Параметры и конфигурация
Требования к конфигурации определяются множеством факторов, включая необходимый уровень управления, контролируемые устройства и данные, а также требования отрасли. Тем временем сотрудников беспокоит применение строгих ИТ-политик к личным устройствам, но им по-прежнему требуется доступ к корпоративной электронной почте и документам. В Windows 10 можно создать согласованный набор конфигураций для всех компьютеров, планшетов и телефонов с помощью общего уровня MDM.
MDM: MDM позволяет настроить параметры нужным образом, не предоставляя доступ ко всем существующим настройкам. (В отличие от этого, групповая политика предоставляет детализированные параметры, которыми вы управляете по отдельности.) Одним из преимуществ MDM является то, что она позволяет применять более широкие параметры конфиденциальности, безопасности и управления приложениями с помощью более легких и эффективных средств. MDM также позволяет использовать устройства, подключенные к Интернету, для управления политиками без использования групповой политики, для которой требуются локальные устройства, присоединенные к домену. Эта подготовка делает MDM лучшим выбором для устройств, которые постоянно находятся в пути.
Групповая политика и Configuration Manager. Вашей организации по-прежнему может потребоваться управлять компьютерами, присоединенными к домену, на уровне детализированного уровня, например 1500 настраиваемых параметров групповой политики Internet Explorer. В этом случае групповая политика и Configuration Manager по-прежнему отлично подходят для управления:
-
Групповая политика — это лучший способ детализированной настройки присоединенных к домену компьютеров Windows и планшетов, подключенных к корпоративной сети с помощью средств Windows. Майкрософт продолжает добавлять параметры групповой политики с каждой новой версией Windows.
-
Configuration Manager остается рекомендуемым решением для детальной конфигурации и надежного развертывания программного обеспечения, обновлений Windows и операционной системы.
Аудитория разработчиков
Инструментарий WMI предназначен для программистов, использующих C/C++, приложение Microsoft Visual Basic или язык сценариев, на Windows и обрабатывающий объекты Microsoft ActiveX. Хотя некоторые знания о программировании COM полезны, разработчики C++, которые пишут приложения, могут найти хорошие примеры для начала работы с созданием приложения WMI с помощью C++.
Сведения о разработке поставщиков управляемых кода или приложений в C# или Visual Basic .NET с помощью платформа .NET Framework см. в разделе WMI в платформа .NET Framework.
Многие администраторы и ИТ-специалисты получают доступ к WMI через PowerShell. Командлет для PowerShell позволяет получить сведения для локального или удаленного репозитория WMI. Таким образом, ряд разделов и классов, особенно в разделе «Создание клиентов WMI «, содержат примеры PowerShell. Дополнительные сведения об использовании PowerShell см. в Windows PowerShell.
Удостоверение и проверка подлинности
Вы можете использовать Windows 10 и такие службы, как Azure Active Directory, новыми способами для облачной идентификации, проверки подлинности и управления. Вы можете предложить пользователям возможность «принести свое устройство» (BYOD) или «выбрать свое устройство» (CYOD) из выбора, который вы делаете доступным. В то же время вы можете управлять компьютерами и планшетами, которые должны быть присоединены к домену из-за отдельных приложений или ресурсов.
Управление пользователями и устройствами можно разделить на следующие две категории.
-
Корпоративные (CYOD) или личные устройства (BYOD), с которыми работают мобильные пользователи для SaaS-приложений, таких как Office 365. При использовании Windows 10 ваши сотрудники смогут самостоятельно подготовить свои устройства:
Для корпоративных устройств они могут настроить корпоративный доступ с помощью Azure AD присоединения. Когда вы предлагаете им Azure AD присоединиться с автоматической регистрацией Intune MDM, они могут перевести устройства в состояние, управляемое корпорацией, за один шаг( все из облака).
Azure AD присоединение также является отличным решением для временных сотрудников, партнеров или других сотрудников, работающих неполный рабочий стол. Эти учетные записи могут храниться отдельно от локального домена AD, но по-прежнему получать доступ к корпоративным ресурсам;
в свою очередь для личных устройств сотрудники могут использовать новый, упрощенный процесс BYOD для добавления своей рабочей учетной записи в Windows и доступа к рабочим ресурсам на устройстве.
