Windows үшін CIS сәйкестігін тексеру: мәжбүрлеуге дейін өлшеу
Windows үшін CIS сәйкестігін қалай тексеріп, есептеп, мәжбүрлеуге дейін «тек өлшеу» режимі арқылы қауіпсіз енгізуге өту туралы нұсқаулық: құралдар, есеп форматы және пилот.

Міндет: CIS-ті тексеріп, пайдаланушылар жұмысына кедергі жасамау
CIS Benchmarks — Windows-ты баптауға қатысты анық ұсыныстар жиынтығы: қандай саясаттар, қызметтер және қауіпсіздік параметрлері қосылуы керек, осылайша шабуыл және қателер қаупі азаяды. Бұл «сиқырлы түйме» емес, салыстыруға және өлшеуге болатын нақты баптаулар тізімі.
Мәселе көбінесе CIS-ті «барлығын бірден және қатты» енгізгіңіз келгенде басталады. Саясаттарды күрт қатайту танымал процестерді бұзады: бағдарламалар іске қосылмайды, әкімшілер RDP арқылы кіре алмай қалып, қызметтер қайта жүктеуден кейін старт бермей қалады, және қолдау қызметіне толассыз өтініштер түседі. Тіпті мағынасы дұрыс баптама сізге сай келмеуі мүмкін — егер ескірген қосымшалар, арнайы есептер немесе стандарттан тыс кіру сценарийлері болса.
Көбіне сәтсіздіктер бірнеше аймақта шығады:
- құпиясөздер мен блоктаулар (күрделілік, жарамдылық мерзімі, кіру талпыныстары, есептік жазбаның блокталуы);
- UAC және құқықтар (рөлдерді көтеру, драйверлер мен ПО орнату, локал әкімші шектеулері);
- брандмауэр (қажет порттардың жабылуы, ішкі сервистердің бұғатталуы, қашықтан басқарудың бұзылуы);
- шифрлау (BitLocker, TPM талаптары, қалпына келтіру кілттерін сақтау, техникалық қызметпен үйлесімділік);
- RDP және қашықтан қолжетімділік (NLA, тыйымдар, протоколдар мен шифрлар бойынша шектеулер).
Сондықтан ақылды мақсат басқаша: алдымен фактілерді көріңіз, саясаттарды өзгертпеңіз. «Тек өлшеу» стратегиясы — ағымдағы күйді жинау, оны CIS-пен салыстыру, ауытқуларды және олардың пайдаланушыларға әсерін анықтау. Тек сол бойынша, келісілген ерекшеліктер мен пилоттан кейін, мәжбүрлеуге көшу. Мұндай тәртіп әдетте арзанға түседі: тоқтап қалулар азаяды, жедел кері қайтарулар азаяды және ИТ пен қауіпсіздік арасындағы қақтығыстар төмендейді.
Басталу алдында: тексеру ауқымы мен негізгі келісім
CIS сәйкестігін тексеру талқылауға және жұмыс орындарының кенет бұзылуына айналмасын десеңіз, алдымен шекаралар мен ережелерді келісіп алыңыз. Бұл бір-екі сағат алады, бірақ апталар бойы талқылаудан үнемдейді.
Инвентардан бастаңыз: қай Windows нұсқаларын нақты тексеретініңіз (Windows 10, Windows 11, Windows Server) және сервер рөлдері қандай (domain controller, файл сервер, RDS, SQL және т.б.). CIS ұсыныстары рөлге тәуелді, сондықтан "бір чеклист бәріне" шешімі көбіне қате болады.
Келесі қадам — CIS профилін таңдау. Level 1 әдетте негізгі қауіпсіз минимум ретінде жарайды, пайдаланушыларға әсері қалыпты. Level 2 қатаң талаптар қоюы мүмкін және оны пилоттан кейін енгізген дұрыс. Таңдаудың қысқа негіздемесін жазып қойыңыз, сонда кейін процесс иесі өзгерсе де бағыт өзгермесін.
Арнайы тіркеңіз, нені өлшейтініңіз. Нақты жағдайда кей баптаулар GPO-да, кейбірі локал саясаттарда, кейбірі реестрде, қызметтер мен қауіпсіздік параметрлерінде болады. Егер бұл алдын ала анықталмаса, есеп «өте күрделі» шығып, қайдан өзгерту керектігі белгісіз болады.
Бастапқы келісімді қысқа чеклист ретінде жасаған ыңғайлы:
- Қай ОС пен сервер рөлдері тексеріледі, қайсысы шығарылған (себебімен).
- Қай CIS профиль таңдалды (Level 1 немесе Level 2) және неге.
- Қай баптама көздерін тексереміз: GPO, локал саясаттар, реестр, қызметтер.
