Microsoft vient d’annoncer la version finale des baselines de paramétrages de sécurité pour Windows 10 1809 (Windows 10 October 2018 Update/RS5) et Windows Server 2019. On y retrouve les nouveaux paramétrages de cette nouvelle Build. Ces dernières s’utilisent avec Security Compliance Toolkit (SCT). Les lignes de base permettent de vérifier la conformité d’une application vis-à-vis des bonnes pratiques et recommandations Microsoft. Microsoft annonce l’arrivée des baselines sous forme de paramètres MDM prochainement.
Microsoft a remplacé les fichiers batch (.cmd) permettant d’appliquer les baselines localement par un seul script PowerShell qui peut être appelé avec le paramètre adéquat : .\BaselineLocalInstall.ps1 [-Win10DomainJoined] [-Win10NonDomainJoined] [-WS2019Member] [-WS2019NonDomainJoined] [-WS2019DomainController]
En outre, la documentation a été revue avec :
- MS Security Baseline Windows 10 v1809 and Server 2019.xlsx : un fichier Excel regroupant tous les paramètres de stratégies de groupe publiés avec Windows 10 1809 et Server 2019.
- Un ensemble de fichiers Policy Analyzer.
- Un fichier Excel BaselineDiffs-to-v1809-RS5-FINAL.xlsx qui liste les différences avec les baselines précédentes.
- Windows 10 1803 to 1809 New Settings.xlsx qui liste tous les paramétrages disponibles dans 1809 et ajoutés depuis la 1803.
- Server 2016 to 2019 New Settings.xlsx qui liste tous les paramétrages disponibles dans Server 2019 et ajoutés depuis Server 2016.
Voici les différences avec la baseline pour Windows 10 1703 :
- Ajout de deux nouvelles règles de réduction de la surface d'attaque dans Windows Defender Exploit Guard : "Block Office communication applications from creating child processes" (qui inclut Outlook), et "Block Adobe Reader from creating child processes". Ces deux n’étaient pas présentes dans les baselines brouillon.
- Depuis les baselines brouillon, le paramètre "Désactiver l'impression sur HTTP" dans "Computer Configuration\Administrative Templates\System\Internet Communication Management\Internet Communication settings" a été supprimé. Ce paramètre figurait dans les baselines depuis au moins aussi longtemps que Windows XP en raison de la croyance erronée qu'il faisait la distinction entre HTTP et HTTPS. L'activation de ce paramètre désactive également l'impression via HTTPS, ce qui casse des fonctionnalités légitimes et nécessaires sans aucun avantage en termes de sécurité.
- Le paramètre MS Security Guide protégeant contre les applications potentiellement indésirables (PUA) a été déprécié, et est maintenant implémenté avec un nouveau paramètre sous Computer Configuration\...\Windows Defender Antivirus.
- Activation du paramètre "Encryption Oracle Remediation" ce qui avait déjà été envisagé pour la v1803. À l'époque, Microsoft craignait que cela impacte trop de systèmes qui n'avaient pas encore été mis à jour.
- Modifications de Virtualization-Based Security (utilisés par Credential Guard et Code Integrity) :
- "Platform Security Level" est passé de "Secure Boot and DMA Protection" à "Secure Boot". Si le matériel du système ne prend pas en charge la protection DMA, la sélection de "Secure Boot and DMA Protection" empêche Credential Guard de fonctionner. Si vous pouvez affirmer que vos systèmes prennent en charge la fonction de protection DMA, choisissez l'option la plus forte. Microsoft a choisi "Secure Boot" (uniquement) dans la baseline pour réduire la probabilité que Credential Guard ne fonctionne pas.
- Activation du nouveau paramètre System Guard Secure Launch qui activera Secure Launch sur un nouveau matériel compatible. Secure Launch change la façon dont Windows démarre pour utiliser les fonctions Intel Trusted Execution Technology (TXT) et Runtime BIOS Resilience pour empêcher les exploits du firmware d'avoir un impact sur la sécurité de l'environnement Windows Virtualization Based Security.
- Désactivation de l'option "Require UEFI Memory Attributes Table".
- Suppression de Credential Guard de la baseline du contrôleur de domaine, tout en conservant le reste des paramètres VBS. Ceci est implémenté dans une nouvelle GPO uniquement pour les DC nommé "MSFT Windows Server 2019 - Domain Controller Virtualization Based Security".
- Activation de la nouvelle fonction de protection DMA du kernel. La stratégie « External device enumeration" détermine s'il faut énumérer les périphériques externes qui ne sont pas compatibles avec le mappage DMA. Les appareils compatibles avec la cartographie DMA sont toujours énumérés.
- Suppression du paramètre BitLocker, "Allow Secure Boot for integrity validation", car il ne faisait que renforcer un défaut qui ne serait probablement pas modifié même par un administrateur mal avisé.
- Suppression du paramètre BitLocker, "Configure minimum PIN length for startup", car les nouvelles fonctions matérielles réduisent le besoin d'un code PIN de démarrage.
- Depuis la version préliminaire, Microsoft a supprimé "Prevent users from modifying settings" de "Computer Configuration\Administrative Templates\Windows Components\Windows Security\App and browser protection", car elle ne faisait que renforcer un défaut que les non-administrateurs ne pouvaient remplacer.
- Activation du nouveau paramètre Microsoft Edge pour empêcher les utilisateurs de contourner les messages d'erreur de certificat, ce qui aligne Edge sur un paramètre similaire pour Internet Explorer.
- Suppression du blocage de la gestion des demandes d'authentification PKU2U, car cette fonctionnalité est de plus en plus nécessaire.
- Suppression de la configuration de l'attribution des droits d'utilisateur "Create symbolic links", car elle ne faisait qu'imposer une valeur déjà massivement utilisée, n'était pas susceptible d'être modifiée par un administrateur malavisé ou à des fins malveillantes, et doit être modifiée à une valeur différente lorsque Hyper-V est activé.
- Suppression des restrictions de refus de connexion contre le groupe Invités (Guest) : par défaut, le compte Invité est le seul membre du groupe Invités, et le compte Invité est désactivé. Seul un administrateur peut activer le compte Invité ou ajouter des membres au groupe Invités.
- Suppression de la désactivation du service xbgm ("Xbox Game Monitoring"), car il n'est pas présent dans Windows 10 v1809. (D'ailleurs, les services grand public tels que les services Xbox ont été supprimés de Windows Server 2019 avec Desktop Experience !)
- Création et activation d'un nouveau paramètre MS Security Guide personnalisé pour la baseline du contrôleur de domaine, "Extended Protection for LDAP Authentication (Domain Controllers only)", qui configure la valeur de registre LdapEnforceChannelBinding.
- Les baselines Server 2019 reprennent tous les changements accumulés dans les quatre versions de Windows 10 depuis Windows Server 2016.
Plus d’informations sur l’article suivant : https://blogs.technet.microsoft.com/secguide/2018/11/20/security-baseline-final-for-windows-10-v1809-and-windows-server-2019/