
Šiuolaikinėje korporacinėje aplinkoje, apsaugoti kredencialus ir griežtai kontroliuoti, koks kodas vykdomas „Windows“ sistemose tai nebėra pasirenkama. Atsiradus „Windows 10“, „Windows 11“ ir „Windows Server 2016“ bei naujesnėms versijoms, „Microsoft“ tvirtai įsipareigojo diegti virtualizacija pagrįstą saugumą, todėl sukūrė tokias technologijas kaip „Credential Guard“, „Device Guard“ ir „Application Guard“. Peržiūrėkite mūsų Išsamus „Windows 11“ saugumo vadovas įmonėms.
Jei valdote kompiuterių tinklą, turėtumėte išsamiai žinoti, kaip tai padaryti Teisingai sukonfigūruokite „Cendential Guard“ ir „Device Guard“, kaip jos integruojamos su kitomis priemonėmis, tokiomis kaip „BitLocker“, „Exploit Guard“ arba „Remote Credential Guard“, ir kokį vaidmenį atlieka „Microsoft Defender Endpoint Security Baselines“ (ypač dirbant su tradiciniais „Intune“ arba GPO).
Pagrindai: VBS, VSM ir kredencialų bei įrenginių apsaugos vaidmuo

Norėdami suprasti, kodėl „Credential Guard“ ir „Device Guard“ yra tokie veiksmingi, pirmiausia turite suprasti jų koncepciją. virtualizacija pagrįsta apsauga (VBS)VBS naudoja procesoriaus virtualizacijos galimybes („Intel VT-x“ arba „AMD-V“), kad sukurtų izoliuotą aplinką pačiame kompiuteryje, logiškai atskirtą nuo pagrindinės operacinės sistemos. Šį metodą papildo tokios technikos kaip Branduolio izoliacija sistemoje „Windows 11“, kurie sustiprina atskyrimą tarp pagrindinės ir likusios sistemos dalies.
VBS yra sukurtas remiantis Virtualus saugus režimas (VSM)Posistemė saugo ir apdoroja ypač slaptą informaciją. „Įprasta“ operacinė sistema tiesiogiai nepasiekia šio turinio, o sąveikauja su juo per labai ribotas ir kontroliuojamas sąsajas, taip sumažindama atakos paviršių.
Šiame kontekste pasirodo „Credential Guard“, kuri naudoja VSM, kad apsaugoti naudotojų kredencialus ir autentifikavimo paslaptis (pvz., NTLM maišos kodai arba „Kerberos“ bilietai). Kadangi jie yra izoliuoti nuo likusios sistemos dalies, net jei užpuolikas gauna aukštus privilegijas, jam daug sunkiau išgauti šiuos prisijungimo duomenis.
Kita vertus, „Device Guard“ daugiausia dėmesio skiria kodo kontrolei. Jos tikslas yra toks: Paleiskite tik pasirašytas ir patikimas programasblokuoti nežinomus arba potencialiai kenkėjiškus dvejetainius failus. Praktiškai „Device Guard“ įgyvendinama naudojant įvairias technologijas, iš kurių žinomiausios yra kodo vientisumo politikos ir baltuoju sąrašu pagrįstos konfigūracijos naudojimas.
Abu sprendimai remiasi tuo pačiu ramsčiu: a saugi aplinka, izoliuota naudojant VBS/VSM, su sustiprinta parama per tokią aparatinę įrangą kaip TPM (patikimos platformos modulis), kuri padeda apsaugoti kriptografinius raktus ir patikrinti sistemos įkrovos vientisumą.
„Microsoft Defender“ galinių punktų saugos baziniai standartai

Jei įrenginius tvarkote naudodami „Microsoft Intune“ arba „Microsoft Defender Endpoint Security Console“, saugos baziniai lygiai Jie yra jūsų geriausi sąjungininkai diegiant sudėtingas konfigūracijas (pvz., „Credential Guard“ ir „Device Guard“) be jokių papildomų pastangų nustatant kiekvieną atskirą nustatymą.
Saugos bazinis lygis yra ne kas kita, kaip iš anksto sukonfigūruotų parametrų rinkinys „Windows“ sistemoje juos sugrupuoja ir rekomenduoja „Microsoft“ saugos komandos. Kurdami bazinį profilį „Intune“, iš tikrųjų generuojate šabloną su daugybe įrenginio nustatymų: kredencialų politikomis, programų valdikliais, VBS parinktimis, „Defender“ parametrais ir kt.
