Rozwijając temat zabezpieczenia Windows 10 z pierwszego artykułu, tym razem chciałbym opisać podstawowe składniki ochrony, których uaktywnienie bądź instalacja zwiększa poziom bezpieczeństwa. Według Wikipedii, tak zwany „hardening” systemów operacyjnych to proces zabezpieczania systemu poprzez redukcję powierzchni ataku (podatności na ataki), na którym dzisiaj się skupimy.
Zmniejszenie powierzchni ataku pojedyńczej stacji można zacząć od zaplanowania instalacji z włączonym UEFI Secure Boot i modułem TPM z Bitlockerem (mówimy tu o komputerach z jednym systemem operacyjnym Microsoft w wersji od Professional).
W jaki sposób w kilku krokach zwiększyć bezpieczeństwo stacji roboczej?
Wraz z zainstalowanym Windowsem 10 od razu dostajemy włączony firewall oraz zainstalowany antywirus. Wszystkie standardowe zalecenia po instalacji sprowadzają się do:
- utrzymywania aktualnego systemu operacyjnego,
- aktualizacji zainstalowanych programów,
- aktualizacji systemu antywirusowego,
- pracy na koncie bez uprawnień administracyjnych,
- regularnego wykonywania kopii zapasowych.
Pomijając funcje, które można wyklikać w ustawieniach systemu Windows jak np. auto-odtwarzanie, bardzo pomocny w hardeningu jest program EMET (obecnie w wersji 5.52), który chroni przed zagrożeniami typu 0-day, zarówno system jaki i programy (ich lista w zakładce Apps). Ponadto zabezpiecza przeglądarki mechanizmem Certificate Trust (Pinning), czyli sprawia, że są „bardziej odporne” na podszywanie się pod strony (ich lista w zakładce Trust).
Certificate Trust (Pinning) najprościej można określić jako metodę kojarzenia certyfikatów klucza publicznego X.509 z konkretnym urzędem certyfikacji. Dzięki skojarzeniu strony SSL/TSL z certyfikatem, można wykrywać dla tych stron ataki typu man-in-the-middle. EMET w domyślnej konfiguracji zabezpiecza usługi internetowe firmy Microsoft. Funkcja przeznaczona jest do używania z przeglądarką Internet Explorer. EMET wstrzykuje do chronionego procesu nowy mały moduł (EMET_CE.DLL), aby wymusić ochronę Certificate Trust (Pinning).
Do „utwardzenia” Windows 10 przydadzą się też wskazówki NSA, jak i jego angielskiego odpowiednika CESG. Nasz rządowy CERT także nie pozostawia użytkowników samym sobie: na swoich stronach publikuje zalecenia do konfiguracji Windowsa 10, jednak jest w nich tylko jedna wzmianka na temat EMET’a.
W następnej części postaram się przybliżyć temat „białych list”.
