Miks Windows 10 Enterprise?

Viimasel paaril aastal on saanud teha üsna põnevaid Windows 10 juurutuse projekte. Üks nendest teemadest, mis on teatud projektides esile tulnud või seminaride ajal küsitud on see, et miks ikkagi Windows 10 Enterprise versioon. Kui vaadates natuke ajas tagasi, siis Windows 7 puhul oli BitLocker ainult saadaval Enterprise versioonis. Kliendid kes asusid Windows 10 projekti kallale nägid, et BitLocker on nüüd saadaval ka Windows 10 PRO versioonil. Selle tõttu tekkis ka ühtpidi õigustatud küsimus, et miks ma peaksin maksma lisaks, et kasutada Windows 10 Enterprise.

Selles postituses toon välja mõned olulised punktid, miks Windows 10 Enterprise on parem kui Windows 10 PRO versioon. Enne kui edasi liikuda, mainiks ära, et alates 2016 aastast on meil saadaval kaks erinevat Windows 10 Enterprise versiooni. Sellest ajast on meil valikus Enterprise E3 ja E5 pakett. Windows 10 Enterprise E5 paketis on veel lisaks pilvepõhine Windows Defender Advanced Threat Protection aka Windows Defender ATP. Windows Defender ATP´st teenusest räägime mõnes teises postituses lähemalt.

PÕHJUS 1: MDOP tooted

Microsoft tutvustas ametlikult esimest versiooni Windows 10´st 2015 aasta suvel. Alates sellest hetkest on Windows 10 Enterprise paketi lahutamatu osa ka Microsoft Desktop Optimization Pack aka MDOP tooted. Eelnevate Windowsi versioonidega tuli alati MDOP eraldi lisaks osta.

MDOP toote perekonda kuuluvad järgmised tooted:

  • Microsoft Application Virtualization (APP-V) – rakenduste virtualiseerimine.
  • Microsoft User Environment Virtualization (UE-V) ­– kasutaja profiili ja seadistuste virtualiseerimine
  • Microsoft Enterprise Desktop Virtualization (MED-V) ­– virtuaalmasinate keskne haldus vanade rakenduste jaoks, mis töötavad kasutaja enda masinas.
  • Microsoft Advanced Group Policy Management (AGPM) – grupipoliitikate haldusvahend. Võimaldab keskselt määrata grupipoliitikate kinnitajaid, versioonihaldus ja palju muud.
  • Microsoft BitLocker Administration and Monitoring (MBAM) – keskne Bitlockeri võtmehoidla, iseteenindus, helpdeski portaal jpm. 
  • Microsoft Diagnostics and Recovery Toolset (DART) – diagnostika tööriista komplekt.

MDOP´i toodetest oleme me juurutusi teinud kõige rohkem just MBAM´ist. Bitlockerit saab juurutada muidugi ka ilma MBAM´ita aga MBAM pakub Bitlockeri juurutamisel rohkem funktsionaalsust. Nagu näiteks:

  • TPM + PIN juhtumi puhul saab kasutaja esimesel sisselogimisel teate, et on vaja seadistada arvutile PIN kood. Kui MBAM´i ei kasuta, siis taolist asja teha ei saa.
  • Saab keskelt suruda peale BitLocker poliitikaid, et masin oleks kindlasti kaitstud.
  • Eraldi andmebaas vastavusinfo hoidmiseks. Igast seadmest hoitakse MBAM´i andmebaasis vastavusinfot. Isegi juhul, kui masin kustutakse Active Directory´st ära on seadme vastavusinfo baasis endiselt olemas. Taoline andmebaas info hoidmiseks on küllaltki väärtuslik ja oluline just erinevate juhtumite korral nt seadme varguse või kaotamise puhul. Esimesed küsimused, mis tavaliselt peast käivad on, et kas seade oli ikka kaitstud? Sellele annab MBAM lihtsasti vastuse.
  • Eraldi helpdeski portaal. Helpdeski töötajad saavad eraldi veebipõhise portaali kaudu BitLocker võtmeid küsida. Kõik tegevused auditeeritakse.
  • Iseteenindus portaal lõppkasutajatele. Iseteenindus portaali kaudu saavad lõppkasutajad seadme lukku minemise juhtumi puhul ise võtme küsida ja masina lukust avada.

Juhul kui te MBAM´i ei kasutata, siis kõik BitLockeri võtmed on otse Active Directory arvutikonto küljes või hullema stsenaariumi puhul pole sealgi. Kui keegi peaks konto ära kustutama, siis jääte ka BitLocker võtmest ilma – õnneks teid hoiatatakse objekti kustutamisel sellest. Teiseks probleemiks Active Directory juhtumi puhul on keeruline auditeering.

