Введение
Рабочие станции часто становятся целью злоумышленников, использующих вредоносные веб-сайты, электронные письма или съемные носители в попытке извлечь конфиденциальную информацию. Укрепление рабочих мест - важная часть снижения этого риска.В этом документе представлены рекомендации по усилению защиты рабочих станций, использующих корпоративные выпуски Microsoft Windows 8.1. Перед внедрением рекомендаций, содержащихся в этом документе, необходимо провести тщательное тестирование, чтобы убедиться, что возможность непреднамеренного негативного воздействия на бизнес-процессы максимально снижена.
Хотя этот документ относится к рабочим станциям, большинство рекомендаций в равной степени применимо к серверам (за исключением контроллеров домена), использующим Microsoft Windows Server 2012 R2.
Имена и расположение параметров групповой политики, используемых в этом документе, взяты из Microsoft Windows 8.1; некоторые отличия могут существовать для более ранних версий Microsoft Windows.
Высокие приоритеты
Следующие рекомендации, перечисленные в алфавитном порядке, следует рассматривать как высшие приоритеты при усилении защиты рабочих станций Microsoft Windows 8.1.Рандомизация макета адресного пространства
Злоумышленник может попытаться взломать рабочую станцию, получив доступ к расположению важной информации в памяти, такой как базовый адрес исполняемого файла и положение кучи, стека и библиотек в адресном пространстве процесса. Чтобы снизить этот риск, следует включить рандомизацию разметки адресного пространства (ASLR) для всех приложений, которые ее поддерживают. По умолчанию ASLR включен начиная с Microsoft Windows Vista и может смягчить некоторые формы атак путем рандомизации расположения важной информации в памяти. Использование ASLR можно подтвердить с помощью набора инструментов Enhanced Mitigation Experience Toolkit от Microsoft [1], чтобы убедиться, что для ASLR установлено значение Application Opt In.Укрепление приложений
Когда приложения устанавливаются, они часто предварительно не настроены в безопасном состоянии. По умолчанию многие приложения включают функции, которые не требуются пользователям, в то время как встроенные функции безопасности могут быть отключены или установлены на более низкий уровень безопасности. Например, Microsoft Office по умолчанию позволяет ненадежным макросам в документах Office автоматически выполняться без вмешательства пользователя. Чтобы снизить этот риск, в приложениях должны быть включены и должным образом настроены все встроенные функции безопасности, а ненужные функции отключены. Это особенно важно для ключевых приложений, таких как офисные пакеты для повышения производительности (например, Microsoft Office), программы чтения PDF-файлов (например, Adobe Reader), веб-браузеры (например, Microsoft Internet Explorer, Mozilla Firefox или Google Chrome), стандартные плагины веб-браузеров (например, Adobe Flash), почтовые клиенты (Microsoft Outlook) и программные платформы (например, Oracle Java Platform и Microsoft .NET Framework). Кроме того, поставщики могут предоставить инструкции по безопасной настройке своих продуктов. Например, Microsoft предоставляет базовые показатели безопасности для своих продуктов на своихБлог Microsoft Security Baseline [2]. В таких случаях необходимо следовать рекомендациям поставщика, чтобы помочь в безопасной настройке их продуктов.Австралийский центр кибербезопасности также предоставляет рекомендации по усилению защиты Microsoft Office. Дополнительные сведения см. В публикациях « Повышение уровня безопасности Microsoft Office 2013» и « Повышение уровня безопасности Microsoft Office 365 профессиональный плюс, Office 2019 и Office 2016» [3] [4].
Версии приложений и патчи
В то время как некоторые поставщики могут выпускать новые версии приложений для устранения уязвимостей в системе безопасности, другие могут выпускать исправления. Если новые версии приложений и патчи для приложений не установлены, злоумышленник может легко взломать рабочие станции. Это особенно важно для ключевых приложений, которые взаимодействуют с контентом из ненадежных источников, таких как офисные пакеты для повышения производительности (например, Microsoft Office), программы чтения PDF-файлов (например, Adobe Reader), веб-браузеры (например, Microsoft Internet Explorer, Mozilla Firefox или Google Chrome), обычные веб-сайты. плагины браузера (например, Adobe Flash), почтовые клиенты (Microsoft Outlook) и программные платформы (например, Oracle Java Platform и Microsoft .NET Framework). Чтобы снизить этот риск, новые версии приложений и исправления для приложений должны применяться в надлежащие сроки, определяемые серьезностью уязвимостей системы безопасности, которые они устраняют, и любыми уже принятыми мерами по смягчению последствий. В тех случаях, когда предыдущая версия приложения продолжает получать поддержку в виде исправлений, ее все равно следует обновить до последней версии, чтобы воспользоваться всеми новыми функциями безопасности.Для получения дополнительной информации об определении серьезности уязвимостей безопасности и сроках применения новых версий приложений и исправлений для приложений см. Публикацию « Оценка уязвимостей безопасности и применение исправлений» [5].
Контроль приложений
Злоумышленник может отправлять вредоносный код по электронной почте или размещать вредоносный код на взломанном веб-сайте и использовать методы социальной инженерии, чтобы убедить пользователей запустить его. Такой вредоносный код часто направлен на использование уязвимостей безопасности в существующих приложениях, и его не нужно устанавливать для успешного выполнения. Контроль приложений может быть чрезвычайно эффективным механизмом не только для предотвращения выполнения вредоносного кода, но и для обеспечения возможности установки только утвержденных приложений.При разработке правил управления приложениями определение списка утвержденных исполняемых файлов (например, файлов .exe и .com), программных библиотек (например, файлов .dll и .ocx), сценариев (например, .ps1, .bat, .cmd, .vbs и. js) и установщиков (например, файлов .msi, .msp и .mst) с нуля - более безопасный метод, чем полагаться на список тех, кто в настоящее время находится на рабочей станции или сервере. Кроме того, предпочтительно, чтобы организации определяли свой собственный утвержденный список исполняемых файлов, программных библиотек, сценариев и установщиков, а не полагались на списки от поставщиков средств управления приложениями.
Для получения дополнительной информации об управлении приложениями и о том, как его можно надлежащим образом реализовать, см. Публикацию « Реализация управления приложениями» [6].
Если Microsoft AppLocker [7] используется для управления приложениями, следующие правила можно использовать в качестве примера реализации на основе пути. В поддержку этого правила, соблюдение правил и автоматический запуск службы идентификации приложения должны быть установлены через групповую политику на уровне домена.
| Правило контроля приложений | Рекомендуемый вариант |
| Конфигурация компьютера \ Политики \ Параметры Windows \ Параметры безопасности \ Политики управления приложениями \ AppLocker \ Правила DLL | � |
| [Путь]% ProgramFiles% \ * | Разрешить всем |
| [Путь]% WinDir% \ * | Разрешить всем Исключения: % System32% \ Microsoft \ Crypto \ RSA \ MachineKeys \ * % System32% \ катушка \ драйверы \ цвет \ * % System32% \ Задачи \ * % WinDir% \ debug \ WIA \ * % WinDir% \ Задачи \ * % WinDir% \ Temp \ * |
| Конфигурация компьютера \ Политики \ Параметры Windows \ Параметры безопасности \ Политики управления приложениями \ AppLocker \ Executable Rules | � |
| [Путь]% ProgramFiles% \ * | Разрешить всем |
| [Путь]% WinDir% \ * | Разрешить всем Исключения: % System32% \ Microsoft \ Crypto \ RSA \ MachineKeys \ * % System32% \ катушка \ драйверы \ цвет \ * % System32% \ Задачи \ * % WinDir% \ debug \ WIA \ * % WinDir% \ Задачи \ * % WinDir% \ Temp \ * |
| Конфигурация компьютера \ Политики \ Параметры Windows \ Параметры безопасности \ Политики управления приложениями \ AppLocker \ Правила упакованного приложения | � |
| [Издатель] CN = Microsoft Corporation, O = Microsoft Corporation, L = Редмонд, S = Вашингтон, C = США | Разрешить всем |
| [Издатель] CN = Microsoft Windows, O = Microsoft Corporation, L = Редмонд, S = Вашингтон, C = США | Разрешить всем |
| Конфигурация компьютера \ Политики \ Параметры Windows \ Параметры безопасности \ Политики управления приложениями \ AppLocker \ Правила сценария | � |
| [Путь]% ProgramFiles% \ * | Разрешить всем |
| [Путь]% WinDir% \ * | Разрешить всем Исключения: % System32% \ Com \ dmp \ * % System32% \ FxsTmp \ * % System32% \ Microsoft \ Crypto \ RSA \ MachineKeys \ * % System32% \ катушка \ драйверы \ цвет \ * % System32% \ spool \ ПРИНТЕРЫ \ * % System32% \ спул \ СЕРВЕРЫ \ * % System32% \ Задачи \ * % WinDir% \ debug \ WIA \ * % WinDir% \ Registration \ CRMLog \ * % WinDir% \ Задачи \ * % WinDir% \ Temp \ * % WinDir% \ трассировка \ * |
| Конфигурация компьютера \ Политики \ Параметры Windows \ Параметры безопасности \ Политики управления приложениями \ AppLocker \ Правила установщика Windows | � |
| [Издатель] CN = Microsoft Corporation, O = Microsoft Corporation, L = Редмонд, S = Вашингтон, C = США | Разрешить всем |
| [Издатель] CN = Microsoft Windows, O = Microsoft Corporation, L = Редмонд, S = Вашингтон, C = США | Разрешить всем |
Кеширование учетных данных
Кэшированные учетные данные хранятся в базе данных диспетчера учетных записей безопасности (SAM) и могут позволить пользователю войти на рабочую станцию, на которую он ранее вошел, даже если домен недоступен. Хотя эта функция может быть желательной с точки зрения доступности служб, злоумышленник может злоупотребить этой функцией, который может получить эти кэшированные учетные данные (потенциально учетные данные администратора домена в худшем случае). Чтобы снизить этот риск, кэшированные учетные данные должны быть ограничены только одним предыдущим входом в систему.Следующие параметры групповой политики могут быть реализованы для отключения кэширования учетных данных.
| Настройка групповой политики | Рекомендуемый вариант |
| Конфигурация компьютера \ Политики \ Параметры Windows \ Параметры безопасности \ Локальные политики \ Параметры безопасности | � |
| Интерактивный вход в систему: количество предыдущих входов в систему для кэширования (в случае, если контроллер домена недоступен) | 1 вход в систему |
| Доступ к сети: не разрешать хранение паролей и учетных данных для сетевой аутентификации. | Включено |
Следующие параметры групповой политики могут быть реализованы для отключения проверки подлинности WDigest и обеспечения дополнительной защиты учетных данных, хранящихся в памяти процесса LSASS. Обратите внимание, что параметры групповой политики MS Security Guide доступны как часть Microsoft Security Compliance Toolkit [9].
| Настройка групповой политики | Рекомендуемый вариант |
| Конфигурация компьютера \ Политики \ Административные шаблоны \ Руководство по безопасности MS | � |
| LSA Защита | Включено |
| WDigest Аутентификация | Выключено |
Учетная запись
Когда пользователи вводят свои учетные данные на рабочей станции, это дает возможность вредоносному коду, такому как приложение для регистрации ключей, захватить учетные данные. Чтобы снизить этот риск, пользователи должны проходить аутентификацию, используя надежный путь для ввода своих учетных данных на Secure Desktop.Следующие параметры групповой политики могут быть реализованы для обеспечения безопасного ввода учетных данных.
| Настройка групповой политики | Рекомендуемый вариант |
| Конфигурация компьютера \ Политики \ Административные шаблоны \ Система \ Вход в систему | � |
| Не отображать пользовательский интерфейс выбора сети | Включено |
| Перечислить локальных пользователей на компьютерах, присоединенных к домену | Выключено |
| Конфигурация компьютера \ Политики \ Административные шаблоны \ Компоненты Windows \ Пользовательский интерфейс с учетными данными | � |
| Не отображать кнопку открытия пароля | Включено |
| Перечислить учетные записи администраторов по высоте | Выключено |
| Требовать надежный путь для ввода учетных данных | Включено |
| Конфигурация компьютера \ Политики \ Административные шаблоны \ Компоненты Windows \ Параметры входа в Windows | � |
| Отключить или включить программную последовательность безопасного внимания | Выключено |
| Автоматический вход последнего интерактивного пользователя после перезапуска системы | Выключено |
| Конфигурация компьютера \ Политики \ Параметры Windows \ Параметры безопасности \ Локальные политики \ Параметры безопасности | � |
| Интерактивный вход: не требуется CTRL + ALT + DEL | Выключено |
Предотвращение выполнения данных
Предотвращение выполнения данных (DEP) - это функция безопасности, которая может помочь защитить рабочие станции путем мониторинга приложений, чтобы гарантировать безопасное использование памяти. Если DEP замечает, что приложение пытается выполнить инструкции из части памяти, используемой для данных, он закроет приложение и уведомит пользователя. По умолчанию для линий рабочего стола Microsoft Windows установлено значение Включить DEP только для основных программ и служб Windows.. Этот параметр по умолчанию не распространяется на программы, отличные от Windows, и не сможет заблокировать вредоносный код, который в противном случае был бы заблокирован, если бы к нему применялся DEP. Чтобы снизить этот риск, DEP, предпочтительно аппаратный, должен быть включен для всех приложений и служб, кроме тех, которые должны быть явно исключены по соображениям совместимости. Чтобы включить DEP для всех приложений и служб, кроме тех, которые необходимо явно исключить, настройку DEP в Microsoft Windows можно изменить на « Включить DEP» для всех программ и служб, кроме выбранных мной. Это можно настроить на вкладке «Предотвращение выполнения данных» в параметрах производительности свойств системы. Кроме того, если ЦП поддерживает аппаратную DEP, текст Процессор вашего компьютера поддерживает аппаратную DEP.будет отображаться. Если возникнет необходимость принудительно использовать DEP для всех приложений и служб, можно использовать Enhanced Mitigation Experience Toolkit [10] от Microsoft для установки DEP на Always On. Этот инструментарий также можно использовать для определения статуса DEP запущенных процессов в любой момент времени. Инструмент Process Explorer [11] из пакета Windows Sysinternals [12] также может отображать эту информацию.Для обеспечения использования DEP в проводнике можно реализовать следующий параметр групповой политики.
