อาจเป็นที่ทราบกันดีอยู่แล้วว่าเมื่อใดก็ตามที่เราเพิ่มคุณลักษณะด้านความปลอดภัย (Security) ให้มากยิ่งขึ้น คุณสมบัติด้านอื่นๆ อาทิ ความง่ายในการใช้งาน (Usability) และฟังก์ชันการทำงาน (Functionality) อาจจะสูญเสียไป แนวคิดนี้ยังส่งผลมาถึงคอมพิวเตอร์ซึ่งเราซื้อและใช้ในชีวิตประจำวันโดยทั่วไปของเราที่ถูกออกแบบมาให้คุณลักษณะด้านความปลอดภัย, ความง่ายในการใช้งานและฟังก์ชันการทำงานนั้นสมดุลกัน
อย่างไรด้วยฟีเจอร์อันมหาศาลในระบบปฏิบัติการอย่าง Windows ที่เราไม่เคยใช้หรือไม่เคยรู้ว่ามันมีอยู่ การยอมสละความง่ายในการใช้งานและฟังก์ชันการทำงานบางอย่างเพื่อเสริมความปลอดภัยในการใช้งานก็อาจเป็นแนวคิดที่สมเหตุสมผล
ดังนั้นในโพสต์นี ทีมตอบสนองการโจมตีและภัยคุกคาม (Intelligent Response) จาก บริษัท ไอ-ซีเคียว จำกัด จะมาพูดถึงวิธีการง่ายๆ ที่จะช่วยเสริมความปลอดภัยให้กับ Windows โดยไม่เสี่ยงสูญเสียคุณลักษณะด้านอื่นไป โดยใช้เครื่องมือและคำแนะนำในการตั้งค่า Security Baseline ที่มาจาก Microsoft เองให้ลองไปทำตามกันดูครับ
ทำความรู้จัก Security Baseline
Security Baseline เป็นรายการของการตั้งค่าซึ่งอยู่ใน Security Compliance Toolkit ที่ทาง Microsoft เปิดให้ผู้ใช้งานสามารถทำการดาวโหลดได้ฟรี รายการตั้งค่านี้มาจากความเห็นร่วมกันของฝ่ายความปลอดภัยไมโครซอฟต์และผู้ใช้งานหลายๆ กลุ่มว่าสามารถช่วยเสริมความปลอดภัยในการใช้งานได้
เราสามารถดาวโหลด Security Baseline ได้จากแพ็คของ Security Compliance Toolkit โดยในการใช้งานนั้น เราจะต้องเลือก Baseline ที่ตรงกับรุ่นของระบบปฏิบัติการที่เราใช้เพื่อป้องกันผลกระทบที่เกิดจากการแก้ไขการตั้งค่าครับ
ทำความเข้าใจการตั้งค่าด้วย Policy Analyzer
แม้ว่าผลกระทบที่เกิดจากการตั้งค่าอาจจะต่ำสำหรับผู้ใช้งานทั่วไป เราก็ขอแนะนำให้ผู้ใช้งานทำความเข้าใจการตั้งค่าที่จะเกิดขึ้นโดยการใช้เครื่องมือที่มากับ Security Compliance Toolkit ชื่อ Policy Analyzer ซึ่งจะช่วยให้เราทำความเข้าใจการตั้งค่าที่เราจะใช้งานรวมไปถึงเปรียบเทียบการตั้งค่าที่มีอยู่แล้วในปัจจุบันกับ Security Baseline ที่เราดาวโหลดมาว่ามีลักษณะเป็นอย่างไรบ้าง
การใช้งาน Policy Analyzer เพื่อเปรียบเทียบการตั้งค่าปัจจุบันของคอมพิวเตอร์ของเรากับการตั้งค่าจาก Security Baseline สามารถทำได้ตามขั้นตอนดังนี้ครับ
- เปิดโปรแกรม PolicyAnalyzer.exe จากนั้นคลิกที่ปุ่ม Add
- ที่หน้าต่าง Policy File Importer ให้เลือกเมนู File และ Add files from GPO(s)...
