Soovituslik juhend Microsoft Windows 10 turvaliseks kasutamiseks riigisektoris

Juhend on koostatud aprillis 2017.

Saateks

Riigi Infosüsteemi Ameti (RIA) soovituslik juhend Windows 10 turvaliseks kasutamiseks on abiks Eesti riigisektoris platvormi kasutuselevõtmisel turvalisuse tagamisel ja säilitamisel.

RIA juhib tähelepanu, et juhendis olev info on ajas muutuv.

RIA on seisukohal, et Windows 10 on turvalisem kui selle varasemad versioonid, millest tulenevalt on Windows 10 kasutamine soovituslik kõikides riigiasutustes.

Operatsioonisüsteemi (OS) turve nõuab aga selle turvavõimaluste tundmist, teadlikku valimist ning haldamist. Lisaks sõltub OSi turvalisus paljust muust – alates riistvarast kuni asutuse töökorralduseni.

Soovituslik juhend käsitleb Microsoft Windows 10 turbe kõige olulisemaid aspekte.

Lühidalt soovitab RIA:

  • kasutada Windows 10 Enterprise, Education või LTSB versioone, sest ainult nendes on turbe jaoks oluline funktsionaalsus olemas;
  • keelata telemeetria;
  • hoiduda Windowsi pilvepõhistest (cloud-based) haldusrakendustest;
  • kasutada Secure Boot, Credential Guard'i ja teisi siin viidatud turvamehhanisme;
  • kasutada turvakriitilistes kohtades Device Guard mehhanismi.

Windows 10 turbe ülevaade (Windows 10 Security Overview) kirjeldab W10 turvet valdkondade ja funktsioonide kaupa. Windows 10 turvajuhis (Windows 10 Security Guide) kirjeldab W10 turvet põhjalikumalt ja tehnilisemalt ning viitab turvasüsteemide (BitLocker, Device ja Credential Guard jne) ajakohasele dokumentatsioonile. Juhend ei sisalda täielikku Windows OSi turvamise ja tugevdamise (hardening) õpetust, samuti ei asenda see Windows tööjaama ISKE moodulit ega ISKE meetmeid.

Kõige paremad allikad Windows 10 turbe kohta on Microsofti enda materjalid, mis on ülevaatlikud, hästi loetavad ning alati ajakohased. Samas on neist puudu osad aspektid, muuhulgas näiteks pilverakenduste kasutamise ja telemeetriaga seotud probleemid.

Sõltumatu hinnanguna Windows 10 turvalisusele võib lugeda pärast 2016. aasta Black Hat konverentsi koostatud infoworld.com kokkuvõtet.

Windows 10 turvalisus sõltub kõige rohkem järgmistest asjaoludest:
  • Riistvara. Vaja on TPM 2.0 (või ühilduvat) ja UEFI Secure Booti võimelist seadet.
  • Litsentsi tüüp. Vaja on Enterprise, LTSB või Educational litsentsi, sest vaid need võimaldavad olulisi turvaomadusi (Credential Guard, Virtualization Based Security (VBS), telemeetria seadistamine jne).
  • Kasutajate, seadmete ja rakenduste halduse viis. Microsofti keskhaldus on muutumas pilverakenduseks (Azure Active Directory, Microsoft Intune). Juhendi väljaandmise ajal ei saa RIA ametiasutuses pilverakenduste kasutamist soovitada, sest sellisel juhul asub turvakriitiline info väljaspool asutuse infosüsteemi. Kuna keskhaldus on kindlasti vajalik, siis palume kasutada mõnda tavalist (on-premise) lahendust.
  • Telemeetria. Uued OSid ja tarkvarapaketid saadavad tootjale tagasisidet arvuti ja rakenduste kasutamise kohta. Soovitame tungivalt see Windows 10 puhul kinni seadistada.
  • Asutuse turbevõimekus. Turvamehhanismid töötavad vaid siis, kui neid aktiivselt ja teadlikult hallata. Asutus peab infoturbe rakendamist seirama, leitud vigu parandama ja turvaseadeid regulaarselt uuendama.
  • Kasutajate turvateadlikkus. Infosüsteemi tegelik turvalisus on alati lõppkasutajate kätes.

Viitekogu

Windows 10 põhilised litsentsitüübid on Home / Pro ning Enterprise / Educational. Nende omavaheliseks võrdluseks on Microsoftil vastav leht. Võrrelda tuleb lisaks "Security" osale ka "Management and deployment" osa, kuna ka see mõjutab turvalisust.

