Ojačavanje sustava Windows 11 pomoću alata trećih strana

Windows 11 (i Windows 10) su vrlo praktični sustavi, ali dolaze "otvoreni" iz tvornice. tako da gotovo sve radi prvi put: naslijeđeni protokoli, servisi koje ne koristite, čarobnjaci, telemetrija, PowerShell sa svim svojim arsenalom… Upravo tu istu pogodnost napadači i zlonamjerni softver koriste za ulazak, kretanje po mreži i eskalaciju privilegija s relativnom lakoćom ako ne radite ništa više od instaliranja antivirusa i ukrštanja prstiju.

Očvršćivanje prozora uključuje zatvaranje tih nepotrebnih vrata.To uključuje aktiviranje zadanih obrana, kontrolu nad time koje se aplikacije mogu pokretati i kontinuirano praćenje kako bi se osiguralo da se sigurna konfiguracija s vremenom ne degradira. Iako se mnogi zadaci mogu obavljati ručno, danas je gotovo nezamislivo poduzeti ozbiljan projekt ojačavanja bez oslanjanja na alate trećih strana koji automatiziraju testiranje, implementaciju i praćenje.

Što je pojačavanje sigurnosti u sustavima Windows 10 i 11 i zašto je bitno shvatiti ga ozbiljno?

Učvršćivanje ili utvrđivanje znači smanjenje površine napada sustava Prilagođavanje konfiguracije operativnog sustava, aplikacija i usluga kako bi se osigurale osnovne vrijednosti (CIS, DISA STIG, Microsoftove smjernice itd.). Ideja je vrlo jednostavna: svaka nepotrebna funkcija, svaka usluga koja osluškuje u pozadini, svaka skripta omogućena bez razloga predstavlja još jedan vektor napada.

Proizvođači, uključujući Microsoft, daju prednost funkcionalnosti nad sigurnošćuŽele da Windows radi na gotovo svakom računalu i u svakom okruženju, pa omogućuju značajke kompatibilnosti, naslijeđene protokole i komponente za koje većina korisnika ni ne zna da postoje. Sve je to sjajno dok napadač ne iskoristi jedan od tih "dodataka" koji vam uopće nisu bili potrebni.

Kaljenje je postalo eksplicitan zahtjev u propisima i standardima (ISO 27001, ENS, PCI-DSS, CIS, STIG, itd.). Više nije "lijepo imati": organizacije moraju definirati specifične politike kaljenja prema vrsti sustava, ulozi, verziji, okruženju (produkcija, predprodukcija, laboratorij, korisničke radne stanice, poslužitelji, kiosci, VDI...) i ići na maksimalnu razinu razumne granularnosti.

Primjena kaljenja bez metode je savršen recept za prekid proizvodnjeOzbiljan proces uvijek uključuje tri faze: prvo, testiranje; zatim, kontroliranu implementaciju; i konačno, kontinuirano praćenje. Upravo tu dolaze do izražaja alati trećih strana: bez njih, ljudske pogreške i iznenađenja u proizvodnji su praktički zajamčeni.

Tri faze projekta ojačavanja sustava Windows

1. Faza testiranja: razumijevanje utjecaja svakog pravila

Ako primijenite "tvrdu" osnovnu liniju izravno na produkciju, obično ćete pokvariti stvari.Mnogi vodiči preporučuju onemogućavanje svega što predstavlja potencijalni rizik, ali u stvarnom životu imate naslijeđene aplikacije, integracije trećih strana, usluge koje se oslanjaju na stare protokole i korisnike koji rade s makroima ili ActiveX komponentama.

Ispravan način testiranja je simulacija stvarne mreže u laboratorijskom okruženju. Što je moguće točnije primijenite politike pojačavanja i promatrajte što se prekida: aplikacije koje prestaju s pokretanjem, usluge koje se ne povezuju, ispis koji ne uspijeva, planirani zadaci koji se više ne izvršavaju itd. Ova je faza daleko najduža, najskuplja u smislu sati i najosjetljivija od cijelog projekta.

Svaku promjenu konfiguracije treba procijeniti u smislu utjecaja na sigurnost u odnosu na koristPostoje pravila koja su neupitna (na primjer, onemogućavanje arhaičnih protokola ili LM hashova), a postoje i druga gdje ćete morati prihvatiti određenu razinu rizika jer je alternativa funkcionalno neizvediva. Rezultat ove faze obično je osnovna linija "prilagođena" vašem okruženju, izvedena iz reference poput CIS-a ili STIG-a, ali prilagođena stvarnosti.

