Security baseline do Windows 10 “Fall Creators Update” (v1709) – proyecto (draft)
Por Aaron Margosis
Microsoft se complace en anunciar el lanzamiento de la configuración de línea de base de la configuración de seguridad para Windows 10"
"Fall Creators Update" (v1709)", también conocido como la versión de 1709,"Redstone 3"o RS3. Por favor evalue esta propuesta de línea de base y envíe sus comentarios a través de comentarios en el blog original: https://blogs.technet.microsoft.com/secguide/2017/09/27/security-baseline-for-windows-10-fall-creators-update-v1709-draft
Descargue los contenidos aquí: Windows-10-RS3-Security-Baseline-draft
La descarga en este post incluye los GPO que se pueden importar, secuencias de comandos para aplicar al GPO de directiva local, personalización de los archivos ADMX para la configuración de directiva de grupo y configuración recomendada. La hoja de cálculo también incluye los valores correspondientes para configurar a través de ventanas "gestión de dispositivos móviles (MDM)".
Las diferencias entre este baseseline y a Windows v1703 10
(también conocido como " Creators Update", "Redstone 2", RS2) son:
- Aplicación de normas para reducir la superficie de ataque de Windows Defender Exploit Guard. Windows Defender Exploit Guard es una nueva característica de la v. 1709 que ayuda a prevenir una variedad de acciones a menudo utilizadas por el malware. Usted puede leer más sobre Exploit Guard aquí: Reduce attack surfaces with Windows Defender Exploit Guard. Nota que, para este proyecto, estamos permitiendo el modo "block" para estas definiciones. Adoptamos una actitud particularmente cuidadosa de "bloquear las aplicaciones de Office para inyectar otro proceso (Block office applications from injecting into other process )". Si crea problemas de compatibilidad, podríamos cambiar la línea recomendación para "auditoria" para esta definición.
- Lo que le permite explorar la función de protección de la red (Enabling Exploit Guard's Network Protection feature) para evitar que cualquier aplicación acceda a sitios Web identificados como peligrosos, incluyendo amenazas de phishing y malware hosting. Esto amplía el tipo de protección que ofrece el SmartScreen para todos los programas, incluyendo navegadores de terceros.
- Permite a una nueva configuración que impide que los usuarios hagan cambios mientras explora el área de configuración de protección en el Centro de Seguridad Windows Defender.
Recomendamos que habilite el Windows Defender Application Guard. Nuestras pruebas han demostrado ser una defensa poderosa. Habría incluido en esta línea de base, pero las opciones de configuración son específicas de cada organización.
El Enhanced Mitigation Experience Toolkit (EMET) add-on no es compatible con Windows 10 v1709. En su lugar, ofrecemos Windows Defender Exploit Guard's Exploit Protection , que es incorporado, completo y configurable en 10 Windows 10. Protección trae el control granular de utilizados en EMET en una nueva y moderna funcionalidad.
Nuestro paquete de descarga incluye el archivo XML preconfigurado y personalizable para ayudarle a agregar mitigaciones de exploit para muchas aplicaciones comunes. Puede utilizarlo como es, o personalizarlo para sus propias necesidades allí. Tenga en cuenta que es necesario hacer configuración de directiva de grupo correspondiente, especificando el sitio o servidor de archivo ruta de acceso completa al archivo XML. Porque nuestra base no puede especificar un camino que funciona para todos, no está incluido en el paquete de línea de GPO, Usted debe agregarlo.
Como se mencionó anteriormente, invitamos y agradecemos sus comentarios en esta baseline. Estamos planeando publicar la línea final a v1709 dentro de dos semanas.
Original
Security baseline do Windows 10 "Fall Creators Update" (v1709) – Projeto (Draft)