Усиливаем защиту Windows с помощью GPO Microsoft Security Baseline

В Microsoft Security Baseline содержатся рекомендованные настройки, которые Microsoft предлагает использовать на рабочих станциях и серверах Windows для обеспечения безопасной конфигурации для защиты контролеров домена, рядовых серверов, компьютеров и пользователей. На основе Microsoft Security Baseline разработаны эталонные групповые политики (GPO), которые администраторы могут использовать в своих доменах AD. Настройки безопасности в групповых политиках Microsoft Security Baseline позволяют администраторам обеспечить уровень защиты корпоративной инфраструктуры Windows, соответствующий актуальным мировым стандартам. В этой статье мы покажем, как внедрить групповые политики на основе Microsoft Security Baseline в вашем домене.

Эталонные политики Microsoft Security Baseline входят в состав продукта Microsoft Security Compliance Manager (SCM) . SCM это бесплатный продукт, в который входит несколько инструментов для анализа, тестирование и применения лучших и актуальных рекомендаций безопасности для Windows и других продуктов Microsoft.

Microsoft Security Compliance Toolkit доступен по ссылке https://www.microsoft.com/en-us/download/details.aspx?id=55319 . На данный момент в Security Compliance Toolkit доступны Baseline для следующих продуктов:

скачать Microsoft Security Compliance Toolkit

  • Windows 10 Version 2004 and Windows Server Version 2004;
  • Windows 10 Version 1909 and Windows Server Version 1909;
  • Windows 10 Version 1903 and Windows Server Version 1903;
  • Windows 10 Version 1809 and Windows Server 2019;
  • Microsoft Edge v85;
  • Office365 ProPlus;
  • Windows Server 2012 R2.

Также можно скачать утилиты:

  • LGPO – используется для управления настройками локальной политики;
  • PolicyAnalyzer – инструмент для анализа имеющихся групповых политик и сравнения их с эталонными политиками в Security Baseline;
  • SetObjectSecurity.

Архив с Security Baseline для каждой версии Windows содержит несколько папок:

  • Documentation – xlsx и docx файлы с подробным описанием настроек, которые применяются в данном Security Baseline;
  • GP Reports – html отчеты с настройками GPO, которые будут применены;
  • GPOs – каталог с готовыми объектами GPO для различных сценариев. Данные политики можно импортировать в Group Policy Management console;
  • Scripts – PowerShell скрипты для упрощения импорта настроек GPO в доменные или локальные политики): Baseline-ADImport.ps1, Baseline-LocalInstall.ps1, Remove-EPBaselineSettings.ps1, MapGuidsToGpoNames.ps1;
  • Templates – дополнительные admx/adml шаблоны GPO (например, AdmPwd.admx – настройки управления локальными паролями для LAPS , MSS-legacy.admx, SecGuide.admx).

структура каталогов в Security Baseline

В доменной среде Active Directory проще всего внедрить Security Baseline через групповые политики (в рабочей группе можно применять рекомендованные настройки безопасности через локальную политику с помощью утилиты LGPO.exe ) .

Есть шаблоны GPO Security Baseline для различных элементов инфраструктуры Windows: политики для компьютеров, пользователей, доменных серверов, контроллеров домена (есть отдельная политика для виртуальных DC ), настройки Internet Explorer, BitLocker, Credential Guard , Windows Defender Antivirus . В папке GPOs хранятся готовые GPO политики для различных сценариев использования Windows (далее перечислен список GPO для Windows Server 2019 и Windows 10 1909):

  • MSFT Internet Explorer 11 — Computer
  • MSFT Internet Explorer 11 — User
  • MSFT Windows 10 1909 — BitLocker
  • MSFT Windows 10 1909 — Computer
  • MSFT Windows 10 1909 — User
  • MSFT Windows 10 1909 and Server 1909 — Defender Antivirus
  • MSFT Windows 10 1909 and Server 1909 — Domain Security
  • MSFT Windows 10 1909 and Server 1909 Member Server — Credential Guard
  • MSFT Windows Server 1909 — Domain Controller Virtualization Based Security
  • MSFT Windows Server 1909 — Domain Controller
  • MSFT Windows Server 1909 — Member Server
Обратите внимание, что для каждой версии Windows Server или билда Windows 10 есть собственный набор Security Baseline.

Распакуйте архив с версией Security Baseline для нужной версии Windows и запустите консоль управления доменными групповыми политикам и Group Policy Management (gpmc.msc) .

  1. Скопируйте ADMX шаблоны в центральное хранилище GPO (Central Store) PolicyDefinitions на DC; дополнительные административные шаблоны Security Baseline
  2. Создайте новую политику с названием Windows 10 2004 Security Baseline ;
  3. Щелкните по новой GPO правой кнопкой и выберите Import Settings ; импорт политики Security Baseline в консоль group policy management
  4. В качестве Backup Location укажите путь к файлу с Security Baseline для нужной версии Windows (например, C:distrSCMWindows 10 Version 2004 and Windows Server Version 2004 Security BaselineWindows-10-Windows Server-v2004-Security-Baseline-FINALGPOs); выбор политики Security Baseline для импорта
  5. Перед вами появится список шаблонов политик. В нашем случае я импортирую политику с настройками компьютера. Выберите политику MSFT Windows 10 2004 – Computer (с помощью кнопки View Settings можно посмотреть настройки политики в виде отчета gpresult ); GPO MSFT Windows 10 2004 – Computer
  6. Далее предлагается указать как нужно переносить ссылки на объекты безопасности и UNC пути. Т.к. политика у нас чистая, выберите пункт Copying them identically from the source ; Скопировать настройки политики security baseline
  7. После этого настройки эталонной политики Security Baseline для компьютеров с Windows 10 2004 будут импортированы в новую GPO. импорт политики security baseline закончен

Чтобы применить данную политику только для компьютеров с нужной версией Windows, нужно использовать WMI фильтры GPO . Например, для Windows 10 2004 можно использовать такой WMI фильтр:

Select Version,ProductType from Win32_OperatingSystem WHERE Version LIKE "10.0.19041%" and ProductType = "1"

Примените данный фильтр к вашей политике.

wmi фильтры для групповой политики security baseline

Аналогично можно импортировать Security Baseline для пользователей, контроллеров домена, рядовых серверов и т.д.

Перед применением Security Baseline на компьютеры пользователей, нужно внимательно проверить предлагаемые настройки и сначала применить на OU с тестовыми пользователями или компьютерами. При необходимости, вы можете в политике отключить некоторые настройки, которые предлагаются в Security Baseline.Только после успешного испытания настроек Security Baseline на тестовых компьютерах можно применять настройки для всех компьютеров/серверов в домене.

В Security Baseline содержаться десятки и сотни настроек. Рассмотреть их все в рамках одной статье довольно сложно. Рассмотрим настройки безопасности, которые так или иначе мы рассматривали в рамках других статей сайта:

Если вы хотите защитить более надежно защитить свой домашний компьютер с Windows 10, вы можете применить на нем политики Security Baseline с помощью готового PowerShell скрипта.

Разрешите запуск неподписанных скриптов:
Set-ExecutionPolicy -ExecutionPolicy
Примените политику:
Baseline-LocalInstall.ps1 -Win10NonDomainJoined.

EnglishRussianUkrainian