| Настройка групповой политики | Рекомендуемый вариант |
| Конфигурация компьютера \ Политики \ Административные шаблоны \ Компоненты Windows \ Проводник | � |
| Отключить предотвращение выполнения данных для Explorer | Выключено |
Ранний запуск защиты от вредоносных программ
Другой ключевой функцией безопасности надежной загрузки, поддерживаемой Microsoft Windows 8.1 и материнскими платами с унифицированным расширяемым интерфейсом микропрограмм (UEFI), является защита от вредоносных программ с ранним запуском (ELAM). Используемый в сочетании с безопасной загрузкой, драйвер ELAM может быть зарегистрирован как первый драйвер стороннего производителя, который будет инициализирован на рабочей станции в процессе загрузки, что позволит ему проверять все последующие драйверы перед их инициализацией. Драйвер ELAM позволяет инициализировать только известные исправные драйверы; известные хорошие и неизвестные драйверы для инициализации; известные хорошие, неизвестные и плохие, но важные драйверы для инициализации; или инициализировать все драйверы. Чтобы снизить риск заражения вредоносными драйверами, в процессе загрузки следует разрешить инициализацию только известных хороших и неизвестных драйверов.Следующий параметр групповой политики может быть реализован, чтобы гарантировать, что во время загрузки будут инициализированы только известные хорошие и неизвестные драйверы.
| Настройка групповой политики | Рекомендуемый вариант |
| Конфигурация компьютера \ Политики \ Административные шаблоны \ Система \ Ранний запуск защиты от вредоносных программ | � |
| Политика инициализации загрузочного драйвера | Включено Выберите драйверы при загрузке, которые можно инициализировать: Хорошие и неизвестные |
Повышение привилегий
Microsoft Windows предоставляет возможность запрашивать подтверждение от пользователей с помощью функции контроля доступа пользователей (UAC) перед выполнением каких-либо конфиденциальных действий. Параметры по умолчанию позволяют привилегированным пользователям выполнять конфиденциальные действия без предварительного предоставления учетных данных, и хотя стандартные пользователи должны предоставлять привилегированные учетные данные, они не обязаны делать это через надежный путь на Secure Desktop. Это дает возможность злоумышленнику, который получает доступ к открытому сеансу привилегированного пользователя, выполнять конфиденциальные действия по своему желанию или вредоносному коду захватывать любые учетные данные, введенные через обычного пользователя при попытке повысить свои привилегии. Чтобы снизить этот риск, следует реализовать функцию UAC, чтобы гарантировать авторизацию всех конфиденциальных действий путем предоставления учетных данных на Secure Desktop.Следующие параметры групповой политики могут быть реализованы для эффективной настройки функций UAC.
| Настройка групповой политики | Рекомендуемый вариант |
| Конфигурация компьютера \ Политики \ Параметры Windows \ Параметры безопасности \ Локальные политики \ Параметры безопасности | � |
| Контроль учетных записей пользователей: режим утверждения администратором для встроенной учетной записи администратора | Включено |
| Контроль учетных записей пользователей: разрешить приложениям UIAccess запрашивать повышение прав без использования защищенного рабочего стола. | Выключено |
| Контроль учетных записей пользователей: поведение запроса на повышение прав для администраторов в режиме одобрения администратором | Запрашивать учетные данные на защищенном рабочем столе |
| Контроль учетных записей пользователей: поведение запроса на повышение прав для стандартных пользователей | Запрашивать учетные данные на защищенном рабочем столе |
| Контроль учетных записей пользователей: обнаружение установок приложений и запрос на повышение прав | Включено |
| Контроль учетных записей пользователей: повышайте права только для приложений UIAccess, установленных в безопасных местах. | Включено |
| Контроль учетных записей пользователей: запускать всех администраторов в режиме утверждения администратором | Включено |
| Контроль учетных записей пользователей: переключение на безопасный рабочий стол при запросе повышения прав | Включено |
| Контроль учетных записей пользователей: виртуализация сбоев записи файлов и реестра в расположение для каждого пользователя | Включено |
Расширенный набор инструментов для смягчения последствий
Злоумышленник, который разрабатывает эксплойты для Microsoft Windows или сторонних приложений, будет иметь более высокий уровень успеха, если не будут реализованы меры, разработанные Microsoft для предотвращения использования уязвимостей безопасности. Enhanced Mitigation Experience Toolkit (EMET) [13] был разработан группой инженеров Microsoft Security Research Center (MSRC) для обеспечения дополнительных общесистемных и конкретных мер по снижению рисков для операционных систем Microsoft Windows и сторонних приложений.Чтобы снизить риск использования злоумышленником уязвимостей в системе безопасности Microsoft Windows или сторонних приложений, последняя версия EMET должна быть реализована с использованием общесистемных и конкретных мер по снижению рисков.
Административные шаблоны групповой политики для EMET находятся в каталоге установки EMET. Файлы ADMX и ADML для EMET можно разместить в папке % SystemDrive% \ Windows \ SYSVOL \ domain \ Policies \ PolicyDefinitions на контроллере домена, и они будут автоматически загружены в редактор управления групповой политикой. Следует отметить, что каждый раз, когда вносятся изменения в параметры групповой политики EMET на контроллере домена, необходимо будет запускать команду emet_conf --refresh через сценарий или запланированную задачу на рабочих станциях для импорта изменений в конфигурацию EMET.
Следующие параметры групповой политики могут быть реализованы для обеспечения надлежащей реализации EMET.
| Настройка групповой политики | Рекомендуемый вариант |
| Конфигурация компьютера \ Политики \ Административные шаблоны \ Компоненты Windows \ EMET | � |
| Настройки действий по умолчанию и смягчения последствий | Включено Deep Hooks: Включено Anti Detours: Включено Запрещенные функции: включены Действие эксплойта: остановить программу |
| Защита по умолчанию для Internet Explorer | Включено |
| Защита по умолчанию для популярного программного обеспечения | Включено |
| Защита по умолчанию для рекомендуемого программного обеспечения | Включено |
| Видимость агента EMET | Включено Запуск агента скрыт: отключен |
| Составление отчетов | Включено Журнал событий: включен Значок в трее: включен Раннее предупреждение: отключено |
| Система ASLR | Включено Настройка ASLR: включение приложения |
| Система DEP | Включено Настройка DEP: всегда включен |
| Система SEHOP | Включено Настройка SEHOP: отказ от приложения |
Учетные записи локального администратора
Когда встроенные учетные записи администратора используются с общими именами учетных записей и паролями, это может позволить злоумышленнику, который скомпрометирует эти учетные данные на одной рабочей станции, легко передать их по сети на другие рабочие станции. Даже если встроенные учетные записи администратора имеют однозначные имена и уникальные пароли, злоумышленник может идентифицировать эти учетные записи на основе их идентификатора безопасности (например, S-1-5-21-domain-500 [14] ) и использовать эту информацию для фокусировки любые попытки подбора учетных данных на рабочей станции, если они могут получить доступ к базе данных SAM. Чтобы снизить этот риск, необходимо отключить встроенные учетные записи администратора. Вместо этого для управления рабочей станцией следует использовать учетные записи домена с локальными административными привилегиями, но без административных привилегий домена.Следующий параметр групповой политики может быть реализован для отключения встроенных учетных записей администратора.
| Настройка групповой политики | Рекомендуемый вариант |
| Конфигурация компьютера \ Политики \ Параметры Windows \ Параметры безопасности \ Локальные политики \ Параметры безопасности | � |
| Учетные записи: статус учетной записи администратора | Выключено |
| Настройка групповой политики | Рекомендуемый вариант |
| Конфигурация компьютера \ Политики \ Административные шаблоны \ Руководство по безопасности MS | � |
| Применение ограничений UAC к локальным учетным записям при входе в сеть | Включено |
Измеренная загрузка
Третья ключевая функция безопасности Trusted Boot, поддерживаемая Microsoft Windows 8.1 и материнскими платами с UEFI и Trusted Platform Module (TPM), - это измеряемая загрузка. Измеряемая загрузка используется для создания надежного журнала компонентов, которые инициализируются перед драйвером ELAM. Затем эта информация может быть проанализирована программным обеспечением для защиты от вредоносных программ на наличие признаков взлома загрузочных компонентов. Чтобы снизить риск того, что злонамеренные изменения в загрузочных компонентах останутся незамеченными, измеренную загрузку следует использовать на рабочих станциях, которые ее поддерживают.Многофакторная аутентификация
Поскольку привилегированные учетные данные часто позволяют пользователям обходить функции безопасности, установленные для защиты рабочих станций, и уязвимы для приложений регистрации ключей, важно, чтобы они были надлежащим образом защищены от взлома. Кроме того, злоумышленник, который перехватывает хэши паролей, может получить доступ к рабочим станциям, если многофакторная аутентификация не реализована. Чтобы снизить этот риск, следует использовать аппаратную многофакторную аутентификацию для пользователей, когда они выполняют привилегированное действие или получают доступ к любым важным или конфиденциальным репозиториям данных.Для получения дополнительной информации о том, как эффективно реализовать многофакторную аутентификацию.
Архитектура операционной системы
Версии x64 (64-битные) Microsoft Windows включают дополнительные функции безопасности, которых нет в x86 (32-битных) версиях. Это включает встроенную аппаратную поддержку ядра Data Execution Prevention (DEP), защиту ядра от исправлений (PatchGuard), обязательную подпись драйверов устройства и отсутствие поддержки вредоносных 32-разрядных драйверов. Использование x86 (32-битных) версий Microsoft Windows дает организациям возможность использовать методы, которые смягчаются x64 (64-битными) версиями Microsoft Windows. Чтобы снизить этот риск, на рабочих станциях следует использовать x64 (64-разрядные) версии Microsoft Windows.Исправление операционной системы
Патчи выпускаются либо в ответ на ранее обнаруженные уязвимости безопасности, либо для упреждающего устранения уязвимостей безопасности, которые еще не были публично раскрыты. В случае обнаружения уязвимостей в системе безопасности возможно, что эксплойты уже разработаны и находятся в свободном доступе в обычных хакерских инструментах. В случае исправлений для уязвимостей безопасности, которые еще не были публично раскрыты, противнику относительно легко использовать свободно доступные инструменты для определения исправляемой уязвимости безопасности и разработки соответствующего эксплойта. Это действие можно выполнить менее чем за один день, что привело к увеличению числа однодневных приступов. Чтобы снизить этот риск, необходимо централизованно управлять исправлениями операционной системы и обновлениями драйверов.Внесение исправлений в операционную систему можно осуществить с помощью Microsoft Endpoint Configuration Manager [18] или Microsoft Windows Server Update Services (WSUS) [19], а также функции Wake-on-LAN для облегчения исправлений вне основного рабочего времени. Однако, чтобы предотвратить потерю несохраненной работы, пользователям следует рекомендовать отключать свои рабочие станции в конце каждого дня.
Для получения дополнительной информации об определении серьезности уязвимостей безопасности и сроках применения исправлений.
