В Базовий рівень безпеки Microsoft містяться рекомендовані настройки, які Microsoft пропонує використовувати на робочих станціях і серверах Windows для забезпечення безпечної конфігурації для захисту контролерів домену, рядових серверів, комп’ютерів і користувачів. На основі Microsoft Security Baseline розроблені еталонні групові політики (GPO), які адміністратори можуть використовувати в своїх доменах AD. Налаштування безпеки в групових політиках Microsoft Security Baseline дозволяють адміністраторам забезпечити рівень захисту корпоративної інфраструктури Windows, відповідний актуальним світовим стандартам. У цій статті ми покажемо, як впровадити групові політики на основі Microsoft Security Baseline в вашому домені.

Еталонні політики Microsoft Security Baseline входять до складу продукту Microsoft Security Compliance Manager (SCM). SCM це безкоштовний продукт, в який входить декілька інструментів для аналізу, тестування і застосування кращих і актуальних рекомендацій безпеки для Windows і інших продуктів Microsoft.

Microsoft Security Compliance Toolkit доступний за посиланням https://www.microsoft.com/en-us/download/details.aspx?id=55319. На даний момент в Security Compliance Toolkit доступні Baseline для наступних продуктів:

завантажити Microsoft Security Compliance Toolkit

  • Windows 10 версії 2004 та Windows Server версії 2004;
  • Windows 10 версії 1909 та Windows Server версії 1909;
  • Windows 10 версії 1903 та Windows Server версії 1903;
  • Windows 10 версії 1809 та Windows Server 2019;
  • Microsoft Edge v85;
  • Office365 ProPlus;
  • Windows Server 2012 R2.

Також можна завантажити утиліти:

  • LGPO – використовується для управління настройками локальної політики;
  • PolicyAnalyzer – інструмент для аналізу наявних групових політик і порівняння їх з еталонними політиками в Security Baseline;
  • SetObjectSecurity.

Архів з Security Baseline для кожної версії Windows містить кілька папок:

  • Документація – xlsx і docx файли з докладним описом налаштувань, які застосовуються в даному Security Baseline;
  • Звіти GP – html звіти з настройками GPO, які будуть застосовані;
  • GPO – каталог з готовими об’єктами GPO для різних сценаріїв. Дані політики можна імпортувати в Group Policy Management console;
  • Сценарії – PowerShell скрипти для спрощення імпорту налаштувань GPO в доменні або локальні політики): Baseline-ADImport.ps1, Baseline-LocalInstall.ps1, Remove-EPBaselineSettings.ps1, MapGuidsToGpoNames.ps1;
  • Шаблони – додаткові admx / adml шаблони GPO (наприклад, AdmPwd.admx – настройки управління локальними паролями для LAPS, MSS-legacy.admx, SecGuide.admx).

структура каталогов в Security Baseline

У доменній середовищі Active Directory найпростіше впровадити Security Baseline через групові політики (в робочій групі можна застосовувати рекомендовані настройки безпеки через локальну політику за допомогою утиліти LGPO.exe).

Є шаблони GPO Security Baseline для різних елементів інфраструктури Windows: політики для комп’ютерів, користувачів, доменних серверів, контролерів домену (є окрема політика для віртуальних DC), настройки Internet Explorer, BitLocker, Credential Guard, Windows Defender Antivirus. В папці GPOs зберігаються готові GPO політики для різних сценаріїв використання Windows (далі перерахований список GPO для Windows Server 2019 і Windows 10 1909):

  • MSFT Internet Explorer 11 – Комп’ютер
  • MSFT Internet Explorer 11 – Користувач
  • MSFT Windows 10 1909 – BitLocker
  • MSFT Windows 10 1909 – Комп’ютер
  • MSFT Windows 10 1909 – користувач
  • MSFT Windows 10 1909 та Server 1909 – Defender Antivirus
  • MSFT Windows 10 1909 та Server 1909 – Безпека домену
  • MSFT Windows 10 1909 та Server 1909 Член-сервер – Credential Guard
  • MSFT Windows Server 1909 – Безпека на основі віртуалізації контролера домену
  • MSFT Windows Server 1909 – контролер домену
  • MSFT Windows Server 1909 – Сервер-член

Зверніть увагу, що для кожної версії Windows Server або билда Windows 10 є власний набір Security Baseline.

