Napodobňujúc úrovne DEFCON , spoločnosť Microsoft^(Microsoft) odhalila „ SECCON Framework “, tj generický rámec konfigurácie zabezpečenia systému Windows 10^{(Windows 10 Security Configuration Framework)} . Tento rámec pomáha pri štandardizácii základných nastavení zabezpečenia, ktoré by sa mali použiť pre systémy Windows 10 . Pozostáva zo série príručiek, ktoré pomáhajú zabezpečiť rad konfigurácií Windowsu 10 v rôznych prostrediach.^{(Windows 10)}

Windows 10 Security Configuration Framework alebo SECCON Framework

Chris Jackson , hlavný programový manažér^{(Principal Program Manager)} spoločnosti Microsoft , povedal:

We sat down and asked ourselves this question: if we didn’t know anything at all about your environment, what security policies and security controls would we suggest you implement first?

Výsledkom bolo to, čo spoločnosť Microsoft^(Microsoft) pomenovala – rámec SECCON^{(The SECCON framework)} . Rámec konfigurácie zabezpečenia systému Windows 10^{(Windows 10)} , ktorý sa otvára s „ pracovnou stanicou správcu^{(Administrator)} “ na úrovni 1 až po „podnikové zabezpečenie“ na úrovni 5, je snahou spoločnosti Microsoft zjednodušiť a štandardizovať systém zabezpečenia v systéme Windows 10 . Táto konfigurácia zabezpečenia nie je univerzálnym riešením, no ide o zjednodušenú konfiguráciu, ktorú by mohli používať používatelia na podnikovej úrovni na splnenie mnohých bežných konfigurácií zariadení a scenárov.

Päť úrovní v rámci konfigurácie zabezpečenia systému Windows 10^{(Windows 10)}

Rámec konfigurácie zabezpečenia systému Windows 10 pre podniky je definovaný na základe „bežných scenárov zariadení“ v 5 rôznych úrovniach od spoločnosti Microsoft^(Microsoft) : Enterprise Security , Enterprise High Security , Enterprise VIP Security , DevOps Workstation a Administrator Workstation ; Úrovne 5^{(Levels 5)} – 1 resp.

Nižšie čísla tu označujú vyšší stupeň bezpečnostného tvrdenia. Nasleduje 5 úrovní v rámci konfigurácie zabezpečenia ^{(Security Configuration Framework)}systému Windows 10^{(Windows 10)} .

1. Úroveň 5: Podniková bezpečnosť
2. Úroveň 4: Vysoká bezpečnosť podniku
3. Úroveň 3: Enterprise VIP Security
4. Úroveň 2: Pracovná stanica DevOps
5. Úroveň 1: Pracovná stanica správcu

Stručne vysvetlíme každú z týchto úrovní zabezpečenia:

1] Úroveň 5 – Podniková bezpečnosť:^{(1] Level 5 – Enterprise Security:)}

Podnikové^(Enterprise) zabezpečenie alebo úroveň 5^{(Level 5)} je minimálna konfigurácia zabezpečenia pre podnikové zariadenie. Táto úroveň konfigurácie zabezpečenia obsahuje odporúčania, ktoré sú vo všeobecnosti jednoduché a navrhnuté na nasadenie do 30 dní.

2] Úroveň 4 – Podniková vysoká bezpečnosť:^{(2] Level 4 – Enterprise High Security:)}

Táto konfigurácia sa odporúča pre zariadenia, kde používatelia potrebujú prístup k dôverným/citlivým informáciám. Len málo z týchto ovládacích prvkov môže ovplyvniť kompatibilitu aplikácií, a preto často prechádza pracovným postupom auditu, konfigurácie a vynútenia. Podľa spoločnosti Microsoft sú odporúčania pre úroveň 2^{(Level 2)} prístupné správcom a konfigurácie môžu byť nasadené do 90 dní.

3] Úroveň 3 – Podniková VIP bezpečnosť:^{(3] Level 3 – Enterprise VIP Security:)}

Zamerané špecificky na zariadenia prevádzkované organizáciami s väčším alebo sofistikovanejším bezpečnostným tímom alebo na konkrétnych používateľov/skupiny, ktoré sú vystavené výlučne vysokému riziku. Organizácia, ktorá je náchylná na to, aby sa stala terčom dobre financovaných a sofistikovaných konkurentov, by sa mala riadiť touto konfiguráciou. Nasadenie tejto sady konfigurácií môže byť zložité a často môže trvať viac ako 90 dní.

