Бронируем Windows. Комплексный аудит безопасности — от файрвола до Active Directory

Особенности аудита безопасности Windows-систем

Если ты еще не читал, то в нашей прошлой статье мы разбирали схожие утилиты, служащие для оценки исходного уровня защищенности и форсирования native-опций безопасности в Linux. Сегодня же в материале речь пойдет о десктопных и серверных версиях Windows-систем. И прежде чем перейдем непосредственно к обзору, мы отметим несколько очень важных особенностей аудита безопасности всем известных «окон».

Винда «дырявая»

Давно бытует мнение, будто Windows-системы менее надежны и безопасны по сравнению с Linux. Это мнение, безусловно, небеспочвенно. Но Microsoft в последние несколько лет прилагает большие усилия для того, чтобы продукты компании были не только красивы, но и достаточно безопасны. Наглядный тому пример — Windows 10, операционная система, впитавшая в себя все самое лучшее от ее предшественников (к примеру, UAC, DEP, BitLocker, DirectAccess, WFP и NAP, AppLocker, бывший Restrict Policy) и предлагающая передовые опции технологии безопасности.

Речь прежде всего идет о таких фичах, как обновленный SmartScreen, защита ядра Credential Guard, Device Guard, технологии аутентификации (в том числе биометрической) Windows Hello и Microsoft Passport, изоляция процессов IUM, Advanced Threat Protection в «Защитнике Windows», облачная аналитика Windows Analytics, а также дополнительные опции защиты от нашумевших в прошлом году вирусов шифровальщиков WannaCry, Petya и Bad Rabbit. Подробный обзор всех нововведений в технологиях безопасности Windows 10 можно почитать на официальном ресурсе Microsoft.

Однако, как показывает практика, большинство обычных пользователей домашних систем после первого запуска ОС сразу же отключают если не все, то уж точно половину опций безопасности, надеясь в основном на установленное антивирусное ПО. Другая же часть пользователей и вовсе устанавливает на свой компьютер неофициальные сборки Windows, в которых зачастую уже вырезаны отдельные компоненты ОС или дефорсированы политики безопасности еще на этапе инсталляции. Но даже те, кто использует какие-то native-технологии безопасности, редко вникают в подробности и тем более занимаются тонкой настройкой.

Отсюда и рождается часть мифов о том, что Windows по защищенности извечно проигрывает в противостоянии с Linux.

Популярность как уязвимость

Несомненная популярность и широкая распространенность Windows как среди домашних пользователей, так и среди корпоративного сегмента автоматически делает ее мишенью для злоумышленников. Стоит ли говорить, что абсолютное большинство сотрудников компаний работают на Windows-системах. Исключение могут составить разве что разработчики, DevOps-инженеры и системные администраторы, число которых по отношению к основному пулу юзеров просто статистически несравнимо (вспомни наше старое интервью с парнями из «Лаборатории Касперского», которые в полном составе сидят на винде. — Прим. ред.).

Так что заявления в стиле «переходи на Linux и живи спокойно» здесь неуместны. Ты можешь себе представить рядового бухгалтера или менеджера по продажам, работающих в 1С на Linux? Наверное, это возможно, но все-таки не для большинства. Поэтому Windows сегодня стала де-факто неким стандартом рабочего места по умолчанию.

Если учитывать таргетированные атаки (мы уже о них рассказывали здесь и здесь), ставящие своей целью получение конечного результата любой ценой, то в арсенал средств, с помощью которых ведется атака, входят не только 0day-уязвимости и сложные технические приемы, но также и методы социальной инженерии. Для борьбы с подобными угрозами базового уровня защиты, предоставляемого штатными средствами, уже не хватает, и в ход идут сложные технические решения корпоративной безопасности, такие как NGFW, SIEM, WAF, SandBox, IDS/IPS-системы.

Универсальность против лицензионной политики

Если Linux по сути универсальная система, в которую в любой момент можно доустановить нужные пакеты, активировать сетевые службы, настроить маршрутизацию и получить из «домашней версии» настоящий сервер, то с Windows такой трюк в чистом виде не пройдет. Лицензионная политика Microsoft разделяет пользовательский домашний и корпоративные сегменты. Поэтому и инструменты, и чек-листы проверки тоже будут разниться.

К примеру, если стандартный набор проверок для домашней системы будет включать такие вещи, как контроль учетных записей, настройки файрвола, установка обновлений и разделение привилегий для учетных записей, то аудит безопасности Windows Server потребует гораздо большего внимания. К примеру, в него стоит отнести:

• контроль изменений ключевых объектов Active Directory (OU, GPO и так далее);
• аккаунты доменных пользователей с просроченными паролями;
• аккаунты доменных пользователей с паролями, которые никогда не истекают;
• обезличенные (неперсонифицированные) административные учетные записи на серверах Windows Server, MS SQL Server и подобных;
• некоторые настройки MS Exchange Server и SharePoint, зависающие от установленной в AD политики безопасности;
• членство в группах безопасности.

Поскольку Windows Server — продукт проприетарный, то в отличие от Linux большинство Enterprise-утилит для аудита безопасности Active Direcroty и других инфраструктурных элементов будут коммерческими (а значит, платными).

Что касается настроек безопасности, рекомендованных Microsoft, то они существуют для всех актуальных сегодня версий Windows — 7, 8, 10, Server 2012, Server 2016. Помимо этого, внимание также можно обратить на набор CIS-рекомендаций для десктопов и серверных редакций операционных систем.

Обзор инструментов

Переходим к самой интересной, практической части — обзору основных инструментов аудита и настройки native-опций безопасности Windows. В первой части нашего обзора мы сконцентрируем свое внимание на бесплатных или open source инструментах, которые будут доступны абсолютно каждому.