-
Присоединенные к домену компьютеры и планшеты, используемые для традиционных приложений и доступа к важным ресурсам. Эти приложения и ресурсы могут быть традиционными, для которых требуется проверка подлинности или доступ к высоко конфиденциальным или классифицированным ресурсам в локальной среде.
При использовании Windows 10, если у вас есть локальный домен Active Directory, интегрированный с Azure AD, при присоединении устройств сотрудников они автоматически регистрируются с помощью Azure AD. Эта регистрация обеспечивает:
-
единый вход для облачных и локальных ресурсов где угодно;
-
условный доступ к корпоративным ресурсам в зависимости от работоспособности или конфигурации устройства;
-
Windows Hello
Присоединенными к домену компьютерами и планшетами можно по-прежнему управлять с помощью Configuration Manager клиентской или групповой политики.
-
Дополнительные сведения о том, как Windows 10 и Azure AD оптимизируют доступа к рабочим ресурсам благодаря сочетанию устройств и сценариев, см. в разделе Использование устройств Windows 10 на рабочем месте.
При анализе ролей в вашей организации можно использовать следующее универсальное дерево принятия решений, чтобы определить пользователей или устройства, которые нужно присоединить к домену. Рассмотрите возможность переноса остальных пользователей в Azure AD.
XPath-запросы
Наконец, выполнив необходимые настройки файлов журналов Windows, перейдем непосредственно к поиску интересующей информации. Заметим, что в случае включения всех рекомендованных политик аудита ИБ сами журналы событий становятся достаточно объемными, поэтому поиск по их содержимому может быть медленным (этих недостатков лишены специализированные решения, предназначенные в том числе для быстрого поиска информации — Log Management и SIEM-системы). Отметим также, что по умолчанию не все журналы Windows отображаются к графической оснастке (eventvwr.msc), поэтому в данной оснастке следует перейти в меню «Вид» и отметить check-box «Отобразить аналитический и отладочный журналы».
Итак, поиск по журналам аудита будем осуществлять с помощью встроенного редактора запросов XPath (XPath queries). Открыв интересующий нас журнал, например, журнал безопасности Windows (вкладка «Журналы Windows» -> «Безопасность» / Security), нажатием правой кнопки мыши на имени журнала выберем пункт «Фильтр текущего журнала». Нам откроется графический редактор поисковых запросов, при этом для наиболее продуктивной работы следует открыть вторую вкладку открывшегося окна с названием XML, отметив внизу check-box «Изменить запрос вручную». Нам будет предложено изменить XML-текст (по сути, XPath запрос) в соответствии с нашими критериями поиска.
Результат запроса будет также представляться в различных формах, но для лучшего понимания и получения детального контента в конкретном событии рекомендуем переключиться на вкладку «Подробности», а там выбрать radio-button «Режим XML», в котором в формате «ключ-значение» будут представлены данные события безопасности.
Приведем несколько полезных XPath запросов с комментариями.
1. Поиск по имени учетной записи в журнале Security — возьмем для примера имя Username:
2. Поиск по значению конкретного свойства события в журнале Sysmon — возьмем для примера поиск событий, в которых фигурировал целевой порт 443:
3. Произведем поиск сразу по двум условиям — возьмем для примера событие входа с EventID=4624 и имя пользователя Username:
4. Поиск по трем условиям — дополнительно укажем Logon Type = 2, что соответствует интерактивному входу в ОС:
5. Рассмотрим функционал исключения из выборки данных по определенным критериям — это осуществляется указанием оператора Suppress с условиями исключения. В данном примере мы исключим из результатов поиска по фактам успешного входа (EventID=4624) все события, которые имеют отношения к системным учетным записям (SID S-1-5-18/19/20) с нерелевантным для нас типам входа (Logon Type = 4/5), а также применим функционал задания условий поиска с логическим оператором «ИЛИ», указав не интересующие нас имя процесса входа (Advapi) и методы аутентификации (Negotiate и NTLM):
IRP-система штатными средствами Windows
Как мы увидели, встроенный функционал подсистемы журналирования Windows позволяет весьма гибко осуществлять поиск по зафиксированным событиям аудита ИБ, комбинируя различные условия поиска. Однако, у Windows есть еще одна интересная «фишка», которая позволяет использовать сформированные описанным выше образом правила поиска событий — мы говорим про создание задач с определенным триггером в «Планировщике заданий» Windows, что также является штатным функционалом ОС.
