Усиливаем защиту Windows с помощью GPO Microsoft Security Baseline

В Microsoft Security Baseline содержатся рекомендованные настройки, которые Microsoft предлагает использовать на рабочих станциях и серверах Windows для обеспечения безопасной конфигурации для защиты контролеров домена, рядовых серверов, компьютеров и пользователей. На основе Microsoft Security Baseline разработаны эталонные групповые политики (GPO), которые администраторы могут использовать в своих доменах AD. Настройки безопасности в групповых политиках Microsoft Security Baseline позволяют администраторам обеспечить уровень защиты корпоративной инфраструктуры Windows, соответствующий актуальным мировым стандартам. В этой статье мы покажем, как внедрить групповые политики на основе Microsoft Security Baseline в вашем домене.

Эталонные политики Microsoft Security Baseline входят в состав продукта Microsoft Security Compliance Manager (SCM) . SCM это бесплатный продукт, в который входит несколько инструментов для анализа, тестирование и применения лучших и актуальных рекомендаций безопасности для Windows и других продуктов Microsoft.

Microsoft Security Compliance Toolkit доступен по ссылке https://www.microsoft.com/en-us/download/details.aspx?id=55319 . На данный момент в Security Compliance Toolkit доступны Baseline для следующих продуктов:

• Windows 10 Version 2004 and Windows Server Version 2004;
• Windows 10 Version 1909 and Windows Server Version 1909;
• Windows 10 Version 1903 and Windows Server Version 1903;
• Windows 10 Version 1809 and Windows Server 2019;
• Microsoft Edge v85;
• Office365 ProPlus;
• Windows Server 2012 R2.

Также можно скачать утилиты:

• LGPO – используется для управления настройками локальной политики;
• PolicyAnalyzer – инструмент для анализа имеющихся групповых политик и сравнения их с эталонными политиками в Security Baseline;
• SetObjectSecurity.

Архив с Security Baseline для каждой версии Windows содержит несколько папок:

• Documentation – xlsx и docx файлы с подробным описанием настроек, которые применяются в данном Security Baseline;
• GP Reports – html отчеты с настройками GPO, которые будут применены;
• GPOs – каталог с готовыми объектами GPO для различных сценариев. Данные политики можно импортировать в Group Policy Management console;
• Scripts – PowerShell скрипты для упрощения импорта настроек GPO в доменные или локальные политики): Baseline-ADImport.ps1, Baseline-LocalInstall.ps1, Remove-EPBaselineSettings.ps1, MapGuidsToGpoNames.ps1;
• Templates – дополнительные admx/adml шаблоны GPO (например, AdmPwd.admx – настройки управления локальными паролями для LAPS , MSS-legacy.admx, SecGuide.admx).

В доменной среде Active Directory проще всего внедрить Security Baseline через групповые политики (в рабочей группе можно применять рекомендованные настройки безопасности через локальную политику с помощью утилиты LGPO.exe ) .

Есть шаблоны GPO Security Baseline для различных элементов инфраструктуры Windows: политики для компьютеров, пользователей, доменных серверов, контроллеров домена (есть отдельная политика для виртуальных DC ), настройки Internet Explorer, BitLocker, Credential Guard , Windows Defender Antivirus . В папке GPOs хранятся готовые GPO политики для различных сценариев использования Windows (далее перечислен список GPO для Windows Server 2019 и Windows 10 1909):

• MSFT Internet Explorer 11 — Computer
• MSFT Internet Explorer 11 — User
• MSFT Windows 10 1909 — BitLocker
• MSFT Windows 10 1909 — Computer
• MSFT Windows 10 1909 — User
• MSFT Windows 10 1909 and Server 1909 — Defender Antivirus
• MSFT Windows 10 1909 and Server 1909 — Domain Security
• MSFT Windows 10 1909 and Server 1909 Member Server — Credential Guard
• MSFT Windows Server 1909 — Domain Controller Virtualization Based Security
• MSFT Windows Server 1909 — Domain Controller
• MSFT Windows Server 1909 — Member Server

Распакуйте архив с версией Security Baseline для нужной версии Windows и запустите консоль управления доменными групповыми политикам и Group Policy Management (gpmc.msc) .

1. Скопируйте ADMX шаблоны в центральное хранилище GPO (Central Store) PolicyDefinitions на DC;
2. Создайте новую политику с названием Windows 10 2004 Security Baseline ;
3. Щелкните по новой GPO правой кнопкой и выберите Import Settings ;
4. В качестве Backup Location укажите путь к файлу с Security Baseline для нужной версии Windows (например, C:distrSCMWindows 10 Version 2004 and Windows Server Version 2004 Security BaselineWindows-10-Windows Server-v2004-Security-Baseline-FINALGPOs);
5. Перед вами появится список шаблонов политик. В нашем случае я импортирую политику с настройками компьютера. Выберите политику MSFT Windows 10 2004 – Computer (с помощью кнопки View Settings можно посмотреть настройки политики в виде отчета gpresult );
6. Далее предлагается указать как нужно переносить ссылки на объекты безопасности и UNC пути. Т.к. политика у нас чистая, выберите пункт Copying them identically from the source ;
7. После этого настройки эталонной политики Security Baseline для компьютеров с Windows 10 2004 будут импортированы в новую GPO.

Чтобы применить данную политику только для компьютеров с нужной версией Windows, нужно использовать WMI фильтры GPO . Например, для Windows 10 2004 можно использовать такой WMI фильтр:

Select Version,ProductType from Win32_OperatingSystem WHERE Version LIKE "10.0.19041%" and ProductType = "1"

Примените данный фильтр к вашей политике.

Перед применением Security Baseline на компьютеры пользователей, нужно внимательно проверить предлагаемые настройки и сначала применить на OU с тестовыми пользователями или компьютерами. При необходимости, вы можете в политике отключить некоторые настройки, которые предлагаются в Security Baseline.Только после успешного испытания настроек Security Baseline на тестовых компьютерах можно применять настройки для всех компьютеров/серверов в домене.

В Security Baseline содержаться десятки и сотни настроек. Рассмотреть их все в рамках одной статье довольно сложно. Рассмотрим настройки безопасности, которые так или иначе мы рассматривали в рамках других статей сайта:

• Управление правилами запуска и установки программ: AppLocker (SRP), UAC и Windows Installer
• Политики паролей и блокировки учетных записей
• Ограничения административных аккаунтов
• Ограничение анонимного доступа
• Настройки политик аудита для получения информации о всех событиях и входов пользователей
• Защита памяти LSA (для
• Доступ к периферийным устройствам (в том числе политики установки принтеров и USB )
• Отключение NetBIOS и NTLM
• Настройки Remote Assistance, теневых подключений , таймаутов RDS , параметров CredSSP Oracle Remediation
• Политика запуска скриптов PowerShell
• Настройка Windows Error Reporting
• Управление правилами Windows Firewall
• Настройки WinRM
• Отключение встроенного администратора
• Политика Hardened UNC paths
• Отключение SMBv1

Разрешите запуск неподписанных скриптов:
Set-ExecutionPolicy -ExecutionPolicy
Примените политику:
Baseline-LocalInstall.ps1 -Win10NonDomainJoined.