Security baseline for windows 10

В Microsoft Security Baseline содержатся рекомендованные настройки, которые Microsoft предлагает использовать на рабочих станциях и серверах Windows для обеспечения безопасной конфигурации для защиты контролеров домена, рядовых серверов, компьютеров и пользователей. На основе Microsoft Security Baseline разработаны эталонные групповые политики (GPO), которые администраторы могут использовать в своих доменах AD. Настройки безопасности в групповых политиках Microsoft Security Baseline позволяют администраторам обеспечить уровень защиты корпоративной инфраструктуры Windows, соответствующий актуальным мировым стандартам. В этой статье мы покажем, как внедрить групповые политики на основе Microsoft Security Baseline в вашем домене.

Эталонные политики Microsoft Security Baseline входят в состав продукта Microsoft Security Compliance Manager (SCM). SCM это бесплатный продукт, в который входит несколько инструментов для анализа, тестирование и применения лучших и актуальных рекомендаций безопасности для Windows и других продуктов Microsoft.

Microsoft Security Compliance Toolkit доступен по ссылке https://www.microsoft.com/en-us/download/details.aspx?id=55319. На данный момент в Security Compliance Toolkit доступны Baseline для следующих продуктов:

Картинка с сайта: winitpro.ru

• Windows 10 Version 2004 and Windows Server Version 2004;
• Windows 10 Version 1909 and Windows Server Version 1909;
• Windows 10 Version 1903 and Windows Server Version 1903;
• Windows 10 Version 1809 and Windows Server 2019;
• Microsoft Edge v85;
• Office365 ProPlus;
• Windows Server 2012 R2.

Также можно скачать утилиты:

• LGPO – используется для управления настройками локальной политики;
• PolicyAnalyzer – инструмент для анализа имеющихся групповых политик и сравнения их с эталонными политиками в Security Baseline;
• SetObjectSecurity.

Архив с Security Baseline для каждой версии Windows содержит несколько папок:

• Documentation – xlsx и docx файлы с подробным описанием настроек, которые применяются в данном Security Baseline;
• GP Reports – html отчеты с настройками GPO, которые будут применены;
• GPOs – каталог с готовыми объектами GPO для различных сценариев. Данные политики можно импортировать в Group Policy Management console;
• Scripts – PowerShell скрипты для упрощения импорта настроек GPO в доменные или локальные политики): Baseline-ADImport.ps1, Baseline-LocalInstall.ps1, Remove-EPBaselineSettings.ps1, MapGuidsToGpoNames.ps1;
• Templates – дополнительные admx/adml шаблоны GPO (например, AdmPwd.admx – настройки управления локальными паролями для LAPS, MSS-legacy.admx, SecGuide.admx).

Картинка с сайта: winitpro.ru

В доменной среде Active Directory проще всего внедрить Security Baseline через групповые политики (в рабочей группе можно применять рекомендованные настройки безопасности через локальную политику с помощью утилиты LGPO.exe) .

Есть шаблоны GPO Security Baseline для различных элементов инфраструктуры Windows: политики для компьютеров, пользователей, доменных серверов, контроллеров домена (есть отдельная политика для виртуальных DC), настройки Internet Explorer, BitLocker, Credential Guard, Windows Defender Antivirus. В папке GPOs хранятся готовые GPO политики для различных сценариев использования Windows (далее перечислен список GPO для Windows Server 2019 и Windows 10 1909):

• MSFT Internet Explorer 11 — Computer
• MSFT Internet Explorer 11 — User
• MSFT Windows 10 1909 — BitLocker
• MSFT Windows 10 1909 — Computer
• MSFT Windows 10 1909 — User
• MSFT Windows 10 1909 and Server 1909 — Defender Antivirus
• MSFT Windows 10 1909 and Server 1909 — Domain Security
• MSFT Windows 10 1909 and Server 1909 Member Server — Credential Guard
• MSFT Windows Server 1909 — Domain Controller Virtualization Based Security
• MSFT Windows Server 1909 — Domain Controller
• MSFT Windows Server 1909 — Member Server

Обратите внимание, что для каждой версии Windows Server или билда Windows 10 есть собственный набор Security Baseline.

Распакуйте архив с версией Security Baseline для нужной версии Windows и запустите консоль управления доменными групповыми политиками Group Policy Management (gpmc.msc).

