Conformidade de segurança da Microsoft

Todos os sistemas operacionais Windows incluem configurações de segurança que podem ser usadas para ajudar a proteger o computador
A Microsoft publica baselines de segurança baseadas na segurança da Microsoft, e que em sua maioria são recomendações, que são estabelecidas a partir da experiência de segurança do mundo real obtida em parceria com organizações comerciais ou governamentais como o governo dos EUA (Departamento de Defesa [DoD]).

Esses baselines de segurança incluem configurações recomendadas para o Firewall do Windows, o Windows Defender e outras configurações de segurança O Baseline de segurança são fornecidas em forma de GPOS  que você pode importar no seu Active Directory (AD DS) e, em seguida, implantar para os servidores do  domínio .

Você também pode usar as ferramentas de script local para configurar servidores autônomos (não associados ao domínio).

Download

Para obter e implantar as linhas de base de segurança você pode acessar o site da Microsoft. Security Compliance Toolkit 1.0.  

1. LGPO.zip
2. Office-2016-baseline.zip
3. PolicyAnalyzer.zip
4. Windows 10 Version 1507 Security Baseline.zip
5. Windows 10 Version 1511 Security Baseline.zip
6. Windows 10 Version 1607 and Windows Server 2016 Security Baseline.zip
7. Windows 10 Version 1703 Security Baseline.zip
8. Windows 10 Version 1709 Security Baseline.zip
9. Windows 10 Version 1803 Security Baseline.zip
10. Windows Server 2012 R2 Security Baseline.zip

 

Por que as linhas de base (baselines) de segurança são necessárias?

Existem mais de 3.000 configurações de Diretiva de Grupo para o Windows 10, que não incluem mais de 1.800 configurações do Internet Explorer 11. Dessas 4.800 configurações, apenas algumas estão relacionadas à segurança. Embora a Microsoft forneça orientação abrangente sobre diferentes recursos de segurança, explorar cada um deles pode levar muito tempo. Você teria que determinar o impacto de segurança de cada configuração sozinho. Em seguida, você ainda precisará determinar o valor apropriado para cada configuração.

Nas organizações modernas, o cenário de ameaças à segurança está em constante evolução, e os profissionais de TI e os responsáveis ​​pelas políticas devem acompanhar as ameaças à segurança e fazer as alterações necessárias nas configurações de segurança do Windows para ajudar a atenuar essas ameaças. Para permitir implementações mais rápidas e facilitar o gerenciamento do Windows, a Microsoft fornece aos clientes linhas de base de segurança que estão disponíveis em formatos consumíveis, como backups de Objetos de Diretiva de Grupo.

 

Gerenciamento de GPOs

A mais complexa tarefa quando estamos trabalhando com linhas de base é o gerenciamento de GPOs. Junto com o Security Compliance Toolkit temos uma ferramenta chamada Local Group Policy Object (LGPO) que é um ferramenta de linha de comando que ajuda a automatizar o gerenciamento de GPOS Locais  (Muito importante no gerenciamento de maquinas que não estão no domínio) e também uma solução chamada  Policy Analyzer tool.

O Policy Analyzer é um utilitário para analisar e comparar GPOS. Ele incluir recursos como:

  • Identificação de quando um conjunto de Políticas de Grupo possui configurações redundantes ou inconsistências internas
  • Identificação de diferenças entre versões ou conjuntos de Políticas de Grupo
  • Comparação de GPOs com as configurações de diretiva local e registro local atuais
  • Exportação dos resultados para uma planilha do Microsoft Excel

O Policy Analyzer permite tratar um conjunto de GPOs como uma única unidade. Isso facilita determinar se existem configurações duplicadas nos GPOs ou se estão configuradas com valores conflitantes. O Policy Analyzer também permite capturar uma linha de base e compará-la a um instantâneo tirado posteriormente para identificar alterações em qualquer parte do conjunto.

Outra solução que pode ser utilizada no gerenciamento de GPOS é GPO Admin.

GPO Admin é uma solução da Quest Software que permite fazer tudo o que o Policy Analyzer tool e também conta com recursos de administração como aprovação de modificações através de workflows, notificações por email, rollback,  Check-in e check-out do GPO, bloqueio e muito mais. É uma solução muito interssante no que diz respeito a gerenciamento de GPOS e Baseline de Seguramça.

Sobre Daniel Donda 289 Artigos
Olá, meu nome é Daniel Donda e sou Strategic Systems Consultant para soluções de segurança e compliance. Saiba mais

Seja o primeiro a comentar

Faça um comentário

Seu e-mail não será divulgado.


*