เสริมความปลอดภัย (Hardening) Windows ง่ายๆ ด้วย Security Baseline

อาจเป็นที่ทราบกันดีอยู่แล้วว่าเมื่อใดก็ตามที่เราเพิ่มคุณลักษณะด้านความปลอดภัย (Security) ให้มากยิ่งขึ้น คุณสมบัติด้านอื่นๆ อาทิ ความง่ายในการใช้งาน (Usability) และฟังก์ชันการทำงาน (Functionality) อาจจะสูญเสียไป แนวคิดนี้ยังส่งผลมาถึงคอมพิวเตอร์ซึ่งเราซื้อและใช้ในชีวิตประจำวันโดยทั่วไปของเราที่ถูกออกแบบมาให้คุณลักษณะด้านความปลอดภัย, ความง่ายในการใช้งานและฟังก์ชันการทำงานนั้นสมดุลกัน

อย่างไรด้วยฟีเจอร์อันมหาศาลในระบบปฏิบัติการอย่าง Windows ที่เราไม่เคยใช้หรือไม่เคยรู้ว่ามันมีอยู่ การยอมสละความง่ายในการใช้งานและฟังก์ชันการทำงานบางอย่างเพื่อเสริมความปลอดภัยในการใช้งานก็อาจเป็นแนวคิดที่สมเหตุสมผล

ดังนั้นในโพสต์นี ทีมตอบสนองการโจมตีและภัยคุกคาม (Intelligent Response) จาก บริษัท ไอ-ซีเคียว จำกัด จะมาพูดถึงวิธีการง่ายๆ ที่จะช่วยเสริมความปลอดภัยให้กับ Windows โดยไม่เสี่ยงสูญเสียคุณลักษณะด้านอื่นไป โดยใช้เครื่องมือและคำแนะนำในการตั้งค่า Security Baseline ที่มาจาก Microsoft เองให้ลองไปทำตามกันดูครับ

ทำความรู้จัก Security Baseline

Security Baseline เป็นรายการของการตั้งค่าซึ่งอยู่ใน Security Compliance Toolkit ที่ทาง Microsoft เปิดให้ผู้ใช้งานสามารถทำการดาวโหลดได้ฟรี รายการตั้งค่านี้มาจากความเห็นร่วมกันของฝ่ายความปลอดภัยไมโครซอฟต์และผู้ใช้งานหลายๆ กลุ่มว่าสามารถช่วยเสริมความปลอดภัยในการใช้งานได้

เราสามารถดาวโหลด Security Baseline ได้จากแพ็คของ Security Compliance Toolkit โดยในการใช้งานนั้น เราจะต้องเลือก Baseline ที่ตรงกับรุ่นของระบบปฏิบัติการที่เราใช้เพื่อป้องกันผลกระทบที่เกิดจากการแก้ไขการตั้งค่าครับ

ทำความเข้าใจการตั้งค่าด้วย Policy Analyzer

แม้ว่าผลกระทบที่เกิดจากการตั้งค่าอาจจะต่ำสำหรับผู้ใช้งานทั่วไป เราก็ขอแนะนำให้ผู้ใช้งานทำความเข้าใจการตั้งค่าที่จะเกิดขึ้นโดยการใช้เครื่องมือที่มากับ Security Compliance Toolkit ชื่อ Policy Analyzer ซึ่งจะช่วยให้เราทำความเข้าใจการตั้งค่าที่เราจะใช้งานรวมไปถึงเปรียบเทียบการตั้งค่าที่มีอยู่แล้วในปัจจุบันกับ Security Baseline ที่เราดาวโหลดมาว่ามีลักษณะเป็นอย่างไรบ้าง

การใช้งาน Policy Analyzer เพื่อเปรียบเทียบการตั้งค่าปัจจุบันของคอมพิวเตอร์ของเรากับการตั้งค่าจาก Security Baseline สามารถทำได้ตามขั้นตอนดังนี้ครับ

