В Microsoft Security Baseline содержатся рекомендованные настройки, которые Microsoft предлагает использовать на рабочих станциях и серверах Windows для обеспечения безопасной конфигурации для защиты контролеров домена, рядовых серверов, компьютеров и пользователей. На основе Microsoft Security Baseline разработаны эталонные групповые политики (GPO), которые администраторы могут использовать в своих доменах AD. Настройки безопасности в групповых политиках Microsoft Security Baseline позволяют администраторам обеспечить уровень защиты корпоративной инфраструктуры Windows, соответствующий актуальным мировым стандартам. В этой статье мы покажем, как внедрить групповые политики на основе Microsoft Security Baseline в вашем домене.
Эталонные политики Microsoft Security Baseline входят в состав продукта Microsoft Security Compliance Manager (SCM). SCM это бесплатный продукт, в который входит несколько инструментов для анализа, тестирование и применения лучших и актуальных рекомендаций безопасности для Windows и других продуктов Microsoft.
Microsoft Security Compliance Toolkit доступен по ссылке https://www.microsoft.com/en-us/download/details.aspx?id=55319. На данный момент в Security Compliance Toolkit доступны Baseline для следующих продуктов:
- Windows 10 Version 2004 and Windows Server Version 2004;
- Windows 10 Version 1909 and Windows Server Version 1909;
- Windows 10 Version 1903 and Windows Server Version 1903;
- Windows 10 Version 1809 and Windows Server 2019;
- Microsoft Edge v85;
- Office365 ProPlus;
- Windows Server 2012 R2.
Также можно скачать утилиты:
- LGPO – используется для управления настройками локальной политики;
- PolicyAnalyzer – инструмент для анализа имеющихся групповых политик и сравнения их с эталонными политиками в Security Baseline;
- SetObjectSecurity.
Архив с Security Baseline для каждой версии Windows содержит несколько папок:
- Documentation – xlsx и docx файлы с подробным описанием настроек, которые применяются в данном Security Baseline;
- GP Reports – html отчеты с настройками GPO, которые будут применены;
- GPOs – каталог с готовыми объектами GPO для различных сценариев. Данные политики можно импортировать в Group Policy Management console;
- Scripts – PowerShell скрипты для упрощения импорта настроек GPO в доменные или локальные политики): Baseline-ADImport.ps1, Baseline-LocalInstall.ps1, Remove-EPBaselineSettings.ps1, MapGuidsToGpoNames.ps1;
- Templates – дополнительные admx/adml шаблоны GPO (например, AdmPwd.admx – настройки управления локальными паролями для LAPS, MSS-legacy.admx, SecGuide.admx).
В доменной среде Active Directory проще всего внедрить Security Baseline через групповые политики (в рабочей группе можно применять рекомендованные настройки безопасности через локальную политику с помощью утилиты LGPO.exe) .
Есть шаблоны GPO Security Baseline для различных элементов инфраструктуры Windows: политики для компьютеров, пользователей, доменных серверов, контроллеров домена (есть отдельная политика для виртуальных DC), настройки Internet Explorer, BitLocker, Credential Guard, Windows Defender Antivirus. В папке GPOs хранятся готовые GPO политики для различных сценариев использования Windows (далее перечислен список GPO для Windows Server 2019 и Windows 10 1909):
- MSFT Internet Explorer 11 — Computer
- MSFT Internet Explorer 11 — User
- MSFT Windows 10 1909 — BitLocker
- MSFT Windows 10 1909 — Computer
- MSFT Windows 10 1909 — User
- MSFT Windows 10 1909 and Server 1909 — Defender Antivirus
- MSFT Windows 10 1909 and Server 1909 — Domain Security
- MSFT Windows 10 1909 and Server 1909 Member Server — Credential Guard
- MSFT Windows Server 1909 — Domain Controller Virtualization Based Security
- MSFT Windows Server 1909 — Domain Controller
- MSFT Windows Server 1909 — Member Server
Распакуйте архив с версией Security Baseline для нужной версии Windows и запустите консоль управления доменными групповыми политиками Group Policy Management (gpmc.msc).
