Базовые параметры безопасности Windows Windows security baselines

Относится к: Applies to

• Windows 10. Windows 10
• Windows Server Windows Server
• Приложения Microsoft 365 для предприятия Microsoft 365 Apps for enterprise
• Microsoft Edge Microsoft Edge

Использование базовых параметров безопасности в вашей организации Using security baselines in your organization

Microsoft стремится предоставить своим клиентам защищенные операционные системы, такие как Windows 10 и Windows Server, а также предложить им безопасные приложения, например Microsoft Edge. Microsoft is dedicated to providing its customers with secure operating systems, such as Windows 10 and Windows Server, and secure apps, such as Microsoft Edge. Помимо гарантии безопасности своих продуктов, Microsoft также позволяет точно управлять средой с помощью различных возможностей конфигурации. In addition to the security assurance of its products, Microsoft also enables you to have fine control over your environments by providing various configuration capabilities.

Несмотря на то, что в Windows и Windows Server реализованы встроенные средства безопасности, многим организациям все же требуется более тщательный контроль над конфигурациями безопасности. Even though Windows and Windows Server are designed to be secure out-of-the-box, many organizations still want more granular control over their security configurations. Для ориентации в различных элементах управления организациям необходимы рекомендации по настройке различных функций безопасности. To navigate the large number of controls, organizations need guidance on configuring various security features. Microsoft предоставляет такие рекомендации в виде базовых параметров безопасности. Microsoft provides this guidance in the form of security baselines.

Рекомендуется отказаться от самостоятельного создания конфигураций в пользу развертывания распространенных и тщательно протестированных стандартных конфигураций, например базовых параметров безопасности Microsoft. We recommend that you implement an industry-standard configuration that is broadly known and well-tested, such as Microsoft security baselines, as opposed to creating a baseline yourself. Это обеспечивает большую гибкость и снижает затраты. This helps increase flexibility and reduce costs.

Что такое базовые параметры безопасности? What are security baselines?

Каждая организация сталкивается с угрозами безопасности. Every organization faces security threats. Однако типы угроз безопасности, актуальных для одной организации, могут быть совершенно иными для другой. However, the types of security threats that are of most concern to one organization can be completely different from another organization. Например, для Интернет-магазина приоритетной задачей может быть защита веб-приложений, работающих через Интернет, тогда как для больницы — защита конфиденциальных данных пациентов. For example, an e-commerce company may focus on protecting its Internet-facing web apps, while a hospital may focus on protecting confidential patient information. Все эти организации объединяет одно: им необходимо обеспечить безопасность своих приложений и устройств. The one thing that all organizations have in common is a need to keep their apps and devices secure. Устройства должны соответствовать стандартам (или базовым параметрам) безопасности, определяемым организацией. These devices must be compliant with the security standards (or security baselines) defined by the organization.

Базовые параметры безопасности — это группа рекомендуемых корпорацией Майкрософт параметров конфигурации с пояснением их влияния на безопасность. A security baseline is a group of Microsoft-recommended configuration settings that explains their security impact. Эти параметры основаны на отзывах специалистов по обеспечению безопасности Microsoft, групп развития продуктов, партнеров и клиентов. These settings are based on feedback from Microsoft security engineering teams, product groups, partners, and customers.

Для чего нужны базовые параметры безопасности? Why are security baselines needed?

Базовые параметры безопасности предоставляют пользователям важные преимущества, поскольку сочетают в себе глубокие знания специалистов Microsoft, ее партнеров и клиентов. Security baselines are an essential benefit to customers because they bring together expert knowledge from Microsoft, partners, and customers.

Например, для Windows 10 доступно более 3000 параметров групповой политики, а также более 1800 параметров для Internet Explorer 11. For example, there are over 3,000 Group Policy settings for Windows 10, which does not include over 1,800 Internet Explorer 11 settings. Из этих 4800 параметров только некоторые связаны с безопасностью. Of these 4,800 settings, only some are security-related. Хотя Microsoft предоставляет комплексные рекомендации по различным функциям безопасности, изучение каждой из них может занять много времени. Although Microsoft provides extensive guidance on different security features, exploring each one can take a long time. Необходимо самостоятельно определить влияние каждого параметра на безопасность. You would have to determine the security impact of each setting on your own. Затем по-прежнему необходимо определить подходящее значение для каждого параметра. Then, you would still need to determine the appropriate value for each setting.

