Microsoft Security Baseline (Aktualizace 28.03.2020)
Microsoft vydává pro svoje produkty, tedy klientské a serverové operační systémy Windows a Office sady Security Baseline. Pokud jste správce sítě, měli byste je znát.
Sada Microsoft Security Baseline je sada dokumentů a šablon pro Group Policy. Jedná se o předpřipravené šablony, které, pokud je importujete do vašeho systému, provedou změny nastavení na doporučené nastavení z pohledu Microsoftu.
K čemu je to dobré? Microsoft se již delší dobu snaží o lepší zabezpečení svých produktů. Existují různí průvodci a různé výchozí chování produktů Microsoftu, které celkově zlepšuje zabezpečení. Nicméně pořád se jedná o drobná zlepšení, obecně produkty Microsoftu moc bezpečné, či zabezpečené nejsou. Je to proto, že u běžných uživatelů by to bylo asi na škodu (běžný uživatel nebude mít pochopení pro požadavek na silné heslo o délce, například 12 znaků) a zvedl by se počet nespojených uživatelů a firemní zákazníci by měli mít vlastní odborníky, kteří se bezpečností zabývají.
Nicméně pro jednodušší počáteční implementaci firemních zákazníků tu přece jen existuje řešení a tím jsou právě sady šablon Security Baseline.
Co je Microsoft Security Baseline?
Ve Windows 10 existuje více než 3 000 nastavení zásad skupiny, Internet Explorer 11 má dalších 1 800 nastavení aplikace. Z těchto 4 800 nastavení však pouze některé souvisí se zabezpečením. Podobně jsou na tom další součásti Windows, jako například Defender, Bitlocker, .NET Framework, IIS, apod.
Pokud chcete mít opravdu velmi dobře zabezpečené jen Windows 10 a jeho součásti, je nezbytně nutné projít všechny možnosti nastavení a rozhodnout se o tom, jak je nastavit. Některé možnosti nastavení jsou relativně jednoduchá na rozhodování, mohou existovat ale poměrně speciální možnosti nastavení, kde pro rozhodnutí je třeba se nad vším zamyslet, případně si povolat odborníka, například na sítě.
Z vlastní zkušenosti vím, že je třeba velmi důkladně v některých případech promyslet zvolené nastavení a počítat s případnými důsledky tohoto nastavení. Vyžaduje to pak důkladné testování, zda veškeré nastavení vyhovuje vašim požadavkům a zda případně neblokuje nějaké možnosti, nebo dokonce aplikace.
Při počtech možností nastavení každý uvítá nějaký vzor ze kterého by mohl vycházet a pro tyto situace je zde k dispozici Baseline Security. Baseline Security obsahuje doporučené výchozí nastavení, které zohledňuje bezpečnost a určité průmyslové standardy.
Baseline Security je vydáván pro každý produkt v dané verzi. Existují proto samostatné sady Baseline Security pro následující produkty:
- Edge (Chromium-based)
- Office 365,
- Office 2016,
- Windows 10,
- Windows Server 2012 R2.
- Windows Server 2016.
- Windows Server 2019.
Vzhledem k tomu, že se počítá s implementací nastavení v Enterprise prostředí (korporace), počítá se obvykle s nejvyššími produktovými řadami produktů pro desktop, tedy Windows 10 Enterprise a Office Pro Plus.
Co Baseline Security obsahuje?
- Příručky. Příručky popisující jak Baseline Security pro daný produkt implementovat.
- Tabulky. Tabulky obsahují kompletní seznam možností nastavení kde je porovnáno výchozí nastavení produktu po instalaci a doporučené nastavení. Tabulka také většinou obsahuje také vysvětlení proč je dané nastavení takto zvoleno.
- Šablony s nastavením pro Group Policy. Nastavení může být několik, například pro Windows 10 se počítá jak s nastavením klienta jako člena domény, tak různá samostatná nastavení pro součásti Windows (Internet Explorer) a také samostatné nastavení politik pro Windows 10 jako Secured Workstation bez domény. Podobně se počítá také s odlišným nastavením pro Windows Server jako řadič domény a jiné pro člena domény.
- Policy Analyzer Tool. Nástroj s pomocí kterého můžete extrahovat nastavení a porovnat jej s doporučeným nastavením z některých šablon.
- Local Group Policy Object (LGPO). Velmi užitečný nástroj pro import vzorových šablon s politikami.
Proč bych měl Baseline Security implementovat?
Podobná nastavení implementují všechny společnosti. Korporace tato nastavení používá 100%, jen ve vlastní modifikaci. V dnešní době, kdy je třeba bezpečnost řešit vážně vám tato nastavení pomohou předcházet různým bezpečnostním incidentům.
Baseline Security není ortodoxní příručka, kterou musíte slepě implementovat od A po Z, ale minimálně vám pomůže v začátcích a také vám pomůže získat nový pohled a nové problémy se kterými jste se třeba i nesetkali.
Microsoft nastavení obsažená v Baseline Security implementoval na základě praktických zkušeností se svými zákazníky mezi ně patří také bezpečnostní organizace jako FBI, CIA a také ozbrojené složky US.
Pokud se s bezpečností na takové úrovni setkáváte poprvé, doporučuji vám otevřít si tabulku s doporučeným nastavením a nastudovat si všechna doporučená nastavení. 🙂
Články na podobné téma
- Windows 10 Security Baseline
- Windows 10 1903 mění doporučenou politiku pro expiraci hesel
- Security Technical Implementation Guide (STIG) (1): Úvodní seznámení
Odkazy
- Windows Security Baselines (anglicky)
- Microsoft Security Compliance Toolkit ke stažení
Historie tohoto článku
Aktualizace 21.10.2017
Článek byl vydán.
Aktualizace 28.03.2020
Aktualizace seznamu produktů, pro které jsou dostupné šablony Baseline Security.
Přidán odstavec Články na podobné téma a doplněny odkazy.
Pingback: Microsoft nedoporučuje zapnutí režimu FIPS (FIPS mode) | Michal Zobec: Blog // ZOBEC Consulting
Pingback: Microsoft Office Security baseline (Aktualizace 28.03.2020) | Michal Zobec: Blog // ZOBEC Consulting
Pingback: Microsoft Edge Security baseline (Chromium-based) (Aktualizace 28.03.2020) | Michal Zobec: Blog // ZOBEC Consulting
Pingback: Microsoft Windows Server Security baseline | Michal Zobec: Blog // ZOBEC Consulting
Pingback: Windows 10 Security baseline (Aktualizace 28.03.2020) | Michal Zobec: Blog // ZOBEC Consulting
Pingback: Windows 10 1903 mění doporučenou politiku pro expiraci hesel | Michal Zobec: Blog // ZOBEC Consulting
Pingback: Security Technical Implementation Guide (STIG) (1): Úvodní seznámení | Michal Zobec: Blog // ZOBEC Consulting