Розпакуйте архів з версією Security Baseline для потрібної версії Windows і запустіть консоль управління доменними груповими політиками Group Policy Management (gpmc.msc).

  1. Скопіюйте ADMX шаблони в центральне сховище GPO (Central Store) PolicyDefinitions на DC; додаткові адміністративні шаблони Security Baseline
  2. Створіть нову політику з назвою Базовий рівень безпеки Windows 10 2004;
  3. Клацніть по новій GPO правою кнопкою і виберіть Параметри імпорту; імпорт політики Security Baseline в консоль group policy management
  4. Як Backup Location вкажіть шлях до файлу з Security Baseline для потрібної версії Windows (наприклад, C: distr SCM Windows 10 Version 2004 and Windows Server Version 2004 Security Baseline Windows-10-Windows Server-v2004-Security-Baseline- FINAL GPOs); вибір політики Security Baseline для імпорту
  5. Перед вами з’явиться список шаблонів політик. У нашому випадку я імпортують політику з настройками комп’ютера. Виберіть політику MSFT Windows 10 2004 – Комп’ютер (За допомогою кнопки Перегляд налаштувань можна подивитися настройки політики у вигляді звіту gpresult); GPO MSFT Windows 10 2004 - Комп’ютер
  6. Далі пропонується вказати як потрібно переносити посилання на об’єкти безпеки і UNC шляху. Оскільки політика у нас чиста, виберіть пункт Копіюючи їх однаково з джерела; Скопіювати настройки політики security baseline
  7. Після цього налаштування еталонної політики Security Baseline для комп’ютерів з Windows 10 2004 будуть імпортовані в нову GPO. імпорт політики security baseline закінчений

Щоб застосувати цю політику тільки для комп’ютерів з потрібною версією Windows, потрібно використовувати WMI фільтри GPO. Наприклад, для Windows 10 2004 можна використовувати такий WMI фільтр:

Select Version,ProductType from Win32_OperatingSystem WHERE Version LIKE "10.0.19041%" and ProductType = "1"

Застосуйте цей фільтр до вашої політики.

wmi фільтри для групової політики security baseline

Аналогічно можна імпортувати Security Baseline для користувачів, контролерів домену, рядових серверів і т.д.

Перед застосуванням Security Baseline на комп’ютери користувачів, потрібно уважно перевірити пропоновані настройки і спочатку застосувати на OU з тестовими користувачами або комп’ютерами. При необхідності, ви можете в політиці відключити деякі налаштування, які пропонуються в Security Baseline.Только після успішного випробування налаштувань Security Baseline на тестових комп’ютерах можна застосовувати настройки для всіх комп’ютерів / серверів в домені.

В Security Baseline міститися десятки і сотні налаштувань. Розглянути їх все в рамках однієї статті досить складно. Розглянемо налаштування безпеки, які так чи інакше ми розглядали в рамках інших статей сайту:

Якщо ви хочете захистити надійніше захистити свій домашній комп’ютер з Windows 10, ви можете застосувати на ньому політики Security Baseline за допомогою готового PowerShell скрипта.

Дозвольте запуск непідписаних скриптів:
Set-ExecutionPolicy -ExecutionPolicy
Застосуйте політику:
Baseline-LocalInstall.ps1 -Win10NonDomainJoined.

Політики Security Baseline дозволяє істотно підвищити захищеність інфраструктури Windows і гарантувати, що однакові настройки застосовуються на всіх (в тому числі нових) комп’ютерах в мережі.

Leave a Reply

Your email address will not be published. Required fields are marked *