В современных организациях угрозы безопасности постоянно видоизменяются, а ИТ-специалисты и разработчики политик должны быть в курсе этих угроз и вносить необходимые изменения в параметры безопасности Windows. In modern organizations, the security threat landscape is constantly evolving, and IT pros and policy-makers must keep up with security threats and make required changes to Windows security settings to help mitigate these threats. Чтобы обеспечить более быстрое развертывание и упростить управление Windows, Корпорация Майкрософт предоставляет клиентам базовые показатели безопасности, доступные в расходных форматах, таких как резервное копирование объектов групповой политики. To enable faster deployments and make managing Windows easier, Microsoft provides customers with security baselines that are available in consumable formats, such as Group Policy Objects Backups.

Как использовать базовые параметры безопасности? How can you use security baselines?

Базовые параметры безопасности можно использовать следующим образом: You can use security baselines to:

• для обеспечения соответствия параметрам конфигурации пользователей и устройств; Ensure that user and device configuration settings are compliant with the baseline.
• для настройки параметров конфигурации. Set configuration settings. Например, можно использовать групповую политику, Microsoft Endpoint Configuration Manager или Microsoft Intune для настройки устройства со значениями параметров, указанными в базовой линии. For example, you can use Group Policy, Microsoft Endpoint Configuration Manager, or Microsoft Intune to configure a device with the setting values specified in the baseline.

Где можно получить базовые параметры безопасности? Where can I get the security baselines?

Вы можете скачать базовые параметры безопасности из Центра загрузки Майкрософт. You can download the security baselines from the Microsoft Download Center. Это страница загрузки набора средств обеспечения соответствия требованиям безопасности (SCT), который включает в себя средства, помогающие администраторам управлять базовыми параметрами, включая базовые параметры безопасности. This download page is for the Security Compliance Toolkit (SCT), which comprises tools that can assist admins in managing baselines in addition to the security baselines.

Базовые параметры безопасности включены в набор средств обеспечения соответствия требованиям безопасности (SCT), который можно загрузить из Центра загрузки Майкрософт. The security baselines are included in the Security Compliance Toolkit (SCT), which can be downloaded from the Microsoft Download Center. SCT также включает средства, помогающие администраторам управлять базовыми параметры безопасности. The SCT also includes tools to help admins manage the security baselines.

Сообщество Community

Видео по теме Related Videos

Вас также может заинтересовать следующее видео на канале msdn 9: You may also be interested in this msdn channel 9 video:

Защита устройства в разделе «Безопасность Windows»

Безопасность Windows предоставляет следующие встроенные параметры безопасности, которые помогают защитить устройство от атак вредоносного программного обеспечения.

Чтобы получить доступ к функциям, описанным ниже, введите безопасность windows в поле поиска на панели задач, выберите эту функцию в списке результатов, а затем выберите Безопасность устройства.

Примечания: Элементы, отображаемые на странице Безопасность устройства, зависят от того, что поддерживается вашим оборудованием.

Дополнительные сведения о системе «Безопасность Windows» см. в разделе Защита с помощью панели «Безопасность Windows».

Для получения дополнительной информации о брандмауэре Microsoft Defender см. раздел Включение и отключение брандмауэра Защитника Windows.

Инструкции по работе с паролем см. в разделе Изменение или сброс пароля для Windows.

Изоляция ядра

Изоляция ядра обеспечивает дополнительную защиту от вредоносных программ и других атак, изолируя процессы компьютера от операционной системы и устройства. Выберите ссылку Сведения об изоляции ядра, чтобы включить, отключить или изменить параметры изоляции ядра.

Целостность памяти

Целостность памяти — это функция изоляции ядра. Включив параметр Целостность памяти, вы сможете запретить вредоносному коду доступ к процессам с высоким уровнем безопасности в случае атаки.

