Шаблоны безопасности для Windows: настройте свои компьютеры и заблокируйте свою ОС

Обеспечение безопасности ИТ-ресурсов организации является постоянной проблемой, и недавние громкие взломы и вспышки программ-вымогателей повысили ставки. Администраторы находятся под большим давлением, чем когда-либо, чтобы убедиться, что конечные точки сети соответствуют установленным протоколам безопасности организации. Один из способов убедиться, что ваши рабочие столы Windows правильно настроены, — это использовать шаблоны безопасности. Идея шаблона безопасности очень проста. Администратор создает шаблон безопасности, который определяет все параметры безопасности, необходимые для использования во всей организации. Затем, когда необходимо проверить параметры безопасности ПК, их можно сравнить с шаблоном безопасности. Это значительно упрощает поиск и устранение недостатков. Лучше всего то, что все, что вам нужно, изначально встроено в Windows 10 (а также в несколько более ранних версий Windows).

Создание шаблонов безопасности

Прежде чем вы сможете использовать шаблоны для обеспечения безопасности, вам необходимо создать базовый шаблон безопасности. Для этого откройте консоль управления Microsoft, введя команду MMC в строке «Выполнить». Когда консоль откроется, выберите команду «Добавить/удалить оснастку» в меню «Файл». Теперь выберите оснастку «Шаблоны безопасности», которую вы видите на рисунке ниже, и нажмите «Добавить», а затем «ОК».

После загрузки оснастки «Шаблоны безопасности» настало время создать шаблон. Перейдите по дереву консоли к пути к шаблону, щелкните его правой кнопкой мыши и выберите команду «Новый шаблон» в контекстном меню. При появлении запроса введите имя создаваемого шаблона. Вы можете увидеть, как выглядит вновь созданный шаблон на рисунке ниже.

Взглянув на рисунок выше, вы заметите, что консоль очень похожа на консоль групповой политики. Это не совпадение. Большинство параметров, доступных в локальной политике безопасности, также существуют здесь. Помните, что локальная политика безопасности используется для блокировки ОС, но шаблоны безопасности предназначены для обеспечения того, чтобы ОС оставалась заблокированной. Поэтому вам следует настроить политики учетных записей и локальные политики так, чтобы они имитировали параметры, которые вы применяете через локальную политику безопасности.

В дополнение к базовой политике учетной записи и параметрам локальной политики существует пять других типов параметров политики, которые можно реализовать. Это включает:

• Журнал событий — настройки журнала событий используются для сохранения и/или ограничения доступа к журналам безопасности, а также для определения максимального размера журнала.
• Группы с ограниченным доступом — параметры группы с ограниченным доступом используются для определения групп безопасности, которые должны быть ограничены.
• Реестр — параметры реестра используются для определения конкретных разделов реестра, которые должны существовать в операционной системе Windows.
• Файловая система — параметры файловой системы используются для определения записей списка управления доступом (ACL), которые должны применяться к определенным файлам и папкам.

Когда вы закончите определение параметров безопасности, щелкните правой кнопкой мыши созданный шаблон и выберите команду Сохранить в контекстном меню, чтобы сохранить изменения.

Аудит конфигурации безопасности ПК

Создав шаблон безопасности, вы можете использовать его для аудита конфигурации безопасности ПК. Для этого откройте консоль управления Microsoft и выберите команду «Добавить/удалить оснастку» в меню «Файл». Когда Windows отобразит список доступных оснасток, выберите оснастку «Конфигурация и анализ безопасности», показанную ниже, а затем нажмите кнопку «Добавить», а затем кнопку «ОК».

Первое, что вам нужно будет сделать после первой загрузки оснастки, — это создать базу данных. Как вы можете видеть на рисунке ниже, вы можете создать базу данных, щелкнув правой кнопкой мыши контейнер «Конфигурация и анализ безопасности», выбрав команду «Открыть базу данных» в контекстном меню, а затем введя имя новой базы данных. Когда вы будете использовать этот инструмент в будущем, вы сможете повторно использовать базу данных, которую вы создаете сейчас.

На этом этапе вам будет предложено загрузить шаблон безопасности для анализа. Выберите ранее созданный шаблон безопасности и нажмите «Открыть». После импорта шаблона инструмент готов к использованию.

Инструмент настройки и анализа безопасности можно использовать либо для настройки компьютера, либо для анализа компьютера. Для установленных ПК с Windows вы, вероятно, захотите выполнить анализ. Для этого щелкните правой кнопкой мыши контейнер «Конфигурация и анализ безопасности» и выберите команду «Анализ компьютера сейчас» в контекстном меню. При появлении запроса введите нужный путь к файлу журнала и нажмите OK.

По завершении анализа вы можете просмотреть файл журнала или просмотреть консоль. Как видно на рисунке ниже, консоль позволяет сравнить настройки шаблона с настройками компьютера. Глядя на рисунок, обратите внимание на значки, связанные с параметром политики. Зеленый значок указывает на то, что параметр определен в шаблоне и ПК соответствует этому параметру. Серый значок указывает на то, что параметр не определен в шаблоне, а красный значок указывает на то, что параметр определен в шаблоне, но ПК не соответствует этому параметру.

Мощный инструмент

Как видите, шаблоны безопасности — это мощный инструмент для поиска и устранения дрейфа конфигурации безопасности. Если вы хотите автоматически исправить любые несоответствия, которые могут существовать между политикой и настройками ПК, вы можете щелкнуть правой кнопкой мыши контейнер «Конфигурация и анализ безопасности» и выбрать команду «Настроить компьютер сейчас» в контекстном меню.