Следующие параметры групповой политики могут быть реализованы для обеспечения исправления операционных систем.
| Настройка групповой политики | Рекомендуемый вариант |
| Конфигурация компьютера \ Политики \ Административные шаблоны \ Компоненты Windows \ Центр обновления Windows | � |
| Разрешить немедленную установку автоматических обновлений | Включено |
| Настроить автоматические обновления | Включено Настройте автоматическое обновление: 4 - Автоматическая загрузка и планирование установки День установки расписания: 0 - каждый день |
| Включение управления питанием Центра обновления Windows для автоматического пробуждения системы для установки обновлений по расписанию | Включено |
| Нет автоматического перезапуска с авторизованными пользователями для запланированных автоматических установок обновлений | Выключено |
| Включите рекомендуемые обновления с помощью автоматического обновления | Включено |
| Настройка групповой политики | Рекомендуемый вариант |
| Конфигурация компьютера \ Политики \ Административные шаблоны \ Компоненты Windows \ Центр обновления Windows | � |
| Укажите расположение службы обновлений Майкрософт в интрасети | Включено Настройте службу обновлений интрасети для обнаружения обновлений: <сервер: порт> |
Версия операционной системы
В Microsoft Windows 10 улучшены функции безопасности по сравнению с предыдущими версиями Microsoft Windows [21]. Это затруднило злоумышленнику создание надежных эксплойтов для обнаруженных им уязвимостей. Использование более старых версий Microsoft Windows дает организациям возможность использовать методы, которые с тех пор были смягчены в новых версиях Microsoft Windows. Чтобы снизить этот риск, на рабочих станциях следует использовать последнюю версию Microsoft Windows 10.Политика паролей
Использование слабых паролей, таких как восьмизначные пароли без сложности, может позволить их подобрать в течение нескольких минут с помощью приложений, свободно доступных в Интернете. Чтобы снизить этот риск, следует внедрить политику безопасных паролей.Следующие параметры групповой политики могут быть реализованы для обеспечения безопасной политики однофакторных паролей. Обратите внимание, что параметры групповой политики для паролей, используемых как часть многофакторной аутентификации, могут не быть такими строгими (например, длина 6 символов без сложности).
| Настройка групповой политики | Рекомендуемый вариант |
| Конфигурация компьютера \ Политики \ Административные шаблоны \ Система \ Вход в систему | � |
| Отключить вход с помощью пароля с помощью изображения | Включено |
| Включите вход с помощью PIN-кода | Выключено |
| Конфигурация компьютера \ Политики \ Параметры Windows \ Параметры безопасности \ Политики учетной записи \ Политика паролей | � |
| Максимальный возраст пароля | 365 дней |
| Минимальная длина пароля | 14 символов |
| Пароль должен соответствовать требованиям сложности | Включено |
| Храните пароли с использованием обратимого шифрования | Выключено |
| Конфигурация компьютера \ Политики \ Параметры Windows \ Параметры безопасности \ Локальные политики \ Параметры безопасности | � |
| Учетные записи: ограничение использования пустых паролей в локальной учетной записи только для входа в консоль | Включено |
Ограничение привилегированных учетных записей
Предоставление пользователям привилегированной учетной записи для повседневного использования создает риск того, что они будут использовать эту учетную запись для внешнего доступа к Интернету и электронной почте. Это вызывает особую озабоченность, поскольку привилегированные пользователи могут выполнять вредоносный код с привилегированным доступом, а не со стандартным доступом. Чтобы снизить этот риск, пользователям, которым не требуется привилегированный доступ, не следует предоставлять привилегированные учетные записи, в то время как пользователи, которым требуется привилегированный доступ, должны иметь отдельные стандартные и привилегированные учетные записи с разными учетными данными. Кроме того, для любых используемых привилегированных учетных записей должен быть заблокирован доступ к внешней сети и электронной почте.Для получения дополнительной информации об использовании привилегированных учетных записей и минимизации их использования.
Безопасная загрузка
Еще один метод сохранения устойчивости и предотвращения обнаружения вредоносного кода - замена загрузчика по умолчанию для Microsoft Windows вредоносной версией. В таких случаях вредоносный загрузчик запускается во время загрузки и загружает Microsoft Windows без каких-либо указаний на его присутствие. Такие вредоносные загрузчики чрезвычайно сложно обнаружить и могут использоваться для сокрытия вредоносного кода на рабочих станциях. Чтобы снизить этот риск, следует использовать материнские платы с функцией безопасной загрузки. Безопасная загрузка, компонент надежной загрузки, - это функция безопасности, поддерживаемая Microsoft Windows 8.1 и материнскими платами с UEFI. Безопасная загрузка работает, проверяя во время загрузки, что загрузчик подписан и соответствует подписанному Microsoft сертификату, хранящемуся в UEFI. Если подписи сертификатов совпадают, загрузчику разрешено запускаться,Структурированная обработка исключений Защита от перезаписи
Без защиты от перезаписи структурированной обработки исключений (SEHOP) злоумышленник может использовать методы перезаписи обработчика структурированных исключений для выполнения вредоносного кода на рабочей станции. По умолчанию SEHOP отключен в строке рабочего стола Microsoft Windows. Чтобы снизить этот риск, необходимо включить SEHOP для всех приложений.SEHOP можно включить с помощью набора Enhanced Mitigation Experience Toolkit от Microsoft [23], чтобы установить для SEHOP значение Always On, или путем реализации следующей записи реестра с помощью настроек групповой политики.
| Запись в реестре | Рекомендуемое значение |
| HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Session Manager \ ядро | � |
| DisableExceptionChainValidation | REG_DWORD 0x00000000 (0) |
Средние приоритеты
Следующие рекомендации, перечисленные в алфавитном порядке, следует рассматривать как средний приоритет при усилении защиты рабочих станций Microsoft Windows 8.1.Политика блокировки учетной записи
Разрешение неограниченных попыток доступа к рабочим станциям не предотвратит попытки злоумышленника использовать меры аутентификации методом грубой силы. Чтобы снизить этот риск, учетные записи должны быть заблокированы после определенного количества недействительных попыток аутентификации. Порог блокировки учетных записей не обязательно должен быть чрезмерно ограничительным, чтобы быть эффективным. Например, порог в 5 неправильных попыток с периодом сброса счетчика блокировки в 15 минут предотвратит любую попытку грубой силы, при этом маловероятно, что законный пользователь случайно введет свой пароль неправильно несколько раз.Следующие параметры групповой политики могут быть реализованы для достижения разумной политики блокировки.
| Настройка групповой политики | Рекомендуемый вариант |
| Конфигурация компьютера \ Политики \ Параметры Windows \ Параметры безопасности \ Политики учетной записи \ Политика блокировки учетной записи | � |
| Продолжительность блокировки учетной записи | 0 |
| Порог блокировки учетной записи | 5 неверных попыток входа в систему |
| Сбросить счетчик блокировки учетной записи после | 15 минут |
Анонимные связи
Злоумышленник может использовать анонимные соединения для сбора информации о состоянии рабочих станций. Информация, которая может быть собрана из анонимных подключений (т.е. с помощью команды net use для подключения к общему ресурсу IPC $), может включать списки пользователей и групп, идентификаторы безопасности для учетных записей, списки общих ресурсов, политики рабочих станций, версии операционной системы и уровни исправлений. Чтобы снизить этот риск, следует отключить анонимные подключения к рабочим станциям.Следующие параметры групповой политики могут быть реализованы для отключения использования анонимных подключений.
| Настройка групповой политики | Рекомендуемый вариант |
| Конфигурация компьютера \ Политики \ Параметры Windows \ Параметры безопасности \ Локальные политики \ Параметры безопасности | � |
| Доступ к сети: разрешить анонимный перевод SID / имени | Выключено |
| Доступ к сети: запретить анонимное перечисление учетных записей SAM | Включено |
| Доступ к сети: не разрешать анонимное перечисление учетных записей и общих ресурсов SAM | Включено |
| Доступ к сети: разрешить всем доступ к анонимным пользователям | Выключено |
| Доступ к сети: ограничение анонимного доступа к именованным каналам и общим ресурсам | Включено |
| Сетевая безопасность: разрешить локальной системе использовать удостоверение компьютера для NTLM | Включено |
| Сетевая безопасность: разрешить откат сеанса LocalSystem NULL | Выключено |
| Конфигурация компьютера \ Политики \ Параметры Windows \ Параметры безопасности \ Локальные политики \ Назначение прав пользователя | � |
| Доступ к этому компьютеру из сети | Администраторы Пользователи удаленного рабочего стола |
| Запретить доступ к этому компьютеру из сети | NT AUTHORITY \ Локальная учетная запись |
Антивирусное программное обеспечение
Злоумышленник может разработать вредоносный код для использования уязвимостей в программном обеспечении, которые не были обнаружены и не исправлены поставщиками во время тестирования. Поскольку на разработку работоспособных и надежных эксплойтов часто уходит много времени и усилий, злоумышленник часто повторно использует свои эксплойты в максимально возможной степени, прежде чем его заставят разрабатывать новые. Чтобы снизить этот риск, следует внедрить приложения безопасности конечных точек с функцией антивируса на основе сигнатур. При этом подписи следует обновлять, по крайней мере, ежедневно.Хотя использование антивирусных функций на основе сигнатур может помочь в снижении риска, они эффективны только тогда, когда определенный фрагмент вредоносного кода уже профилирован и сигнатуры актуальны. Злоумышленник может создавать варианты известного вредоносного кода или разрабатывать новый невидимый вредоносный код, чтобы обойти традиционные механизмы обнаружения на основе сигнатур. Чтобы снизить этот риск, также должны быть реализованы приложения безопасности конечных точек с функцией предотвращения вторжений на основе хоста (с использованием эвристики для выявления и блокировки злонамеренного поведения). При этом эвристическая функциональность должна быть установлена на самом высоком доступном уровне.
Менеджер вложений
Диспетчер вложений в Microsoft Windows работает вместе с такими приложениями, как пакет Microsoft Office и Internet Explorer, чтобы защитить рабочие станции от вложений, полученных по электронной почте или загруженных из Интернета. Менеджер вложений классифицирует файлы как файлы с высоким, средним или низким уровнем риска в зависимости от зоны, из которой они были созданы, и типа файла. В зависимости от риска для рабочей станции диспетчер вложений либо выдаст предупреждение пользователю, либо запретит ему открыть файл. Если информация о зоне не сохраняется или может быть удалена, это может позволить злоумышленнику социально спроектировать пользователя для обхода защиты, предоставляемой диспетчером вложений. Чтобы снизить этот риск, диспетчер вложений должен быть настроен на сохранение и защиту информации о зонах для файлов.Следующие параметры групповой политики могут быть реализованы для обеспечения сохранения и защиты информации о зоне, связанной с вложениями.
| Настройка групповой политики | Рекомендуемый вариант |
| Конфигурация пользователя \ Политики \ Административные шаблоны \ Компоненты Windows \ Диспетчер вложений | � |
| Не сохранять информацию о зоне во вложенных файлах | Выключено |
| Скрыть механизмы удаления информации о зоне | Включено |
Управление событиями аудита
Неспособность захватить и проанализировать связанные с безопасностью события аудита с рабочих станций может привести к тому, что вторжения останутся незамеченными. Кроме того, отсутствие такой информации может существенно затруднить расследование инцидентов, связанных с безопасностью. Чтобы снизить этот риск, события аудита, связанные с безопасностью, с рабочих станций должны фиксироваться и регулярно анализироваться.Следующие параметры групповой политики могут быть реализованы для обеспечения надлежащего захвата событий аудита, связанных с безопасностью.
| Настройка групповой политики | Рекомендуемый вариант |
| Конфигурация компьютера \ Политики \ Административные шаблоны \ Система \ Создание процесса аудита | � |
| Включить командную строку в события создания процесса | Включено |
| Конфигурация компьютера \ Политики \ Административные шаблоны \ Компоненты Windows \ Служба журнала событий \ Приложение | � |
| Укажите максимальный размер файла журнала (КБ) | Включено Максимальный размер журнала (КБ): 65536 |
| Конфигурация компьютера \ Политики \ Административные шаблоны \ Компоненты Windows \ Служба журнала событий \ Безопасность | � |
| Укажите максимальный размер файла журнала (КБ) | Включено Максимальный размер журнала (КБ): 2097152 |
| Конфигурация компьютера \ Политики \ Административные шаблоны \ Компоненты Windows \ Служба журнала событий \ Система | � |
| Укажите максимальный размер файла журнала (КБ) | Включено Максимальный размер журнала (КБ): 65536 |
| Конфигурация компьютера \ Политики \ Параметры Windows \ Параметры безопасности \ Локальные политики \ Назначение прав пользователя | � |
| Управление журналом аудита и безопасности | Администраторы |
| Настройка групповой политики | Рекомендуемый вариант |
| Конфигурация компьютера \ Политики \ Параметры Windows \ Параметры безопасности \ Конфигурация расширенной политики аудита \ Политики аудита \ Управление учетной записью | � |
| Аудит управления учетной записью компьютера | Успех и неудача |
| Аудит других событий управления учетной записью | Успех и неудача |
| Аудит управления группой безопасности | Успех и неудача |
| Аудит управления учетными записями пользователей | Успех и неудача |
| Конфигурация компьютера \ Политики \ Параметры Windows \ Параметры безопасности \ Конфигурация расширенной политики аудита \ Политики аудита \ Подробное отслеживание | � |
| Создание процесса аудита | Успех |
| Прекращение процесса аудита | Успех |
| Конфигурация компьютера \ Политики \ Параметры Windows \ Параметры безопасности \ Конфигурация расширенной политики аудита \ Политики аудита \ Вход в систему / Выход | � |
| Аудит блокировки учетной записи | Неудача |
| Аудит выхода из системы | Успех |
| Аудит входа в систему | Успех и неудача |
| Аудит других событий входа / выхода | Успех и неудача |
| Аудит специального входа в систему | Успех и неудача |
| Конфигурация компьютера \ Политики \ Параметры Windows \ Параметры безопасности \ Конфигурация расширенной политики аудита \ Политики аудита \ Доступ к объектам | � |
| Аудит общего доступа к файлам | Успех и неудача |
| Аудит файловой системы | Успех и неудача |
| Аудит объекта ядра | Успех и неудача |
| Аудит других событий доступа к объектам | Успех и неудача |
| Реестр аудита | Успех и неудача |
| Конфигурация компьютера \ Политики \ Параметры Windows \ Параметры безопасности \ Конфигурация расширенной политики аудита \ Политики аудита \ Изменение политики | � |
| Аудит Изменение Политики Аудита | Успех и неудача |
| Аудит других изменений политики | Успех и неудача |
| Конфигурация компьютера \ Политики \ Параметры Windows \ Параметры безопасности \ Конфигурация расширенной политики аудита \ Политики аудита \ Система | � |
| Аудит целостности системы | Успех и неудача |
| Конфигурация компьютера \ Политики \ Параметры Windows \ Параметры безопасности \ Локальные политики \ Параметры безопасности | � |
| Аудит: принудительно настроить параметры подкатегории политики аудита (Windows Vista или более поздней версии), чтобы переопределить параметры категории политики аудита. | Включено |
Автозапуск и автозапуск
Если этот параметр включен, автозапуск автоматически начинает чтение с диска или источника мультимедиа, как только он используется с рабочей станцией, в то время как команды автозапуска, обычно в файле autorun.inf на носителе, могут использоваться для автоматического выполнения любого файла на носителе. без взаимодействия с пользователем. Эта функция может использоваться злоумышленником для автоматического выполнения вредоносного кода. Чтобы снизить этот риск, следует отключить функции автозапуска и автозапуска.Следующие параметры групповой политики могут быть реализованы для отключения функций автозапуска и автозапуска.