Enterprise / Educational litsentsil on võrreldes Home / Pro litsentsiga:
  • Credential Guard'i võimalus,
  • Device Guard'i / Applocker'i võimalus,
  • Application and User Environment Virtualisation'i võime,
  • Windows Defender Advanced Threat Protection,
  • MDOP ja MBAM (täpsemalt kirjeldatud lisas 2),
  • telemeetria halduse võimalus.

Kuna RIA soovitab tungivalt kasutada Credential Guard'i ja telemeetria haldust ning soovitab võimalusel ka Device Guard'i, siis on riigiasutusel vajalik soetada Windows 10 Enterprise litsents.

Litsentsiga seondub uuenduste mudeli (servicing model) valik. Microsoft pakub mudeleid Current Branch (CB), Current Branch for Business (CBB) või Long-Term Service Branch (LTSB). Nende erinevus on kirjeldatud Microsofti lehel "Windows as a service". Konkreetsete Windows 10 väljalasete (release) loend on Microsoft Windowsi uute väljalasete lehel. RIA soovitab 2017. aasta aprilli seisuga võtta kasutusele viimane (1607) CB või CBB ning lisada sellele kindlasti hetkel kehtivad uuendused (cumulative upgrade).

LTSB on sobilik sellistele arvutitele, mille edasipidine uuendamine on väga raske või võimatu. LTSB arvutid saavad vaid kriitilisi turvapaiku. Juba valitud CB või CBB mudeli pealt LTSB peale üle minna ei saa.

Viitekogu

Uuemad arvutid on Windows 10 jaoks üldiselt kõik sobilikud. Kui Windows 10 plaanitakse paigaldada vanemale riistvarale, siis peab veenduma, et oleks täidetud järgmised tingimused:

  • Secure Boot funktsiooni jaoks peab arvuti firmware toetama UEFI v2.3.1 käivitust.
  • Arvuti TPM (turvakiip) versioon peab olema 2.0 või sellega ühilduv. Varasemad TPM versioonid ei toeta moodsaid krüptoalgoritme. Ka Credential Guard vajab uut TPMi.
  • Credential Guard'i ja VBSi kasutamiseks peab riistvara toetama vastavaid virtualiseerimise meetodeid (hyper-v) ja need peavad olema sisse lülitatud.

Nn legacy boot seadistuses arvutitel võib üleminek Windows 10 peale olla keeruline ning seda tuleb migratsiooni planeerides arvestada.

Viitekogu

Active Directory kasutus

Azure Active Directory kasutusmudelid jäävad juhendi ulatusest välja, kuid neid tuleb Windows 10 juurutamisel hästi tunda. Pilve kaudu autentimist (Cloud Identity ja Synchronised Identity / Password Sync mudelid) kasutamist RIA ei soovita. Federated Identity mudel on lubatud. Pass-Through Authentication'i kohta ei ole RIA-l veel piisavalt informatsiooni.

Credential Guard

Credential Guard (CG) on mehhanism kasutaja paroolide, nende räside ja muude tundlike andmete turvamiseks Windowsi tööjaama sees. CG kasutab riistvaralist virtualiseerimist ning eraldab turvakriitilised protsessid ülejäänud operatsioonisüsteemist. Keerulisest kirjeldusest hoolimata on CG rakendamine lihtne, sisuliselt on vaja vaid paari Group Policy / Registry seadet. Täpsem info Credential Guard'i rakendamise juhises.

Microsoft pakub ka CG nõuetele vastavuse kontrolli vahendit. Viide sellele on samas juhendis.

Local Administrator Password Solution

Local Administrator Password Solution (LAPS) mehhanism kaitseb tööjaamade kohalike kasutajate (eelkõige administraatorite) paroole, nihutades need tööjaama mälust Active Directory atribuutidesse. See vahend töötab ka vanematel Windowsi versioonidel.
Täpsem info on LAPS tööriistas ja kasutusjuhendis.

Viitekogu

Windows 10 puhul arvame, et operatsioonisüsteemi sisseehitatud viirusetõrje (Windows Defender) ja kettakrüpto (BitLocker) on piisavalt tugevad. Lisaks on need integreeritud operatsioonisüsteemi muude turvamehhanismidega ning infrastruktuuri haldusega.

Leiame, et teiste tootjate lisatarkvara ei ole nende funktsioonide jaoks Windows 10 puhul vajalik.