4] Úroveň 2 – Pracovná stanica DevOps:^{(4] Level 2 – DevOps workstation:)}

Spoločnosť Microsoft^(Microsoft) odporúča túto konfiguráciu vývojárom a testerom, ktorí sú atraktívnym cieľom, pretože sú na systémoch uchovávajúcich údaje s vysokou hodnotou alebo prevádzkujú kritické obchodné funkcie. Táto úroveň je stále vo vývoji a Microsoft to oznámi hneď, ako bude pripravená.

5] Úroveň 1 – Pracovná stanica správcu:^{(5] Level 1 – Administrator Workstation:)}

Administrátorská pracovná stanica^{(Administrator Workstation)} alebo úroveň 1^{(Level 1)} v systéme Windows 10 ^{(Windows 10)} Security Configuration Framework ( SEECON ) je určená pre správcov, ktorí „čelia najvyššiemu riziku krádeží údajov, zmeny údajov alebo prerušenia služby“.  ^{(“face the highest risk, through data theft, data alteration, or service disruption.”  )}Rovnako ako úroveň 4^{(Level 4)} , aj táto úroveň je vo vývoji a Microsoft to oznámi hneď, ako bude pripravená. Prečítajte si viac o tejto úrovni v dokumentoch Microsoft Docs .

Klasifikácia kontroly bezpečnosti

Vzhľadom na úrovne rizika spojené s každým typom zariadenia je rámec konfigurácie zabezpečenia systému Windows 10^{(Windows 10)} viac reštriktívny na nižších úrovniach. Odporúčania pre každú úroveň sú rozdelené do 3 rôznych kategórií:

• Zásady^(Policies) : Navrhujú konfigurovať určité bezpečnostné zásady na zariadeniach, ako je použitie minimálnej dĺžky hesla, požiadavky na zložitosť hesla, deaktivácia účtov hostí, určité pravidlá brány firewall alebo obmedzenie určitých práv na konkrétne skupiny používateľov.
• Ovládacie prvky^(Controls) : Táto skupina odporúča používanie určitých špecifických bezpečnostných funkcií alebo aplikácií. Napríklad ovládacie prvky úrovne 5^{(Level 5)} odporúčajú nakonfigurovať určité funkcie programu Windows Defender^{(Windows Defender)} , ako sú Application Guard alebo Credential Guard , a nastaviť Microsoft Edge ako predvolený prehliadač.
• Správanie^(Behaviors) : Táto skupina definuje bezpečnostné procesy, ako je inštalácia bezpečnostných aktualizácií v určitom čase po vydaní alebo zabavenie čo najväčšieho počtu používateľov zo skupiny správcov.

Microsoft hovorí, že toto je predbežná verzia a zhromažďujú spätnú väzbu od organizácií, ktoré chcú implementovať program sprísnenia zabezpečenia zariadenia. Viac si môžete prečítať na  docs.microsoft.com .

Windows 10 Security Configuration Framework for Enterprises

Mimicking the DEFCОN levels, Microsoft divulged the “SECCON Framework” i.e. a generic Windows 10 Security Configuration Framework. This framework aids in standardizing the basic security settings that should be applied for Windows 10 systems. It consists of a series of guides which help in securing a range of Windows 10 configurations in diverse environments.

Windows 10 Security Configuration Framework or SECCON Framework

Chris Jackson, Principal Program Manager at Microsoft said,

We sat down and asked ourselves this question: if we didn’t know anything at all about your environment, what security policies and security controls would we suggest you implement first?

The result was what Microsoft has named – The SECCON framework. Opening with an “Administrator workstation” at level 1 building up to the “Enterprise security” at level 5, the Windows 10 security configuration framework is Microsoft’s effort to simplify and standardize the security system on Windows 10. This security configuration isn’t a universal solution, yet a simplified configuration which could be used by enterprise-level users to meet many common device configurations and scenarios.

The five levels in Windows 10 security configuration framework

Windows 10 security configuration framework for enterprises is defined based on “Common Device Scenarios” in 5 different levels by Microsoft: Enterprise Security, Enterprise High Security, Enterprise VIP Security, DevOps Workstation, and Administrator Workstation; Levels 5 – 1 respectively.

