Herding av Windows 11 med SecPol og GPO: En komplett guide

Når du begynner å komme inn i Sikkerhetshemmeligheter i Windows 11Før eller siden kommer du til samme punkt: brukerens datamaskiner er det svake leddet. En nylig installert Windows 11, uten riktig sikkerhetskonfigurasjon, er et enkelt mål for skadelig programvare. malwareløsepengevirus og angripere som beveger seg sidelengs gjennom nettverket.

Den gode nyheten er at Windows 11 har et enormt arsenal av herdingsfunksjonerMange av disse kan kontrolleres med SecPol (lokal sikkerhetspolicy) og GPO-er. Utfordringen ligger i å vite hva som skal endres, hvordan man kombinerer det med Microsofts sikkerhetsgrunnlinjer, og hvordan man ikke ødelegger halve virksomheten i prosessen. Her finner du en omfattende veiledning for å styrke Windows 10 og, fremfor alt, Windows 11 med SecPol, GPO, Defender og offisielle verktøy som Security Compliance Toolkit.

Hva er Windows 11-herding, og hvorfor bør du gjøre det nå?

Når vi snakker om Windows 11-herding Vi refererer til å minimere systemets angrepsflate: deaktivere unødvendige komponenter, konfigurere bare det som trengs på en sikker måte, og styrke legitimasjon, nettverk, applikasjoner og oppstartsprosesser. Alt dette oppnås ved å utnytte... SecPol.msc, Gpedit.msc, GPMC og verktøy som RSAT, Intune eller Configuration Manager.

Windows 10- og 11-arbeidsstasjoner er et yndet mål for angripere fordi det er der brukere surfer på nettet, åpner e-poster, kobler til USB-stasjoner, installerer programmer og kjører makroer. Riktig herding reduserer sjansene for utnyttelse drastisk, men det krever... planlegging, testing og en tydelig policy om hva som er tillatt og hva som ikke er det.

Det er ikke nok å bare slå på antivirusprogrammet. En seriøs herdingsstrategi kombinerer Applikasjonskontroll, angrepsoverflatereduksjon (ASR), påloggingsbeskyttelse, kryptering, brannmur, logging, sterk autentisering og en god oppgraderingsstrategi. Og, aller viktigst, alt dette må administreres sentralt gjennom Domene GPO- eller MDM-policyerikke ved å klikke manuelt på hver PC.

Foruten de tekniske aspektene, er det et tankesett: et "funksjonelt" Windows trenger ikke nødvendigvis å være et "sikkert" Windows. Mange funksjoner som er aktivert som standard gjør livet enklere for brukeren, men også for angriperen.Så herding handler om å finne den rette balansen for miljøet ditt.

SecPol, Gpedit og GPMC: inngangsporten til herding

Det første trinnet i å styrke Windows 11 innebærer å forstå de innebygde verktøyene grundig: SecPol.msc (lokal sikkerhetspolicy), Gpedit.msc (redigeringsprogram for gruppepolicy) og GPMC (konsoll for administrasjon av gruppepolicy)Med dem kan du berøre nesten alle aspekter av systemsikkerhet.

I team samlet av et domene, utføres realistisk ledelse med GPMC fra en server eller fra en klient med RSAT installertFor å åpne den, gå til Start, søk etter «Group Policy Management» og start konsollen. Derfra kan du opprette GPO-er, koble dem til nettsteder, domener eller OU-er, og kontrollere redigerings- og koblingstillatelser.

På lokalt nivå, Gpedit.msc og SecPol.msc Dette er dine allierte for testing eller for datamaskiner som ikke er koblet til domenet. Få tilgang til dem ved å skrive gpedit.msc eller secpol.msc i søkefeltet eller i Kjør. Hvis du støter på tillatelsesfeil eller meldinger om at den ikke kan åpnes, sjekk medlemskapet ditt i administratorgruppene og, i noen tilfeller, reparasjonsmappen C:\Windows\System32\GroupPolicy (for eksempel ved å gi Machine nytt navn til Machine.old og generere konfigurasjonen på nytt).

Merk at du må ha funksjonen installert for å bruke GPMC. Gruppepolicyhåndtering (RSAT) og nødvendige tillatelser på GPO-er og OU-er. Som standard kan bare domene- og bedriftsadministratorer opprette og koble GPO-er, selv om kontroll kan delegeres til bestemte grupper.

Opprette et grunnleggende herdende GPO for Windows 11 ved hjelp av PowerShell

En svært effektiv måte å bruke masseherding på er å kombinere GPO + PowerShellFra GroupPolicy-modulen kan du opprette og fylle ut policyer uten å bruke mus, slik at du kan versjonere skript, replikere miljøer og automatisere.