- Қай критикалық қосымшалар, бөлімдер мен топтарды бұзуға болмайтыны (касса, call-центр, бухгалтерия, дәрігерлер, оқу сыныптары).
- Қалай жиі өлшеу жүргізілетіндігі және қай «терезеде» (негізгі бір рет, содан кейін апта сайын немесе ай сайын динамика үшін).
Соңғы айтатын нәрсе: осы кезеңде сіз тек өлшеп, ауытқуларды құжаттайсыз. Ешқандай өзгерістер жасалмайды, тіпті «кішкентай түзету» болса да, бизнес пен ИТ иелері тәуекел мен енгізу жоспарын мақұлдамағанша.
«Тек өлшейміз» стратегиясы: қауіпсіз аудит ұйымдастыру
Идея қарапайым: алдымен шындықты тіркеңіз, сосын не өзгерту керектігін шешіңіз. «Тек өлшеу» кезеңінде барлық әрекеттер оқуға бағытталуы тиіс: параметрлерді жинау, баптамаларды экспорттау, эталонмен салыстыру. Жаңа GPO, MDM-профильдер, реестрді өзгертетін скрипттер және «жүре-жүре түзетулер» болмайды.
Өлшеуді қабаттарға бөліп жасаған ыңғайлы, солайша баптамалардың қайдан келетінін шатастырмайсыз:
- локал машина (локал саясаттар, локал құқықтар, қызметтер);
- домен (GPO және қолданылу тәртібі);
- MDM/Intune (профильдер, конфигурациялар, compliance саясаттары);
- скрипттер мен агенттер (логон-скрипттер, EDR, hardening-агенттер);
- қолмен енгізілген ерекшеліктер (администраторлар орталықтан тыс жасаған түзетулер).
Әр талапқа статус қойыңыз: сәйкес, сәйкес емес, қолданылмайды, белгісіз. «Белгісіз» статусты жасыруға болмайды: көбінесе бұл деректерге қолжетімсіздік, телеметрия жоқтығы немесе қайшылықты көздердің бар екенін көрсетеді.
Содан кейін baseline (негізгі сызық) жасаңыз: дата, сіз қолданған CIS Benchmarks нұсқасы, тексерілген хосттар тізімі, дереккөз (GPO, локал, MDM), тексеруді кім іске қосқаны және қандай құқықпен. Бұл қайталанатын тексеру және «бұлай әрқашан болған» даулар үшін база болады.
Болжау шегі туралы да келісіңіз: өлшеу кезеңінде қандай табылған мәселелер тәулелік қызыл таңба болып есептеледі және дереу реакция талап етеді. Мысалы: кіру аудиті өшірілген, жалпы ПК-де экранды блоктау орнатылмаған, әкімші есептерінің әлсіз параметрлері. Солайша аудит қауіпсіз болып, формальдыққа айналмайды.
Мысал: филиалда бухгалтерия жалпы терминалдарда жұмыс істесе, алдымен ағымдағы экран блоктау тайм-ауттары мен локал әкімшілер құқықтарын тіркеп, тәуекелдерді белгілеп, содан кейін келісілген ерекшеліктермен пилот жоспарлайсыз.
Құралдар: CIS-ті Windows-та практикалық түрде қалай өлшеу
CIS сәйкестігін бағалау үшін әртүрлі көздер қажет болады. Бір құрал барлығын көрсетпейді: кей баптамалар локал саясатта, кейбірі доменнен келеді, ал кейбірі Windows нұсқасы мен сервер рөліне байланысты.
Windows-та не қарап шығу керек
Хостта нақты қолданылып жатқан баптамаларды өлшеу маңызды, «қолданылуы тиіс» емес. Локал саясаттар, қауіпсіздік параметрлері, қызметтердің күйі, User Rights Assignment, аудит және журнал параметрлерін бастаңыз. ОС нұсқасын, орнатылған рөлдер мен UAC, RDP, SMB параметрлерін тіркеңіз: көптеген CIS ұсыныстары контекстке тәуелді.
Домен қабаты: GPO, мұрагерлік және қақтығыстар
Көптеген корпоративтік айырмашылықтар GPO-дан туындайды. Сондықтан ПК-да нақты қандай мән қолданыста екенін ғана емес, оның қай саясаттан келгенін, мұрагерліктің бар-жоғын, блоктауларды, WMI-фильтрлер мен security filtering-ті тексеріңіз. Әйтпесе есеп «дұрыс» болып көрініп, бастапқы себепті жоюға көмектеспейді.
Практикалық құралдар жиынтығы әдетте мынандай:
- Microsoft Security Compliance Toolkit — шаблондармен, негізгі мәндермен және эталонмен салыстыруда ыңғайлы.
