Четыре столпа сетевой безопасности Windows

Директор по информационной безопасности Microsoft Брет Арсено выделяет четыре ключевые области, на которых следует сосредоточиться для защиты сетей Windows: управление идентификацией без пароля, управление исправлениями, контроль устройств и тесты.
Управление идентификацией без пароля
В первую очередь Арсено рекомендует использовать многофакторную аутентификацию (MFA) и перейти к управлению идентификацией без пароля. Согласно отчету Verizon Data Breach Investigations Report за 2020 год, 80% кибератак связаны с доступом злоумышленников к учетным данным пользователей. По этой причине Microsoft делает упор на избавление от обычных паролей и беспарольные методы аутентификации.
Существует три основных способа развертывания Windows без пароля:
Первый – это использование Windows Hello для бизнеса, которое включает биометрическую аутентификацию. Для поддержки Windows Hello для бизнеса в облаке потребуется Windows 10 версии 1511 или новее, учетная запись Microsoft Azure, Azure Active Directory (AD), многофакторная аутентификация Azure. Для автоматической регистрации в MDM можно использовать подписку Azure AD Premium, когда устройство присоединяется к Azure AD. Для гибридных развертываний понадобится Windows 10 версии 1511 или выше и Hybrid Azure AD или Azure AD.
Второй вариант – это использовать приложения Microsoft Authenticator или Google Authenticator для двухфакторной проверки. Это может быть жизнеспособным вариантом, если ваши приложения поддерживают Authenticator, и пользователи могут применять ту же платформу для нескольких облачных приложений.
Как указано в документации Microsoft, технология аналогична Windows Hello. Для ее развертывания используется многофакторная аутентификация Azure с разрешенными push-уведомлениями в качестве метода проверки. В таком случае понадобится последняя версия Microsoft Authenticator, установленная на устройствах под управлением iOS 8.0 и выше, или Android 6.0 и выше.
Наконец, можно реализовать решения без пароля с помощью ключей безопасности FIDO 2.0. Для этого требуется утилита вроде Yubikey, которая поддерживает резидентный ключ, клиентский PIN-код, HMAC-secret и несколько учетных записей для каждой проверяющей стороны (RP).
Управление исправлениями
Следующий ключевой элемент безопасности, на который указал Арсено, – это поддержание процесса управления исправлениями. Его рекомендация – не откладывать, а «патчить, патчить и патчить!». Он также советует применять некую систему для обновления всего программного обеспечения, используемого сотрудниками.
Компании редко в первый же день устанавливают новые рекомендуемые исправления. Сначала они тестируют, а затем решают развернуть обновление, при условии что во время тестирования не возникло проблем.
Microsoft необходимо вернуть доверие предприятий к качеству обновлений. Так, в июне вышло обновление KB4557957, которое негативно повлияло на принтеры с драйверами PCL-5, – они перестали печатать. Многие компании воздержались от развертывания июньских обновлений, пока не нашли обходной путь или не получили исправление от Microsoft.
Большинство фирм в конечном итоге используют исправления, но не так быстро, как хотелось бы Microsoft.
Управление устройством
Арсено призывает администраторов службы безопасности взять под контроль устройства: «Убедитесь, что все устройства, подключенные к вашей сети, включая корпоративные, личные и пограничные устройства, такие как принтеры и телефонные системы, идентифицированы, исправлены и защищены».
Рекомендуется использовать Intune для идентификации и управления устройствами, подключенными к сети. Microsoft Intune поможет управлять различными ресурсами, включая устройства iOS/iPad OS, Android, Windows и macOS.
Контрольные показатели безопасности
Пакет Microsoft 365 включает рейтинг безопасности Microsoft. Чтобы проверить собственные настройки безопасности можно использовать контрольные документы Center for Internet Security. Также в целях безопасности стоит периодически просматривать информацию в Центре безопасности Microsoft 365 на предмет изменений.
Наилучший способ следить за обновлениями – уделять внимание крупным конференциям. В связи с пандемией Microsoft и многие другие поставщики перешли на онлайн-площадки и сделали конференции бесплатными или недорогими.
См. также
Представлен GitLab 13.7: автооткат при сбоях и улучшенная проверка мердж-реквестов
22.01.2021 1587 user1015646 0
Российские исследователи представили новый фреймворк для работы с большими данными
21.01.2021 1451 user1015646 2
Новая система находит ошибки при разработке ПО в режиме реального времени
20.01.2021 2108 user1015646 0
Искусственный интеллект научился обыгрывать людей, не зная правил игры
20.01.2021 1975 user1015646 2
10 стартапов в области машинного обучения, за которыми стоит следить в 2021 году
18.01.2021 1493 SKravchenko 0
Fujifilm и IBM создали ленточный накопитель с рекордным объемом памяти
13.01.2021 1439 user-programmist 0
Эксперты назвали 10 навыков для ИТ-специалистов, которые обеспечат прибавку к зарплате
12.01.2021 1603 user1015646 2
Microsoft и МТС планируют совместно развивать российский интернет вещей
28.12.2020 1325 user-programmist 1
Cloudflare станет хостинг-провайдером для статических сайтов JAMstack
25.12.2020 1225 VKuser24342747 0
Составлен рейтинг приложений для предустановки на смартфоны и умные ТВ
23.12.2020 1529 user1015646 4