- ทำการเลือกไปยัง Security Baseline ที่เราต้องการ เช่น Windows 10 Version 1903 and Windows Server Version 1903 Security Baseline จากนั้นให้ดับเบิลคลิกเข้าไปในไดเรกทอรี GPOs และเลือก Select Folder
- Policy Analyzer จะทำการโหลด Policy จาก Security Baseline ขึ้นมาแสดง เราสามารถเลือกแม่แบบของ Security Baseline ที่เราต้องการใช้เปรียบเทียบได้ จากนั้นกด Import... เพื่อบันทึกการเลือกของเราเป็นไฟล์
- ที่หน้า Policy Analyzer ให้ทำการเลือกตัวเลือก Compare local registry และ Local policy เพื่อให้ Policy Analyzer ทำการดึงข้อมูลในระบบปัจจุบันมาเปรียบเทียบ ตรวจสอบให้แน่ใจว่าได้เลือกแม่แบบที่เราเลือกไว้เมื่อขั้นตอนก่อนหน้าแล้ว จากนั้นคลิกที่ปุ่ม View/Compare
- หน้าต่าง Policy Viewer จะแสดงขึ้นเพื่อเปรียบเทียบความแตกต่าง โดยเราสามารถเลือกดูการตั้งค่าที่แตกต่างหรือมี Conflicts ได้ตามรูปภาพด้านบน
บังคับใช้การตั้งค่าจาก Security Baseline
ในการบังคับใช้การตั้งค่าจาก Security Baseline เราจะใช้เครื่องมือที่มีชื่อว่า LGPO.exe ในการช่วยนำเข้าการตั้งค่าไปในระบบ พร้อมกับสคริปต์ BaselineLocalInstall.ps1 ซึ่งอยู่ในไดเรกทอรี ./Windows 10 Version 1903 and Windows Server Version 1903 Security Baseline/Local_Script
ทั้งนี้ก่อนมีการเรียกใช้งานสคริปต์ BaselineLocalInstall.ps1 ตรวจสอบให้แน่ใจว่าไฟล์ LGPO.exe ซึ่งปกติจะอยู่ในไดเรกทอรี ./LGPO/ ได้ถูกคัดลอกมาไว้ใน ./Windows 10 Version 1903 and Windows Server Version 1903 Security Baseline/Local_Script/Tools เพื่อให้สคริปต์สามารถเรียกใช้งานได้เป็นที่เรียบร้อยแล้ว
ในการเรียกใช้งาน BaselineLocalInstall.ps1 เฉพาะ Windows 10 v1903 และ Windows Server v1903 ตามตัวอย่างนั้น เราจะมีพารามิเตอร์ที่สามารถเลือกได้อยู่ตามรายการดังนี้
- -Win10DomainJoined สำหรับระบบ Windows 10 ที่อยู่ใน Active Direcotry ในลักษณะของ Domain Member
- -Win10NonDomainJoined สำหรับระบบ Windows 10 ที่ไม่อยู่ใน Active Directory
- -WSMember สำหรับระบบ Windows Server ที่อยู่ใน Active Directory ในลักษณะของ Domain Member
- -WSNonDomainJoined สำหรับระบบ Windows Server ที่ไม่อยู่ใน Active Directory
- -WSDomainController สำหรับระบบ Windows Server ที่อยู่ใน Active Directory และเป็น Domain Controller
ให้ทำการระบุพารามิเตอร์ตามลักษณะของระบบที่ใช้งานอยู่เพื่อเริ่มกระบวนการตั้งค่าตามรูปภาพด้านล่าง ทั้งนี้การรันสคริปต์ BaselineLocalInstall.ps1 จะต้องรันผ่าน PowerShell.exe ที่เป็น Administrator-mode และมีการตั้งต่า Set-ExecutionPolicy อย่างเหมาะสมไว้แล้วด้วย
สคริปต์ BaselineLocalInstall.ps1 จะเริ่มกระบวนการบังคับใช้การตั้งค่า โดยเราสามารถดูรายละเอียดการตั้งค่าอย่างละเอียดได้ทีไฟล์ log เมื่อกระบวนการตั้งค่าเสร็จสิ้น ผู้ใช้งานจะต้องทำการรีสตาร์ทระบบอีกครั้งเพื่อให้การตั้งค่าเริ่มใช้งาน
สรุป
Windows Security Baseline เป็นจุดเริ่มต้นง่ายๆ ซึ่งจะช่วยให้เราสามารถเพิ่มความปลอดภัยในการใช้งานให้มากยิ่งขึ้นได้ สำหรับใครที่สนใจการตั้งค่าที่รัดกุมและละเอียดกว่านี้ โครงการ CIS Benchmarks จาก Center of Internet Security ก็มีคู่มือแนะนำในการตั้งค่ากว่า 1,200 หน้าให้ได้ไปปรับใช้กันครับ
You must be logged in to post a comment.