Как мы знаем, задачи в ОС Windows могут выполнять совершенно разные функции, от запуска диагностических и системных утилит до обновления компонент прикладного ПО. В задаче можно не только указать исполняемый файл, который будет запущен при наступлении определенных условий и триггеров, но и задать пользовательский PowerShell/VBS/Batch-скрипт, который также будет передан на обработку. В контексте применения подсистемы журналирования интерес для нас представляет функционал гибкой настройки триггеров выполнения задач. Открыв «Планировщик заданий» (taskschd.msc), мы можем создать новую задачу, в свойствах которой на вкладке «Триггеры» мы увидим возможность создать свой триггер. При нажатии на кнопку «Создать» откроется новое окно, в котором в drop-down списке следует выбрать вариант «При событии», а в открывшейся форме отображения установить radio-button «Настраиваемое». После этих действий появится кнопка «Создать фильтр события», нажав на которую, мы увидим знакомое меню фильтрации событий, на вкладке XML в котором мы сможем задать произвольное поисковое условие в синтаксисе XPath-запроса.
Например, если мы хотим выполнять некоторую команду или скрипт при каждом интерактивном входе в систему пользователя Username, мы можем задать в качестве триггера задачи следующее поисковое выражение, уже знакомое нам по примеру выше:
Другой пример: оповещение администратора при подозрительном обращении к системному процессу lsass.exe, который хранит в своей памяти NTLM-хэши и Керберос-билеты пользователей Windows, что может говорить об использовании утилиты Mimikatz или аналогичных ей:
Утилита Sysmon
Кроме задействования штатного функционала подсистемы журналирования, можно воспользоваться и официальной бесплатной утилитой Sysmon из пакета Microsoft Windows Sysinternals, которая существенно расширяет и дополняет возможности мониторинга ОС. Данная утилита дает возможность проводить аудит создания файлов, ключей реестра, процессов и потоков, а также осуществлять мониторинг загрузки драйверов и библиотек, сетевых подключений, WMI-событий и именованных каналов. Из особо полезных функций отметим возможность утилиты показывать родительский процесс и командную строку процесса, отображать значение хэш-сумм при событиях создания процесса и загрузки драйверов и библиотек с указанием наличия и действительности цифровой подписи. Несложным путем можно автоматизировать сравнение полученных хэш-сумм с индикаторами компрометации (IoCs, Indicator of Compromise) из данных фидов CyberThreat Intelligence, а также использовать приложение QVTI для IBM QRadar, с помощью которого хэши запускаемых файлов автоматически проверяются через сервис VirusTotal. Еще одной приятной опцией является возможность создания XML-конфигураций, в которых можно предельно четко указать объекты контроля и настройки работы Sysmon. Одними из наиболее продвинутых и детальных вариантов XML-конфигураций, с нашей точки зрения, являются конфиги https://github.com/ion-storm/sysmon-config и https://github.com/SwiftOnSecurity/sysmon-config .
Установка Sysmon предельно проста и также может быть легко автоматизирована:
1. Дистрибутив скачивается с https://docs.microsoft.com/en-us/sysinternals/downloads/sysmon
Все исполняемые файлы подписаны.
2. Создается или скачивается по приведенным выше ссылкам xml-файл с конфигурацией Sysmon.
3. Установка sysmon для x64 производится командой:
C:\folder\sysmon64.exe -accepteula -i C:\folder\sysmonconfig-export.xml , где sysmonconfig-export.xml – файл конфигурации, sysmon64.exe – файл-установщик.
Поддерживается запуск установки из сетевой папки.
4. После установки создается журнал Microsoft-Windows-Sysmon/Operational , размер которого мы сразу рекомендуем увеличить как минимум до 100 Мб.
Перезапуск устройства не требуется, Sysmon работает в виде сервиса, его исполняемый файл находится в C:\Windows\sysmon64.exe . По нашим подсчетам, footprint на конечной системе даже при использовании максимально детального конфига Sysmon не превышает 5-10% ЦПУ и около 100 Мб ОЗУ.