1. Скопируйте ADMX шаблоны в центральное хранилище GPO (Central Store) PolicyDefinitions на DC;
   

   Картинка с сайта: winitpro.ru

2. Создайте новую политику с названием Windows 10 2004 Security Baseline;
3. Щелкните по новой GPO правой кнопкой и выберите Import Settings;
   

   Картинка с сайта: winitpro.ru

4. В качестве Backup Location укажите путь к файлу с Security Baseline для нужной версии Windows (например, C:\distr\SCM\Windows 10 Version 2004 and Windows Server Version 2004 Security Baseline\Windows-10-Windows Server-v2004-Security-Baseline-FINAL\GPOs);
   

   Картинка с сайта: winitpro.ru

5. Перед вами появится список шаблонов политик. В нашем случае я импортирую политику с настройками компьютера. Выберите политику MSFT Windows 10 2004 – Computer (с помощью кнопки View Settings можно посмотреть настройки политики в виде отчета gpresult);
   

   Картинка с сайта: winitpro.ru

6. Далее предлагается указать как нужно переносить ссылки на объекты безопасности и UNC пути. Т.к. политика у нас чистая, выберите пункт Copying them identically from the source;
   

   Картинка с сайта: winitpro.ru

7. После этого настройки эталонной политики Security Baseline для компьютеров с Windows 10 2004 будут импортированы в новую GPO.
   

   Картинка с сайта: winitpro.ru

Чтобы применить данную политику только для компьютеров с нужной версией Windows, нужно использовать WMI фильтры GPO. Например, для Windows 10 2004 можно использовать такой WMI фильтр:

Select Version,ProductType from Win32_OperatingSystem WHERE Version LIKE "10.0.19041%" and ProductType = "1"

Примените данный фильтр к вашей политике.

Картинка с сайта: winitpro.ru

Аналогично можно импортировать Security Baseline для пользователей, контроллеров домена, рядовых серверов и т.д.

Перед применением Security Baseline на компьютеры пользователей, нужно внимательно проверить предлагаемые настройки и сначала применить на OU с тестовыми пользователями или компьютерами. При необходимости, вы можете в политике отключить некоторые настройки, которые предлагаются в Security Baseline.Только после успешного испытания настроек Security Baseline на тестовых компьютерах можно применять настройки для всех компьютеров/серверов в домене.

В Security Baseline содержаться десятки и сотни настроек. Рассмотреть их все в рамках одной статье довольно сложно. Рассмотрим настройки безопасности, которые так или иначе мы рассматривали в рамках других статей сайта:

• Управление правилами запуска и установки программ: AppLocker (SRP), UAC и Windows Installer
• Политики паролей и блокировки учетных записей
• Ограничения административных аккаунтов
• Ограничение анонимного доступа
• Настройки политик аудита для получения информации о всех событиях и входов пользователей
• Защита памяти LSA (для
• Доступ к периферийным устройствам (в том числе политики установки принтеров и USB)
• Отключение NetBIOS и NTLM
• Настройки Remote Assistance, теневых подключений, таймаутов RDS, параметров CredSSP Oracle Remediation
• Политика запуска скриптов PowerShell
• Настройка Windows Error Reporting
• Управление правилами Windows Firewall
• Настройки WinRM
• Отключение встроенного администратора
• Политика Hardened UNC paths
• Отключение SMBv1

Политики Security Baseline позволяет существенно повысить защищенность инфраструктуры Windows и гарантировать, что одинаковые настройки применяются на всех (в том числе новых) компьютерах в сети.

ASD’s Blueprint for Secure Cloud

Create Security Baselines to improve security of devices and protect users. Security baselines  are sets of recommended settings which created and maintained by Microsoft. In the beginning of 2019 Security baselines became available in Intune (1901 service release). In this blogpost I will show how to create Security Baselines using Intune. More information and news about Security baselines can be found on the Microsoft Security Baselines Techcommunity site.

Картинка с сайта: vmlabblog.com

At the moment there are four security baselines available in Intune:

• Windows 10 Security Baseline
• Microsoft Defender ATP Baseline
• Microsoft Edge Baseline
• Security baseline for Office*

*Security baseline for Office is available, but is not deployed via the Security baselines blade. To apply the security baseline for Office you need to create a policy for Office apps. The baseline settings are preconfigured as a security recommendation. So when you create an policy for Office apps without applying any settings you are basically implementing a Security Baseline for Office apps.