2. Faza primjene i kontroliranog raspoređivanja

Nakon što je politika dorađena, mora se primijeniti na sve komponente mreže.Radne stanice, prijenosna računala, aplikacijski poslužitelji, poslužitelji baza podataka, kontroleri domena, datotečni poslužitelji itd. Ručno izvođenje ovoga ili korištenje nekontroliranih skripti jednosmjerna je karta za kaos.

Alati za upravljanje konfiguracijom i ojačavanje omogućuju orkestriranje implementacije S jedne kontrolne točke, osiguravajući da svaka vrsta sustava dobije odgovarajući profil i da se pravila primjenjuju točno onako kako je testirano. Tu do izražaja dolaze tehnologije poput GPO-a, System Center Configuration Managera, Ansiblea, Puppet-a, Chefa ili specijaliziranih rješenja za zaštitu od oštećenja.

Još jedna ključna prednost je sljedivostTko je što promijenio, kada i na kojim sustavima? Bez te vidljivosti, kada sigurnosno ažuriranje ili promjena aplikacije uzrokuje čudno ponašanje, postaje izuzetno teško dijagnosticirati je li problem u pojačavanju sigurnosti, zakrpi ili lokalnoj pogrešnoj konfiguraciji.

3. Faza kontinuiranog praćenja i održavanja

Korporativna mreža je životno okruženjeInstaliraju se nove aplikacije, oprema se deaktivira, mijenjaju se uloge poslužitelja, dodaju se korisnici s različitim razinama privilegija itd. Ako ne pratite usklađenost s osnovnom linijom, za nekoliko mjeseci vratit ćete se u nesigurno stanje vrlo slično početnom.

Kontinuirano praćenje uključuje otkrivanje odstupanja od očekivane konfiguracije.Te pogreške mogu biti slučajne (tehničar privremeno omogući nešto, a zatim zaboravi) ili zlonamjerne (netko pokušava ponovno otvoriti vrata koja su bila zaštićena). Neki alati čak omogućuju automatsko ispravljanje tih pogrešaka i bilježe ih u središnji zapisnik.

Skeneri za usklađenost ovdje igraju važnu uloguOni uspoređuju svaki sustav s referentnim sustavom (CIS, STIG, Microsoftovi vodiči, interne korporativne baze podataka) i generiraju izvješća o stanju poboljšanja i evoluciji tijekom vremena, što je temeljno za revizije i određivanje prioriteta mjera poboljšanja.

Alati za automatizaciju ojačavanja: pristup „sve u jednom“

Najopsežniji alati su oni posebno dizajnirani za automatizaciju kaljenja.jer pokrivaju sve tri faze: testiranje utjecaja pravila, implementaciju konfiguracije i praćenje odstupanja, sve iz središnje konzole.

Njegova najveća snaga je automatizirana analiza utjecajaUmjesto da vaši sistemski timovi moraju prolaziti test po test, ova rješenja uče ponašanje poslužitelja i simuliraju što bi se dogodilo pri primjeni određene politike, ukazujući na to koje bi usluge bile pogođene prije nego što dođu u produkciju.

Među rješenjima orijentiranima na poslužitelje ističu se sljedeća::

• Rješenje za zaštitu CalCom servera (CHS)Ova je platforma osmišljena za jačanje Windows poslužitelja, minimizirajući prekide usluge. Analizira utjecaj svakog pravila, pomaže u prilagođavanju osnovne linije i primjenjuje promjene na kontroliran način. Nadalje, kontinuirano prati da poslužitelji ostaju usklađeni s odobrenom sigurnosnom politikom.
• CalCom sigurnosno rješenje za IISSličan pristup, ali usmjeren na IIS web poslužitelje. Bavi se konfiguracijom sigurnosti middlewarea (zaglavlja, enkripcija, moduli, dozvole itd.), tradicionalno spornim pitanjem, te automatizira fazu analize utjecaja te implementaciju i praćenje sigurne konfiguracije.

Ove vrste alata obično se oslanjaju na priznate kriterije (CIS, STIG) i Microsoftove vodičeMeđutim, omogućuju vam opasno prilagođavanje svakog pravila kako biste ga prilagodili specifičnom kontekstu organizacije, što je ključno pri radu s vrlo kritičnim korporativnim aplikacijama.