„Microsoft Defender for Endpoint“ dokumentacijoje skelbiamos skirtingos šio bazinio lygio versijos, pavyzdžiui: 24H12020 m. gruodžio mėn. bazinė versija (6 versija), 2020 m. rugsėjo mėn. bazinė versija (5 versija) ir ankstesnės versijos, pvz., 2020 m. balandžio ir kovo mėn. Kiekvienoje iš jų pateikiamas išsamus parinkčių sąrašas su jų numatytąja būsena ir, jei įmanoma, nuorodos į konfigūravimo paslaugų teikėjus (CSP) tos pačios produktų grupės specifikacijos arba išplėstinė dokumentacija.
Kai išleidžiama nauja bazinės versijos versija, automatiškai grįžta į ankstesnę versijąProfiliai, kuriuos sukūrėte naudodami senesnę versiją, dabar yra tik skaitymo režimu: vis tiek galite juos priskirti, keisti jų pavadinimą, aprašymą ar tikslines grupes, bet negalite modifikuoti jų vidinių parametrų.
Kad konfigūracija būtų pritaikyta prie naujų standartų, „Intune“ leidžia atnaujinkite tuos profilius į dabartinę bazinę versijąAtnaujinus profilį, galėsite redaguoti nustatymus ir koreguoti, pavyzdžiui, „Credential Guard“, „Device Guard“, „BitLocker“ ar bet kurios kitos įtrauktos parinkties būseną.
„Microsoft“ tvirtina, kad šis „Defender“ galinio taško bazinis taškas yra optimizuota fiziniams įrenginiamsNerekomenduojama naudoti tokio, koks yra, virtualiose mašinose ar VDI aplinkose, nes tam tikros parinktys gali trukdyti interaktyviems nuotoliniams seansams arba tam tikroms virtualizacijos architektūroms. VDI aplinkoms svarbu peržiūrėti konkrečią dokumentaciją, kaip padidinti atitiktį pagrindiniams reikalavimams nesutrikdant vartotojo patirties.
Būtinos sąlygos ir sistemos suderinamumas
Norint įdiegti „Credential Guard“ ir „Device Guard“, o juo labiau, jei norite jas integruoti su kitomis technologijomis („Remote Credential Guard“, „Application Guard“, „Citrix“ sprendimais ir kt.), labai svarbu patikrinti aparatinės įrangos reikalavimai, operacinė sistema ir programinės įrangos versijos.
Apskritai jums reikės:
- CPU su virtualizacijos palaikymu („Intel VT-x“ arba „AMD-V“) ir virtualizacija įjungta BIOS/UEFI.
- Virtualizacija pagrįsto saugumo palaikymas (VBS) įjungtas sistemos saugos nustatymuose.
- TPM (pageidautina TPM 2.0), kad būtų sustiprinta raktų saugykla ir sistemos įkrovos vientisumas.
- Suderinamos versijos „Windows 10/11 Enterprise“. o "Windows Server nuo 2016 m. pasinaudoti VSM privalumais.
Virtualių darbalaukių ir nuotolinių programų srityje „Citrix“ dokumentuoja konkrečius reikalavimus savo vaidmeniui Patobulintas domeno perkėlimas vienkartiniam prisijungimui (vienkartinis prisijungimas), kuris tiksliai remiasi „Remote Credential Guard“:
- Virtualiojo pristatymo agento (VDA) 2308 arba naujesnės versijos; jei seanso pagrindiniame kompiuteryje arba kliente naudojate „Windows 11“, reikalinga VDA 2407 arba 2402 LTSR CU2 arba naujesnė versija.
- „Citrix Workspace“ programos versija – 2309 arba naujesnė, o „Windows 11“ aplinkoje – bent 2405.10 arba 2402 LTSR CU2.
- „Windows 10/11“ 64 bitų klientai, prijungti prie „Active Directory“ domeno ir su tiesioginis ryšys su domeno valdikliais (Nėra ryšio, nėra vienkartinio prisijungimo).
- Vieno seanso pagrindiniai kompiuteriai su „Windows 10 22H2“ arba „Windows 11 22H2“ ar naujesne versija.
Ši „Citrix“ funkcija pakeičia senąją perdavimo autentifikaciją, pagrįstą senąja SSO paslauga (ssonsvr.exe) ir nesuderinamas su 32 bitų sistemomisBe to, negalite vienu metu naudoti senojo domeno perkėlimo ir naujojo patobulinto domeno perkėlimo tame pačiame prieglobos serveryje.