Telemeetria ehk OSi ja rakenduste kaugseire on turvalisuse seisukohast Windows 10 kõige vastuolulisem omadus. Selle kohta on nii Microsoft kui sõltumatud eksperdid levitanud väga erinevat ning vastukäivat informatsiooni. 2017. aprillis avaldas Microsoft esimest korda ametliku nimekirja sellel hetkel telemeetria kaudu saadetavate andmete kohta.

Windows 10 Enterprise, Educational ja LTSB versioonides töötab telemeetria konfigureerimine vastavalt Microsofti enda juhenditele. Kodukasutajatele mõeldud Windows 10 litsentsides ei ole telemeetria täielik konfigureerimine võimalik. See on Microsofti teadlik poliitika.

Telemeetria tõkestamist muude vahenditega (võrgukonfiguratsiooni muutmine vms) RIA ei soovita, sest sama kanalit kasutatakse ka muul otstarbel. Tuleb arvestada, et OSi telemeetria on vaid üks telemeetria variantidest. Isegi Microsofti enda rakendused kasutavad ka teisi kaugseire kanaleid. Sõltumatud rakendused, brauserid jne saadavad oma informatsioon tootjatele.

Device Guard

Device Guard on varasemate lahenduste Software Restriction Policies (SRP) ja Applocker edasiarendus. See on oma eelkäijatest laiapõhjalisem ja tõhusam. Device Guard tagab arvutis töötavate rakenduste koodi tervikluse (code integrity). See võimaldab käivitada vaid määratud rakendusi (application whitelist) ning turvab operatsioonisüsteemi tuuma. Secure Boot mehhanismi abil tagab Device Guard kogu alglaadimise turvalisuse.

Väga tundliku informatsiooni töötlemisel soovitame Device Guard'i kasutamist kindlasti kaaluda.

Viitekogu

Käesolevas lisas on mitteammendav ja võimalik nimekiri turvaotsustest ja sammudest, mida tuleb teha seoses Windows 10 turbega.
  • Otsus: litsentsi valik – Enterprise (või Edu) vs Pro.
  • Otsus: uuendusmudeli valik. CBB / CB / LTSB
  • Riistvara konfiguratsioon
    Kontrollküsimused:
    • kas riistvara ja BIOS toetavad UEFI Secure Boot'i?
    • kas seade on TPM 2.0 ühilduv?
    • BIOS update tegemine (enne migratsiooni),
    • hypervisor tuleb rauas lubada + "windows features" all hyper-v platform sisse,
  • Otsus: muu turvatarkvara vs Device Encryption / Bitlocker / Windows Defender,
  • Otsus (bitlockeri korral): kas bitlocker + AD või MBAM.
  • Virtuaalmasinatel virtuaal-TPM ja selle peale Bitlocker.
  • Otsus: kasutajate halduse konfiguratsioon – on-prem AD, Azure Ad + federation.
  • Otsus: keskhalduse vahendi valimine, ilmselt ka uuendamine.
  • Otsus: Credential Guard'i rakendamine.
  • Otsus: Device Guard'i rakendamine.
  • Otsus: BYOD / CYOD (bring/choose/config your own device) poliitika.
  • Otsus: adminide kasutuse kontseptsioon ja piirangud, LAPS, PAW. 
  • AD admin ja conf'i haldurite kontod tavatööjaama sisse ei tohi saada.
  • Otsus: Windows hello kasutamine.
  • Otsus: EMP / enterprice mobility & security kasutamine.
  • GPO paketeerimine.
  • Ühe suure GPO asemel tuleks teha 6–10 lihtsamat:
  • kasutaja / masin / tulemüür / applocker / bitlocker / credential guide
  • Otsus: conditional access kasutamine.
  • Valida: turva monitoorimise viis ja tarkvara.

Siin on lühike nimekiri Microsofti turvatarkvarast, mis on Windows 10 kasutamisega seotud.

Advanced Threat Analytics (ATA)

ATA on keskne Active Directory monitooringu ja selle kasutuse analüüsimise vahend. ATA tuvastab Active Directory spetsiifilisi ründeid, teeb ebakorrektse GPOga seadmete inventuuri ning leiab üles peakasutajate (domeeni administraatorid) ja haldustööriistade väärkasutust.

Microsoft Bitlocker Administration and Monitoring (MBAM)

Kui kettakrüpto jaoks on kasutusel Bitlocker, siis soovitame selle Bitlockeri halduseks kasutada omakorda vahendit nimega Microsoft Bitlocker Administration and Monitoring (MBAM). See on Microsoft Desktop Optimization Packi (MDOP) osa, mis omakorda sisaldub Enterprise + Software Assurance litsentsis.

Microsoft Enterprise Mobility + Security

Täpsem info on Microsofti lehel "Information Protection and Governance".