- RSOP және gpresult — не нақты қолданылғанын және қайдан келгенін көру үшін.
- Локал саясаттар мен қауіпсіздік параметрлерін тексеру (audit policy және event logs қоса) — нақты машинада айырмашылықтарды табу үшін.
- PowerShell-скрипттер — оншақты хостты тез қамтиды, бірақ верификация талап етеді: ОС нұсқалары, локализация, GPO қайта жазулары және "Not Configured" vs "Disabled" айырмашылықтары жалған табулар береді.
- Коммерциялық сканерлер мен SIEM — фактілер жинауда жақсы (оқиғалар, конфигурациялар, осалдықтар), бірақ GPO мен CIS нюанстарын әрқашан дұрыс түсінбеуі мүмкін, сондықтан нәтижелерді нүктелік тексерістермен растау керек.
Қысқа мысал: сканер "журналданбаған" көрсетеді, ал шын мәнінде GPO қажетті параметрлерді береді, бірақ терминалдық серверлер тобына ескі қосымша үшін ерекшелік бар. Қайнар көзге байласын жоқ болса, артық инциденттер пайда болады және пайдаланушылар ренжиді.
Қадамдар бойынша: тексеруді қалай өткізу және ештеңені өзгертпей тұру
"Тек өлшеу" режимінің ережесі қарапайым: фактілерді жинаңыз, бірақ ештеңе өзгертпеңіз. Тіпті «қауіпсіз» көрінетін түзетулер RDP-ге кіруді, желілік дискілерді немесе ескірген қосымшаларды бұзуы мүмкін.
Алдымен нақты не тексерілетінін тіркеңіз. Құрылғылар тізімін алдын ала жасап, оларды тобына бөліңіз: пилот (бірнеше типтік жұмыс орындары), негізгі офис, қашықтағы алаңдар, бөлек сервер тобы — солай нәтиже басқа топтармен салыстырылады.
Содан кейін қадам бойынша жүріңіз:
-
Орталдың «срезін» жасаңыз: Windows нұсқалары, сервер рөлдері, маңызды қосымшалар бар-жоғы (бухгалтерия, медсистемалар, банк-клиенттер), әр топтың иесі.
-
Оқу режимінде тексеруді іске қосыңыз: баптамалар мен конфигурацияларды жинап алыңыз, ештеңе өзгертпей.
-
Нәтижелерді бір форматқа келтіріңіз, топтар бойынша сүзгілеуге және салыстыруға болатындай (кесте, CSV немесе JSON). Әр жолда болуы тиіс: компьютер, параметр, ағымдағы мән, күтілген мән, қайнар көз.
-
Баптамалардың қайдан келгенін тексеріңіз: локалдан ба, GPO арқылы ма, әлде қайта жазылған ба. Көбінесе саясат дұрыс бір GPO-да тұрса да, төменгі деңгейде ерекшелік бар немесе параметр басқа OU-ға арналған.
-
"Пайдаланушыларға қауіпті" пункттерді бөлек белгілеңіз. Бұл көбіне үйлесімділікке әсер ететін баптаулар: пароль және блоктау ережелері, SMB және желілік қолжетімділік, Office макростары мен аймақтары, PowerShell шектеулері, жаңарту саясаты, брандмауэр параметрлері.
Алғашқы жүгіруден кейін қайталау жоспарлаңыз. Екі рет жақсы: бір рет кәдімгі жұмыс күні, екіншісі жоспарлы жаңартулар немесе қайта жүктеулерден кейін. Егер мәндер «секірсе», онда қайнар көз тұрақсыз (логон-скрипт, MDM, әртүрлі GPO) деген сөз. Сол уақытта пилотқа не алдын ала келісімге не жататынын анықтауға ыңғайлы.
Есеп форматы: ИТ, қауіпсіздік және бизнес үшін оқылатындай
Жақсы CIS есебі үш сұраққа жауап беруі тиіс: талапқа қаншалықты жақынбыз, нақты қай жерлерде ауытқулар бар және пайдалануды тоқтатпай одан әрі не істеу керек.
Оқылатын құрылым
Басшылар мен процесс иелері үшін бір беттік қысқаша бөлімнен бастаңыз. Ол басымдықтарды тез келісуге көмектеседі және детальдарда адаспайды.
- Жалпы көрініс: таңдалған профиль бойынша сәйкестік үлесі (рөлдер немесе құрылғылар топтары бойынша).
- Топ-5 критикалық ауытқу және қысқаша тәуекел сипаттамасы.
- Қандай жүйелер зардап шегеді: қанша құрылғы, қандай бөлімдер немесе жұмыс орындары.
- Тренд: бұрынғы тексерумен салыстыру (егер қайталанса).