Картинка с сайта: vmlabblog.com

Picture 2: Example of a security recommendation for Office apps

Profiles and Versions

Security baselines consist out of Profiles and Versions. Microsoft maintains and updates the versions of security baselines these contain the recommended settings. To deploy a baseline you need to create a profile based on a baseline. The profile only contains the setting of the version you want to deploy. You do not need to use all the settings which are in the baseline. Some settings you may not want to use because it can block functionality used within your organization. The created profile will be assigned to users and devices. You can create multiple profiles of a Security Baseline version.

Versions

In the Versions screen you see the versions which are available and used within your organization. To deploy a version of As you can see in the following screenshot of the versions screen of Microsoft Edge baseline, there are currently two versions within the organization. As you can see in the overview only the “April 2020” version is assigned using a profile (Number of Profiles). In the description of this version you can read “This baseline version is deprecated.” to remind you there is a newer version.

Картинка с сайта: vmlabblog.com

Picture 3: Microsoft Edge baseline versions

Profiles

As mentioned before to deploy a security baseline you will need to create a profile. The profile is based on a version of the security baseline. In Picture 2 you can see two profiles, in the column “Current Baseline” you can see on which version baseline it was created. The yellow notification in the top indicates that one of the profiles is using a deprecated version baseline. In my next blog I will show how to upgrade a profile to a newer baseline.

Картинка с сайта: vmlabblog.com

Picture 4: Microsoft Edge baseline Profiles

Create Security Baseline

In this tutorial I will demonstrate how to create Security Baseline by creating a new Microsoft Edge Baseline. The same steps can be used to create the Windows 10 or Microsoft Defender baselines.

1. Go to “Endpoint security” -> “Security baselines” -> “Microsoft Edge baseline” or press here. Select “+ Create profile” to setup a Microsoft Edge baseline.

Картинка с сайта: vmlabblog.com

2. Enter a name for the baseline and description (optional). Press “Next” to continue.

Картинка с сайта: vmlabblog.com

3. Select the configuration settings you want to assign. By default all the baseline settings are configured, but you may want to change a settings because it’s needed for a program to function. Also you need to check if the settings in the baseline are not configured in a different configuration policy. This could cause conflicts when the settings are applied to a device. Press “Next” to continue.

Картинка с сайта: vmlabblog.com

4. Add additional scope tags (optional) and press “Next”.

Картинка с сайта: vmlabblog.com

5. Assign the Security baseline to a group. The baseline can be assigned to User groups and device groups for guidance click here. Press “Next” to continue.

Картинка с сайта: vmlabblog.com

6. Review the settings and press “Create” to create and apply the settings to the configured assignment group.

Картинка с сайта: vmlabblog.com

7. Monitor the status of the deployment and test the settings to resolve any policy conflicts.

Картинка с сайта: vmlabblog.com

This is how you create security baselines. Hope you liked this blog.

Microsoft Security Baseline contains recommended settings Microsoft suggests for Windows workstations and servers to provide secure configuration and protect domain controllers, servers, computers, and users.

Microsoft has developed reference Group Policy Objects and templates based on the Security Baselines. Administrators can apply them in their AD domains. The security settings in the Microsoft Security Baseline GPO enable administrators to protect Windows infrastructure in accordance with the latest global security best practices.

Here at Ibmi Media, as part of our Server Management Services, we regularly help our Customers to perform related Windows queries.

In this context, we shall look into how to harden Windows Using Microsoft Security Baseline.

Hardening Windows Using Microsoft Security Baseline

 Today, let us see how to implement Microsoft Security Baseline GPOs in our domain.

We can use security baselines to:

1. Firstly, ensure that user and device configuration settings are compliant with the baseline.

2. Secondly, set configuration settings. For example, we can use Group Policy, Microsoft Endpoint Configuration Manager or Microsoft Intune to configure a device with the setting values specified in the baseline.

Reference Microsoft Security Baseline Group Policies are a part of Microsoft Security Compliance Manager (SCM). SCM is a free product that contains multiple tools to analyze, test and apply the best practices and current security recommendations for Windows and other Microsoft products.