| Настройка групповой политики | Рекомендуемый вариант |
| Конфигурация компьютера \ Политики \ Административные шаблоны \ Компоненты Windows \ Политики автозапуска | � |
| Запретить автозапуск для устройств без громкости | Включено |
| Установите поведение по умолчанию для автозапуска | Включено Поведение автозапуска по умолчанию: не выполнять никаких команд автозапуска |
| Отключить автозапуск | Включено Выключить автозапуск: все диски |
Пароли BIOS и UEFI
Злоумышленник, имеющий доступ к базовой системе ввода-вывода (BIOS) рабочей станции или UEFI, может изменить конфигурацию оборудования рабочей станции, чтобы ввести векторы атак или ослабить функции безопасности в операционной системе рабочей станции. Это может включать отключение функций безопасности в ЦП, изменение разрешенных загрузочных устройств и включение небезопасных интерфейсов связи, таких как FireWire и Thunderbolt. Чтобы снизить этот риск, для предотвращения несанкционированного доступа на всех рабочих станциях следует использовать надежные пароли BIOS и UEFI.Загрузочные устройства
По умолчанию рабочие станции часто настраиваются на загрузку с оптических носителей или даже с USB-носителей, а не с жестких дисков. Злоумышленник, имеющий физический доступ к таким рабочим станциям, может загрузиться со своего собственного носителя, чтобы получить доступ к содержимому жестких дисков. Имея этот доступ, злоумышленник может сбросить пароли локальных учетных записей пользователей или получить доступ к локальной базе данных SAM для кражи хэшей паролей для попыток взлома методом грубой силы в автономном режиме. Чтобы снизить этот риск, рабочие станции должны загружаться только с указанного основного системного диска.Мостовые сети
Когда рабочие станции имеют несколько сетевых интерфейсов, таких как интерфейс Ethernet и беспроводной интерфейс, можно установить мост между подключенными сетями. Например, при использовании интерфейса Ethernet для подключения к проводной сети организации и беспроводного интерфейса для подключения к другой сети, не контролируемой организацией, например к общедоступной беспроводной точке доступа. Когда между такими сетями создаются мосты, злоумышленник может получить прямой доступ к проводной сети из беспроводной сети для извлечения конфиденциальной информации. Чтобы снизить этот риск, необходимо отключить возможность установки и настройки сетевых мостов между разными сетями. Это не помешает злоумышленнику взломать рабочую станцию через беспроводную сеть и затем использовать вредоносное программное обеспечение в качестве средства для косвенного доступа к проводной сети.Следующие параметры групповой политики могут быть реализованы для отключения возможности установки и настройки сетевых мостов.
| Настройка групповой политики | Рекомендуемый вариант |
| Конфигурация компьютера \ Политики \ Административные шаблоны \ Сеть \ Сетевые подключения | � |
| Запретить установку и настройку сетевого моста в доменной сети DNS. | Включено |
| Маршрутизация всего трафика через внутреннюю сеть | Включено Выберите одно из следующих состояний: Включенное состояние |
| Конфигурация компьютера \ Политики \ Административные шаблоны \ Сеть \ Диспетчер подключений Windows | � |
| Запретить подключение к недоменным сетям при подключении к сети с проверкой подлинности домена | Включено |
Встроенные гостевые учетные записи
Когда используются встроенные гостевые учетные записи, это может позволить злоумышленнику войти на рабочую станцию по сети без предварительного взлома законных учетных данных пользователя. Чтобы снизить этот риск, необходимо отключить встроенные гостевые учетные записи.Следующие параметры групповой политики могут быть реализованы для отключения и переименования встроенных гостевых учетных записей.
| Настройка групповой политики | Рекомендуемый вариант |
| Конфигурация компьютера \ Политики \ Параметры Windows \ Параметры безопасности \ Локальные политики \ Параметры безопасности | � |
| Учетные записи: статус гостевой учетной записи | Выключено |
Доступ к записывающему устройству компакт-дисков
Если включена функция записи компакт-дисков и на рабочих станциях установлены устройства записи компакт-дисков, злоумышленник может попытаться украсть конфиденциальную информацию, записав ее на компакт-диск. Чтобы снизить этот риск, пользователи не должны иметь доступа к функциям записи компакт-дисков, за исключением случаев, когда это явно требуется.Следующий параметр групповой политики может быть реализован для предотвращения доступа к функциям записи компакт-дисков, хотя, поскольку этот параметр групповой политики запрещает доступ только к собственным функциям записи компакт-дисков в Microsoft Windows, пользователям также следует запретить установку сторонних приложений для записи компакт-дисков. В качестве альтернативы на рабочих станциях можно использовать устройства чтения компакт-дисков вместо устройств записи компакт-дисков.
| Настройка групповой политики | Рекомендуемый вариант |
| Конфигурация пользователя \ Политики \ Административные шаблоны \ Компоненты Windows \ Проводник | � |
| Удаление функций записи компакт-дисков | Включено |
Централизованная регистрация событий аудита
Хранение журналов событий аудита на рабочих станциях создает риск того, что злоумышленник может попытаться изменить или удалить эти журналы во время вторжения, чтобы замести следы. Кроме того, невозможность централизованного ведения журнала событий аудита снизит видимость событий аудита на всех рабочих станциях, предотвратит корреляцию событий аудита и повысит сложность любых расследований после инцидентов безопасности. Чтобы снизить этот риск, журналы событий аудита с рабочих станций должны быть перенесены на защищенный центральный сервер журналов.Командная строка
Злоумышленник, получивший доступ к рабочей станции, может использовать командную строку для выполнения встроенных инструментов Microsoft Windows для сбора информации о рабочей станции или домене, а также для планирования выполнения вредоносного кода на других рабочих станциях в сети. Чтобы снизить этот риск, пользователи не должны иметь доступа к командной строке или возможности выполнять командные файлы и сценарии. Если существует законное бизнес-требование, позволяющее пользователям выполнять командные файлы (например, файлы cmd и bat); запускать сценарии пакетного файла для входа, выхода, запуска или завершения работы; или используйте службы удаленных рабочих столов, этот риск необходимо принять.Следующий параметр групповой политики может быть реализован для предотвращения доступа к командной строке и функциям обработки сценариев.
| Настройка групповой политики | Рекомендуемый вариант |
| Конфигурация пользователя \ Политики \ Административные шаблоны \ Система | � |
| Запретить доступ к командной строке | Включено Также отключите обработку сценария командной строки: Да |
Прямой доступ к памяти
Интерфейсы связи, использующие прямой доступ к памяти (DMA), могут позволить злоумышленнику, имеющему физический доступ к рабочей станции, получить прямой доступ к содержимому памяти рабочей станции. Это можно использовать для чтения конфиденциального содержимого, такого как криптографические ключи, или для записи вредоносного кода непосредственно в память. Чтобы снизить этот риск, следует отключить интерфейсы связи, поддерживающие DMA (например, FireWire и Thunderbolt). Это может быть достигнуто либо физически (например, с помощью эпоксидной смолы), либо с помощью программных элементов управления [24] (например, отключение функциональности в BIOS или UEFI; удаление драйвера SBP-2 и отключение контроллеров FireWire и Thunderbolt; или использование защиты конечной точки. решение).Следующие параметры групповой политики могут быть реализованы для удаления драйвера SBP-2, а также для отключения контроллеров FireWire и Thunderbolt.
| Настройка групповой политики | Рекомендуемый вариант |
| Конфигурация компьютера \ Политики \ Административные шаблоны \ Система \ Установка устройства \ Ограничения на установку устройства | � |
| Запретить установку устройств, соответствующих любому из этих идентификаторов устройств | Включено Запретить установку устройств, соответствующих любому из этих идентификаторов устройств: PCI \ CC_0C0010, PCI \ CC_0C0A Также применимо к подходящим устройствам, которые уже установлены. |
| Запретить установку устройств с помощью драйверов, соответствующих этим классам настройки устройств. | Включено Запретить установку устройств с помощью драйверов для этих классов настройки устройств: {d48179be-ec20-11d1-b6b8-00c04fa372a7} Также применимо к подходящим устройствам, которые уже установлены. |
Контроль конечных устройств
Злоумышленник, имеющий физический доступ к рабочей станции, может попытаться подключить неавторизованный USB-носитель или другие устройства с функцией запоминающего устройства (например, смартфоны, цифровые музыкальные плееры или камеры), чтобы способствовать заражению вредоносным кодом или несанкционированному копированию конфиденциальной информации. Чтобы снизить этот риск, следует надлежащим образом реализовать функцию управления конечными устройствами, чтобы контролировать использование всех съемных запоминающих устройств.Следующий параметр групповой политики может быть реализован для отключения использования съемных запоминающих устройств.
| Настройка групповой политики | Рекомендуемый вариант |
| Конфигурация компьютера \ Политики \ Административные шаблоны \ Система \ Доступ к съемному хранилищу | � |
| Все классы съемных носителей: запретить любой доступ | Включено |
Следующие параметры групповой политики предоставляют пример реализации, которая позволяет считывать данные, но не выполнять их или записывать на все классы съемных устройств хранения.
| Настройка групповой политики | Рекомендуемый вариант |
| Конфигурация компьютера \ Политики \ Административные шаблоны \ Система \ Доступ к съемному хранилищу | � |
| CD и DVD: запретить доступ на выполнение | Включено |
| CD и DVD: запретить доступ для чтения | Выключено |
| CD и DVD: запретить запись | Включено |
| Пользовательские классы: запретить доступ для чтения | Выключено |
| Пользовательские классы: запретить доступ для записи | Включено |
| Дисководы: запретить доступ на выполнение | Включено |
| Дисководы: запретить чтение | Выключено |
| Флоппи-дисководы: запретить доступ для записи | Включено |
| Съемные диски: запретить доступ на выполнение | Включено |
| Съемные диски: запретить доступ для чтения | Выключено |
| Съемные диски: запретить доступ для записи | Включено |
| Ленточные накопители: запретить доступ для выполнения | Включено |
| Ленточные накопители: запретить доступ для чтения | Выключено |
| Ленточные накопители: запретить доступ для записи | Включено |
| Устройства WPD: запретить доступ для чтения | Выключено |
| Устройства WPD: запретить доступ на запись | Включено |
Совместное использование файлов и печати
Совместное использование файлов пользователями со своих рабочих станций может привести к отсутствию соответствующих средств контроля доступа, применяемых к конфиденциальной информации, и к возможности распространения вредоносного кода, если общие файловые ресурсы имеют доступ для чтения и записи. Чтобы снизить этот риск, следует отключить локальный общий доступ к файлам и принтерам. В идеале конфиденциальная информация должна управляться централизованно (например, в общей сетевой папке с соответствующими средствами контроля доступа). Отключение общего доступа к файлам и принтерам не повлияет на возможность пользователя получить доступ к общим дискам и принтерам в сети.Следующие параметры групповой политики могут быть реализованы для предотвращения доступа пользователей к файлам.
| Настройка групповой политики | Рекомендуемый вариант |
| Конфигурация компьютера \ Политики \ Административные шаблоны \ Компоненты Windows \ Домашняя группа | � |
| Запретить компьютеру присоединиться к домашней группе | Включено |
| Конфигурации пользователя \ Политики \ Административные шаблоны \ Компоненты Windows \ Общий доступ к сети | � |
| Запретить пользователям делиться файлами в своем профиле. | Включено |
Обработка групповой политики
Если полагаться на то, что пользователи задают параметры групповой политики для своих рабочих станций, пользователи могут непреднамеренно неправильно настроить или отключить функции безопасности без учета воздействия на состояние безопасности рабочей станции. В качестве альтернативы злоумышленник может использовать это, чтобы отключить любые параметры локальной групповой политики, которые препятствуют их усилиям по извлечению конфиденциальной информации. Чтобы снизить этот риск, все параметры групповой политики, связанные с аудитом, правами пользователей и безопасностью, должны быть указаны для рабочих станций на уровне подразделения или домена. Чтобы гарантировать, что эти политики не ослаблены, следует также отключить поддержку параметров локальной групповой политики.Следующие параметры групповой политики могут быть реализованы, чтобы гарантировать получение и применение к рабочим станциям только параметров групповой политики на основе домена безопасным способом.
