Actualmente estoy trabajando para fortalecer nuestros sistemas operativos Windows. Estoy revisando la guía de CIS y Microsoft Security Compliance Manager. Lo que he encontrado es que muchas de las configuraciones de seguridad ya están configuradas en la configuración recomendada de forma predeterminada. Esto significa que si no hago nada y dejo la política establecida en "No configurado", el sistema estará en el estado de seguridad ideal.
Aquí está mi pregunta: ¿Es prudente seguir adelante y usar la política de grupo para imponer TODAS las configuraciones de seguridad al estado deseado?
Ventajas que veo *: los administradores locales no pueden cambiar la política. Los cambios maliciosos se revertirán durante la próxima actualización de la política de grupo.
Desventajas que veo : las actualizaciones del sistema operativo que cambian la configuración predeterminada no se aplicarán porque el GPO impondrá una configuración diferente. Menores tiempos de carga de la política de grupo.
¿Existe algún estándar u orientación de Microsoft u otra autoridad de seguridad (SANS, etc.) que aborde este problema?
Gracias de antemano!