Całkiem niedawno Microsoft opublikował ostateczną wersję Podstawowej Konfiguracji Zabezpieczeń (ang. Security Configuration Baseline) dla systemów Windows 10 v1903 oraz Windows Server 2016 v1903.
Security Baseline to zestaw ustawień konfiguracyjnych rekomendowanych przez Microsoft, które w bezpośredni sposób wpływają na poziom bezpieczeństwa w systemach Windows. Ustawienia te bazują na opiniach zespołów inżynierów bezpieczeństwa Microsoft, grupach produktów, partnerów oraz informacjach zwrotnych od klientów. Na podstawie tych danych, opinii i doświadczeń zdefiniowanych zostało ponad 3000 ustawień zasad grupy (ang. Group Policy Settings) dla najnowszych systemów Windows (które nie obejmują dodatkowych 1800 ustawień dla przeglądarki Internet Explorer 11) wpływających na bezpieczeństwo w infrastrukturze Microsoft.
Nowe ustawienia Security Baseline
Poniżej przedstawiamy kilka ważniejszych ustawień w finalnej wersji Security Configuration Baseline opublikowanych przez Microsoft – link tutaj.
- Włączenie nowej polityki „Enable svchost.exe mitigation options”, która wymusza bardziej rygorystyczne ustawienia dla usług hostowanych w procesie svchost.exe. Powoduje to m. in. to, że każde pliki binarne wczytywane do pamięci przez svchost.exe muszą być podpisane przez Microsoft, a każde dynamiczne modyfikacje kodu przez proces są niedozwolone. Może to powodować problemy z kompatybilnością niektórych narzędzi, jak na przykład pluginów do obsługi smart-card.
- Skonfigurowanie nowego ustawienia dotyczącego prywatności w aplikacjach – „Let Windows apps activate with voice while the system is locked”. Po wprowadzeniu zaleceń, użytkownicy nie będą mogli aktywować i obsługiwać aplikacji głosowych, kiedy system jest zablokowany.
- Wyłączenie multicast name resolution (LLMNR) w celu zapobiegania atakom typu spoofing, czyli podszywania się malware pod inną, znaną aplikację.
- Skonfigurowanie rekomendowanej polityki audytu na kontrolerach domeny dotyczącej szczegółowego logowania procesu autentykacji Kerberos.
- Ustawienie silniejszego szyfrowania w aplikacji BitLocker szyfrującej dane na dyskach lokalnych.
- Porzucenie polityki wygasania haseł użytkowników – pisaliśmy o tym w osobnym artykule.
- Porzucenie polityki wyłączania wbudowanych kont lokalnych Administrator oraz Gość – więcej o tym w dalszej części.
Konto wbudowane „Administrator” nie będzie domyślnie wyłączone
Microsoft argumentują swoją decyzję dotyczącą ustawień standardów bezpieczeństwa, że domyślne wyłączenie kont „Administrator” (RID -500) oraz „Gość” (RID -501) nie ma wpływu na bezpieczeństwo i nie jest przydatne przy zarządzaniu konfiguracją systemów Windows. Według firmy, aby zachować Security Baseline przydatne i łatwe do wdrożenia, starają się wymuszać ustawienia zasad grupy tylko wtedy, gdy:
- Użytkownicy niebędący administratorami mogliby w inny sposób nadpisać lub obejść te ustawienia,
- Niepowołani lub błędnie oddelegowani administratorzy mogliby dokonać złych wyborów dotyczących ustawień.
Żaden z tych warunków nie jest spełniony, jeśli chodzi o egzekwowanie domyślnego wyłączania kont „Administrator” i „Gość”.
Jednocześnie Microsoft zaznacza, że usunięcie ustawienia wymuszania wyłączenia powyższych kont wcale nie oznacza, że konta te powinny zawsze pozostać włączone w organizacji. Administratorzy mają teraz prawo przy instalacji systemu decydować czy włączyć te konta czy wyłączyć.
Jeśli chodzi o konto „Gość” to powinno ono zostać włączone tylko z konkretnego powodu i dla konkretnego przeznaczenia. Na przykład system hostujący aplikację typu kiosk.
Jeśli chodzi o konto „Administrator” to powinniśmy być bardzo ostrożni w tej kwestii. Microsoft zaleca, aby utrzymywać i korzystać tylko z jednego konta administracyjnego dla danego systemu. To czy będzie to konto wbudowane, czy też inne (dedykowane) to kwestia administratorów i polityki organizacji. Należy jednak pamiętać, że lokalne konto „Administrator” podlega specjalnym zasadom bezpieczeństwa.
Na przykład:
- Konto nie podlega zasadzie blokowania (lockout) przy kilku niepoprawnych wprowadzeń hasła
- Hasło do tego konta domyślnie nigdy nie wygasa
- Konto nie może zostać usunięte z wbudowanej grupy „Administrators”
- Konto zawsze obchodzi zabezpieczenia i komunikaty UAC
Rekomendacja Microsoft (i nasza również) to przemyślana decyzja czy chcemy pozostawić i korzystać z wbudowanego konta administracyjnego. Jeśli tak, to hasło powinno być silne (możliwe jest wdrożenie LAPS), a inny dostęp administracyjny zabroniony.