Robustecimento do Windows 10 (Parte I)

Utilizando os STIG templates

Tal como em versões anteriores do Windows, alguns dos requisitos no STIG para Windows 10 dependem da utilização de templates administrativos adicionais que não estão incluídos em qualquer versão do Windows. Os novos ficheiros com os templates administrativos (ficheiros do tipo .admx e .adml) têm que ser copiados para a localização apropriada dentro da directoria Windows de modo a que as configurações que disponibilizam estejam visíveis nas ferramentas de política de grupo.

Isto inclui as configurações em MS Security Guide, MSS, e a ferramenta Enhanced Mitigation Experience Toolkit (EMET) tool. A configurações MSS eram previamente disponibilizadas através de uma actualização do ficheiro sceregvl.inf. Isto exigia uma alteração das permissões desse ficheiro, que é tipicamente controlado pelo sistema operativo. Para evitar este procedimento, foi criado um novo template.

Os novos ficheiros template (MSS-Legacy and SecGuide) são disponibilizados na directoria Templates do conjunto STIG. Os ficheiros dos templates administrativos para o EMET estão localizados na directoria de instalação da ferramenta, tipicamente em “\Program Files (x86)\EMET x.x\Deployment\Group Policy Files\”.

Os ficheiros .admx devem ser copiados para a directoria \Windows\PolicyDefinitions\ e os ficheiros .adml devem ser copiados para para a directoria \Windows\PolicyDefinitions\en-US\.

NOTA: O prazo limite para o suporte ao EMET foi estendido até 31 de Julho de 2018 e não há neste momento planos para prolongar a actualização da ferramenta depois dessa data. Para uma melhor segurança, é aconselhável migrar para a última versão do Windows 10. O EMET 5.5 é compatível com as versões actuais do Windows 10 mas, de acordo com este artigo, não será compatível com futuras versões.

Antes de instalar os STIG templates, o Windows 10 Enterprise tem:

  • 2283 configurações para o Computer
  • 1731 configurações para o User

image

 

Os STIG Templates:

image

Depois de adicionados os MSS templates, temos agora mais 22 configurações dentro do novo grupo MSS:

image

Depois de adicionar os SecGuide templates, temos 5 novas configurações dentro do novo grupo MS Security Guide:

image

Agora, com todas as novas configurações disponíveis, pode configurar o seu sistema utilizando o Windows 10 STIG como referência, ou pode simplesmente a ajustá-las de acordo com as suas necessidades.

Obtenha o ultimo Windows 10 STIG e abra-o no STIG viewer.

image

Escolhi apenas as regras CAT I para começar pelas mais restritivas.

 

Utilizando os Microsoft Administrative Templates

Os novos ficheiros ADMX e ADML apontam para as mesmas chaves de registo que o anterior procedimento de substituição do ficheiro sceregvl.inf, mas de uma forma mas amigável. Os ficheiros são incluídos no pacote das baselines do Windows 10 e Windows Server 2016. Estas baselines já não incluem recomendações para a configuração de muitos parâmetros MSS uma vez que estes já perderam alguma relevância face às ameaças actuais.

Obtenha os templates:

image

Instale-os:

image

Para não se perder, use o guia de referência Group Policy Settings. É um ficheiro Excel com a lista de toda a informação disponível sobre os novos Windows 10 templates. Obtenha-o aqui.

image

Faça uma cópia de segurança dos seus actuais ficheiros .admx e .adml.

Adicione os novos ficheiros .admx e .adml para as directorias apropriadas, ou copie todos os novos ficheiros substituindo os actualmente existentes.

image

Antes de instalar os templates:

  • 2283 configurações para Computer
  • 1731 configurações para User

Depois de instalação dos templates:

image

  • 2337 configurações para Computer
  • 1773 configurações para User

Como se pode constatar, existe agora uma grande variedade de opções adicionais para a configuração de todos os parâmetros de segurança da sua máquina Windows 10.

Obviamente, pode utilizar o STIG como referência, ou pode utilizar outro padrão de referência, como os CIS benchmarks.