Alati za upravljanje konfiguracijom: Ansible, Chef, Puppet, SCCM…

Platforme za upravljanje konfiguracijom (SCM) nisu dizajnirane za pojačavanje sigurnosti, ali su idealne za njegovu primjenu. U velikoj mjeri: omogućuju vam definiranje "kako bi svaka vrsta sustava trebala biti" i ponovljivo prikazivanje te konfiguracije na cijelu infrastrukturu.

Sa sigurnosnog stajališta, SCM nudi nekoliko prednosti:

• Primijenite složenu konfiguracijsku politiku odjednom (pravila vatrozida, usluge, dozvole, lokalne politike…) na tisuće računala bez ručnog uređivanja ičega.
• Verzija konfiguracijeU bilo kojem trenutku možete saznati koja se verzija pravila koristi i vratiti se na prethodnu verziju ako nešto pođe po zlu.
• Pregled i odobrenje promjenaNišta se ne pušta u proizvodnju bez prolaska kroz proces pregleda, što smanjuje rizik od individualnog "ludila".
• Revizija i evidencijaSvaka promjena se bilježi, što je ključno u reguliranim okruženjima.

Uobičajeni primjeri ove vrste alata su:

• AnsibleŠiroko se koristi u Linux okruženjima, ali je sposoban i za upravljanje Windowsima. Željeno stanje sustava definirano je putem playbookova i primjenjuje se idempotentno.
• Kuhar: usmjeren prema DevSecOps-u, omogućuje upravljanje isporukom aplikacija i konfiguracijom sigurne infrastrukture te provjerom usklađenosti.
• Lutka: još jedna platforma za automatizaciju infrastrukture, koja se također može koristiti za provođenje sigurnosnih politika na Windowsima i drugim sustavima.
• Upravitelj konfiguracije sustava Microsoft System Center (SCCM/ConfigMgr)Klasičan u korporativnim Windows okruženjima, kombinira distribuciju softvera, upravljanje zakrpama, inventar i kontrolu konfiguracije operativnog sustava.

Iako ova rješenja ne dolaze s "standardnim kaljenjem"Omogućuju vam prevođenje osnovnih vrijednosti (CIS, STIG, Microsoft predlošci) u kod i njihovu dosljednu primjenu u cijelom parku, drastično smanjujući ljudske pogreške.

Skeneri usklađenosti: mjerenje koliko je vaš Windows otporan

Skeneri usklađenosti ne primjenjuju konfiguraciju, ali su termometar vaše sigurnosne situacije.Oni procjenjuju svako računalo ili poslužitelj u odnosu na referencu (na primjer, CIS Benchmark za Windows 11, DISA-in STIG ili vlastite predloške) i vraćaju izvješće o tome "što nedostaje" ili "što je dodatno".

Njegova glavna funkcija je praćenje i generiranje dokaza. Za interne i eksterne revizije: one vam omogućuju da objektivnim podacima pokažete stupanj u kojem se pridržavate određenog propisa ili standarda te služe za određivanje prioriteta sanacijskih mjera.

Neki uobičajeni primjeri ove vrste alata su:

• Upravitelj konfiguracije TripwireaNudi centralni pregled konfiguracije i statusa usklađenosti sve vaše imovine, s mogućnošću otkrivanja neovlaštenih promjena.
• KvalisPoznat po skeniranju ranjivosti, također ima module za analizu konfiguracije i usklađenosti na više tehnologija, uključujući Windows.
• NNT SecureOpsFokusira se na inteligentnu kontrolu i automatizaciju promjena, reviziju konfiguracija, otkrivanje odstupanja u stvarnom vremenu i pomoć u održavanju kontinuirane usklađenosti.
• CIS-CAT Procjenitelj: alat Centra za internetsku sigurnost koji uspoređuje vaše sustave s CIS mjerilima i generira detaljna izvješća o tome koje parametre zadovoljavaju, a koje ne.

U zrelom sustavu normalno je kombinirati SCM/alate za jačanje sigurnosti kako bi se provodile politike i skeneri usklađenosti kako bi se provjerili i mjerili rezultati.čime se zatvara krug između definicije, implementacije i kontrole.

Alati otvorenog koda i besplatni uslužni programi za jačanje sustava Windows

Uz komercijalna rješenja, postoji vrlo bogat ekosustav besplatnih i alata otvorenog koda usmjerenih na jačanje i procjenu sigurnosti u sustavu Windows.Obično su manje "lijepe" od plaćenih platformi, ali su izuzetno korisne za specifične analize i za okruženja s ograničenim budžetom.