Først av alt, installer RSAT fra Innstillinger > Apper > Valgfrie funksjoner > Legg til en funksjonSøk etter «RSAT: Group Policy Management Tools». Importer deretter modulen i en PowerShell-økt med administratorrettigheter.

Un typisk strømning For et GPO for herding kan det være:

• Opprett et grunnleggende GPO, for eksempel «Herding-W11», utelukkende dedikert til sikkerhet.
• bruk Sett-GPRegistryValue å skrive kritiske nøkler: USB-lås, PowerShell-policyer, Office-makroer, CMD, AutoRun, Edge, RDP, SMB, osv.
• Koble GPO-en til OU-en som inneholder måldatamaskinene og tving frem applikasjonen med Ny GPLink – Håndhevet Ja.

Med denne tilnærmingen kan du for eksempel deaktivere lagring USB endrer startverdien til USBSTOR-tjenesten 4. Krev at PowerShell bare kjører signerte skript (ExecutionPolicy=AllSigned), blokker uklarerte makroer i Office (VBAWarnings), forhindrer bruk av CMD (DisableCMD), eller deaktiverer SMBv1 for å bli kvitt en rekke eldre sårbarheter.

Nøkkelen er at hver endring dokumenteres og testes i en laboratorie- eller pilot-OU-miljø før distribusjon til hele organisasjonen, fordi enkelte policyer kan ødelegge arbeidsflyter eller eldre applikasjoner.

Microsofts sikkerhetssamsvarsverktøysett og sikkerhetsgrunnlinjer

I stedet for å finne opp hjulet på nytt, er det mye mer fornuftig å utnytte Microsofts offisielle sikkerhetsgrunnlinjerAlt dette er fordelt innenfor Verktøysett for sikkerhetssamsvar (SCT), en pakke med forhåndskonfigurerte GPO-er, analyseverktøy og dokumentasjon.

SCT inkluderer grunnlinjer for Windows 11 (21H2, 22H2, 23H2, 24H2), Windows 10, Windows Server 2016/2019/2022/2025 Microsoft 365 Apps og EdgeDen inkluderer også funksjoner som:

Det bringer også verktøy som:

• Policy Analyzersammenligner GPO-er med hverandre eller mot den faktiske konfigurasjonen til en datamaskin, oppdager redundanser, konflikter og avvik.
• LGPO.exeBruker lokale policyer fra Registry.pol-filer, sikkerhetsmaler eller GPO-sikkerhetskopier, ideelt for datamaskiner utenfor domenet.
• SetObjectSecurity.exejusterer sikkerhetsbeskrivelser for filer, registernøkler, tjenester, SMB-delinger osv.
• GPO2-policyregler: konverterer GPO-sikkerhetskopier til .PolicyRules-filer som kan analyseres med Policy Analyzer uten å gå gjennom det grafiske brukergrensesnittet.

Grunnlinjene følger klare prinsipper: de er utformet for å veldrevne organisasjoner der standardbrukere ikke har administratorrettigheterBare konfigurasjoner som reduserer nåværende trusler endres, slik at man unngår å ødelegge mer enn de reparerer. For eksempel tvinges ikke et alternativ frem hvis risikoen det reduserer er lav og den operative påvirkningen er høy.

Disse grunnlinjene er tilgjengelige for Windows Pro, Enterprise, Education og Pro Education/SEog kan brukes med både tradisjonelle GPO-er og MDM-policyer (Intune inkluderer spesifikke sikkerhetsmaler for Windows 10/11).

Legitimasjonsbeskyttelse og LSASS-herding

En av de viktigste delene av Windows er LSASS (Local Security Authority Subsystem Service)Prosessen lagrer påloggingsinformasjon i minnet, slik at brukeren ikke trenger å autentisere seg hele tiden. Hvis en angriper klarer å dumpe LSASS, kan de stjele passord-hasher, Kerberos-billetter eller til og med klartekstpassord hvis WDigest er aktiv.

For å redusere denne risikoen er det flere anbefalte tiltak som du kan søke med SecPol eller GPO:

• Begrens hurtiglagring av legitimasjonReduser antall hurtiglagrede pålogginger eller deaktiver dem fullstendig på kritiske arbeidsstasjoner, slik at domeneadministratorlegitimasjon ikke ligger i SAM.
• Deaktiver WDigestDette forhindrer at passordfrasen lagres i ren tekst i LSASS.
• Aktiver Credential GuardI Windows 10/11 Enterprise isolerer den legitimasjon i et virtualisert miljø, utilgjengelig for prosesser med færre rettigheter.
• Aktiver minneintegritet (HVCI): styrker ytterligere koden som kan lastes inn i konteksten av LSASS.