Обработчик безопасности

Обработчик безопасности реализует дополнительное шифрование для вашего устройства.

Сведения об обработчике безопасности

Здесь вы найдете сведения о производителе и номерах версий обработчика безопасности, а также информацию о состоянии обработчика безопасности. Выберите ссылку Устранение неполадок обработчика безопасности для получения дополнительных сведений и параметров.

Примечание. Если на этом экране не отображается запись «Обработчик безопасности», скорее всего, у вашего устройства нет необходимого оборудования TPM (доверенный платформенный модуль) для этой функции.

В противном случае вы увидите на странице Сведения об обработчике безопасности ссылку Устранение неполадок обработчика безопасности. Перейдите по ней, чтобы просмотреть сообщения об ошибках и дополнительные параметры. Дополнительные сведения см. в следующем разделе: Устранение неполадок обработчика безопасности.

Безопасная загрузка

Безопасная загрузка предотвращает загрузку сложного и опасного типа вредоносных программ, rootkit, при запуске устройства. Пакеты программ rootkit используют такие же разрешения, как и операционная система, и запускаются раньше нее, что позволяет им полностью скрыть себя. Зачастую программы rootkit входят в набор вредоносных программ, которые могут обходить процедуры входа, записывать пароли и нажатые клавиши, перемещать конфиденциальные файлы и получать криптографические данные.

Может потребоваться отключить безопасную загрузку для работы некоторых графических плат, оборудования или операционных систем ПК, например Linux или предыдущих версий Windows. Дополнительные сведения см. в разделе Отключение и повторное включение безопасной загрузки.

Аппаратные возможности обеспечения безопасности

В нижней части экрана «Безопасность устройства» отображается одно из следующих сообщений с указанием возможностей защиты вашего устройства.

Устройство соответствует требованиям для стандартной безопасности оборудования

Это означает, что устройство поддерживает целостности памяти и изоляцию ядра, а также:

TPM 2.0 (или обработчик безопасности);

включена безопасная загрузка;

Устройство соответствует требованиям для усиленной безопасности оборудования

Это означает, что в дополнение к стандартным требованиям к безопасности оборудования, на устройстве также включена функция целостности памяти.

Устройство превышает требования для усиленной безопасности оборудования ( Примечание. В Windows 20H2 отображается сообщение «На вашем устройстве включены все функции защищенного ядра ПК»)

Это означает, что в дополнение к обеспечению соответствия требованиям к усиленной безопасности оборудования, на устройстве также включена функция защиты режима управления системой (SMM).

Стандартная безопасность оборудования не поддерживается

Это означает, что устройство не соответствует по крайней мере одному из стандартных требований к безопасности оборудования.

Улучшенная аппаратная безопасность

Если уровень системы безопасности устройства вас не устраивает, может потребоваться включить определенные аппаратные функции (такие как безопасная загрузка, если она поддерживается) или изменить параметры в BIOS вашей системы. Обратитесь к изготовителю оборудования, чтобы узнать, какие функции поддерживаются вашим оборудованием и как их активировать.

Приложение «Безопасность Windows» The Windows Security app

Область применения Applies to

• Windows 10, версия 1703 и более поздние Windows 10, version 1703 and later

В этой библиотеке описывается приложение Windows Security, а также представлены сведения о настройке определенных функций, в том числе: This library describes the Windows Security app, and provides information on configuring certain features, including:

В Windows 10 версии 1709 и более поздней версии приложение также отображает сведения из сторонних антивирусных и брандмауэрных приложений. In Windows 10, version 1709 and later, the app also shows information from third-party antivirus and firewall apps.

В Windows 10 версии 1803 приложение имеет две новые области: защита учетной записи и безопасность устройств. In Windows 10, version 1803, the app has two new areas, Account protection and Device security.

Приложение Windows Security — это клиентский интерфейс в Windows 10 версии 1703 и более поздней версии. The Windows Security app is a client interface on Windows 10, version 1703 and later. Это не консоль веб-портала Центра безопасности Microsoft Defender, которая используется для проверки и управления Microsoft Defender для конечной точки. It is not the Microsoft Defender Security Center web portal console that is used to review and manage Microsoft Defender for Endpoint.