Depois de configurar o seu sistema, pode exportar as novas parametrizações e aplicá-las a outras máquinas, se estas tiverem os templates já instalados. Falarei disso mais à frente neste artigo.

GPOs num domínio

Se está a instalar os templates para editar GPOs num domínio, deve seguir os seguintes passos:

Criar uma Central Store para ficheiros ADMX.

A Central Store é a estrutura de directorias criada na directoria sysvol nos controladores de domínio. É necessário criar uma Central Store apenas uma vez, num único controlador de domínio, para cada domínio da organização. O serviço File Replication vai então replicar a Central Store para todos os outros controladores. É recomendado que a Central Store seja criada no Primary Domain Controller porque a Group Policy Management Console e o Group Policy Object Editor se ligam a este controlador por omissão.

A localização deve ser a mesma, ou semelhante à que se segue. Basta substituir <domain_name> pelo nome do seu domínio: 

C:\Windows\SYSVOL\sysvol\<domain_name>\Policies\PolicyDefinitions

image

Escolha o caminho para onde instalar os ficheiros ADMX

image 

Escolha Next

image

Complete a instalação

image

Uma vez terminado este procedimento, pode agora criar um GPO para gerir as máquinas Windows 10 no seu domínio.

NOTA: Neste cenário, os ficheiros ADM/ADMX têm apenas que estar presentes na máquina onde as políticas são editadas, sem necessidade de existirem onde são aplicadas. Os ficheiros ADMX são apenas uma ligação entre a GUI do GPO Editor e os respectivos parâmetros do registo; as configurações do são guardadas e processadas em cada cliente onde o GPO é aplicado.

Utilizando a Security Baseline

Uma security baseline é uma colecção de configurações que têm impacto na segurança e incluem as recomendações da Microsoft, bem como orientações sobre boas práticas da sua utilização. Estas configurações são baseadas no feedback das equipas de especialistas de segurança da Microsoft, parceiros e clientes.

Existem mais de 3.000 configurações de Group Policy para o Windows 10, sem incluir as mais de 1.800 configurações para o Internet Explorer 11. Destas 4.800 configurações, apenas algumas estão directamente relacionadas com segurança. Embora a Microsoft disponibilize diversas orientações sobre as diferentes opções de segurança, examiná-las a todas pode levar imenso tempo.

Num esforço para agilizar a implementação e facilitar a gestão do Windows, a Microsoft disponibiliza diversas security baselines em formatos prontos a utilizar, tais como Group Policy Objects. Estas security baselines podem ser utilizadas para garantir que o utilizador e o computador estão em conformidade ou podem ser ajustadas para necessidades específicas.

 

Obtenha as baselines aqui

image

As últimas security baselines para o Windows 10 incluem GPOs importáveis, ferramentas para aplicar as GPOs, ficheiros ADMX para mitigar a vulnerabilidade “pass the hash”, as velhas configurações MSS, e ainda um conjunto de folhas Excel com toda esta informação e comparação entre diversas baselines.

image

Usar a ferramenta LGPO:

  • Exportar

    • LGPO /b <path>

    • Tem que se criar a directoria antes

image

  • Importar

    • LGPO /g <path>

Agora pode aplicar GPOs directamente à sua máquina ou pode analisá-las antes com o Policy Analyzer.

Usar o novo Policy Analyzer

Já está disponível uma nova versão do Policy Analyzer que pode ser testada só para ver o que vem a caminho.

Obtenha aqui

Importar para o Policy Analyzer o GPO previamente exportado.

image

Usar as Rules que vêm como exemplo na nova versão da ferramenta.

Não pode importar o template do Windows 10 STIG para esta ferramenta, porque o STIG é agora compatível com SCAP e portanto já não tem inclui nenhum ficheiro .inf que se possa importar. No entanto, pode importar os GPOs da Security Baseline e compará-los com as definições que tem na sua máquina.

image

E o resultado será algo assim…

image

 

Artigo anterior: Robustecimento de Linux com OpenSCAP

Próximo artigo: Robustecimento do Windows 10 (Parte II)