Strategi for endpoint sikkerhed i et Microsoft miljø

Jeg vil i denne blog-post beskrive hvordan man kan sikre sine endpoints mod exploit/malware.
Jeg vil her fokusere på de forskellige sikkerhedslag, som Microsoft tilbyder i dag og liste dem som en step-by-step proces eller to-do liste.
De fleste at disse sikkerhedslag styres af velkendte Group Policy og kan derfor hurtig testes og udrulles på en nem måde til brugerne og deres computere.
Jeg håber derfor, at andre kan blive inspireret af dette skriv og komme i gang med Windows 10 og de nye nødvendige sikkerhedsfeatures, som følger med.

Jeg forudsætter at vi har et miljø, hvor man er i gang med at migrere fra Windows 7 til fordel for Windows 10 Enterprise nyeste version, uden lokal admin rettigheder.
Windows 7 blev designet for snart 10 år siden og tager ikke højde for de angrebsvektorer vi ser i dag og i fremtiden.

Første step er at implementere hvad Microsoft kalder Least-Privilege Administrative Models.
Hvis man f.eks. logger på en klient computer med en bruger, der er medlem af gruppen Domain Admin, kan der være risiko for at denne bruger bliver udnyttet af et Pass-the-hash eller keylogger angreb m.m.
Nedenstående link forklarer hvordan du begrænser login for kritiske admin grupper og brugere. Der meget tekst men den praktiske del er forholdsvis enkel at implementere.
https://technet.microsoft.com/windows-server-docs/identity/ad-ds/plan/security-best-practices/implementing-least-privilege-administrative-models

Næste step er at konfigurere Local Administrator Password Solution (LAPS).
Med dette værktøj kan du give unikke password for den lokale administrator kontor, ude på de enkelte endpoints og angive tidsperiode hvornår de automatisk bliver skiftet.
Det er super enkelt at konfigurere og udrulle i virksomhedens infrastruktur via group policy. Nedenstående links giver en god forklaring på opsætning af LAPS.
https://www.systemcenterdudes.com/how-to-install-local-administrator-password-solution-laps/
https://www.microsoft.com/en-us/download/details.aspx?id=46899

Jeg vil nu se på de indbyggede sikkerhedslag, som Windows 10 Enterprise giver os. Igen styres mange af dem via group policies på en enkel og effektiv måde.
Nogle af disse sikkerhedslag kender vi også fra Windows 7. Men en kort opsummering skader vel ikke.

Jeg antager at man her benytter Microsoft Configuration Manager (SCCM) til deployment af Windows 10 image, samt hurtig udrulning af opdateringer/sikkerheds opdateringer til OS og applikationer.
Med SCCM kan du også lave nem og hurtig offline patchning af ens Windows 10 image.
Med overbygningsmodulet SoftwareCentral kan man ligeledes få et nemt deployment workflow ud til slutbrugerne.
https://blogs.technet.microsoft.com/enterprisemobility/2016/11/18/now-available-update-1610-for-system-center-configuration-manager/
http://www.mansoft.dk/softwarecentral.html

Alle brugerne logger kun på deres computere med en standard user accounts (ikke lokal admin).
Windows firewall er aktiveret for alle netværk domain-private-guest.
BitLocker er aktiveret via Microsoft SCCM image deployment.
https://technet.microsoft.com/en-us/itpro/windows/keep-secure/bitlocker-overview

Default lokal administrator account er disablet ude på de enkelte endpoints. Der oprettes en ny, som styres af LAPS.
Autoplay er disablet for alle drev.
Screensaver er sat med password.

UAC er konfigureret og er sat til max med Always notify.
https://www.petri.com/user-account-control-standard-user-versus-protected-administrator-accounts
https://technet.microsoft.com/itpro/windows/keep-secure/user-account-control-overview

UEFI Secure Boot er aktiveret for alle Windows 10 endpoints. Man kan også via SCCM 1610 lave UEFI conversion.
https://yungchou.wordpress.com/2016/03/04/an-introduction-of-uefi-secure-boot-in-windows-10-enterprise/
https://docs.microsoft.com/en-us/sccm/osd/deploy-use/task-sequence-steps-to-manage-bios-to-uefi-conversion

Aktivering af Windows Hello. Brugerne kan benytte denne nye feature.
PIN kan ikke misbruges over netværk. Kræver at man sidder fysisk ved computeren.
https://technet.microsoft.com/en-us/itpro/windows/keep-secure/why-a-pin-is-better-than-a-password

Microsoft Edge er sat som default browser og sikkerhedsfeaturen SmartScreen er aktiveret i Edge og IE via group policy.
https://blogs.windows.com/msedgedev/2015/12/16/smartscreen-drive-by-improvements/#lbVXETW63JgJwci7.97

Hvis man har ældre interne websites som ikke er kompatible med Edge, kan man benytte Enterprise Mode site list, hvor siderne automatisk åbnes i IE:
Det er super nemt at konfigurere og styres af group policy.
https://technet.microsoft.com/en-us/itpro/microsoft-edge/emie-to-improve-compatibility

Nedenstående lister en række quick wins, som bestemt også skal med i de samlede sikkerhedslag.
Med Windows 10 antager jeg, at man benytter nyeste kontorpakke Office 2016 Click-to-Run, som kommer med forbedret sikkerhed, samt understøttelse af Office 365 modern authentication.
Samtidig antager jeg at man benytter Windows Defender med Windows 10, som har den klare fordel og styrke, at den integrerer bedst med de andre sikkerhedslag i Windows 10.
Windows Defender er også bedst integreret med SCCM og Microsoft nye WATP. Mere om det senere.