Вы не можете удалить приложение Безопасности Windows, но вы можете сделать одно из следующих: You can’t uninstall the Windows Security app, but you can do one of the following:

• Отключить интерфейс на Windows Server 2016. Disable the interface on Windows Server 2016. См. антивирус Microsoft Defender на Windows Server. See Microsoft Defender Antivirus on Windows Server.
• Скрыть все разделы на клиентских компьютерах (см. ниже). Hide all of the sections on client computers (see below).
• При необходимости отключать антивирус Microsoft Defender. Disable Microsoft Defender Antivirus, if needed. См. в этой записи Включить и настроить защиту имониторинг всегда на microsoft Defender AV. See Enable and configure Microsoft Defender AV always-on protection and monitoring.

Дополнительные сведения о каждом разделе, включая варианты настройки этих разделов (в частности, скрытие разделов), приведены в следующих статьях: You can find more information about each section, including options for configuring the sections — such as hiding each of the sections — at the following topics:

• Защита &,которая обладает информацией и доступом к настройкам и уведомлениям защиты антивирусных программ-вымогателей, включая управляемый доступ к папкам и вход в Microsoft OneDrive. Virus & threat protection, which has information and access to antivirus ransomware protection settings and notifications, including Controlled folder access, and sign-in to Microsoft OneDrive.
• Защита учетнойзаписи, которая имеет сведения и доступ к настройкам входных и учетных записей. Account protection, which has information and access to sign-in and account protection settings.
• Брандмауэр &,который имеет информацию и доступ к настройкам брандмауэра, включая Защитник Windows брандмауэра. Firewall & network protection, which has information and access to firewall settings, including Windows Defender Firewall.
• Управление & браузера,охватывающее Защитник Windows SmartScreen и смягчение последствий защиты от эксплойтов. App & browser control, covering Windows Defender SmartScreen settings and Exploit protection mitigations.
• Безопасность устройств,которая предоставляет доступ к встроенным настройкам безопасности устройств. Device security, which provides access to built-in device security settings.
• Производительность &,которая имеет сведения о драйверах, пространстве хранения и общих проблемах с обновлением Windows. Device performance & health, which has information about drivers, storage space, and general Windows Update issues.
• Семейные параметры,которые включают доступ к родительскому контролю, а также советы и сведения для сохраняющих безопасность детей в Интернете. Family options, which includes access to parental controls along with tips and information for keeping kids safe online.

Если скрыть все разделы, в приложении будет отображаться ограниченный интерфейс, как на снимке экрана ниже: If you hide all sections then the app will show a restricted interface, as in the following screenshot:

Откройте приложение Безопасности Windows Open the Windows Security app

Щелкните значок в области уведомлений на панели задач. Click the icon in the notification area on the taskbar.

Поиск меню Пуск для Windows Security. Search the Start menu for Windows Security.

Откройте область из параметровWindows. Open an area from Windows Settings.

Параметры, настроенные с помощью средств управления, таких как group Policy, Microsoft Intune или Microsoft Endpoint Configuration Manager, как правило, будут иметь приоритет над настройками в службе безопасности Windows. Settings configured with management tools, such as Group Policy, Microsoft Intune, or Microsoft Endpoint Configuration Manager, will generally take precedence over the settings in the Windows Security. В статьях о каждом из разделов приведены ссылки на инструкции по настройке соответствующих функций и продуктов. See the topics for each of the sections for links to configuring the associated features or products.

Как приложение Безопасности Windows работает с функциями безопасности Windows How the Windows Security app works with Windows security features

Microsoft Defender AV и приложение Windows Security используют аналогичные службы с аналогичными именами для определенных целей. Microsoft Defender AV and the Windows Security app use similarly named services for specific purposes.

