch | Kunde möchte Autofill in Edge beibehalten | Risiko erklären, bei Beharren: Decision Log mit Risikoübernahme |
| Lizenz-Einschränkung | Nur M365 Business Basic (kein Defender Plan 2) | EDR/ASR-Policies nicht zuweisen, Alternative dokumentieren |
Unverrückbare Mindeststandards: Folgende OIB-Einstellungen dürfen unter keinen Umständen deaktiviert werden, auch nicht auf Kundenwunsch:
- BitLocker Verschlüsselung
- Tamper Protection (Defender)
- Legacy Authentication Block (CA-003)
- SMBv1 Deaktivierung (nur Ausnahme für dokumentierte Legacy-Apps auf isolierten Geräten)
Querverweise
| Thema | Verwandte Seite |
|---|---|
| Detaillierte Defender-Konfiguration | Defender Konfiguration |
| BitLocker & OneDrive Konfiguration | Konfigurationsprofile |
| ASR False Positives beheben | Troubleshooting 4.3 |
| Defender Sensor Onboarding | Troubleshooting 4.2 |
| Security-Prüfung vor Go-Live | Go-Live Checkliste |
| OIB automatisiert deployen | Tenant Deployment |