В этой статье мы пройдемся по самым популярным и мощным утилитам для проверки уровня защищенности десктопных и серверных версий Windows (именно это и называется hardening), а также посмотрим на разные тулзы для настройки опций, усиливающих безопасность. Это — true must have арсенал инструментов для любого ИТ-админа и аудитора ИБ, так что, если ты имеешь хотя бы малейшее отношение к этим сферам, читай обязательно. 🙂
Если ты еще не читал, то в нашей прошлой статье мы разбирали схожие утилиты, служащие для оценки исходного уровня защищенности и форсирования native-опций безопасности в Linux. Сегодня же в материале речь пойдет о десктопных и серверных версиях Windows-систем. И прежде чем перейдем непосредственно к обзору, мы отметим несколько очень важных особенностей аудита безопасности всем известных «окон».
Давно бытует мнение, будто Windows-системы менее надежны и безопасны по сравнению с Linux. Это мнение, безусловно, небеспочвенно. Но Microsoft в последние несколько лет прилагает большие усилия для того, чтобы продукты компании были не только красивы, но и достаточно безопасны. Наглядный тому пример — Windows 10, операционная система, впитавшая в себя все самое лучшее от ее предшественников (к примеру, UAC, DEP, BitLocker, DirectAccess, WFP и NAP, AppLocker, бывший Restrict Policy) и предлагающая передовые опции технологии безопасности.
Речь прежде всего идет о таких фичах, как обновленный SmartScreen, защита ядра Credential Guard, Device Guard, технологии аутентификации (в том числе биометрической) Windows Hello и Microsoft Passport, изоляция процессов IUM, Advanced Threat Protection в «Защитнике Windows», облачная аналитика Windows Analytics, а также дополнительные опции защиты от нашумевших в прошлом году вирусов шифровальщиков WannaCry, Petya и Bad Rabbit. Подробный обзор всех нововведений в технологиях безопасности Windows 10 можно почитать на официальном ресурсе Microsoft.
Однако, как показывает практика, большинство обычных пользователей домашних систем после первого запуска ОС сразу же отключают если не все, то уж точно половину опций безопасности, надеясь в основном на установленное антивирусное ПО. Другая же часть пользователей и вовсе устанавливает на свой компьютер неофициальные сборки Windows, в которых зачастую уже вырезаны отдельные компоненты ОС или дефорсированы политики безопасности еще на этапе инсталляции. Но даже те, кто использует какие-то native-технологии безопасности, редко вникают в подробности и тем более занимаются тонкой настройкой.
Отсюда и рождается часть мифов о том, что Windows по защищенности извечно проигрывает в противостоянии с Linux.
Windows 10 обладает большим количеством технологий обеспечения безопасности. Это и доставшиеся от предков UAC, DEP, BitLocker, DirectAccess, NAP, AppLocker (бывший Restrict Policy), WFP, и совершенно новые SmartScreen, Credential Guard, Device Guard, Hello, Microsoft Passport, Advanced Threat Protection или Windows Analytics. Есть даже дополнительные опции защиты от изменения папок, полезные, к примеру, в борьбе с вирусами-шифровальщиками типа WannaCry, Petya или Bad Rabbit.
Несомненная популярность и широкая распространенность Windows как среди домашних пользователей, так и среди корпоративного сегмента автоматически делает ее мишенью для злоумышленников. Стоит ли говорить, что абсолютное большинство сотрудников компаний работают на Windows-системах. Исключение могут составить разве что разработчики, DevOps-инженеры и системные администраторы, число которых по отношению к основному пулу юзеров просто статистически несравнимо (вспомни наше старое интервью с парнями из «Лаборатории Касперского», которые в полном составе сидят на винде. — прим. ред.).
Так что заявления в стиле «переходи на Linux и живи спокойно» здесь неуместны. Ты можешь себе представить рядового бухгалтера или менеджера по продажам, работающих в 1С на Linux? Наверное, это возможно, но все-таки не для большинства. Поэтому Windows сегодня стала де-факто неким стандартом рабочего места по умолчанию.
Если учитывать таргетированные атаки (мы уже о них рассказывали здесь и здесь), ставящие своей целью получение конечного результата любой ценой, то в арсенал средств, с помощью которых ведется атака, входят не только 0day-уязвимости и сложные технические приемы, но также и методы социальной инженерии. Для борьбы с подобными угрозами базового уровня защиты, предоставляемого штатными средствами, уже не хватает, и в ход идут сложные технические решения корпоративной безопасности, такие как NGFW, SIEM, WAF, SandBox, IDS/IPS-системы.
Если Linux по сути универсальная система, в которую в любой момент можно доустановить нужные пакеты, активировать сетевые службы, настроить маршрутизацию и получить из «домашней версии» настоящий сервер, то с Windows такой трюк в чистом виде не пройдет. Лицензионная политика Microsoft разделяет пользовательский домашний и корпоративные сегменты. Поэтому и инструменты, и чек-листы проверки тоже будут разниться.
К примеру, если стандартный набор проверок для домашней системы будет включать такие вещи, как контроль учетных записей, настройки файрвола, установку обновлений и разделение привилегий для учетных записей, то аудит безопасности Windows Server потребует гораздо большего внимания. К примеру, в него стоит отнести:
Поскольку Windows Server — продукт проприетарный, то в отличие от Linux большинство Enterprise-утилит для аудита безопасности Active Direcroty и других инфраструктурных элементов будут коммерческими (а значит, платными).
Что касается настроек безопасности, рекомендованных Microsoft, то они существуют для всех актуальных сегодня версий Windows — 7, 8, 10, Server 2012, Server 2016. Помимо этого, внимание также можно обратить на набор CIS-рекомендаций для десктопов и серверных редакций операционных систем.
Переходим к самой интересной, практической части — обзору основных инструментов аудита и настройки native-опций безопасности Windows. В первой части нашего обзора мы сконцентрируем свое внимание на бесплатных или open source инструментах, которые будут доступны абсолютно каждому.
Материалы из последних выпусков можно покупать отдельно только через два месяца после публикации. Чтобы продолжить чтение, необходимо купить подписку.
Подписка позволит тебе в течение указанного срока читать ВСЕ платные материалы сайта. Мы принимаем оплату банковскими картами, электронными деньгами и переводами со счетов мобильных операторов. Подробнее о подписке
1 год7190 р. Экономия 1400 рублей! |
1 месяц720 р. 25-30 статей в месяц |
Уже подписан?
Читайте также
Последние новости
2009-2024 © Все права защищены.
This website - is fan-site, not an official Huawei website. The Huawei logo is a trademark of Huawei Technologies. Other trademarks are the property of their respective owners.
|