| Настройка групповой политики | Рекомендуемый вариант |
| Конфигурация компьютера \ Политики \ Административные шаблоны \ Сеть \ Сетевой провайдер | � |
| Укрепленные пути UNC | Включено Защищенные пути UNC: \\ * \ SYSVOL RequireMutualAuthentication = 1, RequireIntegrity = 1 \\ * \ NETLOGON RequireMutualAuthentication = 1, RequireIntegrity = 1 |
| Конфигурация компьютера \ Политики \ Административные шаблоны \ Система \ Групповая политика | � |
| Настроить обработку политики реестра | Включено Обработка, даже если объекты групповой политики не изменились |
| Настроить обработку политики безопасности | Включено Обработка, даже если объекты групповой политики не изменились |
| Отключить фоновое обновление групповой политики | Выключено |
| Отключить обработку объектов локальной групповой политики | Включено |
Шифрование жесткого диска
Злоумышленник, имеющий физический доступ к рабочей станции, может использовать загрузочный CD / DVD или USB-носитель для загрузки своей собственной операционной среды. Из этой среды они могут получить доступ к локальной файловой системе для получения доступа к конфиденциальной информации или к базе данных SAM для доступа к хэшам паролей. Кроме того, злоумышленник, получивший доступ к украденному или не продезинфицированному жесткому диску, должен будет восстановить его содержимое при подключении к другому компьютеру, на котором он имеет административный доступ и может стать владельцем файлов. Чтобы снизить этот риск, следует использовать полное шифрование диска AES для защиты содержимого жестких дисков от несанкционированного доступа.Если используется Microsoft BitLocker, должны быть реализованы следующие параметры групповой политики.
| Настройка групповой политики | Рекомендуемый вариант |
| Конфигурация компьютера \ Политики \ Административные шаблоны \ Компоненты Windows \ Шифрование диска BitLocker | � |
| Выберите метод шифрования диска и надежность шифра | Включено Выберите метод шифрования: AES 128 бит |
| Предотвратить перезапись памяти при перезапуске | Выключено |
| Конфигурация компьютера \ Политики \ Административные шаблоны \ Компоненты Windows \ Шифрование диска BitLocker \ Фиксированные диски с данными | � |
| Выберите способ восстановления фиксированных дисков, защищенных BitLocker | Включено Разрешить агент восстановления данных Настройте пользовательское хранилище информации для восстановления BitLocker: Разрешить 48-значный пароль восстановления Разрешить 256-битный ключ восстановления Отключите параметры восстановления из мастера установки BitLocker Сохранение информации для восстановления BitLocker в AD DS для фиксированных дисков с данными Настройка хранения информации для восстановления BitLocker в AD DS: резервное копирование паролей восстановления и пакетов ключей Не включайте BitLocker, пока информация для восстановления не будет сохранена в AD DS для фиксированных дисков с данными. |
| Настроить использование паролей для фиксированных дисков с данными | Включено Требовать пароль для фиксированного диска с данными Настройка сложности пароля для фиксированных дисков с данными: Требовать сложность пароля Минимальная длина пароля для фиксированного диска с данными: 14 |
| Запретить запись на фиксированные диски, не защищенные BitLocker | Включено |
| Применять тип шифрования диска на фиксированных дисках с данными | Включено Выберите тип шифрования: полное шифрование |
| Конфигурация компьютера \ Политики \ Административные шаблоны \ Компоненты Windows \ Шифрование диска BitLocker \ Диски операционной системы | � |
| Разрешить расширенные ПИН-коды для запуска | Включено |
| Разрешить разблокировку сети при запуске | Включено |
| Разрешить безопасную загрузку для проверки целостности | Включено |
| Выберите способ восстановления дисков операционной системы, защищенных BitLocker | Включено Разрешить агент восстановления данных Настройте пользовательское хранилище информации для восстановления BitLocker: Разрешить 48-значный пароль восстановления Разрешить 256-битный ключ восстановления Отключите параметры восстановления из мастера установки BitLocker Сохранение информации для восстановления BitLocker в AD DS для дисков операционной системы Настройка хранения информации для восстановления BitLocker в AD DS: Хранение паролей восстановления и пакетов ключей Не включайте BitLocker, пока информация для восстановления не будет сохранена в AD DS для дисков операционной системы. |
| Настройте минимальную длину ПИН-кода для запуска | Включено Минимальное количество символов: 14 |
| Настроить использование паролей для дисков операционной системы | Включено Настройка сложности пароля для дисков операционной системы: требовать сложность пароля Минимальная длина пароля для диска с операционной системой: 14 |
| Запретить обычным пользователям изменять PIN-код или пароль | Выключено |
| Применить тип шифрования диска на дисках операционной системы | Включено Выберите тип шифрования: полное шифрование |
| Требовать дополнительную аутентификацию при запуске | Включено Разрешить BitLocker без совместимого TPM (требуется пароль или ключ запуска на USB-накопителе) Настройки для компьютеров с TPM Настроить запуск TPM: не разрешать TPM Настройка ПИН-кода запуска TPM: разрешить ПИН-код запуска с помощью TPM Настроить ключ запуска TPM: разрешить ключ запуска с TPM Настроить ключ запуска и ПИН-код TPM: разрешить ключ запуска и ПИН-код с TPM |
| Сбросить данные проверки платформы после восстановления BitLocker | Включено |
| Конфигурация компьютера \ Политики \ Административные шаблоны \ Компоненты Windows \ Шифрование диска BitLocker \ Съемные диски с данными | � |
| Выберите способ восстановления съемных дисков, защищенных BitLocker | Включено Разрешить агент восстановления данных Настройте пользовательское хранилище информации для восстановления BitLocker: Разрешить 48-значный пароль восстановления Разрешить 256-битный ключ восстановления Отключите параметры восстановления из мастера установки BitLocker Сохранение информации для восстановления BitLocker в AD DS для съемных дисков с данными Настройка хранения информации для восстановления BitLocker в AD DS: резервное копирование паролей восстановления и пакетов ключей Не включайте BitLocker, пока информация для восстановления не будет сохранена в AD DS для съемных дисков с данными. |
| Настроить использование паролей для съемных дисков с данными | Включено Требовать пароль для съемного диска с данными Настройка сложности пароля для съемных дисков с данными: Требовать сложность пароля Минимальная длина пароля для съемного диска с данными: 14 |
| Контроль использования BitLocker на съемных дисках | Включено Разрешить пользователям применять защиту BitLocker на съемных дисках с данными |
| Запретить запись на съемные диски, не защищенные BitLocker | Включено |
| Применять тип шифрования диска на съемных дисках с данными | Включено Выберите тип шифрования: полное шифрование |
| Конфигурация компьютера \ Политики \ Параметры Windows \ Параметры безопасности \ Политики учетной записи \ Политика блокировки учетной записи | � |
| Интерактивный вход: порог блокировки учетной записи компьютера | 10 |
Установка приложений и драйверов
Хотя возможность установки приложений может быть бизнес-требованием для пользователей, эта привилегия может быть использована злоумышленником. Злоумышленник может отправить вредоносное приложение по электронной почте или разместить вредоносное приложение на взломанном веб-сайте и использовать методы социальной инженерии, чтобы убедить пользователей установить приложение на свою рабочую станцию. Даже если для установки приложений требуется привилегированный доступ, пользователи будут использовать свой привилегированный доступ, если они верят или могут быть уверены в том, что требование установки приложения является законным. Кроме того, если приложения настроены для установки с использованием повышенных прав, злоумышленник может воспользоваться этим, создав установочный пакет Windows Installer для создания новой учетной записи, принадлежащей к локальной встроенной группе администраторов, или для установки вредоносного приложения. В качестве альтернативы, злоумышленник может попытаться установить драйверы, не относящиеся к системе, чтобы внести уязвимости в систему безопасности. Чтобы снизить этот риск, следует строго контролировать установку всех приложений и драйверов.Следующие параметры групповой политики могут быть реализованы для управления установкой приложений и драйверов.
| Настройка групповой политики | Рекомендуемый вариант |
| Конфигурация компьютера \ Политики \ Административные шаблоны \ Компоненты Windows \ Проводник | � |
| Настроить Windows SmartScreen | Включено Требовать одобрения администратора перед запуском загруженного неизвестного программного обеспечения |
| Конфигурация компьютера \ Политики \ Административные шаблоны \ Компоненты Windows \ Установщик Windows | � |
| Разрешить пользователю контролировать установки | Выключено |
| Всегда устанавливайте с повышенными привилегиями | Выключено |
| Конфигурация компьютера \ Политики \ Параметры Windows \ Параметры безопасности \ Локальные политики \ Параметры безопасности | � |
| Устройства: запретить пользователям устанавливать драйверы принтера. | Включено |
| Конфигурация пользователя \ Политики \ Административные шаблоны \ Компоненты Windows \ Установщик Windows | � |
| Всегда устанавливайте с повышенными привилегиями | Выключено |
Списки Legacy и Run Once
После того, как вредоносный код был скопирован на рабочую станцию, злоумышленник с доступом к реестру может удаленно запланировать его выполнение (т. Е. Использовать список однократного выполнения) или автоматически запускать каждый раз при запуске Microsoft Windows (т. Е. Используя устаревший список выполнения). Чтобы снизить этот риск, следует отключить устаревшие списки и списки для однократного запуска. Это может помешать работе законных приложений, которые должны автоматически запускаться при каждом запуске Microsoft Windows. В таких случаях параметр групповой политики « Запускать эти программы при входе пользователя в систему » может использоваться для выполнения той же функции более безопасным способом, если он определен на уровне домена; однако, если этот параметр групповой политики не используется, его следует отключить, а не оставить в неопределенном состоянии по умолчанию.Следующие параметры групповой политики могут быть реализованы для отключения использования устаревших списков и однократного запуска.
| Настройка групповой политики | Рекомендуемый вариант |
| Конфигурация компьютера \ Политики \ Административные шаблоны \ Система \ Вход в систему | � |
| Не обрабатывать устаревший список запусков | Включено |
| Не обрабатывать список однократного выполнения | Включено |
| Запускать эти программы при входе пользователя в систему | Выключено |
Учетные записи Microsoft
Новой функцией Microsoft Windows 8.1 является возможность связывать учетные записи Microsoft (ранее - идентификаторы Windows Live ID) с локальными или доменными учетными записями. Когда это происходит, настройки и файлы пользователя хранятся в облаке с помощью OneDrive, а не локально или на контроллере домена. Хотя это может иметь то преимущество, что позволяет пользователям получать доступ к своим настройкам и файлам с любой рабочей станции (например, корпоративной рабочей станции, домашнего ПК, интернет-кафе), это также может представлять риск для организации, поскольку они теряют контроль над тем, откуда можно получить доступ к конфиденциальной информации. Чтобы снизить этот риск, пользователям не следует связывать учетные записи Microsoft с локальными или доменными учетными записями.Следующие параметры групповой политики могут быть реализованы для отключения возможности связывать учетные записи Microsoft с локальными или доменными учетными записями.
| Настройка групповой политики | Рекомендуемый вариант |
| Конфигурация компьютера \ Политики \ Административные шаблоны \ Компоненты Windows \ OneDrive | � |
| Запретить использование OneDrive для хранения файлов | Включено |
| Конфигурация компьютера \ Политики \ Параметры Windows \ Параметры безопасности \ Локальные политики \ Параметры безопасности | � |
| Учетные записи: блокировать учетные записи Microsoft | Пользователи не могут добавлять учетные записи Microsoft или входить в них. |
Настройки MSS
Параметры MSS - это значения реестра, ранее определенные экспертами по безопасности Microsoft, которые можно использовать для повышения безопасности. Хотя многие из этих значений реестра больше не применимы в современных версиях Microsoft Windows, некоторые по-прежнему обеспечивают безопасность. Не указав эти параметры MSS, злоумышленник может использовать слабые места в системе безопасности рабочей станции для получения доступа к конфиденциальной информации. Чтобы снизить этот риск, параметры MSS, которые по-прежнему актуальны для современных версий Microsoft Windows, должны быть указаны с помощью параметров групповой политики.Административные шаблоны групповой политики для параметров MSS доступны в блоге Microsoft Security Guidance [25]. Файлы ADMX и ADML можно разместить в папке % SystemDrive% \ Windows \ SYSVOL \ domain \ Policies \ PolicyDefinitions на контроллере домена, и они будут автоматически загружены в редактор управления групповой политикой.
