В этой статье мы пройдемся по самым популярным и мощным утилитам для проверки уровня защищенности десктопных и серверных версий Windows (именно это и называется hardening), а также посмотрим на разные тулзы для настройки опций, усиливающих безопасность. Это — true must have арсенал инструментов для любого ИТ-админа и аудитора ИБ, так что, если ты имеешь хотя бы малейшее отношение к этим сферам, читай обязательно. 🙂
 

Особенности аудита безопасности Windows-систем

Если ты еще не читал, то в нашей прошлой статье мы разбирали схожие утилиты, служащие для оценки исходного уровня защищенности и форсирования native-опций безопасности в Linux. Сегодня же в материале речь пойдет о десктопных и серверных версиях Windows-систем. И прежде чем перейдем непосредственно к обзору, мы отметим несколько очень важных особенностей аудита безопасности всем известных «окон».

 

Винда «дырявая»

Давно бытует мнение, будто Windows-системы менее надежны и безопасны по сравнению с Linux. Это мнение, безусловно, небеспочвенно. Но Microsoft в последние несколько лет прилагает большие усилия для того, чтобы продукты компании были не только красивы, но и достаточно безопасны. Наглядный тому пример — Windows 10, операционная система, впитавшая в себя все самое лучшее от ее предшественников (к примеру, UAC, DEP, BitLocker, DirectAccess, WFP и NAP, AppLocker, бывший Restrict Policy) и предлагающая передовые опции технологии безопасности.

Речь прежде всего идет о таких фичах, как обновленный SmartScreen, защита ядра Credential Guard, Device Guard, технологии аутентификации (в том числе биометрической) Windows Hello и Microsoft Passport, изоляция процессов IUM, Advanced Threat Protection в «Защитнике Windows», облачная аналитика Windows Analytics, а также дополнительные опции защиты от нашумевших в прошлом году вирусов шифровальщиков WannaCry, Petya и Bad Rabbit. Подробный обзор всех нововведений в технологиях безопасности Windows 10 можно почитать на официальном ресурсе Microsoft.

Однако, как показывает практика, большинство обычных пользователей домашних систем после первого запуска ОС сразу же отключают если не все, то уж точно половину опций безопасности, надеясь в основном на установленное антивирусное ПО. Другая же часть пользователей и вовсе устанавливает на свой компьютер неофициальные сборки Windows, в которых зачастую уже вырезаны отдельные компоненты ОС или дефорсированы политики безопасности еще на этапе инсталляции. Но даже те, кто использует какие-то native-технологии безопасности, редко вникают в подробности и тем более занимаются тонкой настройкой.

Отсюда и рождается часть мифов о том, что Windows по защищенности извечно проигрывает в противостоянии с Linux.

INFO

Windows 10 обладает большим количеством технологий обеспечения безопасности. Это и доставшиеся от предков UAC, DEP, BitLocker, DirectAccess, NAP, AppLocker (бывший Restrict Policy), WFP, и совершенно новые SmartScreen, Credential Guard, Device Guard, Hello, Microsoft Passport, Advanced Threat Protection или Windows Analytics. Есть даже дополнительные опции защиты от изменения папок, полезные, к примеру, в борьбе с вирусами-шифровальщиками типа WannaCry, Petya или Bad Rabbit.

 

Популярность как уязвимость

Несомненная популярность и широкая распространенность Windows как среди домашних пользователей, так и среди корпоративного сегмента автоматически делает ее мишенью для злоумышленников. Стоит ли говорить, что абсолютное большинство сотрудников компаний работают на Windows-системах. Исключение могут составить разве что разработчики, DevOps-инженеры и системные администраторы, число которых по отношению к основному пулу юзеров просто статистически несравнимо (вспомни наше старое интервью с парнями из «Лаборатории Касперского», которые в полном составе сидят на винде. — Прим. ред.).