Kredencialų apsaugos konfigūravimas ir diegimas
„Credential Guard“ yra vienas iš pagrindinių VBS ekosistemos komponentų. Jo misija aiški: užkirsti kelią sistemoje saugomiems prisijungimo duomenims (pvz., LSASS proceso atminties maišos) yra vagiamos naudojant iškelties įrankius arba šoninio judėjimo atakas.
Norint įjungti „Credential Guard“ naudojant tradicinius grupės politikos nustatymus, rakto nustatymas yra „Windows“ virtualizacijos pagrindu sukurtose saugos parinktyse. Naujesnėse versijose šios politikos paprastai sugrupuotos... Įrenginio apsauga GPO šabloneTiksliau, skyriuje „Virtualizacijos pagrindu sukurtos saugos aktyvinimas“.
Kai ši politika tinkamai sukonfigūruota, sistema paleidžiama naudojant VBS ir Aktyvuoti kredencialų apsaugąViduje tai reiškia registro pakeitimus, ypač rakte:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
Štai kur slypi vertė. LsaCfgVėliavosŠis nustatymas valdo „Credential Guard“ veikimą. 0 reikšmė išjungia funkciją, o kitos reikšmės (priklausomai nuo „Windows“ versijos) įjungia ją skirtingais režimais. Jei ketinate modifikuoti šiuos raktus, patartina laikytis geriausios praktikos. saugiai dirbti su „Windows“ registru ir, jei reikia, atlikite ankstesnes atsargines kopijas.
Kai kuriais atvejais, ypač kai kyla nesuderinamumas, gali prireikti Laikinai išjunkite „Windows Defender“ kredencialų apsaugąPavyzdžiui, „Citrix“ dokumentuoja žinomą problemą, kai, jei kliento kompiuteryje aktyvuota „Credential Guard“, vienkartinis prisijungimas prie virtualių seansų gali nepavykti ir rodomas „Windows“ saugos pranešimas: „Jūsų kredencialai neveikė. „Windows Defender Credential Guard“ neleidžia naudoti „Windows“ prisijungimo kredencialų.“
Tokiais atvejais yra du pagrindiniai būdai jį išjungti:
- Per grupės politiką, modifikuojant parinktį „Įjungti virtualizacijos pagrindu veikiančią apsaugą“ Kompiuterio konfigūracija > Administravimo šablonai > Sistema > Įrenginių apsauga.
- Registracijos, steigimo būdu LsaCfgFlags = 0 aukščiau nurodytu maršrutu.
Svarbu suprasti, kad šis apribojimas taip pat turi įtakos naudojimui. Nuotolinė kredencialų apsauga per RDPJei jums reikia naudoti patobulintą domeno perkėlimą su SSO kartu su „Credential Guard“, oficiali rekomendacija yra pateikti „Microsoft“ užklausą dėl šio scenarijaus palaikymo.
Įrenginių apsauga ir kodo valdymas: baltieji sąrašai ir veikimo režimai
Nors „Credential Guard“ daugiausia dėmesio skiria kredencialams, „Device Guard“ – kontroliuoti, kurią programinę įrangą galima paleisti komandoje. Idėja yra pereiti nuo klasikinio modelio, pagrįsto kenkėjiškų programų parašais, prie prevencinio modelio, kuris leidžia tik tai, ką administratorius apibrėžė kaip patikimą.
Praktiškai „Device Guard“ daugiausia įgyvendinama per:
- Kodo vientisumo politika, kurie nurodo, kurie dvejetainiai failai, sertifikatai ir leidėjai laikomi patikimais.
- Saugios įkrovos konfigūracija ir VBS, siekiant išvengti kenkėjiškas kodas įkeliamas ankstyvosiose stadijose sistemos.
- Integracija su diegimo ir valdymo įrankiais (pvz., „Intune“, GPO, SCCM), skirta pasirašytoms politikoms platinti.
Įrenginių apsaugos elgesys gali būti daugiau arba mažiau griežtas, priklausomai nuo pasirinkto režimo:
- Autonominis vartotojo režimas (panašiai kaip bandymo arba pasirinktinis režimas), kai vartotojas išlaiko tam tikrą kontrolės laipsnį, o apribojimai yra ne tokie griežti. Verslo aplinkoje tai nėra idealu, nes leidžia įvykti žmogiškoms klaidoms.