Следующие параметры групповой политики могут быть реализованы для настройки параметров MSS, которые по-прежнему актуальны для современных версий Microsoft Windows.
| Настройка групповой политики | Рекомендуемый вариант |
| Конфигурация компьютера \ Политики \ Административные шаблоны \ MSS (устаревшая версия) | � |
| MSS: (DisableIPSourceRouting IPv6) Уровень защиты маршрутизации IP-источника (защищает от спуфинга пакетов) | Включено DisableIPSourceRoutingIPv6: максимальная защита, маршрутизация от источника полностью отключена |
| MSS: (DisableIPSourceRouting) Уровень защиты IP-маршрутизации от источника (защищает от спуфинга пакетов) | Включено DisableIPSourceRouting: максимальная защита, маршрутизация от источника полностью отключена. |
| MSS: (EnableICMPRedirect) Разрешить перенаправлениям ICMP переопределять маршруты, созданные OSPF | Выключено |
| MSS: (NoNameReleaseOnDemand) Разрешить компьютеру игнорировать запросы на освобождение имени NetBIOS, кроме как от серверов WINS | Включено |
NetBIOS через TCP/IP
NetBIOS через TCP/IP упрощает использование ряда методов вторжения. Чтобы снизить этот риск, следует отключить NetBIOS через TCP/IP. Поскольку NetBIOS через TCP/IP используется только для поддержки устаревших операционных систем Microsoft Windows, например, предшествующих Microsoft Windows 2000, для его использования не должно быть бизнес-требований, за исключением очень редких случаев. NetBIOS через TCP/IP можно отключить, установив в настройках NetBIOS в настройках IPv4 WINS на каждом сетевом интерфейсе значение Отключить NetBIOS через TCP/IP. NetBIOS через TCP/IP не поддерживается IPv6.Сетевая Аутентификация
Использование небезопасных методов сетевой аутентификации может позволить злоумышленнику получить несанкционированный доступ к сетевому трафику и услугам. Чтобы снизить этот риск, для сетевой аутентификации следует использовать только безопасные методы сетевой аутентификации, в идеале Kerberos.Следующие параметры групповой политики могут быть реализованы для настройки Kerberos и, если это требуется для устаревших целей, использования NTLMv2.
| Настройка групповой политики | Рекомендуемый вариант |
| Конфигурация компьютера \ Политики \ Параметры Windows \ Параметры безопасности \ Локальные политики \ Параметры безопасности | � |
| Сетевая безопасность: настройка типов шифрования, разрешенных для Kerberos | AES128_HMAC_SHA1 AES256_HMAC_SHA1 |
| Сетевая безопасность: уровень аутентификации LAN Manager | Отправлять только ответ NTLMv2. Отказаться от LM и NTLM |
| Сетевая безопасность: минимальная сеансовая безопасность для клиентов на основе NTLM SSP (включая безопасный RPC) | Требовать сеансовую безопасность NTLMv2 Требовать 128-битное шифрование |
| Сетевая безопасность: минимальная сеансовая безопасность для серверов на основе NTLM SSP (включая безопасный RPC) | Требовать сеансовую безопасность NTLMv2 Требовать 128-битное шифрование |
Политика NoLMHash
Когда Microsoft Windows хеширует пароль длиной менее 15 символов, он сохраняет как хэш LAN Manager (хеш LM), так и хеш Windows NT (хеш NT) в локальной базе данных SAM для локальных учетных записей или в Activity Directory для учетных записей домена. LM-хеш значительно слабее, чем NT-хеш, и его можно легко перебрать. Чтобы снизить этот риск, политику NoLMHash следует внедрить на всех рабочих станциях и контроллерах домена. Поскольку LM-хэш предназначен для аутентификации устаревших операционных систем Microsoft Windows, например, предшествующих Microsoft Windows 2000, для его использования не должно быть бизнес-требований, за исключением очень редких случаев.Следующий параметр групповой политики может быть реализован для предотвращения хранения хэшей LM для паролей. Следует поощрять всех пользователей к смене пароля после установки этого параметра групповой политики, поскольку до тех пор, пока они не сделают этого, они останутся уязвимыми.
| Настройка групповой политики | Рекомендуемый вариант |
| Конфигурация компьютера \ Политики \ Параметры Windows \ Параметры безопасности \ Локальные политики \ Параметры безопасности | � |
| Сетевая безопасность: не сохранять хэш-значение LAN Manager при следующей смене пароля | Включено |
Функциональность операционной системы
Оставление ненужных функций в Microsoft Windows включенными может предоставить больше возможностей для использования злоумышленником потенциально уязвимых или неправильно настроенных функций. Чтобы снизить этот риск, необходимо отключить или удалить ненужные функции в Microsoft Windows.Управление энергопотреблением
Один из методов снижения энергопотребления рабочими станциями - это переход в спящий режим, спящий режим или гибридный спящий режим после заранее определенного периода бездействия. Когда рабочая станция переходит в спящий режим, она сохраняет содержимое памяти при отключении остальной части рабочей станции; в режиме гибернации или гибридного сна он записывает содержимое памяти на жесткий диск в файл режима гибернации (hiberfil.sys) и отключает остальную часть рабочей станции. Когда это происходит, конфиденциальная информация, такая как ключи шифрования, может либо сохраняться в памяти, либо записываться на жесткий диск в виде файла гибернации. Злоумышленник, имеющий физический доступ к рабочей станции и либо к памяти, либо к жесткому диску, может восстановить конфиденциальную информацию с помощью криминалистических методов. Чтобы снизить этот риск, необходимо отключить режимы сна, гибернации и гибридного сна.Следующие параметры групповой политики могут быть реализованы, чтобы гарантировать отключение состояний сна, гибернации и гибридного сна.
| Настройка групповой политики | Рекомендуемый вариант |
| Конфигурация компьютера \ Политики \ Административные шаблоны \ Система \ Управление питанием \ Параметры сна | � |
| Разрешить режимы ожидания (S1-S3) в спящем режиме (от батареи) | Выключено |
| Разрешить режимы ожидания (S1-S3) в спящем режиме (подключен к сети) | Выключено |
| Требовать пароль, когда компьютер просыпается (от батареи) | Включено |
| Требовать пароль, когда компьютер выходит из спящего режима (подключен к сети) | Включено |
| Укажите таймаут гибернации системы (от батареи) | Включено Тайм-аут спящего режима системы (секунды): 0 |
| Укажите время ожидания спящего режима системы (подключено) | Включено Тайм-аут спящего режима системы (секунды): 0 |
| Укажите время ожидания системы в спящем режиме (от батареи) | Включено Тайм-аут системного сна (секунды): 0 |
| Укажите время ожидания системы в спящем режиме (подключено) | Включено Тайм-аут системного сна (секунды): 0 |
| Укажите таймаут автоматического отключения (от батареи) | Включено Тайм-аут автоматического сна (секунды): 0 |
| Укажите время ожидания автоматического перехода в спящий режим (подключено) | Включено Тайм-аут автоматического сна (секунды): 0 |
| Отключить гибридный сон (от батареи) | Включено |
| Отключить гибридный спящий режим (подключен) | Включено |
| Конфигурация компьютера \ Политики \ Административные шаблоны \ Компоненты Windows \ Проводник | � |
| Показать спящий режим в меню параметров питания | Выключено |
| Показать сон в меню параметров питания | Выключено |
PowerShell
Разрешение выполнения любого сценария PowerShell подвергает рабочую станцию риску того, что вредоносный сценарий может быть непреднамеренно выполнен пользователем. Чтобы снизить этот риск, пользователи не должны иметь возможность выполнять сценарии PowerShell; однако, если использование сценариев PowerShell является важным бизнес-требованием, следует разрешить выполнение только подписанных сценариев. Обеспечение того, чтобы разрешено выполнение только подписанных сценариев, может обеспечить определенный уровень уверенности в том, что сценарий заслуживает доверия и был одобрен как имеющий законную деловую цель.Для получения дополнительной информации о том, как эффективно реализовать PowerShell.
Следующие параметры групповой политики могут быть реализованы для управления использованием сценариев PowerShell.
| Настройка групповой политики | Рекомендуемый вариант |
| Конфигурация компьютера \ Политики \ Административные шаблоны \ Компоненты Windows \ Windows PowerShell | � |
| Включите ведение журнала блока сценария PowerShell | Включено |
| Включить выполнение скрипта | Включено Политика выполнения: разрешить только подписанные скрипты |
Инструменты редактирования реестра
Один из способов сохранения устойчивости вредоносного кода (т.е. сохранения после перезагрузки рабочей станции) заключается в использовании административных привилегий для изменения реестра (поскольку стандартные привилегии позволяют только просматривать реестр). Чтобы снизить этот риск, пользователи не должны иметь возможность изменять реестр с помощью инструментов редактирования реестра (например, regedit) или вносить в реестр скрытые изменения (например, с помощью файлов .reg).Следующий параметр групповой политики может быть реализован, чтобы запретить пользователям просматривать или изменять реестр с помощью инструментов редактирования реестра.
| Настройка групповой политики | Рекомендуемый вариант |
| Конфигурация пользователя \ Политики \ Административные шаблоны \ Система | � |
| Запретить доступ к инструментам редактирования реестра | Включено Отключить тихую работу regedit: Да |
Удаленная помощь
Хотя удаленный помощник может быть полезным бизнес-инструментом, позволяющим системным администраторам удаленно администрировать рабочие станции, он также может представлять опасность. Когда у пользователя возникает проблема с его рабочей станцией, он может сгенерировать приглашение удаленного помощника. Это приглашение разрешает любому, кто имеет к нему доступ, удаленно управлять рабочей станцией, отправившей приглашение. Приглашения можно отправлять по электронной почте, в мгновенных сообщениях или сохранять в файл. Если злоумышленнику удастся перехватить приглашение, он сможет использовать его для доступа к рабочей станции пользователя. Кроме того, если сетевой трафик через порт 3389 не заблокирован для доступа в Интернет, пользователи могут отправлять приглашения удаленной помощи через Интернет, что может позволить злоумышленнику получить удаленный доступ к своей рабочей станции. Хотя удаленный помощник предоставляет доступ только к привилегиям пользователя, сгенерировавшего запрос, злоумышленник может установить приложение для ведения журнала ключей на рабочую станцию в рамках подготовки системного администратора, используя свои привилегированные учетные данные для устранения любых проблем. Чтобы снизить этот риск, необходимо отключить удаленный помощник.Следующие параметры групповой политики могут быть реализованы для отключения удаленного помощника.
| Настройка групповой политики | Рекомендуемый вариант |
| Конфигурация компьютера \ Политики \ Административные шаблоны \ Система \ Удаленный помощник | � |
| Настроить предложение удаленной помощи | Выключено |
| Настроить запрошенную удаленную помощь | Выключено |
Службы удаленных рабочих столов
Хотя доступ к удаленному рабочему столу может быть удобен для законных пользователей для доступа к рабочим станциям в сети, он также позволяет злоумышленнику получить доступ к другим рабочим станциям после того, как он скомпрометировал исходную рабочую станцию и учетные данные пользователя. Этот риск может усугубиться, если злоумышленник может скомпрометировать учетные данные администратора домена или общие учетные данные локального администратора. Чтобы снизить этот риск, следует отключить службы удаленных рабочих столов.Следующие параметры групповой политики могут быть реализованы для отключения служб удаленных рабочих столов.
| Настройка групповой политики | Рекомендуемый вариант |
| Конфигурация компьютера \ Политики \ Административные шаблоны \ Компоненты Windows \ Службы удаленного рабочего стола \ Узел сеанса удаленного рабочего стола \ Подключения | � |
| Разрешить пользователям подключаться удаленно с помощью служб удаленных рабочих столов | Выключено |
| Конфигурация компьютера \ Политики \ Параметры Windows \ Параметры безопасности \ Локальные политики \ Назначение прав пользователя | � |
| Разрешить вход через службы удаленных рабочих столов | <пусто> |
| Запретить вход через службы удаленных рабочих столов | Администраторы NT AUTHORITY \ Локальная учетная запись |
Следующие параметры групповой политики могут быть реализованы для максимально безопасного использования служб удаленных рабочих столов.
| Настройка групповой политики | Рекомендуемый вариант |
| Конфигурация компьютера \ Политики \ Административные шаблоны \ Компоненты Windows \ Службы удаленного рабочего стола \ Клиент подключения к удаленному рабочему столу | � |
| Настроить аутентификацию сервера для клиента | Включено Настройка аутентификации: Не подключаться, если аутентификация не удалась |
| Не позволять сохранять пароли | Включено |
| Конфигурация компьютера \ Политики \ Административные шаблоны \ Компоненты Windows \ Службы удаленного рабочего стола \ Узел сеанса удаленного рабочего стола \ Подключения | � |
| Разрешить пользователям подключаться удаленно с помощью служб удаленных рабочих столов | Включено |
| Запретить выход администратора, вошедшего в консольный сеанс | Включено |
| Конфигурация компьютера \ Политики \ Административные шаблоны \ Компоненты Windows \ Службы удаленного рабочего стола \ Узел сеанса удаленного рабочего стола \ Перенаправление устройств и ресурсов | � |
| Не разрешать перенаправление буфера обмена | Включено |
| Не разрешать перенаправление диска | Включено |
| Конфигурация компьютера \ Политики \ Административные шаблоны \ Компоненты Windows \ Службы удаленного рабочего стола \ Узел сеанса удаленного рабочего стола \ Безопасность | � |
| Всегда запрашивать пароль при подключении | Включено |
| Не позволяйте локальным администраторам настраивать разрешения | Включено |
| Требовать безопасную связь RPC | Включено |
| Требовать использования определенного уровня безопасности для удаленных (RDP) подключений | Включено Уровень безопасности: SSL (TLS 1.0) |
| Требовать аутентификацию пользователя для удаленных подключений с помощью аутентификации на уровне сети | Включено |
| Установить уровень шифрования клиентского соединения | Включено Уровень шифрования: высокий уровень |
| Конфигурация компьютера \ Политики \ Параметры Windows \ Параметры безопасности \ Локальные политики \ Назначение прав пользователя | � |
| Разрешить вход через службы удаленных рабочих столов | Пользователи удаленного рабочего стола |
| Запретить вход через службы удаленных рабочих столов | Администраторы NT AUTHORITY \ Локальная учетная запись |
Удаленный вызов процедур
Вызов удаленных процедур (RPC) - это метод, используемый для облегчения взаимодействия клиентских и серверных приложений с использованием общего интерфейса. RPC разработан, чтобы упростить и повысить безопасность взаимодействия клиента и сервера за счет использования общей библиотеки для обработки таких задач, как безопасность, синхронизация и потоки данных. Если между клиентскими и серверными приложениями разрешен обмен данными без проверки подлинности, это может привести к случайному раскрытию конфиденциальной информации или невозможности использования функций безопасности RPC. Чтобы снизить этот риск, все клиенты RPC должны проходить аутентификацию на серверах RPC.Следующий параметр групповой политики может быть реализован для обеспечения проверки подлинности клиентов RPC на серверах RPC.
