goev.md 14 KB
Hardening Checklist for Windows
Контрольный список по защите Windows
- это не единый документ, а набор рекомендаций и настроек безопасности, призванных защитить систему. К ним относятся функции, такие как Контроль учетных записей (UAC), который защищает от несанкционированных изменений, и встроенное приложение Безопасность Windows, обеспечивающее защиту в режиме реального времени. Также сюда могут входить такие параметры, как настройка списков управления доступом (ACL) и применение политик безопасности
Управление всеми системами.
Вы можете отметить этот пункт, если все ваши конечные системы управляемы. Часто это делается с помощью таких программ, как Microsoft System Center Configuration Manager (ConfigMgr) и Intune. Однако существует много других эффективных решений.
Регулярный мониторинг и коррекция возникающих различий в настройках.
Этот пункт можно отметить, если все конечные системы в компании проверяются (в идеале по крайней мере один раз в день) на соответствие политике настроек конечных точек. Отклонения необходимо отслеживать и быстро корректировать.
Включен ли компонент Device Guard.
Убедитесь, что в системе включен Device Guard. Вы также можете отметить этот пункт, если политика компании не требует включения Device Guard на конкретной системе. Device Guard использует аппаратную проверку целостности кода, виртуализацию и другие меры безопасности, обеспечивающие целостность операционной системы. Если нет особых причин разрешить исключения, таких как совместимость, каждой компании следует использовать Device Guard на всех системах.
Включен ли компонент Credential Guard.
Отметьте, если в системе включен Credential Guard. Вы также можете отметить этот пункт, если политика компании не требует включения Credential Guard на данной системе. Credential Guard противодействует атакам с кражей учетных данных, в ходе которых злоумышленник пытается получить доступ к учетным данным, сохраненным в памяти или кэше. Если нет особых причин разрешить исключения, таких как совместимость, то каждой компании следует использовать Credential Guard на всех системах.
Включен ли компонент Application Guard.
Отметьте, если в системе включен Application Guard. Вы также можете отметить этот пункт, если политика компании не требует включения Application Guard на данной системе. Если используется Microsoft Edge (или IE), Application Guard поможет ИТ-специалистам определить доверенные ресурсы. При просмотре недоверенных ресурсов сеанс виртуализуется для защиты хост-компьютера (изолированный контейнер Hyper-V). Это работает для веб-сайтов, «облачных» ресурсов и внутренних сетей. Однако в большинстве компаний разрешается использовать браузеры, отличные от Microsoft, не защищенные через Application Guard.
Включен ли компонент Application Control.
Отметьте, если в системе включен Application Control. Вы также можете отметить этот пункт, если политика компании не требует включения Application Control на данной системе. Application Control определяет список, какие приложения, программный код, сценарии и MSI-файлы доступны для использования. Также ограничивается PowerShell (режим Constrained Language Mode).
Включен ли компонент Exploit Guard.
Отметьте, если параметры Exploit Guard в системе соответствуют политике компании. Exploit Guard — коллекция функций, которые должны предотвращать атаки против браузеров и приложений, защищать сети и доступ к папкам. Большинство из них применяется в масштабах системы, но некоторые могут быть настроены для различных приложений. Любая компания должна иметь политику для каждого из этих параметров системы и каждого приложения.
Применен ли метод уменьшения зоны охвата атак.
Отметьте, если ваша компания имеет политику для уменьшения числа направлений атак и конечная система соответствует ей. Ниже перечислены некоторые предложения.
— Блокируйте исполняемое содержимое из клиента электронной почты и веб-почты.
— Запретите приложениям Office создавать дочерние процессы.
— Запретите приложениям Office создавать исполняемое содержимое.
— Запретите приложениям Office внедрять программный код в другие процессы.
— Запретите JavaScript и VBScript запускать загруженное исполняемое содержимое.
— Блокируйте исполнение потенциально запутанных скриптов.
— Блокируйте вызовы Win 32 API из макросов Office.
Блокирована ли среда предзагрузки.
Отметьте, если вы уверены, что никто не может изменить параметры BIOS/UEFI, не зная пароля. Устройство не может быть загружено через механизм PXE или с USB-накопителя без авторизации.
Защищено ли хранилище данных от атаки вне сети.
Отметьте, если все жесткие диски, SSD-накопители и другие устройства хранения данных зашифрованы. Таким образом злоумышленник лишается возможности изъять устройство памяти и прочитать его на другом компьютере. Компания Microsoft предоставляет программу BitLocker. Кроме того, существует много инструментов сторонних поставщиков.
Отключены ли ненужные службы.
Отметьте, если все ненужные службы отключены в соответствии с политикой компании. Операционная система Windows поставляется со службами, в запуске которых большинство компаний не нуждается. Таким образом исключаются службы, запускаемые при первом включении компьютера (OOBE), а также незаконные службы.
Блокированы ли локальные учетные записи.
Отметьте, если локальные учетные записи на компьютере соответствуют политике компании относительно локальных учетных записей и групп, а также предоставляемых им полномочий. Могут быть полезны такие решения, как Microsoft Local Administrator Password Solution (LAPS).
Защита с помощью брандмауэра Windows.
Отметьте, если локальный брандмауэр блокирует исходящий трафик по умолчанию и применяет белый список исключений.
Защищены ли приложения.
Отметьте, если все приложения защищены в соответствии с политикой компании. Немногие приложения защищены в настройках по умолчанию. Например, для Microsoft Office следует разрешить запуск только доверенных макросов и блокировать расширения браузера. Обычно защита основывается на здравом смысле и рекомендациях поставщика.
Обновлена ли операционная система Windows.
Отметьте, если применены все выпущенные в последнее время обновления безопасности Windows.
Полностью ли обновлены приложения.
Отметьте, если все приложения обновлены до текущего уровня безопасности.
Полностью ли обновлено встроенное программное обеспечение.
Отметьте, если встроенное программное обеспечение на всех компьютерах своевременно обновлено.
Используются ли безопасные методы проверки подлинности.
Отметьте, если рекомендации по проверке подлинности реализованы в политиках компании. Как и многие аспекты безопасности, это глубокая тема. Рекомендуется обратить внимание на следующие параметры:
— политика входа с графическим паролем отключена;
— вход с помощью PIN-кода отключен;
— установлены политики пароля с такими примерно требованиями:
длина пароля не менее 10 символов;
максимальный срок действия 90 дней.
— групповые политики кэширования учетных данных:
- данные только одного предшествующего сеанса хранятся в кэше при отсутствии контроллера домена.
— пароли для проверки подлинности сети не сохраняются;
— используется биометрическая или двухфакторная проверка подлинности;
— проверка подлинности разрешена только в определенные часы;
— устройство недавно проверено на наличие клавиатурных шпионов;
— реализован протокол IPSec в локальных сетях.
Защищен ли браузер.
Отметьте этот пункт, если ваши браузеры защищены. Конкретные меры защиты зависят от браузера и среды. В качестве примера перечислим некоторые действия, рекомендуемые для защиты Microsoft Edge.
— Настройте Edge.
— Отключите Flash.
— Отключите инструменты разработчика.
— Включите режим Do Not Track.
— Включите блокировку всплывающих окон.
— Включите Windows Defender Smart Screen.
— Запретите пользователям и приложениям обращаться к опасным веб-сайтам.