Here, the lower numbers indicate a higher degree of security hardening. Following are the 5 levels in Windows 10 Security Configuration Framework.

1. Level 5: Enterprise Security
2. Level 4: Enterprise High Security
3. Level 3: Enterprise VIP Security
4. Level 2: DevOps workstation
5. Level 1: Administrator Workstation

Let’s briefly explain each of these security levels:

1] Level 5 – Enterprise Security:

Enterprise security or Level 5 is the minimum-security configuration for an enterprise device. This security configuration level contains recommendations that are generally straightforward and designed to be deployed within 30 days.

2] Level 4 – Enterprise High Security:

This configuration is recommended for devices where users need to access confidential/sensitive information. Few of these controls can impact app compatibility, hence often pass through an audit-configure-enforce workflow. According to Microsoft, recommendations for Level 2 are accessible to the administrators and the configurations can be deployed within 90 days.

3] Level 3 – Enterprise VIP Security:

Aimed specifically at devices run by organizations having a larger or more sophisticated security team, or for specific users/groups who are at exclusively high risk. An organization who is prone to get targeted by well-funded and sophisticated rivals should pursue this configuration. Deploying this set of configurations may be complex and can often take more than 90 days.

4] Level 2 – DevOps workstation:

Microsoft recommends this configuration to the developers and testers, who are an attractive target since they are on systems holding high-value data or running critical business functions. This level is still under development, and Microsoft will make an announcement as soon as it’s ready.

5] Level 1 – Administrator Workstation:

Administrator Workstation or Level 1 in Windows 10 Security Configuration Framework (SEECON) is designed for administrators who “face the highest risk, through data theft, data alteration, or service disruption.”  Like Level 4, this level is also under development, and Microsoft will make an announcement as soon as it is ready. Read more about this level in the Microsoft Docs.

Security Control Classification

Owing to the risk levels associated with each device type, the Windows 10 security configuration framework is more restrictive in the lower levels. Recommendations for each level are alienated into 3 different categories:

• Policies: These suggest configuring certain security policies on devices like applying a minimum password length, password complexity requirements, deactivating guest accounts, certain firewall rules, or limiting certain rights to specific user groups.
• Controls: This group recommends the use of certain specific security features or applications. For example, Level 5 controls advise to configure certain Windows Defender features like Application Guard or Credential Guard and make Microsoft Edge the default browser.
• Behaviors: This group defines security processes like installing security updates in specific duration after release or confiscating as many users as possible from the administrator group.

Microsoft says, this is a draft version and they are gathering feedback from organizations who are looking to implement a device security tightening program. You can read more at  docs.microsoft.com.

Related posts

• Nové funkcie zabezpečenia v systéme Windows 11

• Ako manuálne povoliť zablokovaný súbor alebo aplikáciu v Zabezpečení systému Windows

• Ako spravovať dôveryhodné koreňové certifikáty v systéme Windows 11/10

• 9 Funkcie a aplikácie systému Windows 7, ktoré už v systéme Windows 8 neexistujú

• Bežné funkcie zabezpečenia smartfónu a ako fungujú

• Čo je to OOBE alebo out-of-box zážitok v systéme Windows 11/10?

• Funkcie odstránené v systéme Windows 10 v 21H1

• Ako naformátovať počítač so systémom Windows 10

• Ako zakázať automatické otáčanie obrazovky v systéme Windows 11/10

• Čo je modul dôveryhodnej platformy? Ako skontrolovať, či máte čip TPM?

• Vytvorte nový, zmeňte veľkosť a rozšírte oddiel pomocou nástroja Správa diskov

• Ako priradiť sieťovú jednotku alebo pridať jednotku FTP v systéme Windows 11/10

• Ako vypnúť konfiguráciu rozšíreného zabezpečenia IE

• 8 spôsobov, ako spustiť konfiguráciu systému v systéme Windows (všetky verzie)

• Ako nastaviť internetové pripojenie v systéme Windows 11/10

• 9 vecí, ktoré môžete robiť s konfiguráciou systému v systéme Windows

• Zapnite alebo vypnite podporu prehliadania Caret v systéme Windows 10

• Windows 10 verzia 2004 Aktualizácia z mája 2020 Nové funkcie

• Čo je funkcia selektívneho pozastavenia USB? Ako to povoliť alebo zakázať?

• Prístup a používanie stránky Microsoft Edge o príznakoch v systéme Windows 11/10