Перед использованием Базового уровня безопасности следует тщательно проверить настройки. В политике можно отключить определённые настройки, предлагаемые в GPO Microsoft Security Baseline.
Усиление защиты Windows 10 посредством GPO Microsoft Security Baseline
Настройки Майкрософт для обеспечении безопасности ПК представлены в Майкрософт Базовый уровень безопасности. Последнее послужило базой для создания политик, применяемых админами в доменах AD. Имеющиеся в них настройки дают им возможность гарантировать защиту корпоративной части Виндовс.
Под SCM понимается особый продукт, состоящий из инструментов, предназначенных для осуществления анализа, использования последних рекомендаций безопасности для Виндовс.
В архиве, содержащем базовый уровень безопасности для Виндовс, имеются папки:
- Темплетес – вспомогательные шаблоны GPO;
- Скрипты ПоверШелл, упрощающие импортирование настроек GPO во всевозможные доменные политики;
- GPOs– перечень GPO-объектов для всевозможных сценариев;
- GP Reports– содержит готовые к применению отчёты html с GPO настройками;
- Документейшн – файлы docx, содержащие описание настроек применяемых в рассматриваемом Базовом уровне безопасности.
Существует ряд шаблонов GPO базового уровня безопасности, предназначенных для всевозможных составляющих инфраструктуры Виндовс – начиная от политик для ПК и заканчивая настройками Интернет Эксплорер. Папка GPOs содержит политики GPO, рассчитанные на разнообразные сценарии применения Виндовс.
На картинке внизу представлен перечень GPO для 10-й Виндовс.
Необходимо осуществить распаковку архива с вариантом базовых настроек для требуемой версии Виндовс и активировать консоль управления политиками домена. Далее вам надо:
- Скопировать в GPO, находящееся на DC шаблоны ADMX;
- Создать Windows 10 2004 Security Baseline;
- Кликнуть мышкой по новейшей GPO и найти Импорт Сеттингс;
- Как Backup Location необходимо указать дорогу требуемой версии Виндовс к файлу c Security Baseline;
- Импортировать политику с настройками ПК;
- Указать способ переноса ссылок на объекты обеспечения безопасности.
По окончанию осуществления выше перечисленных манипуляций новая GPO пополнится настройками эталонной политики базового уровня безопасности для 10-й версии Виндовс 2004.
Для применения этой политики исключительно для ПК с Виндовс 10 следует воспользоваться WMI фильтрами GPO.
Перед использованием Базового уровня безопасности следует тщательно проверить настройки и первым делом использовать на OU с тестовыми юзерами либо ПК. В политике можно отключить определённые настройки, предлагаемые в Security Baseline. После тестирования настроек безопасности на тестовых компах можно переходить к использованию настроек доменных серверов.
Базовый уровень безопасности содержит множество разнообразных настроек. Мы ограничимся перечислением лишь основных настроек безопасности, к которым относятся:
- Деактивация NTLM и NetBIOS;
- Доступ к аппаратам периферийным;
- Система безопасности памяти LSA;
- Настройки аудиторских политик для получения данных касательно событий и входов юзеров;
- Система ограничения анонимного доступа;
- Ограничения аккаунтов администратора;
- Политики блокирования паролей;
- Система управления нормами установки и активации ПО;
- Деактивация SMBv1;
- Политика под названием Hardened UNC paths;
- Деактивация встроенного админа;
- Перечень настроек WinRM;
- Система управления нормами Виндовс Фаервол;
- Политика активации скриптов PowerShell;
Благодаря политикам Базового уровня безопасности юзер может увеличить уровень защищённости инфраструктуры Виндовс 10 и обеспечить применение одинаковых настроек на всех компьютерах, которые находятся в сети.