Privileged Access Workstation (PAW)

PAW – Süsteemiadministraatoritele eraldi töökeskkonna loomine.

Security Compliance Manager (SCM)

SCM on grupipoliitikate (GPO) haldamise ja koostamise vahend. See võimaldab kasutada Microsoftist enda koostatud ja paketeeritud security baseline GPO pakke, neid vaadata, analüüsida ja eksportida.

Microsoft Desktop Optimization Pack (MDOP)

MDOP sisaldab turbe aspektist selliseid komponente:

  • Application Virtualization
  • User Experience Virtualization
  • Microsoft BitLocker Administration and Monitoring
  • Diagnostics & Recovery Toolset
Group Policy Analyser

GPA on haldusvahend GPOde omavaheliseks võrdlemiseks ning ja arvuti reaalse seadistuse auditeerimiseks GP vastu.

Windows Defender PUA

PUA on teadaoleva mittevajaliku tarkvara blokeerimise vahend.

Viitekogu

Lisa 3 Rühmapoliitika reeglite näidis

Järgnevad rühmapoliitika (group policy) reeglid on vajalikud Windows 10 puhul nn Zero Emission konfiguratsiooni tagamiseks. Neid seadeid ei tohi rakendada pimesi ning turvajuht ja administraatorid peavad analüüsima nende seadete mõju ning muutma neid vastavalt asutuse vajadustele.

Computer Configuration > Administrative Templates > Windows Components > Data Collection and Preview Builds >
Allow Telemetry: Enabled, 0 - security
Disable pre-release features or settings: Disabled
Toggle user control over Insider builds: Disabled
Do not show feedback notifications: Enabled
Computer Configuration > Administrative Templates > Windows Components > Locations and Sensors >
Turn off location: Enabled
Turn off sensors: Enabled
Computer Configuration > Administrative Templates > Windows Components >
Camera >
Allow Use of Camera: Disabled
Cloud Content >
Turn off Microsoft consumer experiences: Enabled
Do not show Windows tips: Enabled
Computer Configuration > Administrative Templates > Windows Components > OneDrive >
Prevent the usage of OneDrive for file storage: Enabled
Computer Configuration > Administrative Templates > Control Panel > Regional and Language Options >
Handwriting personalization > Turn off automatic learning: Enabled
Allow input personalization: Disabled
Computer Configuration > Administrative Templates > System >
User Profiles >
User management of sharing user name, account Picture, and domain information with apps:
Enabled, Always off
Turn off the advertising ID: Enabled
Internet Communication Management >
Internet Communication settings >
Turn off access to the Store: Enabled
Turn off downloading of print drivers over HTTP: Enabled
Turn off handwriting personalization data sharing: Enabled
Turn off handwriting recognition error reporting: Enabled
Turn off Help and Support Center "Did you know?" content: Enabled
Turn off Help and Support Center Microsoft Knowledge Base search: Enabled
Turn off Internet download for Web publishing and online ordering wizards: Enabled
Turn off Internet File Association service: Enabled
Turn off printing over HTTP: Enabled
Turn off Search Companion content file updates: Enabled
Turn off the "Order Prints" picture task: Enabled
Turn off the "Publish to Web" task for files and folders: Enabled
Turn off Windows Customer Experience Improvement Program: Enabled
Turn off Windows Error Reporting: Enabled
Turn off Windows Network Connectivity Status Indicator active tests: Enabled
Computer Configuration > Windows Settings > Security Settings > Local Policies > Security Options
Accounts: Block Microsoft accounts, Users can’t add or log on with Microsoft accounts
Computer Configuration > Administrative Templates > Windows Components > Windows Error Reporting >
Do not send additional data: Enabled
Disable Windows Error Reporting: Enabled
User Configuration > Policies > Administrative Templates > Microsoft Office 2016
Telemetry Dashboard
Seadistada vastavalt asutuse vajadustele
Tools | Options | General | Service Options… > Online Content
Online Content Options: Do not allow Office to connect to the Internet
Service Level Options: Office Services Only
Tools | Options | Spelling > Proofing Data Collection
Improve Proofing Tools: Disabled

Kui asutuses kasutatakse tööülesannete täitmiseks rakendusi või komponente, mis kuuluvad siin käsitletavasse kategooriasse, siis tuleb need signeerida codesigning sertifikaadiga või leida neile alternatiivid. Hädajuhul võib üleminekuperioodi jooksul selle GPO seade määrata asendisse Disabled.

Viimati uuendatud 08.11.2022