Windows 10 21H2 otrzymuje nowe wytyczne Security Baseline

Wydano nową wersję wytycznych dot. zabezpieczania instalacji systemów Windows. Potocznie zwane "security baseline", są tradycyjnie wydawane jako zestaw Microsoft Security Compliance Toolkit. Najnowsza wersja zawiera wytyczne dla ostatniej wersji Windows 10, 21H2. Nowości dotyczą głównie podatności PrintNightmare i słabości procesu instalacji sterowników, ale są też niespodzianki.

Zestawy Security Baseline to zaskakująco cenne pakiety. Każdy z obsługiwanych systemów otrzymuje w ich ramach archiwum ZIP z szablonami administracyjnymi, zasadami grupy (są wyeksportowane w postaci kopii zapasowych domeny Contoso), skryptami do aplikowania zasad na komputerach niedołączonych do domeny oraz dokumentację w formacie XLSX.

Reguły zabezpieczania Windowsów potrafią być gigantyczne. Teoretycznie już od ponad piętnastu lat Microsoft dba o "sensible defaults", czyli stan w którym konfiguracja domyślna nie otwiera komputera na świat. Ale nie wszystkie zalecane ustawienia mogą być domyślne. Ostatnia próba takiego podejścia - Windows Vista - zakończyła się niekorzystnie. Dlatego wyciąg ustawień jest nieziemsko długi i pokręcony.

Na szczęście Microsoft oferuje też deltę, czyli zbiór wyłącznie nowych lub zmienionych ustawień. W przypadku 21H2 ta delta jest dość skromna. Zdecydowana większość z nich dotyczy szczegółów konfiguracji sterowników. Wiąże się to ze słabością w automatycznym instalowaniu sterowników do drukarek (PrintNightmare). Mechanizm ten jest dostępny dla użytkowników, także w domenie, a sterowniki pracują w przestrzeni systemu, czyli na wyższych uprawnieniach. Szereg słabości w tym mechanizmie doprowadził do powstania narzędzi umożliwiających przejęcie praw administracyjnych w systemie.

Są też zmiany w obsłudze telemetrii, a ściślej w komunikacji z usługą OneSettings. Jest to bardzo słabo udokumentowany składnik, pełniący rolę zaplecza technicznego dla aktualizacji i analizy urządzenia. Posiada on dokumentację, ale "w jedną stronę": istnieją dziesiątki akapitów na temat szczegółów danych diagnostycznych przesyłanych do OneSettings, ale w ani jednym miejscu nie ma porządnej definicji tego, czym OneSettings tak naprawdę jest.

Najciekawsza zmiana znajduje się jednak nie w zasadach grupy ani arkuszach z politykami, a w ogłoszeniu. Informuje ono o silnej sugestii włączenia Ochrony przed naruszeniami (Tamper Protection) dla antywirusa Microsoft Defender. Dlaczego nie dodano jej do zasad grupy? Bo ochrony tej nie da się włączyć ani wyłączyć przez zasady - na tym polega ta funkcja!

Defender ma pewną słabość, odziedziczoną po pomyśle na system, z którego pochodzi: jest zarządzalny. W rezultacie przez lata wirusy nie musiały ukrywać się przed Defenderem. Zamiast tego wysyłały pakiet polityk firmowych i zasad grupy, informujący o polityce wyłączającej Defendera. Pakiet taki jest nieodróżnialny od GPO pochodzących z domeny Active Directory, więc Defender po prostu się wyłączał.

Aby uniknąć tej farsy, wprowadzono Tamper Protection. Gdy jest włączone, Defender ignoruje wszystkie żądania zmiany konfiguracji, które nie są interaktywne i pokryte przez UAC. Nawet te, które pochodzą z zasad grupy (!) i LGPO. Każda próba zmiany poskutkuje zalogowaniem alarmu w systemowym Dzienniku Zdarzeń.

To pozornie doskonała wiadomość, ale tylko dla użytkownika. Włączenie dodatkowej ochrony przez GPO okazuje się bowiem niemożliwe. Aby centralnie zarządzać Defenderem w kwestii tej funkcji, samo członkowstwo w domenie nie wystarczą. Potrzebne jest wciągnięcie systemu w tryby obsługi Intune oraz Windows Defender for Endpoint, a więc "SCCM na sterydach". Usługi te nie są darmowe.

Tego elementu nie da się jednak przeprojektować. Domena po prostu działa tak, a nie inaczej i już. Rozwiązania z Windows 2000 w pewnych miejscach niestety brzydko się zestarzały.

Ręczne włączenie ochrony przed naruszeniami jest wysoce wskazane, jeżeli korzystamy z Defendera.