Criteri di gruppo: best practice per le impostazioni di sicurezza predefinite

6

Attualmente sto lavorando per rafforzare i nostri sistemi operativi Windows. Sto rivedendo le linee guida di CIS e Microsoft Security Compliance Manager. Quello che ho trovato è che molte delle impostazioni di sicurezza sono già impostate sull'impostazione consigliata per impostazione predefinita. Ciò significa che se non faccio nulla e lascia il criterio impostato su "Non configurato", il sistema si troverà nello stato di sicurezza ideale.

Ecco la mia domanda: È prudente procedere e utilizzare i criteri di gruppo per applicare TUTTE le impostazioni di sicurezza allo stato desiderato?

Vantaggi che vedo *: gli amministratori locali non possono modificare la politica. Le modifiche dannose verranno ripristinate durante il successivo aggiornamento dei criteri di gruppo.

Svantaggi che vedo : gli aggiornamenti del sistema operativo che cambiano la configurazione predefinita non verranno applicati perché l'oggetto Criteri di gruppo imporrà un'impostazione diversa. Riduci i tempi di caricamento dei criteri di gruppo.

Esistono standard o indicazioni da Microsoft o da un'altra autorità di sicurezza (SANS, ecc.) che risolve questo problema?

Grazie in anticipo!

    
posta Dconsec 02.02.2017 - 21:34
fonte

3 risposte

3

Dal punto di vista di Microsoft, posso dirti che questo è qualcosa che il team responsabile della pubblicazione delle linee di base della configurazione della sicurezza ha cambiato posizione nel corso degli anni. In passato, venivano utilizzate per pubblicare le baseline con i valori consigliati impostati in modo specifico, anche se erano già predefiniti. Tuttavia, non lo fanno più. Ora, per le politiche che hanno già impostazioni predefinite sicure, vengono lasciate come "non configurate". Ciò semplifica notevolmente l'amministrazione e la gestione, che l'esperienza sembra mostrare sia l'opzione migliore.

    
risposta data 03.02.2017 - 22:54
fonte
0

Se non applichi una politica e hai un controllo di sicurezza, una delle domande da parte del revisore sarà: "Come sai che queste impostazioni sono applicate? Come fai a sapere che qualcuno non ha cambiato i valori predefiniti? "

Come hai intenzione di rispondere?

    
risposta data 03.02.2017 - 01:06
fonte
0

Myron, sono tendenzialmente d'accordo con il tuo pensiero. Faccio ancora. Sembra che Microsoft stia, comprensibilmente, raggiungendo un equilibrio tra sicurezza e sanità mentale.

Xander, grazie per questa risposta. Ho trovato un riferimento da Aaron Margosis a Microsoft che conferma ciò che hai detto. Ecco cosa ha detto l'autore:

As mentioned, we’re enforcing defaults only for security-sensitive settings that are otherwise likely to be set to an insecure state by an authorized user. So, for example, on Windows client the User Rights Assignment, “Change the time zone” (SeTimeZonePrivilege) is granted to Administrators, Users, and Local Service. In the past we enforced that through the security baseline. Changing that setting requires administrative rights, and it’s unlikely that an authorized administrator would change it to a less-secure value. On the other hand, administrators are known to disable User Account Control, so we enforce that default.

link

    
risposta data 08.02.2017 - 19:59
fonte

Leggi altre domande sui tag