Alt dette styres fra Avanserte sikkerhetspolicyer og MS Security Guide-policyer, inkludert i Security Compliance Toolkit. Krever kompatibel maskinvare (UEFI, TPM (tilstrekkelig virtualiseringsstøtte), men sikkerhetsspranget er veldig stort, spesielt mot Pass-the-Hash- eller Pass-the-Ticket-angrep.

Programkontroll: AppLocker, ASR og utførelsesbegrensninger

En typisk angrepsvektor er at brukeren kjører hva som helst: vedlegg, GitHub-binærfiler, skript fra hvem-vet-hvor og "bærbare" applikasjoner. Programkontroll i Windows 10/11 håndteres med flere komponenter: AppLocker, Defender ASR-regler og skriptkjøringspolicyer (spesielt PowerShell).

med AppLocker Du kan definere hvilke kjørbare filer, MSI-installasjonsprogrammer, skript og pakkede applikasjoner som kan kjøres, basert på utgiver, sti eller hash. Dette konfigureres via Gpedit eller GPO. Datamaskininnstillinger > Windows-innstillinger > Sikkerhetsinnstillinger > Programkontrollpolicyer > AppLockerIdeelt sett bør du starte i revisjonsmodus, gjennomgå effektene og deretter bytte til applikasjonsmodus.

Til slutt, kontroller PowerShell med utførelsespolicyer: håndhev Allsignert Eller, i svært krevende miljøer, kan du direkte blokkere kjøringen av brukerskript og bare tillate bedriftssignerte skript. I tillegg kan du logge transkripsjoner og blokkere eldre versjoner av PowerShell for å redusere unnvikelsesvektorer.

Beskyttelse mot løsepengevirus: Kontrollert tilgang til mapper og sikkerhetskopier

Løsepengevirus angriper brukerfiler og delte ressurser direkte. For å redusere dette inkluderer Windows 10/11 Kontrollert mappetilgangI Microsoft Defender Exploit Guard hindrer denne funksjonen uautoriserte prosesser i å endre bestemte stier (dokumenter, skrivebord osv.).

Du kan aktivere fra Windows Sikkerhet Beskyttelse mot løsepengevirus > Kontrollert mappetilgangLegg til beskyttede mapper og tillat klarerte applikasjoner. På bedriftsnivå konfigureres det best med gruppepolicyer eller Intune for å sikre at alle datamaskiner bruker samme policy.

I tillegg til dette krever god praksis at man har en solid plan for 3-2-1 sikkerhetskopierMinst tre kopier, på to forskjellige lagringsmedier, og én eksternt eller i et uforanderlig arkiv. Uansett hvor robust herdingen din er, hvis ransomware krypterer data og det ikke finnes noen bekreftet sikkerhetskopi, blir hendelsen kritisk.

Det anbefales å planlegge hyppige sikkerhetskopier, prøv periodiske restaureringer og sørg for at påloggingsinformasjonen som brukes til sikkerhetskopiering ikke eksponeres på de samme arbeidsstasjonene som kan bli kompromittert.

Sikker oppstart, ELAM og diskkryptering med BitLocker

Et annet kritisk sikkerhetsnivå ligger i systemoppstartsprosessen og diskbeskyttelse. Det er her følgende kommer inn i bildet. UEFI, sikker oppstart, TPM, ELAM og BitLocker.

med Secure Boot Når den er aktivert i UEFI, tillater fastvaren bare lasting av signerte og validerte oppstartslastere, noe som gjør det vanskelig å installere oppstartssett som kobles til før operativsystemet. ELAM (tidlig lansering av anti-malware) Den lar deg registrere en driver mot skadelig programvare som lastes inn før tredjepartsdrivere og klassifiserer hvilke drivere som kan initialiseres.

El Målt startKombinert med TPM genererer dette en logg over hvilke komponenter som lastes inn under oppstartsprosessen, som kan gjennomgås av sikkerhetsløsninger for å oppdage manipulering. Dette reduserer sannsynligheten for at en ondsinnet endring i oppstartskjeden ikke oppdages.

Når det gjelder data, tilbyr BitLocker full diskkryptering med AESBeskytter informasjon hvis datamaskinen mistes, blir stjålet eller harddisken fjernes. Ideelt sett bør du bruke BitLocker med TPM og, hvis aktuelt, en PIN-kode ved oppstart. Gruppepolicyobjekter (GPO-er) lar deg standardisere krypteringsalgoritmen, håndheve kryptering på alle stasjoner, kontrollere lagring av gjenopprettingsnøkler og forhindre svake konfigurasjoner.