Приложение Безопасности Windows использует службу безопасности Windows (SecurityHealthService или Windows Security Health Servce), которая, в свою очередь, использует службу Центра безопасности(wscsvc),чтобы обеспечить, чтобы приложение предоставило самые последние сведения о состоянии защиты на конечной точке, включая защиту, обеспечиваемую сторонними антивирусными продуктами, брандмауэром Защитник Windows брандмауэром, сторонними брандмауэрами и другой защитой безопасности. The Windows Security app uses the Windows Security Service (SecurityHealthService or Windows Security Health Servce), which in turn utilizes the Security Center service (wscsvc) to ensure the app provides the most up-to-date information about the protection status on the endpoint, including protection offered by third-party antivirus products, Windows Defender Firewall, third-party firewalls, and other security protection.

Эти службы не влияют на состояние А. В. Защитника Майкрософт. These services do not affect the state of Microsoft Defender AV. Отключение или изменение этих служб не отключит microsoft Defender AV и приведет к снижению состояния защиты на конечной точке, даже если вы используете сторонний антивирусный продукт. Disabling or modifying these services will not disable Microsoft Defender AV, and will lead to a lowered protection state on the endpoint, even if you are using a third-party antivirus product.

Av-защитник Майкрософт будет [отключен автоматически, когда сторонний антивирусный продукт установлен и хранится в курсе]/microsoft-365/security/defender-endpoint/microsoft-defender-antivirus-compatibility). Microsoft Defender AV will be [disabled automatically when a third-party antivirus product is installed and kept up to date]/microsoft-365/security/defender-endpoint/microsoft-defender-antivirus-compatibility).

Отключение службы Центра безопасности Windows не отключит av Microsoft Defender или Защитник Windows брандмауэра. Disabling the Windows Security Center service will not disable Microsoft Defender AV or Windows Defender Firewall.

Если отключить службу Центра безопасности или настроить связанные с ней параметры групповой политики, чтобы предотвратить ее запуск или запуск, приложение Windows Security может отображать устаревшие или неточные сведения о любых антивирусных или брандмауэрных продуктах, установленных на устройстве. If you disable the Security Center service, or configure its associated Group Policy settings to prevent it from starting or running, the Windows Security app may display stale or inaccurate information about any antivirus or firewall products you have installed on the device.

Это также может помешать microsoft Defender AV включить себя, если у вас есть старый или устаревший сторонний антивирус, или если вы отключаете любые сторонние антивирусные продукты, которые вы, возможно, уже установили. It may also prevent Microsoft Defender AV from enabling itself if you have an old or outdated third-party antivirus, or if you uninstall any third-party antivirus products you may have previously installed.

Это существенно снизит степень защиты вашего устройства и может привести к заражению вредоносными программами. This will significantly lower the protection of your device and could lead to malware infection.

Приложение Безопасности Windows работает как отдельное приложение или процесс от каждой из отдельных функций и будет отображать уведомления через Центр действий. The Windows Security app operates as a separate app or process from each of the individual features, and will display notifications through the Action Center.

Он выполняет роль сборщика или единого места, где можно просмотреть состояние и настроить каждую из функций. It acts as a collector or single place to see the status and perform some configuration for each of the features.

Отключение любых отдельных функций (с помощью групповой политики или других средств управления, таких как Microsoft Endpoint Configuration Manager) не позволит этой функции сообщать о своем состоянии в приложении Безопасности Windows. Disabling any of the individual features (through Group Policy or other management tools, such as Microsoft Endpoint Configuration Manager) will prevent that feature from reporting its status in the Windows Security app. Само приложение Безопасности Windows по-прежнему будет работать и показывать состояние для других функций безопасности. The Windows Security app itself will still run and show status for the other security features.

Индивидуальное отключение любой из служб не отключит другие службы или приложение Безопасности Windows. Individually disabling any of the services will not disable the other services or the Windows Security app.

Например, использование сторонного антивируса отключит антивирус Microsoft Defender. For example, using a third-party antivirus will disable Microsoft Defender Antivirus. Однако приложение Windows Security будет по-прежнему работать, отображать значок в панели задач и отображать сведения о других функций, таких как Защитник Windows SmartScreen и Защитник Windows брандмауэра. However, the Windows Security app will still run, show its icon in the taskbar, and display information about the other features, such as Windows Defender SmartScreen and Windows Defender Firewall.