| Настройка групповой политики | Рекомендуемый вариант |
| Конфигурация компьютера \ Политики \ Административные шаблоны \ Система \ Вызов удаленной процедуры | � |
| Ограничить неаутентифицированных клиентов RPC | Включено RPC Runtime Unauthenticated Client Ограничение для применения: Authenticated |
Информация о системе отчетности
Microsoft Windows содержит ряд встроенных функций, часто автоматически и прозрачно для передачи системной информации в Microsoft. Это включает в себя информацию о системных ошибках и сбоях, а также инвентаризацию приложений, файлов, устройств и драйверов в системе. В случае захвата злоумышленником эта информация может раскрыть потенциально конфиденциальную информацию на рабочих станциях. Эта информация также может быть впоследствии использована злоумышленником для адаптации вредоносного кода для конкретных рабочих станций или пользователей. Чтобы снизить этот риск, все встроенные функции, которые сообщают о потенциально конфиденциальной системной информации, должны быть направлены на корпоративный сервер отчетов об ошибках Windows.Следующие параметры групповой политики могут быть реализованы для предотвращения передачи потенциально конфиденциальной системной информации в Microsoft.
| Настройка групповой политики | Рекомендуемый вариант |
| Конфигурация компьютера \ Политики \ Административные шаблоны \ Система \ Устранение неполадок и диагностика \ Средство диагностики поддержки Microsoft | � |
| Средство диагностики поддержки Microsoft: включите интерактивное общение MSDT с поставщиком услуг поддержки | Выключено |
| Конфигурация компьютера \ Политики \ Административные шаблоны \ Компоненты Windows \ Совместимость приложений | � |
| Отключить сборщик инвентаря | Включено |
| Отключить регистратор шагов | Включено |
| Конфигурация компьютера \ Политики \ Административные шаблоны \ Компоненты Windows \ Отчет об ошибках Windows \ Дополнительные параметры отчетов об ошибках | � |
| Настройка корпоративных отчетов об ошибках Windows | Включено Имя корпоративного сервера: <организация определена> Подключиться с помощью SSL Порт сервера: <определенная организация> |
Безопасный режим
Злоумышленник со стандартными учетными данными пользователя, который может загружаться в Microsoft Windows с использованием безопасного режима, безопасного режима с поддержкой сети или безопасного режима с параметрами командной строки, может обойти защиту системы и функции безопасности. Чтобы снизить этот риск, следует запретить пользователям со стандартными учетными данными использовать параметры безопасного режима для входа в систему.Следующая запись в реестре может быть реализована с помощью настроек групповой политики, чтобы запретить пользователям, не являющимся администраторами, использовать параметры безопасного режима.
| Запись в реестре | Рекомендуемое значение |
| HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies \ System | � |
| SafeModeBlockNonAdmins | REG_DWORD 0x00000001 (1) |
Безопасный канал связи
Периодически рабочие станции, подключенные к домену, будут обмениваться данными с контроллерами домена. Если злоумышленник имеет доступ к незащищенным сетевым коммуникациям, он может захватывать или изменять конфиденциальную информацию, передаваемую между рабочими станциями и контроллерами домена. Чтобы снизить этот риск, все коммуникации по безопасному каналу должны быть подписаны и зашифрованы надежными сеансовыми ключами.Следующие параметры групповой политики могут быть реализованы для обеспечения надлежащей подписи и шифрования связи по безопасному каналу.
| Настройка групповой политики | Рекомендуемый вариант |
| Конфигурация компьютера \ Политики \ Параметры Windows \ Параметры безопасности \ Локальные политики \ Параметры безопасности | � |
| Член домена: цифровое шифрование или подпись данных безопасного канала (всегда) | Включено |
| Член домена: цифровое шифрование данных безопасного канала (если возможно) | Включено |
| Член домена: поставьте цифровую подпись для данных безопасного канала (если возможно) | Включено |
| Член домена: требуется надежный сеансовый ключ (Windows 2000 или новее) | Включено |
Политики безопасности
Не имея возможности полностью указать политики безопасности, злоумышленник может использовать слабые места в параметрах групповой политики рабочей станции для получения доступа к конфиденциальной информации. Чтобы снизить этот риск, необходимо всесторонне определить политики безопасности.Следующие параметры групповой политики могут быть реализованы в дополнение к тем, которые специально указаны в других разделах этого документа, для формирования полного набора политик безопасности.
| Настройка групповой политики | Рекомендуемый вариант |
| Конфигурация компьютера \ Политики \ Административные шаблоны \ Сеть \ DNS-клиент | � |
| Отключить разрешение многоадресных имен | Включено |
| Конфигурация компьютера \ Политики \ Административные шаблоны \ Компоненты Windows \ Проводник | � |
| Отключить завершение кучи при повреждении | Выключено |
| Отключить защищенный режим протокола оболочки | Выключено |
| Конфигурация компьютера \ Политики \ Административные шаблоны \ Компоненты Windows \ RSS-каналы | � |
| Запретить скачивание корпусов | Включено |
| Конфигурация компьютера \ Политики \ Административные шаблоны \ Компоненты Windows \ Поиск | � |
| Разрешить индексацию зашифрованных файлов | Выключено |
| Конфигурация компьютера \ Политики \ Параметры Windows \ Параметры безопасности \ Локальные политики \ Параметры безопасности | � |
| Член домена: отключить изменение пароля учетной записи компьютера | Выключено |
| Член домена: Максимальный срок действия пароля учетной записи компьютера | 30 дней |
| Сетевая безопасность: разрешите запросам проверки подлинности PKU2U к этому компьютеру использовать онлайн-удостоверения. | Выключено |
| Сетевая безопасность: принудительный выход из системы по истечении времени входа в систему | Включено |
| Сетевая безопасность: требования к подписи клиента LDAP | Подписание переговоров |
| Системные объекты: требовать нечувствительности к регистру для подсистем, отличных от Windows | Включено |
| Системные объекты: усиление разрешений по умолчанию для внутренних системных объектов (например, символических ссылок) | Включено |
Сеансы блока сообщений сервера
Злоумышленник, имеющий доступ к сетевым коммуникациям, может попытаться использовать инструменты захвата сеанса, чтобы прервать, завершить или украсть сеанс блока сообщений сервера (SMB). Это потенциально может позволить злоумышленнику изменять пакеты и пересылать их на сервер SMB для выполнения нежелательных действий или выдавать себя за сервер или клиент после того, как прошла законная аутентификация, чтобы получить доступ к конфиденциальной информации. Чтобы снизить этот риск, все коммуникации между SMB-клиентами и серверами должны быть подписаны, а любые используемые пароли должны быть зашифрованы надлежащим образом.Следующие параметры групповой политики могут быть реализованы для обеспечения безопасности связи между клиентами SMB и серверами. Обратите внимание, что настройки групповой политики MS Security Guide доступны как часть Microsoft Security Compliance Toolkit [27].
| Настройка групповой политики | Рекомендуемый вариант |
| Конфигурация компьютера \ Политики \ Административные шаблоны \ Руководство по безопасности MS | � |
| Настроить драйвер клиента SMB v1 | Включено Настроить драйвер MrxSmb10: отключить драйвер (рекомендуется) |
| Настроить сервер SMB v1 | Выключено |
| Конфигурация компьютера \ Политики \ Параметры Windows \ Параметры безопасности \ Локальные политики \ Параметры безопасности | � |
| Клиент сети Microsoft: цифровая подпись для сообщений (всегда) | Включено |
| Сетевой клиент Microsoft: поставьте цифровую подпись (если сервер соглашается) | Включено |
| Сетевой клиент Microsoft: отправка незашифрованного пароля на сторонние серверы SMB | Выключено |
| Сетевой сервер Microsoft: время простоя, необходимое перед приостановкой сеанса | 15 минут |
| Сетевой сервер Microsoft: цифровая подпись для сообщений (всегда) | Включено |
| Сетевой сервер Microsoft: поставьте цифровую подпись (если клиент соглашается) | Включено |
Блокировка сеанса
Злоумышленник, имеющий физический доступ к необслуживаемой рабочей станции с разблокированным сеансом, может попытаться получить несанкционированный доступ к конфиденциальной информации или выполнить действия, которые не будут им приписаны. Чтобы снизить этот риск, блокировку сеанса следует настроить таким образом, чтобы она активировалась максимум через 15 минут бездействия пользователя. Кроме того, имейте в виду, что информация или предупреждения могут отображаться на экране блокировки. Чтобы снизить риск несанкционированного раскрытия информации, минимизируйте объем информации, которую разрешено отображать на экране блокировки.Следующие параметры групповой политики могут быть реализованы для установки блокировки сеанса.
| Настройка групповой политики | Рекомендуемый вариант |
| Конфигурация компьютера \ Политики \ Административные шаблоны \ Панель управления \ Персонализация | � |
| Запретить включение камеры экрана блокировки | Включено |
| Запретить включение слайд-шоу на заблокированном экране | Включено |
| Конфигурация компьютера \ Политики \ Административные шаблоны \ Система \ Вход в систему | � |
| Разрешить пользователям выбирать, когда требуется пароль при выходе из подключенного режима ожидания | Выключено |
| Отключить уведомления приложений на экране блокировки | Включено |
| Конфигурация компьютера \ Политики \ Административные шаблоны \ Компоненты Windows \ Проводник | � |
| Показать блокировку в меню плитки пользователя | Включено |
| Конфигурация компьютера \ Политики \ Параметры Windows \ Параметры безопасности \ Локальные политики \ Параметры безопасности | � |
| Интерактивный вход: предел бездействия компьютера | 900 секунд |
| Конфигурация пользователя \ Политики \ Административные шаблоны \ Панель управления \ Персонализация | � |
| Включить хранитель экрана | Включено |
| Защита паролем хранителя экрана | Включено |
| Тайм-аут заставки | Включено Секунды: 900 |
| Конфигурация пользователя \ Политики \ Административные шаблоны \ Меню "Пуск" и панель задач \ Уведомления | � |
| Отключить всплывающие уведомления на экране блокировки | Включено |
Программные брандмауэры
Сетевые брандмауэры часто не в состоянии предотвратить распространение вредоносного кода в сети или извлечение злоумышленником конфиденциальной информации, поскольку они обычно только контролируют, какие порты или протоколы могут использоваться между сегментами в сети. Многие формы вредоносного кода разработаны специально для того, чтобы воспользоваться этим с помощью общих протоколов, таких как HTTP, HTTPS, SMTP и DNS. Чтобы снизить этот риск, следует надлежащим образом реализовать программные брандмауэры, фильтрующие как входящий, так и исходящий трафик. Программные брандмауэры более эффективны, чем сетевые брандмауэры, поскольку они могут контролировать, какие приложения и службы могут связываться с рабочими станциями и с них. Встроенный брандмауэр Windows можно использовать для управления как входящим, так и исходящим трафиком для определенных приложений.Звукозаписывающее устройство
Диктофон - это функция Microsoft Windows, которая позволяет записывать звук с устройства с микрофоном и сохранять его в виде аудиофайла на локальном жестком диске. Злоумышленник с удаленным доступом к рабочей станции может использовать эту функцию для записи конфиденциальных разговоров в непосредственной близости от рабочей станции. Чтобы снизить этот риск, необходимо отключить Диктофон.Следующий параметр групповой политики может быть реализован для отключения использования звукозаписи.
| Настройка групповой политики | Рекомендуемый вариант |
| Конфигурация компьютера \ Политики \ Административные шаблоны \ Компоненты Windows \ Диктофон | � |
| Запретить запуск Sound Recorder | Включено |
Стандартная операционная среда
Когда пользователям предоставляется возможность устанавливать, настраивать и обслуживать свои собственные рабочие станции, это может очень легко привести к несогласованной и небезопасной среде, в которой одни рабочие станции более уязвимы, чем другие. Эта непоследовательная и небезопасная среда может легко позволить злоумышленнику закрепиться в сети. Чтобы снизить этот риск, рабочие станции должны подключаться к домену с использованием стандартной операционной среды, которая централизованно контролируется и настраивается опытными специалистами в области информационных технологий и информационной безопасности.Резервное копирование и восстановление системы
Злоумышленник, взломавший учетную запись пользователя с привилегиями резервного копирования файлов и каталогов, может использовать эту привилегию для резервного копирования содержимого рабочей станции. Затем этот контент может быть передан на рабочую станцию, не подключенную к домену, где злоумышленник имеет административный доступ. Отсюда злоумышленник может восстановить содержимое и стать владельцем, тем самым обойдя все исходные средства контроля доступа, которые были на месте. Кроме того, если у пользователя есть права на восстановление файлов и каталогов, злоумышленник может воспользоваться этой привилегией, используя ее либо для восстановления предыдущих версий файлов, которые могли быть удалены системными администраторами в рамках действий по удалению вредоносного кода, либо для замены существующих файлов с вредоносными вариантами. Чтобы снизить этот риск, возможность использования функций резервного копирования и восстановления должна быть ограничена администраторами.Следующие параметры групповой политики могут быть реализованы для управления использованием функций резервного копирования и восстановления.
