Четыре столпа сетевой безопасности Windows

Директор по информационной безопасности Microsoft Брет Арсено выделяет четыре ключевые области, на которых следует сосредоточиться для защиты сетей Windows: управление идентификацией без пароля, управление исправлениями, контроль устройств и тесты.

Управление идентификацией без пароля

В первую очередь Арсено рекомендует использовать многофакторную аутентификацию (MFA) и перейти к управлению идентификацией без пароля. Согласно отчету Verizon Data Breach Investigations Report за 2020 год, 80% кибератак связаны с доступом злоумышленников к учетным данным пользователей. По этой причине Microsoft делает упор на избавление от обычных паролей и беспарольные методы аутентификации.

Существует три основных способа развертывания Windows без пароля:

Первый – это использование Windows Hello для бизнеса, которое включает биометрическую аутентификацию. Для поддержки Windows Hello для бизнеса в облаке потребуется Windows 10 версии 1511 или новее, учетная запись Microsoft Azure, Azure Active Directory (AD), многофакторная аутентификация Azure. Для автоматической регистрации в MDM можно использовать подписку Azure AD Premium, когда устройство присоединяется к Azure AD. Для гибридных развертываний понадобится Windows 10 версии 1511 или выше и Hybrid Azure AD или Azure AD.

Второй вариант – это использовать приложения Microsoft Authenticator или Google Authenticator для двухфакторной проверки. Это может быть жизнеспособным вариантом, если ваши приложения поддерживают Authenticator, и пользователи могут применять ту же платформу для нескольких облачных приложений. 

Как указано в документации Microsoft, технология аналогична Windows Hello. Для ее развертывания используется многофакторная аутентификация Azure с разрешенными push-уведомлениями в качестве метода проверки. В таком случае понадобится последняя версия Microsoft Authenticator, установленная на устройствах под управлением iOS 8.0 и выше, или Android 6.0 и выше.

Наконец, можно реализовать решения без пароля с помощью ключей безопасности FIDO 2.0. Для этого требуется утилита вроде Yubikey, которая поддерживает резидентный ключ, клиентский PIN-код, HMAC-secret и несколько учетных записей для каждой проверяющей стороны (RP).

Управление исправлениями

Следующий ключевой элемент безопасности, на который указал Арсено, – это поддержание процесса управления исправлениями. Его рекомендация – не откладывать, а «патчить, патчить и патчить!». Он также советует применять некую  систему для обновления всего программного обеспечения, используемого сотрудниками.

Компании редко в первый же день устанавливают новые рекомендуемые исправления. Сначала они тестируют, а затем решают развернуть обновление, при условии что во время тестирования не возникло проблем. 

Microsoft необходимо вернуть доверие предприятий к качеству обновлений. Так, в июне вышло обновление KB4557957, которое негативно повлияло на принтеры с драйверами PCL-5, – они перестали печатать. Многие компании воздержались от развертывания июньских обновлений, пока не нашли обходной путь или не получили исправление от Microsoft. 

Большинство фирм в конечном итоге используют исправления, но не так быстро, как хотелось бы Microsoft.

Управление устройством

Арсено призывает администраторов службы безопасности взять под контроль устройства: «Убедитесь, что все устройства, подключенные к вашей сети, включая корпоративные, личные и пограничные устройства, такие как принтеры и телефонные системы, идентифицированы, исправлены и защищены». 

Рекомендуется использовать Intune для идентификации и управления устройствами, подключенными к сети. Microsoft Intune поможет управлять различными ресурсами, включая устройства iOS/iPad OS, Android, Windows и macOS.

Контрольные показатели безопасности

Пакет Microsoft 365 включает рейтинг безопасности Microsoft. Чтобы проверить собственные настройки безопасности можно использовать контрольные документы Center for Internet Security. Также в целях безопасности стоит периодически просматривать информацию в Центре безопасности Microsoft 365 на предмет изменений.

Наилучший способ следить за обновлениями – уделять внимание крупным конференциям. В связи с пандемией Microsoft и многие другие поставщики перешли на онлайн-площадки и сделали конференции бесплатными или недорогими.