Security baseline do Windows 10 “Fall Creators Update” (v1709) – Projeto (Draft)

Por Aaron Margosis

Microsoft tem o prazer de anunciar o projeto de lançamento do configurações de linha de base de configuração de segurança recomendadas para o Windows 10 “Fall Creators Update” (v1709)”, também conhecida como a versão 1709, “Redstone 3”, ou RS3. Por favor avalie esta proposta de baseline e envie seu feedback através de comentários no blog original: https://blogs.technet.microsoft.com/secguide/2017/09/27/security-baseline-for-windows-10-fall-creators-update-v1709-draft

Faça o download do conteúdo aqui: Windows-10-RS3-Security-Baseline-DRAFT
O acessório para download neste post de blog inclui os GPOs que podem ser importados, scripts para aplicar aos GPOs de política local, personalização dos arquivos ADMX para configurações de Diretiva de Grupo e todas as configurações recomendadas na folha de formulário. A planilha também inclui as definições correspondentes para configurar através do Windows ” Gerenciamento de dispositivo móvel (MDM).”
As diferenças entre esta baseseline e para Windows 10 v1703 (também conhecido por “Creators Update”, “Redstone 2”, RS2) são:

  • Implementação de regras de redução da superfície de ataque do Windows Defender Exploit Guard. Exploit Guard é um novo recurso da v.1709 que ajuda a impedir uma variedade de ações muitas vezes utilizado por malware. Você pode ler mais sobre o Exploit Guard aqui: Reduce attack surfaces with Windows Defender Exploit Guard. Note que, para este projeto, estamos permitindo o modo “bloquear” para todas essas definições. Estamos a adotar uma atitude particularmente cuidadosa para “bloquear aplicativos de Office de injetar em outro proceso (Block office applications from injecting into other process )”; se ele cria problemas de compatibilidade então poderíamos mudar a linha de recomendação para o modo “auditoria” para essa definição.
  • Permitindo explorar o recurso de proteção de rede (Enabling Exploit Guard’s Network Protection feature) para impedir que qualquer aplicativo acesse Web sites identificados como perigosas, incluindo os esquemas de phishing e de hospedagem de malware. Isso estende o tipo de proteção oferecida pelo SmartScreen para todos os programas, incluindo navegadores de terceiros.
  • Permitindo uma nova configuração que impede aos usuários de fazer alterações ao explorar a área de configurações de proteção no Centro de Segurança do Windows Defender.
    Também recomendamos que habilitar o Windows Defender Application Guard. Nossos testes têm provado ser uma poderosa defesa. Teríamos incluído nesta baseline, mas as definições de configuração são específicos de cada organização.

O Enhanced Mitigation Experience Toolkit (EMET) add-on não é suportado no Windows 10 v1709. Em vez disso, oferecemos Windows Defender Exploit Guard’s Exploit Protection,  que é agora incorporado, completamente e recurso configurável do Windows 10. A proteção traz o controle granular de usado em EMET em uma nova e moderna funcionalidade.
O nosso pacote de download inclui arquivo XML pré-configurado, personalizáveis para ajudar você a adicionar explorar atenuações para muitos aplicativos comuns. Você pode usá-lo como está, ou personaliza-lá para suas próprias necessidades. Observe que você faza configuração de diretiva de grupo correspondente, especificando o local completo ou caminho de arquivo do servidor para o arquivo XML. Porque a nossa baseline não pode especificar um caminho que funciona para todos, não está incluída na linha de pacotes de GPOs – você deve adicionar-lo.
Como mencionado acima, convidamos e agradecemos seu feedback sobre este projeto de baseline. Estamos a planejando publicar a linha final para v1709 dentro de duas semanas.
Original: https://blogs.technet.microsoft.com/secguide/2017/09/27/security-baseline-for-windows-10-fall-creators-update-v1709-draft