Jak twarde jest twoje środowisko?

Kilka ostatnich lat nauczyło mnie, że większość klientów stosuje domyślne opcje zabezpieczeń w zainstalowanych systemach i oprogramowaniu. Tymczasem domyślne opcje, dość często oznaczają konieczność zachowania wstecznej kompatybilności z systemami, które liczą sobie po kilkanaście lat i więcej.

Wiele środowisk przeszło utwardzanie, zwykle jednak było to wkrótce po ich wdrożeniu. Tymczasem dobre praktyki i rekomendacje w sferze zabezpieczeń zmieniają się zdecydowanie częściej. Wielu producentów odpowiada na nowo wykryte zagrożenia i scenariusze ataków na bieżąco i na różne sposoby, aby trafić do zróżnicowanych klientów, np. wydając poprawki zabezpieczeń (eliminujące wadliwie działający kod), publikując okresowe rekomendacje oraz instrukcje konfiguracji lub dostarczając usług przeglądów zabezpieczeń oraz usuwania lub minimalizacji wykrytych odstępstw od dobrych praktyk.

Jeśli jednak twoje środowisko Active Directory pamięta czasy Windows Server 2003 (lub nieco nowsze), w tym czasie zostało utwardzone, a później już tylko aktualizowane, to szansa, że twoje zabezpieczenia nie przystają do aktualnych zagrożeń, a może nawet pogarszają sprawy (nadpisując domyślne ustawienia nowszych wersji systemów), graniczy z pewnością.

Jak żyć? Przecież usługi przeglądów nie należą do najtańszych, a o bezpieczeństwo trzeba dbać.

Jeśli liczysz budżet jak góral dudki w sezonie, to Assessment for Active Directory Security zrób raz na rok lub dwa. A pomiędzy tymi okresami? Samodzielnie śledź zmiany i porównuj z ustawieniami zabezpieczeń w swojej organizacji.

Tutaj z pomocą przychodzą narzędzia takie jak Microsoft Security Compliance Toolkit (lub wiele wygodniejszy, choć nierozwijany Security Compliance Manager) oraz publikowane po każdym wydaniu półrocznym (Semi-Annual Channel, SAC) bazowe polityki ustawień zabezpieczeń. 

Wersje robocze oraz końcowe polityk są ogłaszane na blogach i w sieciach społecznościowych. Polecam rozeznać się w pierwszej kolejności w publikacjach na Microsoft Security Baseline Blog.

Później przejść przez oficjalną dokumentację na aka.ms/baselines.  

Kompletne materiały w wersjach finalnych są do pobrania z Microsoft Download Center (wraz z MSCT). 

Polityki z bazowymi ustawieniami zabezpieczeń zawierają predefiniowane ustawienia zgodne z najnowszymi zaleceniami do ogólnego zastosowania na stacjach roboczych, serwerach członkowskich oraz kontrolerach domeny. Dodatkowo publikowane są również zestawy dla pakietu Office, BitLocker oraz Edge.

Ustawienia polityk można zaimportować do obiektów w swoim środowisku, co ułatwia ich wdrożenie i testy na “żywym organizmie”. Narzędzia w pakiecie pozwalają także zaaplikować ustawienia lokalnie na komputerach pilotażowych, przygotować porównanie z ustawieniami innych polityk oraz wygenerować raport z różnic w ustawieniach. 

I ostatnia sprawa, obok polityk dostarczane są także dedykowane szablony administracyjne, które ułatwiają administrowanie niektórymi ustawieniami za pomocą Edytora zarządzania zasadami grupy (gpmc.msc). 

Zachęcam do zapoznania się ze wskazanymi materiałami. Jeśli czas pozwoli, wrzucę nagranie lub notatkę na temat posługiwania się Microsoft Security Compliance Toolkit lub Security Compliance Manager.