Neki od najzanimljivijih su:

• Projekt soliOkvir za automatizaciju koji vam omogućuje orkestriranje infrastrukture, izvršavanje udaljenih naredbi i upravljanje konfiguracijama. Može se koristiti za provođenje sigurnosnih parametara u sustavu Windows i njihovo održavanje tijekom vremena.
• Microsoftov komplet alata za usklađenost sa sigurnošću (SCT)Microsoftov službeni paket s osnovnim linijama sigurnosne konfiguracije, skriptama i alatima za analizu, testiranje i usporedbu sa stvarnim stanjem vaših računala.
• Revizor za kaljenje: zbirka skripti namijenjenih provjeri usklađenosti Windows sustava sa specifičnim smjernicama za pojačavanje sigurnosti (na primjer, onima australske agencije ASD za Windows 10 i Office).
• Sugerator iskorištavanja sustava Windows – sljedeća generacija (WES-NG)Na temelju rezultata systeminfo.exe, generira popis ranjivosti koje utječu na sustav i moguće povezane ranjivosti, što je vrlo korisno za uočavanje nedostajućih kritičnih zakrpa.
• Privesc (PowerShell) y provjera-privacy-u-windowsu: skripte koje analiziraju sustav u potrazi za pogrešnim konfiguracijama koje mogu omogućiti eskalaciju privilegija (labave dozvole, pogrešno konfigurirane usluge, ranjivi putovi itd.).

Ove vrste alata posebno su korisne u fazi testiranja i tehničke revizije.pomažući u otkrivanju slabosti koje bi jednostavan pregled GPO-a ili predložaka mogao propustiti.

Specifično pojačanje na radnim stanicama sa sustavom Windows 10 i 11: od osnovnog do naprednog

Osim sloja "procesa" i globalnih alata, postoji dugi popis specifičnih postavki na razini korisničke radne stanice koje čine svu razliku.Neki dolaze od samog Microsofta, drugi od vladinih smjernica, a treći od iskustva stečenog iz incidenata iz stvarnog svijeta.

Korištenje ažuriranih verzija i zakrpa

Prva točka, očita, ali se još uvijek ne poštuje u mnogim organizacijama: uvijek koristite x64 podržane verzije i redovno ih ažurirajte.64-bitni Windows 10/11 uključuje ublažavanja kao što su DEP na razini kernela, PatchGuard, obavezno potpisivanje upravljačkih programa i nedostatak podrške za 32-bitne upravljačke programe, što znatno otežava iskorištavanje određenih kategorija ranjivosti.

Upravljanje zakrpama treba biti centraliziranoBilo da se koristi WSUS, ConfigMgr, Windows Update for Business ili slična rješenja, u kombinaciji s Wake-on-LAN-om za zakrpe izvan kritičnih sati kad god je to moguće, "jednodnevni" napadi (iskorištavanje odmah nakon objavljivanja zakrpe) naglo su porasli, stoga je smanjenje prozora izloženosti ključno.

Kontrola računa, vjerodajnica i privilegija

Tretman privilegiranih računa jedan je od stupova kažnjavanjaNema smisla uvoditi sve tehničke mjere za ublažavanje rizika na svijetu ako korisnici cijeli dan rade s lokalnim ili administratorskim računima domene.

Osnovne dobre prakse u ovom području:

• upotreba Standardni računi za svakodnevni rad i rezervirajte privilegirane račune samo za određene administrativne zadatke.
• odvojen korisnički i administratorski računis različitim vjerodajnicama i, ako je moguće, bez pristupa internetu/porukama na administratorskim računima.
• Implant LAPS (rješenje za lozinku lokalnog administratora) ili njegovog nasljednika kako bi se osigurale jedinstvene i robusne lozinke na lokalnim administratorskim računima, izbjegavajući "jedinstvenu lozinku" koja omogućuje masovne lateralne poteze.
• Ograničite upotrebu privilegirane akreditacije na stanicama visokog rizika (standardna korisnička oprema, dijeljeni strojevi itd.).
• Aktivirati Čarobnjak za vjerodovake Kada hardver to dopušta, izolirati vjerodajnice koje obrađuje LSASS u tajnoj memoriji.