- Скопируйте ADMX шаблоны в центральное хранилище GPO (Central Store) PolicyDefinitions на DC;
- Создайте новую политику с названием Windows 10 2004 Security Baseline;
- Щелкните по новой GPO правой кнопкой и выберите Import Settings;
- В качестве Backup Location укажите путь к файлу с Security Baseline для нужной версии Windows (например, C:\distr\SCM\Windows 10 Version 2004 and Windows Server Version 2004 Security Baseline\Windows-10-Windows Server-v2004-Security-Baseline-FINAL\GPOs);
- Перед вами появится список шаблонов политик. В нашем случае я импортирую политику с настройками компьютера. Выберите политику MSFT Windows 10 2004 – Computer (с помощью кнопки View Settings можно посмотреть настройки политики в виде отчета gpresult);
- Далее предлагается указать как нужно переносить ссылки на объекты безопасности и UNC пути. Т.к. политика у нас чистая, выберите пункт Copying them identically from the source;
- После этого настройки эталонной политики Security Baseline для компьютеров с Windows 10 2004 будут импортированы в новую GPO.
Чтобы применить данную политику только для компьютеров с нужной версией Windows, нужно использовать WMI фильтры GPO. Например, для Windows 10 2004 можно использовать такой WMI фильтр:
Select Version,ProductType from Win32_OperatingSystem WHERE Version LIKE "10.0.19041%" and ProductType = "1"
Примените данный фильтр к вашей политике.
Перед применением Security Baseline на компьютеры пользователей, нужно внимательно проверить предлагаемые настройки и сначала применить на OU с тестовыми пользователями или компьютерами. При необходимости, вы можете в политике отключить некоторые настройки, которые предлагаются в Security Baseline.Только после успешного испытания настроек Security Baseline на тестовых компьютерах можно применять настройки для всех компьютеров/серверов в домене.
В Security Baseline содержаться десятки и сотни настроек. Рассмотреть их все в рамках одной статье довольно сложно. Рассмотрим настройки безопасности, которые так или иначе мы рассматривали в рамках других статей сайта:
- Управление правилами запуска и установки программ: AppLocker (SRP), UAC и Windows Installer
- Политики паролей и блокировки учетных записей
- Ограничения административных аккаунтов
- Ограничение анонимного доступа
- Настройки политик аудита для получения информации о всех событиях и входов пользователей
- Защита памяти LSA (для
- Доступ к периферийным устройствам (в том числе политики установки принтеров и USB)
- Отключение NetBIOS и NTLM
- Настройки Remote Assistance, теневых подключений, таймаутов RDS, параметров CredSSP Oracle Remediation
- Политика запуска скриптов PowerShell
- Настройка Windows Error Reporting
- Управление правилами Windows Firewall
- Настройки WinRM
- Отключение встроенного администратора
- Политика Hardened UNC paths
- Отключение SMBv1
Разрешите запуск неподписанных скриптов:
Set-ExecutionPolicy -ExecutionPolicy
Примените политику:
Baseline-LocalInstall.ps1 -Win10NonDomainJoined.
Политики Security Baseline позволяет существенно повысить защищенность инфраструктуры Windows и гарантировать, что одинаковые настройки применяются на всех (в том числе новых) компьютерах в сети.
Ага. И версия Salidol уже на подходе (пока бета)
Подскажите пожалуйста, как настроить/импортировать MSB на Windows Server 2019 (там нет кнопки «Import Settings», как показано в этой статье)?
Скорее всего у вас просто не хватает прав в домене или на конкретную GPO
Здравствуйте! Подскажите есть шаблон политики для студентов для widows server 2016?
Слишком нечеткая поставновка.
Конкретные настройки политик будут зависеть от ваших требований. Лучше сформировать список того, что вы хотите добиться на сервере, и разобраться в реализации по пунктам