Дальнейшие действия
Чтобы начать процесс модернизации управления устройствами в организации, можно выполнить различные действия.
Оценка текущих методов управления и поиск инвестиций, которые можно сделать уже сегодня. Какие из текущих методов нужно сохранить, а какие можно изменить? В частности, какие элементы традиционного управления необходимо сохранить, а где возможна модернизация? Независимо от того, предпринимаете ли вы шаги для минимизации пользовательских образов, переоценки управления параметрами или повторной оценки проверки подлинности и соответствия требованиям, преимущества могут быть немедленными. Вы можете использовать аналитику групповой политики в Microsoft Intune, чтобы определить, какие групповые политики поддерживают облачные поставщики MDM, включая Microsoft Intune.
Оценка разных вариантов использования и потребностей в управлении вашей среде. Существуют ли группы устройств, которым пойдет на пользу упрощенное и более эффективное управление? Личные устройства (BYOD), например — естественные кандидаты для облачного управления. Пользователям или устройствам, обрабатывающим данные с более высоким уровнем регулирования, может потребоваться локальный домен Active Directory для проверки подлинности. Configuration Manager и EMS позволяют постепенно реализовать современные сценарии управления для различных устройств так, как вам будет удобно.
Изучение деревьев принятия решений в этой статье. Благодаря различным возможностям Windows 10, а также Configuration Manager и Enterprise Mobility + Security вы получаете гибкие возможности для работы с образами, проверкой подлинности, параметрами и средств управления для любого сценария.
Поэтапное движение. Переход к современному управлению устройствами не обязательно должен быть однодневным преобразованием. Новые операционные системы и устройств могут быть использованы одновременно со старыми. Благодаря этому «управляемому разнообразию» пользователи могут воспользоваться преимуществами повышения производительности на новых Windows 10 устройствах, в то время как вы продолжаете поддерживать старые устройства в соответствии со своими стандартами безопасности и управляемости. Политика CSP позволяет политикам MDM иметь приоритет над групповой политикой, если на устройстве настроена как групповая политика, так и ее эквивалентные политики MDM. Вы можете приступить к реализации политик MDM, сохраняя среду групповой политики. Дополнительные сведения, включая список политик MDM с эквивалентными групповыми политиками, см. в разделе Политики, поддерживаемые групповой политикой.
Оптимизация существующих инвестиций. На пути от традиционного локального управления к современному облачному управлению воспользуйтесь гибкой гибридной архитектурой Configuration Manager и Intune. Совместное управление позволяет одновременно управлять Windows 10 устройствами с помощью Configuration Manager и Intune. Дополнительные сведения доступны в следующих статьях.
- Совместное управление устройствами Windows
- Подготовка устройств Windows к совместному управлению
- Переключение рабочих нагрузок Configuration Manager на Intune
- Панель мониторинга совместного управления в Configuration Manager
Развертывание и подготовка
С помощью Windows 10 вы можете продолжать использовать традиционное развертывание ОС, но вы также можете «управлять из коробки». Чтобы преобразовать новые устройства в полностью настроенные и полностью управляемые устройства, можно:
-
Избегайте повторного воспроизведения образа с помощью динамической подготовки, включенной облачной службой управления устройствами, например Windows Autopilot или Microsoft Intune.
-
создать автономные пакеты подготовки с помощью конструктора конфигураций Windows; Дополнительные сведения см. в разделе Пакеты подготовки для Windows.
-
Используйте традиционные методы создания образов, такие как развертывание пользовательских образов с помощью Configuration Manager.
У вас есть несколько вариантов обновления до Windows 10. Для существующих устройств под управлением Windows 8.1 можно использовать надежный процесс обновления на месте для быстрого и надежного перехода на Windows 10 при автоматическом сохранении всех существующих приложений, данных и параметров. Такое использование процесса может означать снижение затрат на развертывание и повышение производительности, так как конечные пользователи могут сразу же повысить производительность — все будет правильно, где они оставили его. При желании вы также можете использовать традиционный подход к очистке и загрузке, используя те же средства, которые используются сегодня.