  1. เปิดโปรแกรม PolicyAnalyzer.exe จากนั้นคลิกที่ปุ่ม Add
  2. ที่หน้าต่าง Policy File Importer ให้เลือกเมนู File และ Add files from GPO(s)...
  3. ทำการเลือกไปยัง Security Baseline ที่เราต้องการ เช่น Windows 10 Version 1903 and Windows Server Version 1903 Security Baseline จากนั้นให้ดับเบิลคลิกเข้าไปในไดเรกทอรี GPOs และเลือก Select Folder
  4. Policy Analyzer จะทำการโหลด Policy จาก Security Baseline ขึ้นมาแสดง เราสามารถเลือกแม่แบบของ Security Baseline ที่เราต้องการใช้เปรียบเทียบได้ จากนั้นกด Import... เพื่อบันทึกการเลือกของเราเป็นไฟล์
  5. ที่หน้า Policy Analyzer ให้ทำการเลือกตัวเลือก Compare local registry และ Local policy เพื่อให้ Policy Analyzer ทำการดึงข้อมูลในระบบปัจจุบันมาเปรียบเทียบ ตรวจสอบให้แน่ใจว่าได้เลือกแม่แบบที่เราเลือกไว้เมื่อขั้นตอนก่อนหน้าแล้ว จากนั้นคลิกที่ปุ่ม View/Compare
  6. หน้าต่าง Policy Viewer จะแสดงขึ้นเพื่อเปรียบเทียบความแตกต่าง โดยเราสามารถเลือกดูการตั้งค่าที่แตกต่างหรือมี Conflicts ได้ตามรูปภาพด้านบน

บังคับใช้การตั้งค่าจาก Security Baseline

ในการบังคับใช้การตั้งค่าจาก Security Baseline เราจะใช้เครื่องมือที่มีชื่อว่า LGPO.exe ในการช่วยนำเข้าการตั้งค่าไปในระบบ พร้อมกับสคริปต์ BaselineLocalInstall.ps1 ซึ่งอยู่ในไดเรกทอรี ./Windows 10 Version 1903 and Windows Server Version 1903 Security Baseline/Local_Script

ทั้งนี้ก่อนมีการเรียกใช้งานสคริปต์ BaselineLocalInstall.ps1 ตรวจสอบให้แน่ใจว่าไฟล์ LGPO.exe ซึ่งปกติจะอยู่ในไดเรกทอรี ./LGPO/ ได้ถูกคัดลอกมาไว้ใน ./Windows 10 Version 1903 and Windows Server Version 1903 Security Baseline/Local_Script/Tools เพื่อให้สคริปต์สามารถเรียกใช้งานได้เป็นที่เรียบร้อยแล้ว

ในการเรียกใช้งาน BaselineLocalInstall.ps1 เฉพาะ Windows 10 v1903 และ Windows Server v1903 ตามตัวอย่างนั้น เราจะมีพารามิเตอร์ที่สามารถเลือกได้อยู่ตามรายการดังนี้

  • -Win10DomainJoined สำหรับระบบ Windows 10 ที่อยู่ใน Active Direcotry ในลักษณะของ Domain Member
  • -Win10NonDomainJoined สำหรับระบบ Windows 10 ที่ไม่อยู่ใน Active Directory
  • -WSMember สำหรับระบบ Windows Server ที่อยู่ใน Active Directory ในลักษณะของ Domain Member
  • -WSNonDomainJoined สำหรับระบบ Windows Server ที่ไม่อยู่ใน Active Directory
  • -WSDomainController สำหรับระบบ Windows Server ที่อยู่ใน Active Directory และเป็น Domain Controller

ให้ทำการระบุพารามิเตอร์ตามลักษณะของระบบที่ใช้งานอยู่เพื่อเริ่มกระบวนการตั้งค่าตามรูปภาพด้านล่าง ทั้งนี้การรันสคริปต์ BaselineLocalInstall.ps1 จะต้องรันผ่าน PowerShell.exe ที่เป็น Administrator-mode และมีการตั้งต่า Set-ExecutionPolicy อย่างเหมาะสมไว้แล้วด้วย

สคริปต์ BaselineLocalInstall.ps1 จะเริ่มกระบวนการบังคับใช้การตั้งค่า โดยเราสามารถดูรายละเอียดการตั้งค่าอย่างละเอียดได้ทีไฟล์ log เมื่อกระบวนการตั้งค่าเสร็จสิ้น ผู้ใช้งานจะต้องทำการรีสตาร์ทระบบอีกครั้งเพื่อให้การตั้งค่าเริ่มใช้งาน

สรุป

Windows Security Baseline เป็นจุดเริ่มต้นง่ายๆ ซึ่งจะช่วยให้เราสามารถเพิ่มความปลอดภัยในการใช้งานให้มากยิ่งขึ้นได้ สำหรับใครที่สนใจการตั้งค่าที่รัดกุมและละเอียดกว่านี้ โครงการ CIS Benchmarks จาก Center of Internet Security ก็มีคู่มือแนะนำในการตั้งค่ากว่า 1,200 หน้าให้ได้ไปปรับใช้กันครับ