Osim toga, preporučljivo je agresivno ograničiti predmemoriju vjerodajnica (na primjer, na jednu prethodnu prijavu) i onemogućiti povijesno problematične tehnologije poput WDigesta ili LM hash pohrane, koje su zlatni rudnik u offline napadima grubom silom.

Sigurnosne postavke aplikacija i sustava Windows

Mnogi upadi počinju iskorištavanjem "korisničkih" aplikacija koje dolaze pogrešno konfigurirane. Prema zadanim postavkama: Office dopušta makroe bez ograničenja, PDF čitači prihvaćaju JavaScript ili ugrađeno izvršavanje, Java s preširokim dozvolama, preglednici bez pravila o dodacima itd.

Neke ključne mjere u ovom području:

• Primijenite sigurnosne osnove na Microsoft Office, PDF čitači, Java i preglednici, onemogućavanje nepotpisanih makroa, nepotrebnog aktivnog sadržaja i zastarjelih dodataka.
• prikaz Zaštita od iskorištavanja Microsoft Defendera u sustavima Windows 10/11 (ili ekvivalentima trećih strana) kako bi se omogućila opća (DEP, CFG, ASLR, SEHOP, zaštita heap-a) i specifična za aplikaciju ublažavanja iskorištavanja.
• Aktivirajte Pravila smanjenja površine napada (ASR) u Defender Antivirusu ili sličnim tehnologijama u proizvodima trećih strana, posebno onima usmjerenima na Office i skripte.
• Prisiliti izvršenje Microsoft Edge s Application Guardom izolirati pregledavanje s nepouzdanih web-mjesta u kontejnerima, smanjujući utjecaj web-eksploata.

Što se tiče samog Windows sustava, postoji paket gotovo obaveznih podešavanjaOjačati UAC tako da sve osjetljive operacije zahtijevaju vjerodajnice u Secure Desktopu, nametnuti korištenje Secure Desktopa za unos lozinke, onemogućiti nepotrebne usluge (red za čekanje ispisa na računalima koja ne ispisuju, udaljene usluge koje se ne koriste itd.) i omogućiti značajke kao što su Early Launch AntiMalware (ELAM), sigurno pokretanje, mjereno pokretanje i izolacija kernela kada hardver to podržava.

Kontrola izvršavanja koda: AppLocker, SRP i napredna rješenja

Kontrola aplikacija vjerojatno je jedna od najučinkovitijih obrana na korisnikovoj radnoj stanici.Ideja: izvršava se samo ono što navedete. Nema improviziranih EXE datoteka, skripti ili DLL-ova s ​​preuzimanja, USB pogona ili nekontroliranih putanja.

U Windows domenskim okruženjima postoji nekoliko izvornih opcija:

• AppLockerOmogućuje vam definiranje pravila prema izdavaču (potpisu), putanji ili hashu za izvršne datoteke, skripte, instalacijske programe i pakirane aplikacije. Kada se pravilno konfigurira i kombinira s realističnim bijelim listama, drastično smanjuje rizik od neovlaštenog izvršavanja koda.
• Pravila o ograničenju softvera (SRP): stariji, ali i dalje koristan u nekim scenarijima, omogućuje blokiranje izvršavanja izvan "blagoslovljenih" putova i jednostavnih bijelih lista.
• Kontrolirani pristup mapama (Defender): fokusira se na zaštitu ključnih direktorija od neovlaštenih modifikacija, posebno ublažavajući utjecaj ransomwarea.

Posljednjih godina pojavili su se alati trećih strana koji dodatno olakšavaju ovaj pristup.posebno za napredne korisnike i kućna ili mala uredska okruženja:

• HardenToolsLagani uslužni program koji trenutačno onemogućuje Windows komponente s visokim rizikom od zlouporabe (Windows Script Host, određene PowerShell integracije, makroi, ActiveX i OLE u Officeu, JavaScript ugrađen u PDF-ove itd.), idealan za "skrivanje" funkcionalnosti koje prosječnom korisniku nikada neće trebati.
• Hard_ConfiguratorMoćan alat koji djeluje kao sučelje za SRP pravila, SmartScreen i ograničenja skripti. Omogućuje vam postavljanje bijelih lista prema putanji ili hashu, aktiviranje stroge binarne validacije, onemogućavanje izvršavanja na vanjskim diskovima, zaštitu određenih područja sustava i automatizaciju stvaranja točaka vraćanja.
• Harden System Security u odnosu na AppControl Manager (projekti dostupni na GitHubu): prvi nudi vrlo jasno grafičko korisničko sučelje za jačanje sustava Windows onemogućavanjem rijetko korištenih komponenti (PowerShell v2, Windows Media Player, prekomjerna telemetrija itd.) i prilagođavanjem vatrozida i usluga; drugi se fokusira na definiranje lako razumljivih pravila kontrole aplikacija (npr. blokiranje svega što pokušava pokrenuti iz Preuzimanja), generirajući konfiguraciju u XML-u tako da je integritet Windows koda može primijeniti.