Kolmandate toodete juurutamise protsent on olnud küll madalam aga teatud olukorra lahendamiseks võivad need olla üsnagi head.

PÕHJUS 2: Turvalisus

Teine põhjus ja ausalt öeldes minu jaoks ka ainuke põhjus miks peaks kindlasti kaaluma Enterprise versiooni on see, et selles versioonis on olemas Credential Guard ja Device Guard. Windows 10 puhul on räägitud ja räägitakse kindlasti ka edasi erinevatest turvaga seotud funktsionaalsusest. Selles postituses piirdun ma konkreetselt ainult Credential Guard´iga. Credential Guard on lahendus, mis kaitseb teid nii nimetatud PASS-THE-HASH või PASS-THE-TICKET rünnakute eest. Credential Guard´i teenuse sisselülitamisel isoleeritakse osa LSA teenusest ära. Selle tulemusel hoitakse sensitiivsemat infot eraldi kaitstud virtualiseeritud konteineris.

Credential Guard´i ülevaade

Kui küsida, et MIKS see on nii oluline? Siis vastus on vägagi lihtne. On olemas selline tööriist nimega mimikatz. Tegemist on tasuta ja küllatki lihtsa tööriistaga mille kasutamisega saab hakkama praktiliselt igaüks, kes seda soovib. Piisab ainult administraator õigustest masinas, et kätte saada teiste kasutajate parool (lihtsustatud kujul öeldes) kes on sinna samasse masinasse mingi hetk sisse loginud. Eriti ohtlik on see, siis kui kohalik tehnik kasutab igapäevaselt ühte ja sama kontot, et hallata kasutajate lõppseadmeid ja erinevaid teenuseid nagu Active Directory, Cofiguration Manager jne. Juhul kui pahalane peaks saama sinna masinasse ligi ja käivitades Mimikatzi, saab ta kätte konkreetse administraatori parooli ja sellega üle võtta kogu ettevõtte keskkond.

Selleks, et seda kõike teha ei pea kuskil pahalane häkkima päevi või kuid. Vaja on täpselt kahte käsku, et kätte saada kasutajad koos paroolidega ja sealt edasi 1-2 käsku, et ennast domeeni administraatoriks teha. Sealt edasi saame teha kõike mida meil on vaja. See võib tunduda natuke uskumatu aga nii ta tänases päevas on.

Taoline halb praktika, kus administraator kasutab igapäevaselt ühte ja sama kontot erinevate asjade tegemiseks on küllaltki levinud. Taolist praktikat tuleks kindlasti muuta ja vastavaid meetmeid selleks ka juurutada.

Credential Guard´i puhul on meil võimalik kaitsta ennast taoliste rünnakute eest, mida ma just eelnevalt mainisin. Meeles tuleb pidada, et Credential Guard pole ainuke meede taoliste rünnakute vastu!

Turva funktsionaalsuses erinevus Windows 10 versioonides

Kui Teil täna on juba olemas Windows 10 Enterprise litsents, siis minu soovitus on, et Te kindlasti Crendetial Guardi juurutaksite!

Kogemus näitab, et osa ettevõtteid kellel on olemas Windows 10 Enterprise litsentsid pole kahjuks ühtki Windows 10 Enterprise funktsionaalsust kasutusele võtnud. Enamasti põhjus on selle pärast, et Windows 10-t paigaldatakse endiselt samamoodi kui Windows 7-t.

Kuidas juurutada

Credential Guard´i juurutamisega käivad kaasas üsna ranged riistvara ja tarkvara nõuded. Enne kui seda juurutama asuda on vaja auditeerida olemasolevat seadmeparki ja vastavalt sellele plaan koostada. Võib selguda, et teatud vanemal riistvaral ei ole võimalik Gredential Guardi lubada ja osadel võib vaja minna uuendada nt masinate BIOS´i versiooni. Credential Guardi täpsemate nõuetega saab tutvuda siin.

Olulisemad neist kindlasti on:

  • Secure Boot – Windows 10 juurutamisel puhul kindlasti veenduda, et Secure Boot oleks kindlasti sisselülitatud.
  • Support for Virtualization-based security – Credential Guardi juurutamisel on vajalik Hyper-V roll. Uue seadme paigalduse puhul saame teha vajalikud BIOS´i sätted ja Hyper-V rolli sisselülitamise.
  • TPM 2.0 – TPM 2.0 siinkohal on küll eelistatud, kuid mitte nõutud. Paljud tootjad nagu nt HP ja Dell lubavad teatud mudelitel TPM´i versiooni uuendada. Lenovo masinate puhul tuleb kontrollida BIOS´i sätteid, et lubada TPM 2.0 versioon.
  • UEFI Lock – Credential Guardi testimise ajal soovitatakse teha seda ilma UEFI lukuta. Kui kõik on OK, siis pärast saab selle ringi lülitada.