Microsoft Security Compliance Toolkit is available following this link: https://www.microsoft.com/en-us/download/details.aspx?id=55319

We can download these tools:

i. LGPO is used to manage local GPO settings.

ii. PolicyAnalyzer is a tool to analyze existing Group Policies and compare them with the reference policies in the Security Baseline.

iii. SetObjectSecurity

The Security Baseline archive for each Windows version contains several folders:

i. Documentation contains XLSX and PDF files with the detailed description of the settings applied in the Security Baseline.

ii. GP Reports has HTML reports with the GPO settings to be applied.

iii. GPOs – contains GPO objects for different scenarios. We can import the policies to our Group Policy Management (GPMC) console.

iv. Scripts contains PowerShell scripts to easily import GPO settings to domain or local policies: Baseline-ADImport.ps1, Baseline-LocalInstall.ps1, Remove-EPBaselineSettings.ps1, MapGuidsToGpoNames.ps1.

v. Templates – additional ADMX/ADML GPO templates (for example, AdmPwd.admx contains local password management settings for LAPS, MSS-legacy.admx, SecGuide.admx).

There are GPO Security Baseline templates for different Windows infrastructure elements:

Policies for computers, users, domain servers, domain controllers (there is a separate policy for virtual DCs), as well as Internet Explorer, BitLocker, Credential Guard and Windows Defender Antivirus settings. Configured Group Policies for various scenarios are located in the GPOs folder.

Note that there is a separate Security Baseline set for each Windows Server version or Windows 10 build.

In order to, extract the archive with the Security Baseline version matching our Windows version and open the Group Policy Management (gpmc.msc) console.

1. Firstly, copy ADMX templates to the SYSVOL PolicyDefinitions folder (GPO Central Store) on our DC.

2. Then, create a new GPO with the name Windows 10 2004 Security Baseline.

3. Next, right-click the GPO and select Import Settings.

4. Then, specify a path to the Security Baseline file for our Windows version as a Backup Location.

5. Next, import a policy with the computer settings. Select MSFT Windows 10 2004 – Computer (using the View Settings button, we can view the policy settings in the form of a gpresult report).

6. Then, we are prompted to select how to migrate reference links to security objects and UNC paths. Since the policy is new, select Copying them identically from the source.

7. Then, the reference Security Baseline policy settings for computers running Windows 10 2004 will be imported to our GPO.

To apply the Group Policy object only to computers running the specific Windows build, use GPO WMI filters. For example, for Windows 10 2004, we can use the following WMI filter:

Select Version,ProductType from Win32_OperatingSystem WHERE Version LIKE “10.0.19041%” and ProductType = “1”

Then, apply the filter to our policy and link the policy to the Organizational Unit we need.

In the same way, we can import Security Baselines for users, domain controllers, domain member servers, etc.

Security Baseline contains dozens or even hundreds of settings. Let us see a few security settings:

i. Firstly, managing the program start and installation rules: AppLocker (Software Restriction Policies), UAC and Windows Installer

ii. Then, domain password and account lockout policies

iii. Next, privileged account restrictions

iv. Next, snonymous access restrictions

v. Then, audit policy settings to get information about all events and user logon history

vi. LSA memory protection

vii. Access to peripherals (including printer and USB installation policies)

viii. Disabling NetBIOS and NTLM protocols

ix. Settings of Remote Assistance, shadow connections, RDS timeouts, CredSSP Oracle Remediation

x. PowerShell Execution Policy

xi. Then, configuration of Windows Error Reporting

xii. Management of Windows Firewall rules

xiii. WinRM settings

xiv. Disabling the built-in administrator account

xv. Hardened UNC paths policy

xvi. Finally, disabling SMBv1

If we want to protect our home computer running Windows 10, we can apply Security Baseline settings on it using a ready PowerShell script.

Allow unsigned scripts to run:

Set-ExecutionPolicy -Scope Process Unrestricted

Apply the policy:

Baseline-LocalInstall.ps1 -Win10NonDomainJoined

Usually, microsoft Security Baseline settings can enhance the security of our Windows infrastructure and help to make sure that the same settings are applied to all computers (including new ones) on our network.

[Need help to harden Nagios XI server? We’d be happy to assist. ]