Conformidade de segurança da Microsoft

Todos os sistemas operacionais Windows incluem configurações de segurança que podem ser usadas para ajudar a proteger o computador
A Microsoft publica baselines de segurança baseadas na segurança da Microsoft, e que em sua maioria são recomendações, que são estabelecidas a partir da experiência de segurança do mundo real obtida em parceria com organizações comerciais ou governamentais como o governo dos EUA (Departamento de Defesa [DoD]).

Esses baselines de segurança incluem configurações recomendadas para o Firewall do Windows, o Windows Defender e outras configurações de segurança O Baseline de segurança são fornecidas em forma de GPOS  que você pode importar no seu Active Directory (AD DS) e, em seguida, implantar para os servidores do  domínio .

Você também pode usar as ferramentas de script local para configurar servidores autônomos (não associados ao domínio).

Download

Para obter e implantar as linhas de base de segurança você pode acessar o site da Microsoft. Security Compliance Toolkit 1.0.  

Por que as linhas de base (baselines) de segurança são necessárias?

Existem mais de 3.000 configurações de Diretiva de Grupo para o Windows 10, que não incluem mais de 1.800 configurações do Internet Explorer 11. Dessas 4.800 configurações, apenas algumas estão relacionadas à segurança. Embora a Microsoft forneça orientação abrangente sobre diferentes recursos de segurança, explorar cada um deles pode levar muito tempo. Você teria que determinar o impacto de segurança de cada configuração sozinho. Em seguida, você ainda precisará determinar o valor apropriado para cada configuração.

Nas organizações modernas, o cenário de ameaças à segurança está em constante evolução, e os profissionais de TI e os responsáveis ​​pelas políticas devem acompanhar as ameaças à segurança e fazer as alterações necessárias nas configurações de segurança do Windows para ajudar a atenuar essas ameaças. Para permitir implementações mais rápidas e facilitar o gerenciamento do Windows, a Microsoft fornece aos clientes linhas de base de segurança que estão disponíveis em formatos consumíveis, como backups de Objetos de Diretiva de Grupo.

Gerenciamento de GPOs

A mais complexa tarefa quando estamos trabalhando com linhas de base é o gerenciamento de GPOs. Junto com o Security Compliance Toolkit temos uma ferramenta chamada Local Group Policy Object (LGPO) que é um ferramenta de linha de comando que ajuda a automatizar o gerenciamento de GPOS Locais  (Muito importante no gerenciamento de maquinas que não estão no domínio) e também uma solução chamada  Policy Analyzer tool.

O Policy Analyzer é um utilitário para analisar e comparar GPOS. Ele incluir recursos como:

• Identificação de quando um conjunto de Políticas de Grupo possui configurações redundantes ou inconsistências internas
• Identificação de diferenças entre versões ou conjuntos de Políticas de Grupo
• Comparação de GPOs com as configurações de diretiva local e registro local atuais
• Exportação dos resultados para uma planilha do Microsoft Excel

O Policy Analyzer permite tratar um conjunto de GPOs como uma única unidade. Isso facilita determinar se existem configurações duplicadas nos GPOs ou se estão configuradas com valores conflitantes. O Policy Analyzer também permite capturar uma linha de base e compará-la a um instantâneo tirado posteriormente para identificar alterações em qualquer parte do conjunto.

Outra solução que pode ser utilizada no gerenciamento de GPOS é GPO Admin.

GPO Admin é uma solução da Quest Software que permite fazer tudo o que o Policy Analyzer tool e também conta com recursos de administração como aprovação de modificações através de workflows, notificações por email, rollback,  Check-in e check-out do GPO, bloqueio e muito mais. É uma solução muito interssante no que diz respeito a gerenciamento de GPOS e Baseline de Seguramça.