- Organizacijos valdomas režimas (Įmonės valdomas arba įmonės įgalintas), kai administratorius apibrėžia baltąjį, pilkąjį ir juodąjį sąrašus, kad tiksliai kontroliuotų, kas leidžiama.
Taikant šį verslo metodą, politikos paprastai tvarko trijų tipų domenus arba svetaines:
- Patikima svetainė (Patikimos svetainės): atitinka baltuosius sąrašus. Tai gerai žinomi domenai, kuriuose rizika laikoma maža, todėl naršyklė arba programa Įkelkite turinį tiesiai į įrenginį su mažiau papildomų apribojimų.
- Neutralios svetainės (Neutralios svetainės): Domenai, kuriuose gali būti slaptos informacijos (įmonės ar asmeninės) ir kurių tvarkymas priklauso nuo konteksto. Jei prieiga atliekama saugioje aplinkoje, apsauga išliks; jei prieiga atliekama visiškai patikimoje svetainėje, elgesys gali būti liberalesnis.
- Nepatikimos svetainės (Nepatikimos svetainės): atitinka juoduosius sąrašus. Bet koks iš šių domenų kilęs turinys yra atidaromas. izoliuotoje aplinkoje, pasitelkiant virtualizacijos technologijas rizikai sumažinti.
Lygiagrečiai „Device Guard“ dažnai naudojama kartu su kitais sluoksniais, tokiais kaip Programų apsauga ir apsauga nuo atakųkurie stebi potencialiai pavojingų failų atsisiuntimą ir vykdymą, taip pat žinomų pažeidžiamumų išnaudojimą, prireikus generuodami įspėjimus ir blokuodami.
Programų apsauga ir įsilaužimų apsauga: papildomas sustiprinimas
Be „Credential Guard“ ir „Device Guard“, „Windows“ integruoja tokias technologijas kaip Paraiškos apsauga (ypač daug dėmesio skiriant naršyklei ir svarbiausioms programoms) ir Išnaudojimo apsauga, kurie praplečia izoliacijos ir grūdinimo sąvoką.
„Application Guard“ sukuria virtualizuota aplinka svetainėms ar programoms paleisti potencialiai pavojinga. Kai pasiekiami domenai, pažymėti kaip nepatikimi, sistema priverčia juos būti įkeltiems šiame VBS pagrindu veikiančiame „izoliuotame langelyje“, taip neleisdama kenkėjiškam turiniui paveikti pagrindinės sistemos ar pavogti duomenų.
Šis sprendimas veikia kartu su anksčiau minėtais svetainių sąrašais (patikimų, neutralių ir nepatikimų) ir „Device Guard“ politikomis. Tai sukuria modelį, kuriame Naršyklė ir tam tikros pagrindinės programos veikia integruotu būdu. kai jie gauna prieigą prie rizikingų išteklių.
Kita vertus, „Exploit Guard“ apjungia priemonių rinkinį, skirtą sistemos ir programų pažeidžiamumui sumažinti, sustiprindama tokius elementus kaip:
- Atminties apsauga, siekiant išvengti savavališkų vykdymų.
- Įtartino elgesio, būdingo išnaudojimams, blokavimas.
- Kontroliuojama prieiga prie aplankų, siekiant apsisaugoti nuo išpirkos reikalaujančių programų.
„Cendential Guard“, „Device Guard“, „Application Guard“ ir „Exploit Guard“ derinys suteikia sluoksniuoti šarvai dėl to šiuolaikinės atakos yra daug sunkesnės, ypač tos, kurios siekia judėti tinkle horizontaliai arba užgrobti prisijungimo duomenis.
Įmonių naudojimas: „Windows 10/11“, „Windows Server 2016“ ir susijusios naujos funkcijos
Serverių srityje „Windows Server 2016“ pristatė daug „Windows 10“ jau matytų funkcijų, tačiau pritaikytų duomenų centro aplinkai. Kalbant apie saugumą, be integracijos su „Windows Defender“ kaip numatytoji antivirusinė programa„Device Guard“ ir „Credential Guard“ yra pagrindinės operacinės sistemos apsaugos priemonės. Daugiau informacijos apie šiuos patobulinimus ir naujas funkcijas rasite [nuoroda į atitinkamą dokumentaciją]. Išplėstinė sauga ir pagrindinės naujos funkcijos sistemoje „Windows Server“.
