Введение
Рабочие станции часто становятся целью злоумышленников, использующих вредоносные веб-сайты, электронные письма или съемные носители в попытке извлечь конфиденциальную информацию. Укрепление рабочих мест - важная часть снижения этого риска.В этом документе представлены рекомендации по усилению защиты рабочих станций, использующих корпоративные выпуски Microsoft Windows 8.1. Перед внедрением рекомендаций, содержащихся в этом документе, необходимо провести тщательное тестирование, чтобы убедиться, что возможность непреднамеренного негативного воздействия на бизнес-процессы максимально снижена.
Хотя этот документ относится к рабочим станциям, большинство рекомендаций в равной степени применимо к серверам (за исключением контроллеров домена), использующим Microsoft Windows Server 2012 R2.
Имена и расположение параметров групповой политики, используемых в этом документе, взяты из Microsoft Windows 8.1; некоторые отличия могут существовать для более ранних версий Microsoft Windows.
Высокие приоритеты
Следующие рекомендации, перечисленные в алфавитном порядке, следует рассматривать как высшие приоритеты при усилении защиты рабочих станций Microsoft Windows 8.1.Рандомизация макета адресного пространства
Злоумышленник может попытаться взломать рабочую станцию, получив доступ к расположению важной информации в памяти, такой как базовый адрес исполняемого файла и положение кучи, стека и библиотек в адресном пространстве процесса. Чтобы снизить этот риск, следует включить рандомизацию разметки адресного пространства (ASLR) для всех приложений, которые ее поддерживают. По умолчанию ASLR включен начиная с Microsoft Windows Vista и может смягчить некоторые формы атак путем рандомизации расположения важной информации в памяти. Использование ASLR можно подтвердить с помощью набора инструментов Enhanced Mitigation Experience Toolkit от Microsoft [1], чтобы убедиться, что для ASLR установлено значение Application Opt In.Укрепление приложений
Когда приложения устанавливаются, они часто предварительно не настроены в безопасном состоянии. По умолчанию многие приложения включают функции, которые не требуются пользователям, в то время как встроенные функции безопасности могут быть отключены или установлены на более низкий уровень безопасности. Например, Microsoft Office по умолчанию позволяет ненадежным макросам в документах Office автоматически выполняться без вмешательства пользователя. Чтобы снизить этот риск, в приложениях должны быть включены и должным образом настроены все встроенные функции безопасности, а ненужные функции отключены. Это особенно важно для ключевых приложений, таких как офисные пакеты для повышения производительности (например, Microsoft Office), программы чтения PDF-файлов (например, Adobe Reader), веб-браузеры (например, Microsoft Internet Explorer, Mozilla Firefox или Google Chrome), стандартные плагины веб-браузеров (например, Adobe Flash), почтовые клиенты (Microsoft Outlook) и программные платформы (например, Oracle Java Platform и Microsoft .NET Framework). Кроме того, поставщики могут предоставить инструкции по безопасной настройке своих продуктов. Например, Microsoft предоставляет базовые показатели безопасности для своих продуктов на своихБлог Microsoft Security Baseline [2]. В таких случаях необходимо следовать рекомендациям поставщика, чтобы помочь в безопасной настройке их продуктов.Австралийский центр кибербезопасности также предоставляет рекомендации по усилению защиты Microsoft Office. Дополнительные сведения см. В публикациях « Повышение уровня безопасности Microsoft Office 2013» и « Повышение уровня безопасности Microsoft Office 365 профессиональный плюс, Office 2019 и Office 2016» [3] [4].
Версии приложений и патчи
В то время как некоторые поставщики могут выпускать новые версии приложений для устранения уязвимостей в системе безопасности, другие могут выпускать исправления. Если новые версии приложений и патчи для приложений не установлены, злоумышленник может легко взломать рабочие станции. Это особенно важно для ключевых приложений, которые взаимодействуют с контентом из ненадежных источников, таких как офисные пакеты для повышения производительности (например, Microsoft Office), программы чтения PDF-файлов (например, Adobe Reader), веб-браузеры (например, Microsoft Internet Explorer, Mozilla Firefox или Google Chrome), обычные веб-сайты. плагины браузера (например, Adobe Flash), почтовые клиенты (Microsoft Outlook) и программные платформы (например, Oracle Java Platform и Microsoft .NET Framework). Чтобы снизить этот риск, новые версии приложений и исправления для приложений должны применяться в надлежащие сроки, определяемые серьезностью уязвимостей системы безопасности, которые они устраняют, и любыми уже принятыми мерами по смягчению последствий. В тех случаях, когда предыдущая версия приложения продолжает получать поддержку в виде исправлений, ее все равно следует обновить до последней версии, чтобы воспользоваться всеми новыми функциями безопасности.Для получения дополнительной информации об определении серьезности уязвимостей безопасности и сроках применения новых версий приложений и исправлений для приложений см. Публикацию « Оценка уязвимостей безопасности и применение исправлений» [5].
Контроль приложений
Злоумышленник может отправлять вредоносный код по электронной почте или размещать вредоносный код на взломанном веб-сайте и использовать методы социальной инженерии, чтобы убедить пользователей запустить его. Такой вредоносный код часто направлен на использование уязвимостей безопасности в существующих приложениях, и его не нужно устанавливать для успешного выполнения. Контроль приложений может быть чрезвычайно эффективным механизмом не только для предотвращения выполнения вредоносного кода, но и для обеспечения возможности установки только утвержденных приложений.При разработке правил управления приложениями определение списка утвержденных исполняемых файлов (например, файлов .exe и .com), программных библиотек (например, файлов .dll и .ocx), сценариев (например, .ps1, .bat, .cmd, .vbs и. js) и установщиков (например, файлов .msi, .msp и .mst) с нуля - более безопасный метод, чем полагаться на список тех, кто в настоящее время находится на рабочей станции или сервере. Кроме того, предпочтительно, чтобы организации определяли свой собственный утвержденный список исполняемых файлов, программных библиотек, сценариев и установщиков, а не полагались на списки от поставщиков средств управления приложениями.
Для получения дополнительной информации об управлении приложениями и о том, как его можно надлежащим образом реализовать, см. Публикацию « Реализация управления приложениями» [6].
Если Microsoft AppLocker [7] используется для управления приложениями, следующие правила можно использовать в качестве примера реализации на основе пути. В поддержку этого правила, соблюдение правил и автоматический запуск службы идентификации приложения должны быть установлены через групповую политику на уровне домена.
Правило контроля приложений | Рекомендуемый вариант |
Конфигурация компьютера \ Политики \ Параметры Windows \ Параметры безопасности \ Политики управления приложениями \ AppLocker \ Правила DLL |