дящий в состав Microsoft Security Compliance Toolkit, доступный на странице https://www.microsoft.com/en-us/download/details.aspx?id=55319 (рис. 9.3).

Рис.9.3

Преимущество этого инструмента в том, что он просматривает не только объекты групповой политики,но и проверяет корреляцию политики со значе- ниями ключей реестра.

Белый список приложений

Еслиполитикабезопасностивашейорганизациитребует,чтобынакомпьютере пользователя разрешалосьзапускатьтольколицензионное программное обес­ печение, необходимо запретить пользователям запускать нелицензионные программы,атакже ограничить использование лицензионного программного обеспечения, которое не авторизовано IT-отделом. Соблюдение политики га- рантирует, что в системе будут работатьтолько авторизованные приложения.

Мы рекомендуем вам прочитать публикацию NIST 800-167 для получения дополнительной информации по применению белого списка приложений.Загрузите это руководство

по адресу: http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-167.pdf.

оно установлено;хеш файла – следует использовать, если вы хотите создать правило,

которое будет применяться к приложениям, которые не подписаны по- ставщиком программного обеспечения.

Эти параметры появятся на странице Conditions (Условия) при запуске мас­ тера создания исполняемых правил (рис. 9.4).

Рис.9.4

три варианта должны охватывать большинство сценариев развертывания. Имейте в виду, что в зависимости оттого, какому варианту вы отдадите пред- почтение,на следующей странице появится новый набор вопросов.Убедитесь, что вы ознакомились с документацией по AppLocker на странице https://docs. microsoft.com/ru-ru/windows/security/threat-protection/windows-defender-applica- tion-control/applocker/applocker-overview.

Для внесения в белый список приложений на компьютере с Apple OS можно использо-

вать Gatekeeper (https://support.apple.com/en-us/HT202491) и SELinux для Linux.

Усиление защиты

Когда вы начинаете планировать развертывание своей политики и решать, какие параметры следует изменить, чтобы лучше защитить компьютеры, вы усиливаете их защиту, чтобы уменьшить вектор атаки. Вы можете приме- нять принципы стандарта списка типовых конфигураций (CCE) для своих компьютеров­ .

Для оптимизации развертывания вам также следует рассмотреть возмож- ность использования базовых показателей безопасности. Это может помочь вам лучше управлять не только аспектом безопасности компьютера, но и его соответствием политике компании. Для платформы Windows вы можете ис-

пользовать Microsoft Security Compliance Manager (рис. 9.5).

Рис.9.5

стемы и приложения.

ИспользуемWindowsServer2012вкачествепримера.Кактольковынажмете на опцию с названием этой операционной системы, то вызовете различные роли для этого сервера. Используя в качестве примера шаблон WS2012 Web Server Security 1.0, вы увидите набор из 203 уникальных настроек, которые улучшат общую безопасность сервера (рис. 9.6).

Рис.9.6

Чтобы увидеть более подробную информацию о каждом параметре, вы должны нажать на имя конфигурации в панели справа (рис. 9.7).

У всех этих параметров будет одинаковая структура: описание, дополни- тельные сведения, уязвимость, потенциальное воздействие и контрмеры. Эти предложения основаны на стандарте CCE,который является отраслевым стан- дартом для базовой конфигурации безопасности.После того как вы определи- ли шаблон, который лучше всего подходит для вашего сервера / рабочей стан- ции, вы можете развернуть его через GPO.

Для усиления защиты компьютера, на котором установлена Linux, обратитесь к руководству по безопасности, доступному в каждом дистрибутиве. Например, для Red Hat используйте руководство по безопасности,доступное на странице https://access.redhat. com/documentation/en-US/Red_Hat_Enterprise_Linux/6/pdf/Security_Guide/Red_Hat_

Enterprise_Linux-6-Security_Guide-en-US.pdf.

Рис.9.7

Когда защита объекта усиливается, необходимо убедиться, что вы исполь- зуете все возможности операционной системы для значительного повышения уровня безопасности компьютера. Для систем Windows вам следует рассмот­ реть возможность использования набора инструментов Enhanced Mitigation Experience Toolkit (EMET).

EMET помогает предотвратить доступ злоумышленников к вашим компью- терам,предвидяипредотвращаянаиболеераспространенныеметоды,исполь- зуемые ими для эксплуатации уязвимостей в системах Windows.Это нетолько инструмент обнаружения. Он осуществляет защиту путем перенаправления, прекращения, блокировки и аннулирования действий злоумышленника. Од- ним из преимуществ использования EMET для защиты компьютеров является возможность блокировать новые и неизвестные угрозы.

Рис.9.8

В разделе System Status (Состояние системы) показаны настроенные ре- шения проблем безопасности. Хотя идеальный сценарий – это включение их всех, данная конфигурация может варьироваться в зависимости от потребно- стей каждого компьютера. В нижней части экрана показано, какие процессы были включены. В предыдущем примере только 1 приложение поддерживало EMET. EMET работает путем внедрения DLL в пространство памяти исполняе- мого файла, поэтому при настройке нового процесса для защиты с помощью EMET вам нужно будет закрыть приложение и открыть его снова (то же самое относится и к службам).

Чтобы защитить еще 1 приложение из списка, щелкните по нему правой кнопкой мыши и выберите Configure Process (Настроить процесс).