Dėl šių technologijų tai įmanoma Apsaugokite domeno valdiklius, programų serverius ir failų serverius nuo kredencialų vagystės ir neautorizuotų dvejetainių failų vykdymo. Tai tampa ypač aktualu, kai derinama su kitomis naujomis „Windows Server 2016“ ekosistemos funkcijomis:
- Parama įdėtoji virtualizacijakuri leidžia „Hyper-V“ veikti virtualiose mašinose, palengvindama sudėtingų laboratorijų ir testavimo aplinkų veikimą.
- Papildomi įrankiai, pvz našumo analizatoriai arba diegimo sistemas įrangai, kuri neprisijungs prie domeno.
- Naujos „PowerShell 5.1“ galimybės, įskaitant DSC (pageidaujamą būsenos konfigūraciją), „PackageManagement“ / „OneGet“ ir „PowerShell Direct“, skirtos virtualioms mašinoms ar konteineriams valdyti nenaudojant tradicinio tinklo ryšio.
Infrastruktūros srityje „Windows Server 2016“ taip pat apima patobulinimus tokiose funkcijose kaip DNS (Sąlyginių atsakymų DNS politikos), IPAM (centralizuotas IP adresų valdymas), IIS 10 su HTTP/2 palaikymutaip pat saugojimo technologijos, tokios kaip ReFS, NTFS deduplikacija, saugyklos replika ir saugyklos erdvės, kurios, nors ir nėra tiesiogiai „Credential Guard“ ar „Device Guard“ dalis, yra saugumo ir prieinamumo ekosistemos dalis.
Nuotolinė kredencialų apsauga, „Citrix“ ir kredencialų delegavimas
„Remote Credential Guard“ išplečia „Credential Guard“ filosofiją iki nuotolinių ryšių scenarijusypač naudojant RDP ir darbalaukio virtualizacijos sprendimus. Idėja yra ta, kad vartotojo prisijungimo duomenys nėra perduodami neapsaugoti į nuotolinį kompiuterį, o „Kerberos“ yra saugiai naudojamas ir palaikomas kliento izoliuotoje aplinkoje.
„Citrix“ šiuo metodu remiasi dėl savo funkcionalumo Patobulintas domeno perkėlimas vienkartiniam prisijungimui „Citrix Workspace“ programoje ir virtualiuose darbalaukio bei programų seansuose, jei kliento įrenginiai yra prijungti prie „Active Directory“ ir naudojamas „Citrix StoreFront“.
Kai kurie pagrindiniai šios funkcijos aspektai yra šie:
- 32 bitų operacinėse sistemose tai nepalaikoma.
- Jis pakeičia senojo perdavimo autentifikavimas pagrįstas ssonsvr.exe.
- Jo negalima įjungti vienu metu su senesnio perdavimo autentifikavimu tame pačiame seanso pagrindiniame kompiuteryje.
- Nors senesnei autentifikacijai reikėjo įjungti politiką „Įjungti sistemos MPR pranešimus“, patobulintas perdavimas leidžia vienkartinį prisijungimą be šios politikos.
- Skirtingam domenų autentifikavimui, a dvikryptis tranzitinis pasitikėjimas gauti paslaugų bilietus už domenų ribų; kitaip Kerberos delegavimas neveiks.
Kalbant apie konfigūraciją, integracijai su „Remote Credential Guard“ reikia atlikti keletą veiksmų „StoreFront“, „Citrix“ politikose, sesijos pagrindiniuose kompiuteriuose ir klientų kompiuteriuose.
„StoreFront“ ir „Citrix“: vienkartinio prisijungimo nustatymas naudojant nuotolinę kredencialų apsaugą
Kad patobulintas domeno perkėlimas veiktų tinkamai, „StoreFront“ turi būti sukonfigūruota taip: priimti domeno perkėlimo autentifikavimą tiek sandėlyje, tiek susijusioje svetainėje.
Bendrieji žingsniai yra šie:
- Atidarykite „StoreFront“ administravimo konsolę.
- Eiti į skyrių Sandėlis > Tvarkyti autentifikavimo metodus, kur rodomas svetainę atitinkantis langas.
- Pažymėkite langelį „Domeno perkėlimas“ ir sutikite.
