Zestawy Security Baseline to zaskakująco cenne pakiety. Każdy z obsługiwanych systemów otrzymuje w ich ramach archiwum ZIP z szablonami administracyjnymi, zasadami grupy (są wyeksportowane w postaci kopii zapasowych domeny Contoso), skryptami do aplikowania zasad na komputerach niedołączonych do domeny oraz dokumentację w formacie XLSX.
Drukarki i domyślne słabości
Reguły zabezpieczania Windowsów potrafią być gigantyczne. Teoretycznie już od ponad piętnastu lat Microsoft dba o "sensible defaults", czyli stan w którym konfiguracja domyślna nie otwiera komputera na świat. Ale nie wszystkie zalecane ustawienia mogą być domyślne. Ostatnia próba takiego podejścia - Windows Vista - zakończyła się niekorzystnie. Dlatego wyciąg ustawień jest nieziemsko długi i pokręcony.
Na szczęście Microsoft oferuje też deltę, czyli zbiór wyłącznie nowych lub zmienionych ustawień. W przypadku 21H2 ta delta jest dość skromna. Zdecydowana większość z nich dotyczy szczegółów konfiguracji sterowników. Wiąże się to ze słabością w automatycznym instalowaniu sterowników do drukarek (PrintNightmare). Mechanizm ten jest dostępny dla użytkowników, także w domenie, a sterowniki pracują w przestrzeni systemu, czyli na wyższych uprawnieniach. Szereg słabości w tym mechanizmie doprowadził do powstania narzędzi umożliwiających przejęcie praw administracyjnych w systemie.
Są też zmiany w obsłudze telemetrii, a ściślej w komunikacji z usługą OneSettings. Jest to bardzo słabo udokumentowany składnik, pełniący rolę zaplecza technicznego dla aktualizacji i analizy urządzenia. Posiada on dokumentację, ale "w jedną stronę": istnieją dziesiątki akapitów na temat szczegółów danych diagnostycznych przesyłanych do OneSettings, ale w ani jednym miejscu nie ma porządnej definicji tego, czym OneSettings tak naprawdę jest.
Defender
Najciekawsza zmiana znajduje się jednak nie w zasadach grupy ani arkuszach z politykami, a w ogłoszeniu. Informuje ono o silnej sugestii włączenia Ochrony przed naruszeniami (Tamper Protection) dla antywirusa Microsoft Defender. Dlaczego nie dodano jej do zasad grupy? Bo ochrony tej nie da się włączyć ani wyłączyć przez zasady - na tym polega ta funkcja!
Defender ma pewną słabość, odziedziczoną po pomyśle na system, z którego pochodzi: jest zarządzalny. W rezultacie przez lata wirusy nie musiały ukrywać się przed Defenderem. Zamiast tego wysyłały pakiet polityk firmowych i zasad grupy, informujący o polityce wyłączającej Defendera. Pakiet taki jest nieodróżnialny od GPO pochodzących z domeny Active Directory, więc Defender po prostu się wyłączał.
Aby uniknąć tej farsy, wprowadzono Tamper Protection. Gdy jest włączone, Defender ignoruje wszystkie żądania zmiany konfiguracji, które nie są interaktywne i pokryte przez UAC. Nawet te, które pochodzą z zasad grupy (!) i LGPO. Każda próba zmiany poskutkuje zalogowaniem alarmu w systemowym Dzienniku Zdarzeń.
Podstarzały biznes
To pozornie doskonała wiadomość, ale tylko dla użytkownika. Włączenie dodatkowej ochrony przez GPO okazuje się bowiem niemożliwe. Aby centralnie zarządzać Defenderem w kwestii tej funkcji, samo członkowstwo w domenie nie wystarczą. Potrzebne jest wciągnięcie systemu w tryby obsługi Intune oraz Windows Defender for Endpoint, a więc "SCCM na sterydach". Usługi te nie są darmowe.
Tego elementu nie da się jednak przeprojektować. Domena po prostu działa tak, a nie inaczej i już. Rozwiązania z Windows 2000 w pewnych miejscach niestety brzydko się zestarzały.
Ręczne włączenie ochrony przed naruszeniami jest wysoce wskazane, jeżeli korzystamy z Defendera.