Block the macro, block the threat
https://blogs.technet.microsoft.com/mmpc/2016/03/22/new-feature-in-office-2016-can-block-macros-and-help-prevent-infection/

Block untrusted fonts in an enterprise
https://technet.microsoft.com/en-us/itpro/windows/keep-secure/block-untrusted-fonts-in-enterprise

Aktivering af Credential Guard, som effektivt beskytter mod Pass-the-Hash angreb. Er igen meget enkel at konfigurere og udrulle i et Windows 10 image.
https://technet.microsoft.com/en-us/itpro/windows/keep-secure/credential-guard
https://bogner.sh/2015/05/an-introduction-to-pass-the-hash/

Detect and block Potentially Unwanted Application in Windows 10
https://technet.microsoft.com/en-us/itpro/windows/keep-secure/enable-pua-windows-defender-for-windows-10

Block at First Sight – Windows Defender cloud protection.
https://technet.microsoft.com/en-us/itpro/windows/keep-secure/windows-defender-block-at-first-sight

Microsoft tilbyder nu også en række sikkerheds-services i cloud, som er virkelige effektive og som kræver minimal konfiguration.
Med Office 365 E5 licens får man adgang til nye sikkerheds-services, som Office 365 Advanced Threat Protection og Windows Defender Advanced Threat Protection, som jeg mener er et must-have i dag.
Tilsammen giver de rigtig god beskyttelse og overblik mod malware trusler, som f.eks. ransomware.
https://blogs.windows.com/business/2016/11/11/defending-against-ransomware-with-windows-10-anniversary-update/#Zbv2tYIGLZckMpSb.97

Introducing Office 365 Advanced Threat Protection
https://blogs.office.com/2015/04/08/introducing-exchange-online-advanced-threat-protection/

Windows Defender Advanced Threat Protection (ATP) er en ny og superfed cloud service, der analyserer og rapporterer om healt state for de enkelte endpoint via en række nye teknikker.
https://technet.microsoft.com/en-us/itpro/windows/keep-secure/windows-defender-advanced-threat-protection

ATP servicen er med i Windows 10 fra version 1607 og config policy kan udrulles til endpoints via SCCM på en nem og enkel måde.
For mere info til dette se nedenstående links.
https://osddeployment.dk/2016/11/16/how-to-setup-windows-defender-advanced-protection-windows-10-enterprise-e5/
https://osddeployment.dk/2016/11/16/how-to-get-windows-10-onboarded-with-windows-defender-atp-sccm-1610/

Jeg forventer mig rigtig meget af Windows Defender ATP og med den kommende Windows 10 Creators update, bliver det rigtig godt. Prøv at se nedenstående præsentation.

Windows Defender Advanced Threat Protection for Windows 10 in the Creators Update.
https://www.youtube.com/watch?v=2CzqJmNBpzc

Windows 10 Creators Update advances security and best-in-class modern IT tools
https://blogs.windows.com/business/2016/12/06/windows-10-creators-update-advances-security-best-class-modern-tools/#BhH7G1pcAtt9DXof.97

Afslutningsvis vil jeg kort beskrive de backup muligheder for endpoints, der kommer med Windows 10 og Office 365/Azure.
Som udgangspunkt re-installerer man et endpoint, hvis det bliver inficeret med malware. Med SCCM og windows 10 tager det ca. 30 min.
Men hvad med brugerdata og den tidligere opsætning for OS og applikationer. Her giver Microsoft en række rigtig gode muligheder for at lave en backup og restore af dette.

OneDrive for Business til personlig data/billeder m.m. Hvis det bliver nuket af f.eks. ransomware, kan det hele restores igen.
https://support.office.com/en-us/article/Get-started-with-the-new-OneDrive-sync-client-in-Windows-615391c4-2bd3-4aae-a42a-858262e42a49?ui=en-US&rs=en-US&ad=US&fromAR=1

For firma relateret data kan man nu begynde at bruge Office Groups/Teams
https://blogs.office.com/2016/11/02/introducing-microsoft-teams-the-chat-based-workspace-in-office-365/

Backup af OS og Office settings kan nemt udføres via services, som UE-V og Enterprise State Roaming i Azure.
Med UE-V kan du lave en backup af brugerens Outlook profil med tilhørende signatur, samt netværks printere.
https://technet.microsoft.com/en-us/itpro/windows/manage/uev-for-windows

Resten kan udføres automatisk med den nye Azure feature som hedder Enterprise State Roaming.
Her kan man synkronisere settings som Egde og IE favoritter, baggrunds billede, password fra credential manager, Wi-Fi profiler m.m.

Enterprise State Roaming overview
https://docs.microsoft.com/en-us/azure/active-directory/active-directory-windows-enterprise-state-roaming-overview

Enable Enterprise State Roaming in Azure Active Directory
https://docs.microsoft.com/en-us/azure/active-directory/active-directory-windows-enterprise-state-roaming-enable

Nedenstående sikkerhedslag og services har jeg valgt ikke at tage med i denne blog-post, da de som udgangspunkt kan kræve rigtig meget analyse, planlægning og test.
Windows 10 Device Guard med AppLocker
Microsoft Enterprise Mobility Suite (EMS)

Comments are closed.