Cilj svih ovih alata je isti: omogućiti administratoru da odluči što se može pokrenuti, odakle i s kojim dozvolama., umjesto da bilo koja preuzeta datoteka ima potpunu slobodu.

Sigurnost mreže, šifriranje i druge bitne postavke

Važan dio ojačavanja sustava Windows 11 alatima trećih strana odnosi se na način na koji sustav komunicira s ostatkom svijeta.interna mreža, internet, vanjski uređaji i usluge u oblaku.

Vatrozid, SMB, RPC i naslijeđeni protokoli

Ispravno konfiguriran Windows vatrozid bolji je od mnogih perimetarskih vatrozida.Jer odlučuje koje aplikacije mogu komunicirati, ne samo koji portovi. Jačanje uključuje definiranje jasnih pravila za dolazni i odlazni promet, ograničavanje izloženih usluga i omogućavanje opcija poput prikrivenog načina rada kako bi se smanjila vidljivost hosta.

U uslugama dijeljenja datoteka i autentifikacijePostoji nekoliko kritičnih točaka:

• Pravilno potpišite i šifrirajte SMB sesije kako bi se spriječilo otimanje sesije i manipulacija prometom.
• Ograničite upotrebu NTLMv2 samo kada je to apsolutno neophodno i dati prioritet Kerberosu kad god je to moguće.
• Prisilite RPC autentifikacija klijenta kako bi se spriječila anonimna komunikacija koja otkriva previše informacija na mreži.
• Za onemogućavanje NetBIOS preko TCP/IP-a osim u visoko kontroliranim naslijeđenim scenarijima.

Također je preporučljivo zaštititi izloženu površinu pomoću priključaka za "daljinsko upravljanje".Ograničite udaljenu radnu površinu na korisnike i računala gdje je to neophodno, ojačajte red čekanja za ispis, onemogućite udaljenu pomoć ako se ne koristi i zaštitite WinRM odgovarajućom autentifikacijom i šifriranjem.

Šifriranje diska, vanjski uređaji i DMA

Potpuno šifriranje diska s BitLockerom ili ekvivalentom je praktički obavezno U prijenosnim računalima i okruženjima gdje bi tvrdi disk mogao završiti u rukama trećih strana, šifriranje diska pomoću AES-a i zaštita ključeva pomoću TPM-a (i opcionalno, PIN-a ili dodatnih sigurnosnih faktora) drastično smanjuje rizik od pristupa podacima u slučaju krađe ili gubitka uređaja.

Uz enkripciju, kontrola vanjskih uređaja je još jedno ključno područje.:

• Ograničite ili blokirajte korištenje USB pogoni i ostali uređaji za pohranu putem grupnih pravila ili rješenja za kontrolu uređaja, dopuštajući samo one koji su strogo potrebni.
• Onemogući Automatsko izvršavanje i automatska reprodukcija i na optičkim medijima i na USB-u kako bi se spriječilo pokretanje izvršnih datoteka bez intervencije korisnika.
• Onemogućite ili zaštitite pristupna sučelja DMA (FireWire, Thunderbolt)jer omogućuju izravno čitanje/pisanje u memoriju i zaobilaženje određenih zaštita operacijskog sustava.

Ne smijemo zaboraviti ni snimanje na CD/DVD (tamo gdje još uvijek postoji).To može biti izvor curenja informacija ako korisnici imaju neograničen pristup. U većini slučajeva dovoljno je ograničiti ga putem grupnih pravila ili zamijeniti snimače jednostavnim čitačima kartica.

Telemetrija, Copilot i web pretraga: smanjenje curenja informacija

Windows 10 i 11 uključuju više značajki koje dijele informacije s Microsoftovim uslugamaTelemetrija pogrešaka, inventar aplikacija, upiti za web pretraživanje iz izbornika Start, integracija OneDrivea, Copilot s Bing Chatom itd. Sa stajališta sigurnosti i privatnosti, preporučljivo je pažljivo procijeniti što je još omogućeno.

