Administratorze Systemów Windows Uwaga!!! Finalna wersja Security Configuration Baseline dla Windows 10 oraz Windows Server – omówienie

Nowe ustawienia Security Baseline

Poniżej przedstawiamy kilka ważniejszych ustawień w finalnej wersji Security Configuration Baseline opublikowanych przez Microsoft – link tutaj.

• Włączenie nowej polityki „Enable svchost.exe mitigation options”, która wymusza bardziej rygorystyczne ustawienia dla usług hostowanych w procesie svchost.exe. Powoduje to m. in. to, że każde pliki binarne wczytywane do pamięci przez svchost.exe muszą być podpisane przez Microsoft, a każde dynamiczne modyfikacje kodu przez proces są niedozwolone. Może to powodować problemy z kompatybilnością niektórych narzędzi, jak na przykład pluginów do obsługi smart-card.
• Skonfigurowanie nowego ustawienia dotyczącego prywatności w aplikacjach – „Let Windows apps activate with voice while the system is locked”. Po wprowadzeniu zaleceń, użytkownicy nie będą mogli aktywować i obsługiwać aplikacji głosowych, kiedy system jest zablokowany.
• Wyłączenie multicast name resolution (LLMNR) w celu zapobiegania atakom typu spoofing, czyli podszywania się malware pod inną, znaną aplikację.
• Skonfigurowanie rekomendowanej polityki audytu na kontrolerach domeny dotyczącej szczegółowego logowania procesu autentykacji Kerberos.
• Ustawienie silniejszego szyfrowania w aplikacji BitLocker szyfrującej dane na dyskach lokalnych.
• Porzucenie polityki wygasania haseł użytkowników – pisaliśmy o tym w osobnym artykule.
• Porzucenie polityki wyłączania wbudowanych kont lokalnych Administrator oraz Gość – więcej o tym w dalszej części.

Konto wbudowane „Administrator” nie będzie domyślnie wyłączone

Microsoft argumentują swoją decyzję dotyczącą ustawień standardów bezpieczeństwa, że domyślne wyłączenie kont „Administrator” (RID -500) oraz „Gość” (RID -501) nie ma wpływu na bezpieczeństwo i nie jest przydatne przy zarządzaniu konfiguracją systemów Windows. Według firmy, aby zachować Security Baseline przydatne i łatwe do wdrożenia, starają się wymuszać ustawienia zasad grupy tylko wtedy, gdy:

• Użytkownicy niebędący administratorami mogliby w inny sposób nadpisać lub obejść te ustawienia,
• Niepowołani lub błędnie oddelegowani administratorzy mogliby dokonać złych wyborów dotyczących ustawień.

Żaden z tych warunków nie jest spełniony, jeśli chodzi o egzekwowanie domyślnego wyłączania kont „Administrator” i „Gość”.

Jednocześnie Microsoft zaznacza, że usunięcie ustawienia wymuszania wyłączenia powyższych kont wcale nie oznacza, że konta te powinny zawsze pozostać włączone w organizacji. Administratorzy mają teraz prawo przy instalacji systemu decydować czy włączyć te konta czy wyłączyć.

Jeśli chodzi o konto „Gość” to powinno ono zostać włączone tylko z konkretnego powodu i dla konkretnego przeznaczenia. Na przykład system hostujący aplikację typu kiosk.

Jeśli chodzi o konto „Administrator” to powinniśmy być bardzo ostrożni w tej kwestii. Microsoft zaleca, aby utrzymywać i korzystać tylko z jednego konta administracyjnego dla danego systemu. To czy będzie to konto wbudowane, czy też inne (dedykowane) to kwestia administratorów i polityki organizacji. Należy jednak pamiętać, że lokalne konto „Administrator” podlega specjalnym zasadom bezpieczeństwa. Na przykład:

• Konto nie podlega zasadzie blokowania (lockout) przy kilku niepoprawnych wprowadzeń hasła
• Hasło do tego konta domyślnie nigdy nie wygasa
• Konto nie może zostać usunięte z wbudowanej grupy „Administrators”
• Konto zawsze obchodzi zabezpieczenia i komunikaty UAC

Rekomendacja Microsoft (i nasza również) to przemyślana decyzja czy chcemy pozostawić i korzystać z wbudowanego konta administracyjnego. Jeśli tak, to hasło powinno być silne (możliwe jest wdrożenie LAPS), a inny dostęp administracyjny zabroniony.