Svetainei:
- Toje pačioje „StoreFront“ konsolėje atidarykite skirtuką Parduotuvės > Imtuvas žiniatinkliui > Tvarkyti imtuvą žiniatinklio svetainėms > Konfigūruoti > Autentifikavimo metodai.
- Svetainės modifikavimo lange pažymėkite žymimąjį langelį „Domeno perkėlimas“.
- Taikykite pakeitimus.
Vėliau, „Citrix“ politika, skirta patobulintam domenų perkėlimui:
- „Citrix Studio“ arba žiniatinklio konsolėje eikite į „Politikos“ ir sukurkite naują.
- Ieškokite nustatymo „Patobulintas domeno perkėlimas vienkartiniam prisijungimui“.
- Nustatykite kaip „Leidžiama“.
- Išsaugoti ir pritaikyti.
Be to, sesijos pagrindiniuose kompiuteriuose būtina sukonfigūruoti „Windows“ politiką, kuri leistų deleguoti neeksportuojamus prisijungimo duomenis:
- Aplankyti Kompiuterio konfigūracija\Politikos\Administravimo šablonai\Sistema\Kredentacijų delegavimas.
- Įjunkite parinktį „Nuotolinis kompiuteris leidžia deleguoti neeksportuojamus kredencialus“.
- Iš naujo paleiskite sesijos pagrindinį kompiuterį.
„Windows Server 2016“ šis konkretus nustatymas nerodomas vietinėje politikoje, todėl, jei reikia jį nustatyti vietoje, o ne per GPO, turėsite jį pakoreguoti per registrą. HKLM\SYSTEM\CurrentControlSet\Control\LsaDWORD reikšmės kūrimas / keitimas Išjungti ribotą administratorių su duomenimis ties 0.
Kliento įrenginio konfigūracija ir patikimos svetainės
Kliento įrenginio pusėje taip pat reikia nuveikti. Kad patobulintas domeno perkėlimo vienkartinis prisijungimas (SSO) būtų sklandus, būtina... Įjunkite funkciją kliento programoje ir pasitikėkite „StoreFront“ svetaine.
Patobulintą domeno perkėlimo funkciją galima įjungti naudojant vietinę politiką arba GPO:
- Eikite į Kompiuterio konfigūracija\Politikos\Administravimo šablonai\„Citrix“ komponentai\„Citrix“ darbo sritis\Vartotojo autentifikavimas.
- Įjunkite nustatymą „Patobulintas domeno perkėlimas vienkartiniam prisijungimui“.
- Kad pakeitimai įsigaliotų, paleiskite „Citrix Workspace“ programą iš naujo.
Tuo pačiu metu būtina užtikrinti, kad klientai „StoreFront“ URL laikytų dalimi vietinė intraneto svetainė arba patikima svetainėJei URL nepriklauso jau patikimam domenui, jį galima pridėti naudojant šią direktyvą:
- Aplankyti Kompiuterio konfigūracija\Politikos\Administravimo šablonai\„Windows“ komponentai\„Internet Explorer“\Interneto valdymo skydas\Sauga.
- Įjunkite „Svetainių priskyrimo zonai sąrašą“ ir pridėkite atitinkamus URL adresus prie savo zonos (pvz., vietinis intranetas arba patikimos svetainės).
- Įjunkite parinktį „Prisijungimo parinktys“ ir nustatykite ją į „Automatinis prisijungimas naudojant dabartinį vartotojo vardą ir slaptažodį“.
Naudodamas šį nustatymų rinkinį, klientas gali Pasinaudokite nuotolinės kredencialų apsaugos ir patobulinto domeno perkėlimo privalumais SSO atveju, jei nėra jokių apribojimų dėl „Windows Defender Credential Guard“ buvimo, kaip aptarta žinomų problemų skyriuje.
Apribotų svetainių zona, „ActiveX“ ir naršyklės apsaugos stiprinimas
Dar viena svarbi „Windows“ saugumo dėlionės dalis yra konfigūracija „Internet Explorer“ saugos zonos (kuris, nors ir nyksta, vis dar daro įtaką daugeliui sistemos komponentų) ir, tuo pačiu, kaip tvarkomi „ActiveX“ valdikliai, scenarijai ir atsisiuntimai.
Griežčiausios politikos yra apribotose srityse. Įprastos parinktys, kurias galima koreguoti naudojant grupės politiką, yra šios:
- Leisti ar ne prieiga prie skirtingų domenų duomenų šaltinio.
- Įgalinti arba išjungti aktyvūs scenarijai ir dvejetainių bei scenarijų elgseną.