Razumne dobre prakse u korporativnom okruženju:

• Preusmjeri Informacije o pogreškama i dijagnostici na korporativni poslužitelj za izvještavanje umjesto slanja tvrtki Microsoft, osim ako nije potpisan poseban ugovor.
• onemogućiti integrirano web pretraživanje u izborniku Start kako biste spriječili nepotrebno slanje osjetljivih pojmova u oblak.
• Blokirajte ili odgodite korištenje Windows kopilot u korporativnim okruženjima do donošenja informirane odluke temeljene na riziku, dajući prioritet konfiguracijama s Bing Chat Enterprise kada je to dopušteno.
• izbjegavati Povezivanje osobnih Microsoft računa s domenskim računima tako da se korporativne postavke i datoteke ne sinkroniziraju s nekontroliranim uređajima.

Fino podešavanje ojačanja: sigurnosne politike, revizija i korisničko iskustvo

Šlag na torti jačanja sustava Windows 11 alatima trećih strana leži u detaljima.: politike blokiranja, revizija, upravljanje napajanjem, korisničko sučelje… sve te sitnice koje, kada se pravilno prilagode, zatvaraju praznine i poboljšavaju otkrivanje incidenata.

Neki primjeri:

• konfiguriranje razumne politike blokiranja računa (na primjer, 5 neuspjelih pokušaja i ponovni pokušaj nakon 15 minuta) kako bi se zaustavili napadi grubom silom bez blokiranja legitimnih korisnika svaki drugi dan.
• Za onemogućavanje prijave s integriranim računima gostiju i promijeniti im ime ako zahtjevi kompatibilnosti sprječavaju njihovo potpuno uklanjanje.
• Isključi Sigurni način rada za račune koji nisu administratorišto standardnom korisniku otežava zaobilaženje kontrola pokretanjem u sigurnom načinu rada.
• omogućiti Automatsko zaključavanje sesije nakon razumnog razdoblja neaktivnosti (10-15 minuta) i ograničite osjetljive informacije prikazane na zaključanom zaslonu.
• Spriječi standardne korisnike može otvoriti regedit, cmd ili PowerShell bez kontrole, osim kada je to izričito opravdano.
• Prisiliti minimalna razina složenosti i duljine lozinkirazlikovajući kada se koriste kao pojedinačni faktor ili unutar MFA.
• Za onemogućavanje hibernacija i hibridna suspenzija na visokoosjetljivoj opremi, smanjujući izloženost ključeva u memoriji ili u datotekama hibernacije.

Paralelno s tim, mora se osmisliti dobro osmišljena politika revizije.Koje događaje zapisivati, koliko dugo ih čuvati, gdje ih centralizirati (SIEM, poslužitelj zapisnika) i kako ih povezati. Windows je beskoristan za generiranje tona zapisnika ako ih nitko ne pregledava ili se ne mogu koristiti u forenzičkoj istrazi.

Konačno, korisničko iskustvo je važnije nego što se činiAko kaljenje učini radnu stanicu nepodnošljivom, korisnici će tražiti alternative (osobne USB pogone, neovlaštenu pohranu u oblaku, mobilne uređaje itd.). Alati trećih strana s dobrim sučeljima, kao što su Harden System Security ili AppControl Manager u malim okruženjima, ili dobro integrirana poslovna rješenja, pomažu u postizanju razumne ravnoteže između sigurnosti i upotrebljivosti.

Usvojite ozbiljan pristup ojačavanju sustava u sustavu Windows 11 uz podršku alata trećih strana To podrazumijeva pretpostavku da sigurnost nije jednokratna provjera, već kontinuirani proces dizajniranja politika, testiranja utjecaja, kontroliranog postavljanja i stalnog praćenja; kombiniranjem izvornih mogućnosti sustava Windows (Defender, BitLocker, AppLocker, Exploit Guard, Application Guard, Sandbox, Credential Guard…) s platformama za automatizaciju, skenerima usklađenosti i specijaliziranim uslužnim programima, sasvim je izvedivo transformirati i poslužitelje i korisnička računala u sustave koji su puno otporniji na zlonamjerni softver, pogrešne konfiguracije i upade, bez žrtvovanja svakodnevne produktivnosti.