В Microsoft Security Baseline содержатся рекомендованные настройки, которые Microsoft предлагает использовать на рабочих станциях и серверах Windows для обеспечения безопасной конфигурации для защиты контролеров домена, рядовых серверов, компьютеров и пользователей. На основе Microsoft Security Baseline разработаны эталонные групповые политики (GPO), которые администраторы могут использовать в своих доменах AD. Настройки безопасности в групповых политиках Microsoft Security Baseline позволяют администраторам обеспечить уровень защиты корпоративной инфраструктуры Windows, соответствующий актуальным мировым стандартам. В этой статье мы покажем, как внедрить групповые политики на основе Microsoft Security Baseline в вашем домене.
Эталонные политики Microsoft Security Baseline входят в состав продукта Microsoft Security Compliance Manager (SCM) . SCM это бесплатный продукт, в который входит несколько инструментов для анализа, тестирование и применения лучших и актуальных рекомендаций безопасности для Windows и других продуктов Microsoft.
Microsoft Security Compliance Toolkit доступен по ссылке https://www.microsoft.com/en-us/download/details.aspx?id=55319 . На данный момент в Security Compliance Toolkit доступны Baseline для следующих продуктов:
- Windows 10 Version 2004 and Windows Server Version 2004;
- Windows 10 Version 1909 and Windows Server Version 1909;
- Windows 10 Version 1903 and Windows Server Version 1903;
- Windows 10 Version 1809 and Windows Server 2019;
- Microsoft Edge v85;
- Office365 ProPlus;
- Windows Server 2012 R2.
Также можно скачать утилиты:
- LGPO – используется для управления настройками локальной политики;
- PolicyAnalyzer – инструмент для анализа имеющихся групповых политик и сравнения их с эталонными политиками в Security Baseline;
- SetObjectSecurity.
Архив с Security Baseline для каждой версии Windows содержит несколько папок:
- Documentation – xlsx и docx файлы с подробным описанием настроек, которые применяются в данном Security Baseline;
- GP Reports – html отчеты с настройками GPO, которые будут применены;
- GPOs – каталог с готовыми объектами GPO для различных сценариев. Данные политики можно импортировать в Group Policy Management console;
- Scripts – PowerShell скрипты для упрощения импорта настроек GPO в доменные или локальные политики): Baseline-ADImport.ps1, Baseline-LocalInstall.ps1, Remove-EPBaselineSettings.ps1, MapGuidsToGpoNames.ps1;
- Templates – дополнительные admx/adml шаблоны GPO (например, AdmPwd.admx – настройки управления локальными паролями для LAPS , MSS-legacy.admx, SecGuide.admx).
В доменной среде Active Directory проще всего внедрить Security Baseline через групповые политики (в рабочей группе можно применять рекомендованные настройки безопасности через локальную политику с помощью утилиты LGPO.exe ) .
Есть шаблоны GPO Security Baseline для различных элементов инфраструктуры Windows: политики для компьютеров, пользователей, доменных серверов, контроллеров домена (есть отдельная политика для виртуальных DC ), настройки Internet Explorer, BitLocker, Credential Guard , Windows Defender Antivirus . В папке GPOs хранятся готовые GPO политики для различных сценариев использования Windows (далее перечислен список GPO для Windows Server 2019 и Windows 10 1909):
- MSFT Internet Explorer 11 — Computer
- MSFT Internet Explorer 11 — User
- MSFT Windows 10 1909 — BitLocker
- MSFT Windows 10 1909 — Computer
- MSFT Windows 10 1909 — User
- MSFT Windows 10 1909 and Server 1909 — Defender Antivirus
- MSFT Windows 10 1909 and Server 1909 — Domain Security
- MSFT Windows 10 1909 and Server 1909 Member Server — Credential Guard
- MSFT Windows Server 1909 — Domain Controller Virtualization Based Security
- MSFT Windows Server 1909 — Domain Controller
- MSFT Windows Server 1909 — Member Server
Распакуйте архив с версией Security Baseline для нужной версии Windows и запустите консоль управления доменными групповыми политикам и Group Policy Management (gpmc.msc) .
- Скопируйте ADMX шаблоны в центральное хранилище GPO (Central Store) PolicyDefinitions на DC;
- Создайте новую политику с названием Windows 10 2004 Security Baseline ;
- Щелкните по новой GPO правой кнопкой и выберите Import Settings ;
- В качестве Backup Location укажите путь к файлу с Security Baseline для нужной версии Windows (например, C:distrSCMWindows 10 Version 2004 and Windows Server Version 2004 Security BaselineWindows-10-Windows Server-v2004-Security-Baseline-FINALGPOs);
- Перед вами появится список шаблонов политик. В нашем случае я импортирую политику с настройками компьютера. Выберите политику MSFT Windows 10 2004 – Computer (с помощью кнопки View Settings можно посмотреть настройки политики в виде отчета gpresult );
- Далее предлагается указать как нужно переносить ссылки на объекты безопасности и UNC пути. Т.к. политика у нас чистая, выберите пункт Copying them identically from the source ;
- После этого настройки эталонной политики Security Baseline для компьютеров с Windows 10 2004 будут импортированы в новую GPO.
Чтобы применить данную политику только для компьютеров с нужной версией Windows, нужно использовать WMI фильтры GPO . Например, для Windows 10 2004 можно использовать такой WMI фильтр:
Select Version,ProductType from Win32_OperatingSystem WHERE Version LIKE "10.0.19041%" and ProductType = "1"
Примените данный фильтр к вашей политике.
Перед применением Security Baseline на компьютеры пользователей, нужно внимательно проверить предлагаемые настройки и сначала применить на OU с тестовыми пользователями или компьютерами. При необходимости, вы можете в политике отключить некоторые настройки, которые предлагаются в Security Baseline.Только после успешного испытания настроек Security Baseline на тестовых компьютерах можно применять настройки для всех компьютеров/серверов в домене.
В Security Baseline содержаться десятки и сотни настроек. Рассмотреть их все в рамках одной статье довольно сложно. Рассмотрим настройки безопасности, которые так или иначе мы рассматривали в рамках других статей сайта:
- Управление правилами запуска и установки программ: AppLocker (SRP), UAC и Windows Installer
- Политики паролей и блокировки учетных записей
- Ограничения административных аккаунтов
- Ограничение анонимного доступа
- Настройки политик аудита для получения информации о всех событиях и входов пользователей
- Защита памяти LSA (для
- Доступ к периферийным устройствам (в том числе политики установки принтеров и USB )
- Отключение NetBIOS и NTLM
- Настройки Remote Assistance, теневых подключений , таймаутов RDS , параметров CredSSP Oracle Remediation
- Политика запуска скриптов PowerShell
- Настройка Windows Error Reporting
- Управление правилами Windows Firewall
- Настройки WinRM
- Отключение встроенного администратора
- Политика Hardened UNC paths
- Отключение SMBv1
Разрешите запуск неподписанных скриптов:
Set-ExecutionPolicy -ExecutionPolicy
Примените политику:
Baseline-LocalInstall.ps1 -Win10NonDomainJoined.