Kontoadministrasjon, rettigheter og autentisering

Kontohåndtering er en annen pilar for herding. Det første trinnet er å eliminere dårlig praksis som Bruk den innebygde administratorkontoen til alt, eller la den ha samme passord på alle datamaskiner.Denne kontoen bør gis nytt navn, deaktiveres hvis mulig og administreres med en løsning som LAPS, som tildeler unike passord per enhet og roterer dem.

Like viktig er det å skille brukerkontoer fra administratorkontoer. En administrator bør ikke surfe på internett eller lese e-post med en privilegert konto. Modell med dobbel kontoén standard for daglig bruk og en annen administrativ standard kun for oppgaver på høyt nivå, ideelt sett med begrensninger på nett- og e-posttilgang.

For sensitiv tilgang (VPN, fjerntilgang, endringer i kritisk infrastruktur, tilgang til konfidensielle data) anbefales det på det sterkeste å kreve maskinvarebasert flerfaktorautentiseringWindows Hello for bedrifter (PIN- eller TPM-støttet biometri), FIDO2-nøkler, smartkort osv. Dette reduserer virkningen av legitimasjonstyveri betraktelig.

På protokollnivå er det tilrådelig å håndheve bruken av Kerberos og NTLMv2Deaktiver NTLMv1 og unngå eldre mekanismer der det er mulig. Det er også viktig å aktivere policyen. NoLMHash for å forhindre lagring av ekstremt svake LM-hasher.

Nettverk, brannmur, eldre tjenester og protokoller

Et herdet Windows-system kontrollerer også hva som kan gå inn og ut av nettverket, og hva åpne nettverksporter De er eksponert. Windows-brannmuren Den må aktiveres for profiler i privat og offentlig domene, med eksplisitte regler for innkommende og utgående trafikk. Vanligvis er bare strengt nødvendig trafikk knyttet til kjente tjenester og applikasjoner tillatt.

I nettverkslaget Det er tilrådelig:

• Signer og krypter sikre kanaler mellom arbeidsstasjoner og domenekontrollere, noe som forhindrer mellommann-angrep.
• Signer SMB-kommunikasjon og deaktiver SMBv1.
• deaktivere NetBIOS over TCP/IP i moderne grensesnitt, da det bare utgjør risikoer i eldre miljøer.
• låse anonyme forbindelser som tillater oppføring av brukere, delinger eller retningslinjer.

Vi må også vurdere høyrisikogrensesnitt som FireWire eller Thunderbolt, som tillater direkte DMA-tilgang til minneHvis mulig, deaktiver dem i UEFI eller via GPO, eller aktiver i det minste kjerne-DMA-beskyttelsen som er tilgjengelig i Windows 10/11.

Når det gjelder tjenester, er regelen klar: Alt som ikke er viktig, fjernet eller deaktivertSe gjennom tjenester som starter automatisk, installerte roller og Windows-funksjoner. På kritiske servere og arbeidsstasjoner bør du også begrense RDP-bruken til det nødvendige minimum, beskyttet av VPN, MFA og spesifikke GPO-er som forsterker tjenestesikkerheten.

Lokale sikkerhetspolicyer, MSS og fjerning av unødvendige funksjoner

SecPol.msc samler en stor del av Lokale sikkerhetsregler: passordregler, kontoutlåsing, brukerrettigheter, sikkerhetsalternativerDisse samme alternativene administreres vanligvis av GPO-er på domene- eller OU-nivå, men det er viktig å være tydelig på hva som brukes lokalt og hva som kommer fra domenet. For å revidere tillatelser kan du bruk AccessChek og sjekk oppgaver.

Microsoft definerer også en rekke spesielle innstillinger kjent som MSS (Microsofts sikkerhetsinnstillinger)Disse eksponeres via ekstra administrative maler i Security Compliance Toolkit. Mens noen har blitt foreldet, fortsetter andre å tilby ytterligere herding: utløpstider for tilkoblinger, håndtering av TCP-pakker, standard nettverksatferd osv.

En viktig del av herding er å fjerne eller deaktivere funksjoner som ikke vil bli bruktValgfrie Windows-komponenter, lokale fil- og skriverdelingstjenester, CD-brenning hvis ikke nødvendig, Telnet, ukryptert FTP, Windows Remote Shell, eksperimentelle eller sjelden brukte funksjoner som copilot i bedriftsmiljøer der risikoen ennå ikke er vurdert, og også rens utdaterte registeroppføringer medarbeidere.