- Patikrinkite, ar leidžiama nuvilkite failus arba kopijuokite / įklijuokite tarp svetainių ir langų.
- Leisti arba blokuoti failų atsisiuntimus ir automatinius atsisiuntimus.
- Kontroliuokite XAML failų įkėlimą ir META REFRESH naudojimą.
- Apriboti naudojimą "ActiveX" aiškiai patvirtintose srityse, tiek TDC valdymui, tiek kitiems valdikliams.
- Apriboti scenarijų paleistus langus be dydžio ar pozicijos apribojimų.
- Tvarkyti VBScript, Java, programėlių ir nuo .NET priklausomų komponentų naudojimą.
- Nuspręskite, ar Jie naudoja antivirusinę programą, skirtą „ActiveX“ sistemoms. arba jo naudojimas leidžiamas be kenkėjiškų programų.
- Įjunkite filtrus, pvz. Skirtingų svetainių scenarijų (XSS) filtras, Apsaugotas režimas arba „SmartScreen“ filtras.
Visas šis politikos rinkinys yra dalis gynybos nuodugniai strategijos, kurios tikslas, be kredencialų apsaugos ir įrenginių apsaugos, yra... sumažinti naršyklės atakos paviršiųkuris paprastai yra vienas iš labiausiai paplitusių įėjimo taškų.
ACL, prieigos kontrolė ir PAC: papildomas saugumo kontekstas
Be VBS, VSM ir „Windows“ „apsaugų“, sistemos saugumas labai priklauso nuo Prieigos kontrolės sąrašai (ACL)„Windows“ sistemoje ACL apibrėžia, kas gali pasiekti kokius išteklius ir su kokiais leidimais, tiek failų sistemos lygmeniu, tiek kituose vidiniuose komponentuose.
ACL leidžia konfigūruoti labai specifiniai objektų leidimai (Objekto teisės), viršijančios įprastas skaitymo / rašymo teises. Pavyzdžiui, vartotojui gali būti leidžiama skaityti failo turinį, bet nekeisti jo teisių, arba paslaugai gali būti leidžiama modifikuoti įrašą, bet ne jo ištrinti.
ACL paveldimumas taip pat vaidina svarbų vaidmenį, nes palengvina teisės perduodamos į poaplankius ir failus nereikalaujant jų konfigūruoti po vieną. Su tuo reikia elgtis atsargiai: netinkamas leidimų paveldėjimas gali atverti daugiau galimybių nei numatyta arba, atvirkščiai, blokuoti teisėtus procesus.
Sudėtingesniais atvejais „Windows“ palaiko modelius politika pagrįsta prieigos kontrolė (PAC) kurios leidžia taikyti dinamiškesnes ir kontekstualesnes taisykles. Visa tai integruota su žurnalavimo sistema, kuri, nors čia ir išsamiai neaprašyta, yra dar vienas svarbus saugumo ir audito komponentas; galite peržiūrėti mūsų įrašą apie „Windows“ saugos auditas norėdami sužinoti, kaip užregistruoti ir peržiūrėti atitinkamus įvykius.
Ryšys su VSM yra tiesioginis: VSM remiasi ACL ir „Windows“ saugos modeliu, kad Izoliuoti jautrias sistemos dalisužtikrinant, kad su apsaugotais komponentais galėtų sąveikauti tik patvirtintas kodas su atitinkamomis teisėmis.
Tinkamai įdiegus „Credential Guard“, „Device Guard“, „Application Guard“, „Exploit Guard“, naršyklės strategijas, gerai suprojektuotus ACL ir naudojant saugos bazines linijas, galima sukurti „Windows“ aplinką, kurioje Prisijungimo duomenys yra saugūs, kenkėjišką kodą labai sunku vykdyti, o įprasti atakų vektoriai yra stipriai sustiprinti.visada išlaikant pagrįstą pusiausvyrą tarp saugumo ir patogumo galutiniams vartotojams.
Aistringas rašytojas apie baitų pasaulį ir technologijas apskritai. Man patinka dalytis savo žiniomis rašydamas, būtent tai ir darysiu šiame tinklaraštyje, parodysiu jums įdomiausius dalykus apie programėles, programinę įrangą, techninę įrangą, technologijų tendencijas ir kt. Mano tikslas – padėti jums paprastai ir smagiai naršyti skaitmeniniame pasaulyje.