Подход к информационной безопасности всегда является комплексным. Не бывает инструмента, который закрыл бы все «дыры» и не создал новые. Во множестве групповых политик (GPO) Windows — та же ситуация. Такое положение обусловлено их количеством, но, к счастью, есть эталонные настройки политик безопасности и инструменты для работы с ними.
Введение
Групповых политик в Microsoft Windows очень много. Знать, какие из них влияют на безопасность системы, сложно. К примеру, только для Internet Explorer доступно более 150 параметров.
Понимая такое положение вещей, разработчики стали выпускать эталонные политики Group Policy Object (GPO), которые входили в состав Microsoft Security Compliance Manager (SCM). Это был бесплатный инструмент, который позволял создать более безопасную конфигурацию системы на основе групповых политик. CMS содержал следующие компоненты:
- System Center Configuration Manager
- Distributed Scan Management
- Security Content Automation Protocol
Со временем SCM развивался и становился более громоздким. В итоге этот продукт превратился в целый фреймворк, с которым было неудобно или даже сложно работать, и в 2017 году корпорация прекратила его разработку. Однако эталонные групповые политики продолжали разрабатываться на основе рекомендаций руководства по безопасности Microsoft.
Для их доставки на клиентские хост-машины, а также для автоматизированного управления GPO, резервного копирования и проверки Microsoft представила Security Compliance Toolkit (SCT), о котором и пойдёт речь.
Security Compliance Toolkit
SCT — это не одна программа, а набор утилит. В них содержится основная функциональность Security Compliance Manager, но сделано это более удобным для использования образом. Удобство заключается в следующем подходе: есть две основные программы, и к ним прилагаются политики и настройки операционной системы для каждой версии отдельно. По состоянию на январь 2020 года были доступны следующие файлы:
- Windows Server 2012 R2 Security Baseline
- Windows 10 Version 1507 Security Baseline
- Windows 10 Version 1607 and Windows Server 2016 Security Baseline
- Windows 10 Version 1709 Security Baseline
- Windows 10 Version 1803 Security Baseline
- Windows 10 Version 1809 and Windows Server 2019 Security Baseline
- Windows 10 Version 1903 and Windows Server Version 1903 Security Baseline
- Windows 10 Version 1909 and Windows Server Version 1909 Security Baseline
- Microsoft Edge v80
Две основные программы:
- PolicyAnalyzer
- LGPO
Дополнительно поставляется выпуск базовых настроек безопасности для Office 365 ProPlus.
Скачать всё это можно в центре загрузок Microsoft.
Применение инструментов
Сначала стоит сделать оговорку: все тесты и манипуляции будут проводиться на Windows 10 версии 1709. Эти же самые действия можно (или даже нужно) выполнить на рабочих станциях организации.
Рисунок 1. Версия Windows
Как уже было сказано выше, в Security Compliance Toolkit всего два инструмента — PolicyAnalyzer и LGPO.
LGPO
LGPO — утилита командной строки, которая предназначена для автоматизации управления групповыми политиками. Все ключи и флаги описаны в блоге Microsoft.
Перед изменением каких-то конфигураций необходимо сделать бекап имеющихся настроек. Для этого понадобится запустить командную строку от имени администратора и перейти в папку с LGPO. Затем выполняем команду
LGPO.exe /b C:\Users\user\Desktop\LGPO\backup
Рисунок 2. Резервное копирование политик посредством LGPO.exe
В пути назначения команды появится папка с именем ключа реестра, в которой будут находиться файлы бекапов установленных на данный момент политик.
Для того чтобы применить какие-то выбранные политики из эталонных, необходимо запустить программу с ключом /g и указанием пути:
LGPO.exe /g C:\Users\user\Desktop\LGPO\backup
Рисунок 3. Применение политик посредством LGPO.exe
PolicyAnalyzer
Из названия понятно, что основными функциями этой утилиты являются анализ уже имеющихся групповых политик и сравнение их с эталонными. Другими словами, это — функция диспетчера соответствия CSM.
Для того чтобы посмотреть все настройки безопасности системы, необходимо поставить галочку в поле «Local policy» и запустить «View/Compare».
Рисунок 4. Групповые политики хоста
Утилита отобразит все настройки, которые относятся к безопасности, и их значения. При выделении строки инструмент покажет описание политики и сообщит, для чего она применяется. Также в основном окне будет видна строка с аналогичным названием. Импортировать эталонные или самописные пакеты политик можно двумя способами:
- в строке «Policy Definitions in» указать папку с их расположением;
- воспользоваться кнопкой «Add» и в открывшемся окне импортировать только нужные пакеты.
Рисунок 5. Пакеты добавленных групповых политик
Полный набор состоит из 12 пунктов. Если излагать вкратце, то он включает:
- настройки безопасности для Internet Explorer (пользователя и компьютера раздельно),
- конфигурацию BitLocker,
- GPO компьютера и пользователя.
Настройки безопасности для Microsoft Edge вынесены отдельно.
После того как загруженные пакеты политик будут добавлены в PolicyAnalyzer, можно выбрать нужные пункты и сравнить настройки. Значения, которые отличаются друг от друга, будут выделены жёлтым цветом. В меню «Вид» для удобства можно включить сортировку только по несовпадающим строкам. Это делается для того, чтобы понять, чем политики системы в данный момент отличаются от рекомендуемых.
Рисунок 6. Сравнение и проверка соответствия локальных политик эталонным
Особый интерес представляют отдельно вынесенные настройки GPO для Microsoft Edge — по-видимому, одинаковые для всех версий Windows 10 (для Internet Explorer пакеты политик распространяются для каждой версии отдельно). Они были добавлены только в 2020 году.
Если рассмотреть «чистую» или только что установленную Windows 10, то несовпадений с эталонными групповыми политиками не будет. Изменения пользовательских настроек браузера (открытие определённых страниц при запуске, выбор поисковых систем и т.д.) никак не влияют на это.
Рисунок 7. Эталонные политики Microsoft Edge
Выводы
Мы рассмотрели вопросы о том, чем отличается Security Compliance Manager от Security Compliance Toolkit и как использовать инструменты для работы с эталонными групповыми политиками.
Как показала практика, изо всех компонентов Windows 10 после установки только Microsoft Edge не требует вмешательства в настройки безопасности. Сама операционная система «из коробки» не настроена по рекомендациям ИБ-специалистов. Возможно, это сделано для универсальности, так как жёсткие ограничения могут нарушить работу необходимого программного обеспечения или аппаратных средств.
Если взять живой пример, то некоторые компьютеры в организациях участвуют в работе с онлайн-банками или документооборотом. В таких случаях необходимо настраивать браузер определённым образом, выполнять привязку к «КриптоПро» или другому подобному программному обеспечению, использовать электронные цифровые подписи или токены. Применение полных пакетов эталонных политик может навредить такой работе. Поэтому изначально операционная система работает со средними настройками безопасности. Для домашнего использования применение эталонных групповых политик тоже будет выглядеть фанатизмом.
В итоге можно сделать вывод: для того чтобы настроить Windows 10 с точки зрения безопасности, специалист отдела ИБ или системный администратор должен хорошо разбираться в групповых политиках и знать, какие из них необходимо включить для определённой работы и структуры.