我目前正在加强我们的 Windows 操作系统系统。我正在查看来自 CIS 和 Microsoft 安全合规管理器的指导。我发现许多安全设置已经默认设置为推荐设置。这意味着,如果我什么都不做并将策略设置为“未配置”,系统将处于理想的安全状态。
这是我的问题: 继续使用组策略将所有安全设置强制执行到所需状态是否谨慎?
我看到的优点*:本地管理员无法更改策略。恶意更改将在下一次组策略刷新期间还原。
我看到的缺点:不会应用更改默认配置的操作系统更新,因为 GPO 将强制执行不同的设置。降低组策略加载时间。
Microsoft 或其他安全机构(SANS 等)是否有任何标准或指导来解决此问题?
提前致谢!
从 Microsoft 的角度来看,我可以告诉您,负责发布安全配置基线的团队多年来改变了立场。过去,他们使用专门设置推荐值来发布基线,即使它们已经是默认值。然而,他们不再那样做了。现在,对于已经具有安全默认值的策略,它们将保留为“未配置”。这使得行政和管理明显更简单,经验表明这是更好的选择。
如果您不执行策略并且您进行了安全审核,那么审核员的问题之一将是:“您怎么知道这些设置已应用?您怎么知道有人没有更改默认设置?”
你将如何回答这个问题?
迈伦,我倾向于同意你的想法。我仍然。可以理解的是,微软似乎在安全性和理智之间取得了平衡。
Xander,谢谢你的回答。我从微软的 Aaron Margosis 那里找到了一份参考资料,证实了你所说的。这是作者所说的:
如前所述,我们仅对可能被授权用户设置为不安全状态的安全敏感设置强制执行默认设置。因此,例如,在 Windows 客户端上的用户权限分配中,“更改时区”(SeTimeZonePrivilege)被授予管理员、用户和本地服务。过去,我们通过安全基线强制执行此操作。更改该设置需要管理权限,授权管理员不太可能将其更改为不太安全的值。另一方面,众所周知,管理员会禁用用户帐户控制,因此我们强制执行该默认设置。