gp-pack LDA – Windows 10 Investigation Report

gp-pack LDA – Windows 10 Investigation Report. Im September 2017 hat das „Bayerisches Landesamt für Datenschutzaufsicht“ (Bavarian Data Protection Authority for the Private Sector) diesen Report veröffentlicht. Es wurde der Windows 10 Enterprise Client in der Version 14393 (1607, Anniversary Update) und 15063 (1703, Creators Update) untersucht und die Kommunikation mit Microsoft analysiert. Der Report nennt Richtlinien die für die Untersuchung des Clients aktiviert/deaktiviert wurden. Ebenfalls werden die hostnamen der Rechner genannt, zu denen Datentransfer festgestellt werden konnte.

gp-pack LDA ist eine Sammlung von Gruppenrichtlinien Backups und Powershell Skripten, die die im Report genannten Richtlinien und Hostnamen enthält. Sie können als Gruppenrichtlinie im Unternehmen werden.

Features:

  • Gruppenrichtlinien Backup für  Computerobjekte (ungefähr 45 Richtlinien, mit ca. 60 Registry Wertengp-pack.com-BAY-LDA_C-Windows_10_Investigation_Report
  • Umbau der Domänenrichtlinien in die Lokale Gruppenrichtlinie für Computer in einer Workgroup, der DMZ etc.
  • Powershell Skript zum Zusammenführen/Merge der LDA Richtlinien in ein vorhandenen Gruppenrichtlinien Objekt, z.B.: der gp-pack PaT Computerrichtlinie.
  • Powershell Skript zur Erweiterung der hosts Datei. Namensauflösung von Microsoft Rechner gegen localhost (110 Rechnernamen)

Windows 10 Investigation Report – LDA Bayern
Findings regarding Windows 10 Enterprise Version for data controllers in the private sector (September ‘17)

Prüfung von Windows 10 im Unternehmensumfeld – LDA Bayern

Weitere Quellen für die Liste der blockierten Hostnames:
Manage connection endpoints for Windows 10, version 1809

BSI – Bundesamt für Sicherheit in der Informationstechnologie – SiSyPHuS Win10: Studie zu Systemaufbau, Protokollierung, Härtung und Sicherheitsfunktionen in Windows 10

Achtung: Das gp-pack deaktiviert die Kommunikation der Komponenten, wenn es möglich ist. Das führt logischerweise dazu, daß gewünschte, brauchbare oder gar notwendige Funktionen (Windows Time Service im AD) ausgeschaltet werden. Vor der Verteilung der Richtlinien an die Clients und der Integration in das AD ist ein Test unerlässlich!