| Настройка групповой политики | Рекомендуемый вариант |
| Конфигурация компьютера \ Политики \ Параметры Windows \ Параметры безопасности \ Локальные политики \ Назначение прав пользователя | � |
| Резервное копирование файлов и каталогов | Администраторы |
| Восстановить файлы и каталоги | Администраторы |
Системная криптография
По умолчанию, когда криптографические ключи хранятся в Microsoft Windows, пользователи могут получить к ним доступ без предварительного ввода пароля, чтобы разблокировать хранилище сертификатов. Злоумышленник, который взламывает рабочую станцию или получает физический доступ к незаблокированной рабочей станции, может использовать эти пользовательские ключи для доступа к конфиденциальной информации или ресурсам, которые защищены криптографически. Чтобы снизить этот риск, на рабочих станциях следует использовать надежные алгоритмы шифрования и надежную защиту ключей.Следующие параметры групповой политики могут быть реализованы для обеспечения использования надежных алгоритмов шифрования и надежной защиты ключей.
| Настройка групповой политики | Рекомендуемый вариант |
| Конфигурация компьютера \ Политики \ Параметры Windows \ Параметры безопасности \ Локальные политики \ Параметры безопасности | � |
| Системная криптография: усиленная защита ключей для пользовательских ключей, хранящихся на компьютере. | Пользователь должен вводить пароль каждый раз, когда использует ключ |
| Системная криптография: используйте FIPS-совместимые алгоритмы для шифрования, хеширования и подписи. | Включено |
Политики прав пользователей
Не имея возможности полностью указать политики прав пользователей, злоумышленник может использовать слабые места в параметрах групповой политики рабочей станции для получения доступа к конфиденциальной информации. Чтобы снизить этот риск, необходимо всесторонне определить политику прав пользователей.Следующие параметры групповой политики могут быть реализованы в дополнение к тем, которые специально упомянуты в других разделах этого документа, для формирования полного набора политик прав пользователей.
| Настройка групповой политики | Рекомендуемый вариант |
| Конфигурация компьютера \ Политики \ Параметры Windows \ Параметры безопасности \ Локальные политики \ Назначение прав пользователя | |
| Доступ к диспетчеру учетных данных в качестве доверенного абонента | <пусто> |
| Действовать как часть операционной системы | <пусто> |
| Разрешить локальный вход | Администраторы Пользователи |
| Создать файл подкачки | Администраторы |
| Создать объект токена | <пусто> |
| Создавать глобальные объекты | Администраторы МЕСТНОЕ ОБСЛУЖИВАНИЕ СЕТЕВОЙ СЕРВИС ОКАЗАНИЕ УСЛУГ |
| Создание постоянных общих объектов | <пусто> |
| Отладочные программы | Администраторы |
| Включить доверенные учетные записи компьютеров и пользователей для делегирования | <пусто> |
| Принудительное завершение работы из удаленной системы | Администраторы |
| Выдача себя за клиента после аутентификации | Администраторы МЕСТНОЕ ОБСЛУЖИВАНИЕ СЕТЕВОЙ СЕРВИС ОКАЗАНИЕ УСЛУГ |
| Загрузка и выгрузка драйверов устройств | Администраторы |
| Блокировать страницы в памяти | <пусто> |
| Изменить значения среды прошивки | Администраторы |
| Выполнять задачи обслуживания тома | Администраторы |
| Профиль единый процесс | Администраторы |
| Станьте владельцем файлов или других объектов | Администраторы |
Виртуализированный Интернет и доступ к электронной почте
Злоумышленник часто может доставить вредоносный код прямо на рабочие станции через внешний Интернет или электронную почту. После того, как рабочая станция была взломана, злоумышленник может использовать те же каналы связи для двунаправленной связи, чтобы контролировать свой вредоносный код. Чтобы снизить этот риск, доступ к Интернету и электронной почте на рабочих станциях должен осуществляться через непостоянную виртуальную среду (т.е. с использованием виртуальных рабочих столов или виртуальных приложений). При использовании виртуальной среды рабочие станции получат дополнительную защиту от попыток вторжений, нацеленных на использование уязвимостей безопасности в веб-браузерах и почтовых клиентах, поскольку любые попытки, в случае успеха, будут выполняться в непостоянной виртуальной среде, а не на локальной рабочей станции.Протокол автоматического обнаружения веб-прокси
Протокол автоматического обнаружения веб-прокси (WPAD) помогает автоматически определять настройки прокси для веб-браузеров. К сожалению, WPAD страдает от ряда серьезных уязвимостей. Организации, которые не полагаются на использование протокола WPAD, должны отключить его. Это может быть достигнуто путем изменения файла хоста каждой рабочей станции в % SystemDrive% \ Windows \ System32 \ Drivers \ etc \ hosts, чтобы создать следующую запись: 255.255.255.255 wpad.Удаленное управление Windows
Удаленное управление Windows (WinRM) [28] - это реализация Microsoft протокола WS-Management [29], который был разработан как общедоступный стандарт для удаленного обмена данными управления между устройствами, реализующими протокол. Если соответствующая аутентификация и шифрование не реализованы для этого протокола, трафик может быть инициирован злоумышленником. Чтобы снизить этот риск, необходимо надежно настроить удаленное управление Windows.Следующие параметры групповой политики могут быть реализованы для обеспечения безопасности использования удаленного управления Windows.
| Настройка групповой политики | Рекомендуемый вариант |
| Конфигурация компьютера \ Политики \ Административные шаблоны \ Компоненты Windows \ Удаленное управление Windows (WinRM) \ Клиент WinRM | � |
| Разрешить обычную аутентификацию | Выключено |
| Разрешить незашифрованный трафик | Выключено |
| Запретить дайджест-аутентификацию | Включено |
| Конфигурация компьютера \ Политики \ Административные шаблоны \ Компоненты Windows \ Удаленное управление Windows (WinRM) \ Служба WinRM | � |
| Разрешить обычную аутентификацию | Выключено |
| Разрешить незашифрованный трафик | Выключено |
| Запретить WinRM хранить учетные данные RunAs | Включено |
Доступ к удаленной оболочке Windows
Когда Windows Remote Shell включена, она может позволить злоумышленнику удаленно выполнять сценарии и команды на рабочих станциях. Чтобы снизить этот риск, следует отключить Windows Remote Shell.Для отключения доступа к удаленной оболочке Windows можно использовать следующий параметр групповой политики.
| Настройка групповой политики | Рекомендуемый вариант |
| Конфигурация компьютера \ Политики \ Административные шаблоны \ Компоненты Windows \ Удаленная оболочка Windows | � |
| Разрешить удаленный доступ к оболочке | Выключено |
Поиск Windows
В рамках встроенных функций поиска Microsoft Windows пользователи могут искать результаты в Интернете в дополнение к результатам на локальной рабочей станции. Эта функция, если ее использовать, может привести к случайному раскрытию конфиденциальной информации, если конфиденциальные термины будут автоматически найдены в Интернете в дополнение к локальной рабочей станции. Чтобы снизить этот риск, следует отключить возможность автоматического поиска в Интернете.Следующие параметры групповой политики могут быть реализованы для предотвращения выдачи результатов веб-поиска по любым условиям поиска пользователя.
| Настройка групповой политики | Рекомендуемый вариант |
| Конфигурация компьютера \ Политики \ Административные шаблоны \ Компоненты Windows \ Поиск | � |
| Не выполняйте поиск в Интернете и не отображайте результаты в Интернете в поиске | Включено |
| Не выполняйте поиск в Интернете и не отображайте результаты в Интернете при поиске через лимитированные соединения | Включено |
Windows To Go
Новая функция Microsoft Windows 8.1 - Windows To Go. Windows To Go позволяет пользователям загружаться в рабочее пространство, хранящееся на USB-носителе, с любого компьютера, поддерживающего минимальные требования к оборудованию. Хотя это может быть очень полезно для инициатив с использованием собственного устройства (BYOD) или удаленного доступа, это также может представлять риск для сети организации. Рабочие станции, которые позволяют автоматически загружать рабочие области Windows To Go, не делают различий между утвержденными рабочими пространствами и вредоносными рабочими пространствами, созданными злоумышленником. Таким образом, злоумышленник может использовать вредоносное рабочее пространство, которое он настроил с помощью желаемого набора инструментов, чтобы попытаться получить доступ к конфиденциальной информации в сети. Чтобы снизить этот риск, следует отключить автоматическую загрузку носителя Windows To Go.Следующий параметр групповой политики может быть реализован для отключения автоматической загрузки носителя Windows To Go.
| Настройка групповой политики | Рекомендуемый вариант |
| Конфигурация компьютера \ Политики \ Административные шаблоны \ Компоненты Windows \ Переносимая операционная система | � |
| Параметры запуска Windows To Go по умолчанию | Выключено |
Низкие приоритеты
Следующие рекомендации, перечисленные в алфавитном порядке, должны рассматриваться как низкие приоритеты при усилении защиты рабочих станций Microsoft Windows 8.1.Отображение расширений файлов
Когда расширения для известных типов файлов скрыты, злоумышленник может более легко использовать методы социальной инженерии, чтобы убедить пользователей выполнить вредоносные вложения электронной почты. Например, файл с именем уязвимость_assessment.pdf.exe может отображаться для пользователя как оценка_ уязвимости.pdf. Чтобы снизить этот риск, следует отключить скрытие расширений для известных типов файлов. Отображение расширений для всех известных типов файлов в сочетании с обучением пользователей и осведомленностью об опасных типах файлов вложений электронной почты может помочь снизить риск выполнения пользователями вредоносных вложений электронной почты.Следующая запись реестра может быть реализована с помощью предпочтений групповой политики, чтобы предотвратить скрытие расширений для известных типов файлов.
| Запись в реестре | Рекомендуемое значение |
| HKEY_CURRENT_USER \ Программное обеспечение \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Advanced | |
| HideFileExt | REG_DWORD 0x00000000 (0) |
Свойства безопасности файлов и папок
По умолчанию все пользователи имеют возможность просматривать свойства безопасности файлов и папок. Сюда входят свойства безопасности, связанные с файлами и папками, а также с пользователями и группами, к которым они относятся. Злоумышленник может использовать эту информацию для нацеливания на определенные учетные записи, у которых есть доступ к конфиденциальной информации. Чтобы снизить этот риск, пользователи не должны иметь возможность просматривать свойства безопасности файлов и папок.Следующий параметр групповой политики может быть реализован для отключения доступа пользователей к вкладке безопасности в свойствах файлов и папок в проводнике.
| Настройка групповой политики | Рекомендуемый вариант |
| Конфигурация пользователя \ Политики \ Административные шаблоны \ Компоненты Windows \ Проводник | � |
| Удалить вкладку Безопасность | Включено |
Осведомленность о местоположении
Когда пользователи взаимодействуют с Интернетом, их рабочие станции часто автоматически предоставляют информацию о географическом местоположении веб-сайтам или онлайн-сервисам, чтобы помочь им адаптировать контент, специфичный для географического региона пользователя (т. Е. Города, из которого они выходят в Интернет). Эта информация может быть получена злоумышленником, чтобы определить местонахождение конкретного пользователя. Чтобы снизить этот риск, необходимо отключить службы определения местоположения в операционной системе и приложениях.Следующие параметры групповой политики могут быть реализованы для отключения служб определения местоположения в операционной системе.
| Настройка групповой политики | Рекомендуемый вариант |
| Конфигурация компьютера \ Политики \ Административные шаблоны \ Компоненты Windows \ Расположение и датчики | � |
| Отключить местоположение | Включено |
| Отключить скриптинг местоположения | Включено |
| Конфигурация компьютера \ Политики \ Административные шаблоны \ Компоненты Windows \ Расположение и датчики \ Поставщик местоположения Windows | � |
| Отключить поставщик местоположения Windows | Включено |
Магазин Microsoft
Хотя приложения в Microsoft Store проверяются Microsoft, все еще существует риск того, что пользователи, получившие доступ к Microsoft Store, могут загрузить и установить потенциально вредоносные приложения или приложения, которые вызывают конфликты с другими одобренными приложениями на их рабочих станциях. Чтобы снизить этот риск, необходимо отключить доступ к Microsoft Store.Следующие параметры групповой политики могут быть реализованы для предотвращения доступа к Microsoft Store.
| Настройка групповой политики | Рекомендуемый вариант |
| Конфигурация компьютера \ Политики \ Административные шаблоны \ Система \ Управление связью через Интернет \ Параметры связи через Интернет | � |
| Отключить доступ к Магазину | Включено |
| Конфигурация компьютера \ Политики \ Административные шаблоны \ Компоненты Windows \ Магазин | |
| Выключите приложение Store | Включено |
Результирующий набор отчетов о политике
По умолчанию все пользователи имеют возможность создавать отчеты результирующего набора политик (RSOP), которые позволяют им просматривать параметры групповой политики, применяемые к их рабочей станции и учетной записи пользователя. Эта информация может быть использована злоумышленником для определения неправильной конфигурации или слабых мест в параметрах групповой политики, применяемых к рабочей станции или учетной записи пользователя. Чтобы снизить этот риск, пользователи не должны иметь возможность создавать отчеты RSOP.Следующий параметр групповой политики может быть реализован, чтобы отключить возможность пользователей создавать отчеты RSOP.
| Настройка групповой политики | Рекомендуемый вариант |
| Конфигурация пользователя \ Политики \ Административные шаблоны \ Система \ Групповая политика | � |
| Определите, могут ли интерактивные пользователи генерировать результирующий набор данных политики | Включено |
