Política de grupo - Mejores prácticas para la configuración de seguridad predeterminada

6

Actualmente estoy trabajando para fortalecer nuestros sistemas operativos Windows. Estoy revisando la guía de CIS y Microsoft Security Compliance Manager. Lo que he encontrado es que muchas de las configuraciones de seguridad ya están configuradas en la configuración recomendada de forma predeterminada. Esto significa que si no hago nada y dejo la política establecida en "No configurado", el sistema estará en el estado de seguridad ideal.

Aquí está mi pregunta: ¿Es prudente seguir adelante y usar la política de grupo para imponer TODAS las configuraciones de seguridad al estado deseado?

Ventajas que veo *: los administradores locales no pueden cambiar la política. Los cambios maliciosos se revertirán durante la próxima actualización de la política de grupo.

Desventajas que veo : las actualizaciones del sistema operativo que cambian la configuración predeterminada no se aplicarán porque el GPO impondrá una configuración diferente. Menores tiempos de carga de la política de grupo.

¿Existe algún estándar u orientación de Microsoft u otra autoridad de seguridad (SANS, etc.) que aborde este problema?

Gracias de antemano!

    
pregunta Dconsec 02.02.2017 - 21:34
fuente

3 respuestas

3

Desde la perspectiva de Microsoft, puedo decirle que esto es algo en lo que el equipo responsable de publicar las líneas de base de configuración de seguridad ha cambiado de posición a lo largo de los años. En el pasado, solían publicar líneas de base con los valores recomendados específicamente establecidos, incluso si ya eran los predeterminados. Sin embargo, ya no hacen eso. Ahora, para las políticas que ya tienen valores predeterminados seguros, se dejan como "no configuradas" en su lugar. Esto hace que la administración y la administración sean mucho más sencillas, cuya experiencia parece mostrar que es la mejor opción.

    
respondido por el Xander 03.02.2017 - 22:54
fuente
0

Si no hace cumplir una política y tiene una auditoría de seguridad, una de las preguntas del auditor será: "¿Cómo sabe que se aplican estas configuraciones? ¿Cómo sabe si alguien no cambió los valores predeterminados? "

¿Cómo vas a responder eso?

    
respondido por el myron-semack 03.02.2017 - 01:06
fuente
0

Myron, tiendo a estar de acuerdo con tu pensamiento. Todavía lo hago Parece que Microsoft está, comprensiblemente, logrando un equilibrio entre seguridad y cordura.

Xander, gracias por esa respuesta. Encontré una referencia de Aaron Margosis en Microsoft que confirma lo que dijo. Esto es lo que dijo el autor:

  

Como se mencionó, estamos aplicando los valores predeterminados solo para la seguridad   Los ajustes que, de lo contrario, podrían establecerse en un estado inseguro por   un usuario autorizado. Así, por ejemplo, en el cliente de Windows los derechos de usuario   La asignación, "Cambiar la zona horaria" (SeTimeZonePrivilege) se otorga a   Administradores, Usuarios y Servicio Local. En el pasado hicimos cumplir eso.   A través de la línea de base de seguridad. Cambiar esa configuración requiere   derechos administrativos, y es poco probable que un   El administrador lo cambiaría a un valor menos seguro. En el otro   Por otra parte, se sabe que los administradores deshabilitan el Control de cuentas de usuario, por lo que   hacer cumplir ese defecto.

enlace

    
respondido por el Dconsec 08.02.2017 - 19:59
fuente

Lea otras preguntas en las etiquetas