Так что заявления в стиле «переходи на Linux и живи спокойно» здесь неуместны. Ты можешь себе представить рядового бухгалтера или менеджера по продажам, работающих в 1С на Linux? Наверное, это возможно, но все-таки не для большинства. Поэтому Windows сегодня стала де-факто неким стандартом рабочего места по умолчанию.

Если учитывать таргетированные атаки (мы уже о них рассказывали здесь и здесь), ставящие своей целью получение конечного результата любой ценой, то в арсенал средств, с помощью которых ведется атака, входят не только 0day-уязвимости и сложные технические приемы, но также и методы социальной инженерии. Для борьбы с подобными угрозами базового уровня защиты, предоставляемого штатными средствами, уже не хватает, и в ход идут сложные технические решения корпоративной безопасности, такие как NGFW, SIEM, WAF, SandBox, IDS/IPS-системы.

 

Универсальность против лицензионной политики

Если Linux по сути универсальная система, в которую в любой момент можно доустановить нужные пакеты, активировать сетевые службы, настроить маршрутизацию и получить из «домашней версии» настоящий сервер, то с Windows такой трюк в чистом виде не пройдет. Лицензионная политика Microsoft разделяет пользовательский домашний и корпоративные сегменты. Поэтому и инструменты, и чек-листы проверки тоже будут разниться.

К примеру, если стандартный набор проверок для домашней системы будет включать такие вещи, как контроль учетных записей, настройки файрвола, установка обновлений и разделение привилегий для учетных записей, то аудит безопасности Windows Server потребует гораздо большего внимания. К примеру, в него стоит отнести:

  • контроль изменений ключевых объектов Active Directory (OU, GPO и так далее);
  • аккаунты доменных пользователей с просроченными паролями;
  • аккаунты доменных пользователей с паролями, которые никогда не истекают;
  • обезличенные (неперсонифицированные) административные учетные записи на серверах Windows Server, MS SQL Server и подобных;
  • некоторые настройки MS Exchange Server и SharePoint, зависающие от установленной в AD политики безопасности;
  • членство в группах безопасности.

Поскольку Windows Server — продукт проприетарный, то в отличие от Linux большинство Enterprise-утилит для аудита безопасности Active Direcroty и других инфраструктурных элементов будут коммерческими (а значит, платными).

Что касается настроек безопасности, рекомендованных Microsoft, то они существуют для всех актуальных сегодня версий Windows — 7, 8, 10, Server 2012, Server 2016. Помимо этого, внимание также можно обратить на набор CIS-рекомендаций для десктопов и серверных редакций операционных систем.

 

Обзор инструментов

Переходим к самой интересной, практической части — обзору основных инструментов аудита и настройки native-опций безопасности Windows. В первой части нашего обзора мы сконцентрируем свое внимание на бесплатных или open source инструментах, которые будут доступны абсолютно каждому.

Продолжение доступно только подписчикам

Материалы из последних выпусков можно покупать отдельно только через два месяца после публикации. Чтобы продолжить чтение, необходимо купить подписку.

Подпишись на «Хакер» по выгодной цене!

Подписка позволит тебе в течение указанного срока читать ВСЕ платные материалы сайта. Мы принимаем оплату банковскими картами, электронными деньгами и переводами со счетов мобильных операторов. Подробнее о подписке

6 комментариев

  1. Antek

    19.11.2018 at 15:58

    Ссылка на MBSA неактивна, обновите её, пожалуйста.

  2. Aslan

    19.11.2018 at 16:34

    «Запуск MBSA в CLI-режиме с ключом вызова справки» — указали неверный ключ, или справка не предусмотрена?

    • Иван Пискунов

      Иван Пискунов

      19.11.2018 at 17:34

      Скорее всего это какой то глюк, версию программы показал, а вот справку не отобразил. Для вызова хелпа можно так же использовать ключ /? проверял, он работает

  3. elmiedo

    19.11.2018 at 23:43

Оставить мнение

Check Also

Энкодеры msfvenom. Разбираемся с кодированием боевой нагрузки при бинарной эксплуатации

Генерация полезной нагрузки — неотъемлемая часть эксплуатации. При использовании модулей M…