Peale riistvara nõuete on ka hulga erinevaid tarkvara nõudeid. Credential Guardi juurutamisel võib selguda, et mingi konkreetne tarkvara ei pruugi enam töötada (Näiteks Oracle VirtualBox). Selleks tuleb Credential Guardi hoolikalt enne testida!

Kui riist-ja tarkvara nõuded on kõik täidetud, siis Credential Guardi enda seadistamine on küllaltki lihtne. Selleks tuleb seadistada ära järgmised asjad igas seadmes:

  1. Paigaldada Hyper-V roll
  2. Veenduda, et BIOS´i konfiguratsioon oleks korrektne
    1. Intel (R) Virtualization Technology
    2. Intel (R) VT-D Feature
  3. Seadistada grupipoliitika objekt
    1. Computer Configuration / System / Device Guard / Turn On Virtualization Based Security
  4. Arvutile on vaja teha vähemalt üks restart. See kõik sõltub muidugi sellest millises konfiguratsioonis masin on.

 

Credential Guard grupipoliitika seadistus

Suurema keskkonna puhul on Teil kindlasti olemas Microsofti Configuration Manager ja selle kaudu ma soovitaks teha järgmisi asju:

  1. Auditeerida olemasolev seadmepark
    1. Millised BIOS´i versioonid on erinevatel mudelitel
  2. Auditeerida BIOS´i konfiguratsioon
    1. Kus on olemas BIOS parool
    2. Kus on puudu vajalikud BIOS sätted
  3. Vajadusel kasutada Microsofti Credential Guardi vastavus kontrolli tööriista, et teada saada millised masinad on võimelised jooksutama Credential Guardi teenust.
    1. Selleks sobib ideaalselt Configuration Item
  4. Uute masinate või ümber installatsiooni juhtumi puhul seadistada töökoha paigaldusse järgmised sammud
    1. Ettevõtte standardse BIOS konfiguratsiooni seadistamine
    2. BIOS versiooni uuendamine
    3. Hyper-V rolli paigaldus
    4. Credential Guardi registrivõtmete seadistamine
      1. HKEY_LOCAL_MACHINE\POLICIES\MICROSOFT\WINDOWS\DEVICE GUARD

Sellele lisaks võib veel seadistada grupipoliitika objekti keskselt ka lisaks. Taolise konfiguratsiooni puhul peaksid kõik paigaldatud masinad olema Credential Guardi teenusega.

Kuidas monitoorida

Kui kõik vajalikud seadistused on tehtud, siis järgmiseks sammuks on vaja ka monitoorida, et kas Credential Guard teenus tegelikult ka töötab. Selleks me saame kasutada kahte järgmist tööriista.

  1. Task Manager. Details paneeli all peaks olema teenus nimega LSALSO.EXE
  2. MSINFO32 peaks näitama järgmist infot

See on muidugi ainult ühe masina raames aga suuremas ettevõttes ma soovitaksin luua eraldi Configuration Manageris Configuration Item´i, mis kontrollib kas seadmes on kõik vajalikud seadistused tehtud. Kuidas see monitooring näeb välja Configuration Manageri kaudu vaatame mõnes teises postituses lähemalt.

Kokkuvõtteks

Selles postituses vaatasime kahte konkreetset põhjust miks võiks kaaluda just Windows 10 Enterprise Windows 10 PRO asemel. MDOP tooted annavad päris palju lisa funktsionaalsust ja igapäeva haldust kindlasti ka lihtsamaks teha või võimaldada uusi juhtumeid mida ennem ei olnud võimalik saavutada.

Teiseks ja ausalt öeldes ainukeseks põhjuseks on minu meelest Credential Guard. Credential Guard pakub tänases päevas väga olulist kaitset taoliste rünnakute eest nagu PASS-THE-HASH ja PASH-THE-TICKET. Järgmistes postituses vaatame lähemalt, mismoodi käib nende paroolide kätte saamine masinas, mis pole Credential Guard poliitikaga kaitstud ja mismoodi monitoorida seda teenust läbi Configuration Manageri.

Neid põhjuseid MIKS Windows 10 Enterprise versioon võib kindlasti veelgi olla aga minu silmis on neid täna vähemalt kaks.

 

Kui on vaja abi juurutamisel, siis anna aga julgelt teada.

 

Tunnuspilt on võetud siit