Jo færre komponenter det er i systemet, desto mindre angrepsflate eksponeres, og desto enklere er det å holde konfigurasjonen under kontroll og revidere den.

Revisjon, sentralisert logging og blokkering av farlige opplistinger

Du kan ikke forsvare det du ikke kan se på en god måte. En kritisk del av herding består av definere en robust revisjonspolicy og sørge for at relevante hendelser lagres pålitelig, ideelt sett i et sentralt arkiv.

I Windows 10/11, den Avanserte revisjonsdirektiver De tillater granularitet etter kategori (pålogging, objekttilgang, policyendringer, bruk av rettigheter osv.). Anbefalingen er å aktivere revisjon for kritiske operasjoner og konfigurere en passende størrelse på logger og forhindre at poster overskriver nylige hendelser som ikke er arkivert.

I tillegg er det lurt å sende lagloggene til en sentral hendelsesserver, SIEM eller tilsvarende løsningslik at en angriper ikke bare kan slette sporet på selve den kompromitterte stasjonen. Dette gjør det enklere å oppdage mønstre, korrelere hendelser og gjennomføre etterforskning etter hendelsen.

Parallelt må informasjonen en standardbruker kan hente fra systemet begrenses: blokker generering av RSOP-rapport av ikke-privilegerte brukere, skjule sikkerhetsegenskaper for filer og mapper fra brukere unødvendig, og forhindre at for mye informasjon blir eksponert i låseskjerm.

Strømstyring, hvilemodus og dvalemodus i sensitive miljøer

I typisk brukerutstyr er funksjonene til fjæring, dvalemodus og hybridfjæring De bidrar til å spare energi, men i svært sensitive miljøer kan de også eksponere data: innholdet i minnet lagres eller dumpes til disk i hiberfil.sys, hvor krypteringsnøkler eller annen sensitiv informasjon kan bli liggende igjen.

Derfor er det vanlig i høysikkerhetssituasjoner å Deaktiver disse strømtilstandene via GPO og konfigurer strenge regler for øktlåsing (for eksempel låsing etter 15 minutter med inaktivitet og aktivering av en passordbeskyttet skjermsparer). Dette reduserer risikoen for at noen utnytter en ulåst og uovervåket datamaskin.

Kombinasjonen av automatisk låsRimelig nedetid og deaktiveringstilstander som bevarer minneinnhold er et ekstra lag med fysisk beskyttelse, spesielt nyttig i bærbar eller utstyr i fellesområder.

Oppdatering, x64-versjoner og kontinuerlige oppdateringer

All denne konfigurasjonsinnsatsen er bortkastet hvis systemet ikke er riktig oppdatert. Windows- og programoppdateringer fikser sårbarheter som ofte raskt utnyttes i endagsangrep, så det er avgjørende å ha en strategi for regelmessig oppdateringog kontrollere utidige automatiske oppdateringer.

I bedriftsmiljøer innebærer dette bruk av WSUS, konfigurasjonsbehandling eller Windows Update for forretningerkombinert med Wake-on-LAN for å installere oppdateringer utenom vanlig arbeidstid. Det er viktig å definere vedlikeholdsvinduer, prioritere kritiske oppdateringer og ha en tydelig tilbakestillingsprosedyre hvis en oppdatering ødelegger noe viktig.

Videre er det tilrådelig å standardisere i x64-versjoner av WindowsDisse inkluderer ytterligere sikkerhetstiltak (maskinvarebasert kjerne-DEP, PatchGuard, obligatorisk driversignering osv.) som ikke finnes i x86-versjoner. På samme måte reduserer det eksponeringen for teknikker som allerede er redusert i disse versjonene å fortsette å bruke nyere versjoner av Windows 10/11.

De samme prinsippene gjelder for applikasjoner: Office, nettlesere, Java, .NET, lesere PDFe-postklienter ... alt som åpner upålitelig innhold bør være alltid på den nyeste støttede versjonen med oppdateringerIdeelt sett bør dette gjøres ved å følge leverandørspesifikke herdeveiledninger (f.eks. sikkerhetsgrunnlinjer for Office eller sikre nettleserkonfigurasjonsgrensesnitt).

Med alt det ovennevnte godt orkestrert – Microsofts grunnlinjer, intelligent bruk av SecPol og GPO, beskyttet legitimasjon, sikker oppstart, kryptering, en tynn brannmur, applikasjonskontroll, robust logging og streng oppdateringsdisiplin – går Windows 11 fra å være et enkelt funksjonelt system til et virkelig herdet endepunkt, mye mer motstandsdyktig mot hverdagsangrep og forberedt på å integreres i en lagdelt sikkerhetsstrategi i organisasjonen.