Pages Menu
Categories Menu

Опубликовано | Нет комментариев

Microsoft Security Baseline

Перед использованием Базового уровня безопасности следует тщательно проверить настройки. В политике можно отключить определённые настройки, предлагаемые в GPO Microsoft Security Baseline.

GPO Microsoft Security Baseline

Усиление защиты Windows 10 посредством GPO Microsoft Security Baseline

Настройки Майкрософт для обеспечении безопасности ПК представлены в Майкрософт Базовый уровень безопасности. Последнее послужило базой для создания политик, применяемых админами в доменах AD. Имеющиеся в них настройки дают им возможность гарантировать защиту корпоративной части Виндовс.

Под SCM понимается особый продукт, состоящий из инструментов, предназначенных для осуществления анализа, использования последних рекомендаций безопасности для Виндовс.

В архиве, содержащем базовый уровень безопасности для Виндовс, имеются папки:

  • Темплетес – вспомогательные шаблоны GPO;
  • Скрипты ПоверШелл, упрощающие импортирование настроек GPO во всевозможные доменные политики;
  • GPOs– перечень GPO-объектов для всевозможных сценариев;
  • GP Reports– содержит готовые к применению отчёты html с GPO настройками;
  • Документейшн – файлы docx, содержащие описание настроек применяемых в рассматриваемом Базовом уровне безопасности.

Существует ряд шаблонов GPO базового уровня безопасности, предназначенных для всевозможных составляющих инфраструктуры Виндовс – начиная от политик для ПК и заканчивая настройками Интернет Эксплорер. Папка GPOs содержит политики GPO, рассчитанные на разнообразные сценарии применения Виндовс.

На картинке внизу представлен перечень GPO для 10-й Виндовс.

Необходимо осуществить распаковку архива с вариантом базовых настроек для требуемой версии Виндовс и активировать консоль управления политиками домена. Далее вам надо:

  • Скопировать в GPO, находящееся на DC шаблоны ADMX;
  • Создать Windows 10 2004 Security Baseline;
  • Кликнуть мышкой по новейшей GPO и найти Импорт Сеттингс;
  • Как Backup Location необходимо указать дорогу требуемой версии Виндовс к файлу c Security Baseline;
  • Импортировать политику с настройками ПК;
  • Указать способ переноса ссылок на объекты обеспечения безопасности.

По окончанию осуществления выше перечисленных манипуляций новая GPO пополнится настройками эталонной политики базового уровня безопасности для 10-й версии Виндовс 2004.

Для применения этой политики исключительно для ПК с Виндовс 10 следует воспользоваться WMI фильтрами GPO.

Перед использованием Базового уровня безопасности следует тщательно проверить настройки и первым делом использовать на OU с тестовыми юзерами либо ПК. В политике можно отключить определённые настройки, предлагаемые в Security Baseline. После тестирования настроек безопасности на тестовых компах можно переходить к использованию настроек доменных серверов.

Базовый уровень безопасности содержит множество разнообразных настроек. Мы ограничимся перечислением лишь основных настроек безопасности, к которым относятся:

  • Деактивация NTLM и NetBIOS;
  • Доступ к аппаратам периферийным;
  • Система безопасности памяти LSA;
  • Настройки аудиторских политик для получения данных касательно событий и входов юзеров;
  • Система ограничения анонимного доступа;
  • Ограничения аккаунтов администратора;
  • Политики блокирования паролей;
  • Система управления нормами установки и активации ПО;
  • Деактивация SMBv1;
  • Политика под названием Hardened UNC paths;
  • Деактивация встроенного админа;
  • Перечень настроек WinRM;
  • Система управления нормами Виндовс Фаервол;
  • Политика активации скриптов PowerShell;

Благодаря политикам Базового уровня безопасности юзер может увеличить уровень защищённости инфраструктуры Виндовс 10 и обеспечить применение одинаковых настроек на всех компьютерах, которые находятся в сети.

Оставить комментарий

Ваш адрес email не будет опубликован.

Лимит времени истёк. Пожалуйста, перезагрузите CAPTCHA.

↓