- Қажет шешім: қазір не енгіземіз, не тестке жіберіледі.
Резюмеден кейін «ауытқулар картасын» беріңіз: жолдарында баптамалар, бағандарында құрылғылар топтары (офис ПК, ноутбуктар, терминалдар, серверлер) матрицасы. Солай бірегей ерекшелік пе, әлде жүйелі мәселе ме тез көрінеді.
Баптама карточкасы: ең аз, бірақ жеткілікті
Детальдық бөлімді әр баптамаға қайталанатын карточка түрінде ұстаған ыңғайлы. Осылайша ИТ өлшеуді қайталап, қауіпсіздік приоритеттерді қорғай алады.
- Қазір қалай: ағымдағы мән және қай құрылғыларда бар.
- Қалай болуы тиіс: CIS бойынша мақсатты мән (нақты формулировка).
- Қайдан алынған: локал, GPO, MDM немесе аралас.
- Тәуекел және әсері: қауіпсіздік, қолданушы ыңғайлылығы, қосымшалардың үйлесімділігі.
- Ұсыныс: қалдыру, түзету, кейінге қалдыру, тест қажет.
Дауларды болдырмау үшін қысқа «неге солай» түсініктемесін қосыңыз. Мысалы, SMB signing-ді қосу қорғаныс үшін маңызды, бірақ ескі файл сервис немесе белгілі сканер модельдері сынып қалдыруы мүмкін. Мұндайда есепте «пилоттан кейін түзету» деп көрсетіп, нақты иені және мерзімді тіркеңіз.
Қорытындыда ерекше кесте — ерекшеліктер тізімі. Оларды мәтіннің ішінде жасырып қоймаңыз. Кім мақұлдағаны, мерзімі және қандай компенсациялар бар екенін көрсетіңіз (мысалы сегментация немесе күшейтілген мониторинг).
Нәтижелерді қалай интерпретациялау: дүрбелеңсіз приоритизация
Нәтижелер келгенде, бірден «барлық қызылдарды жапқымыз» келмесін. CIS тек тәуекелдерді ғана емес, сіздің жұмыс үлгісінен ауытқуларды да көрсетеді. Осы қадамның мақсаты — не маңызды, не тез түзетілетін және не бизнестің деңгейінде шешілуі керек екенін анықтау.
Ауытқуларды тақырып бойынша топтаған ыңғайлы. Сол арқылы қайталанатын мәселелер көрінеді және бір қадам жүздеген пунктті шешеді: есептік жазбалар мен парольдер, құқықтар мен UAC, желі мен қашықтан қолжетімділік, журналдар мен аудит, криптография мен TLS, жаңартулар мен қорғаныс.
Жылдам жеңістер және «сақтықпен» түзету керек тармақтар
Жылдам жеңістер әдетте айтарлықтай әсер береді және пайдаланушыларға көрінбейді. Мысалы: қажетті аудит категорияларын қосу, журнал өлшемін ұлғайту, локал әкімшілер тобына реттеу енгізу, ескірген протоколдарды серверлерде шектеу (тек пайдаланылмайтынын алдын ала тексеріп).
Сақтықты қажет ететін тармақтар бөлек белгіленсін: мысалы, қатаң экран блоктау тайм-ауттары, бухгалтерия мен қол қоюға әсер ететін шектеулер, тұтынушылармен үйлесімді ескі шифрларды серверде өшіру. Бұл тармақтар тесттелмей, келісілмей енгізілсе, процесті тоқтатуы мүмкін.
Қай шешім кімге тиесілі және бэклог қалай көрінуі керек
Әр ауытқу үшін шешімді қабылдайтын иесі болуы керек: ИБ тәуекел деңгейін анықтайды, ИТ орындауды және қолдауды жасайды, сервис иесі үйлесімділікті растайды, бөлім басшысы жұмыс ережелерін қабылдайды.
Нәтижелер дауға айналмас үшін өзгерістер бэклогын қарапайым өрістермен құрыңыз:
- не өзгереді (баптама және қай жерде қолданылады);
- күтілетін әсер және пайдаланушыларға тәуекелі;
- тәуелділік (мысалы, қосымшаны жаңарту немесе протоколды көшіру);
- приоритет (P1-P3) және мерзімі;
- иесі және енгізу кейінгі тексеру критерийі.
Мысал: есеп журналдарын әлсіз баптау табылды және бір ішкі веб-сервисе ескі TLS қолданыста. Бірін P1-ге қойып, дереу журналдарды күшейтуге болады. Екіншісін P2 етіп, бірінші клиенттерді тексеріп, тест жоспарлау қажет — әйтпесе кейбір пайдаланушылар құлыпталуы мүмкін.
Қателіктер: пайдаланушылардың жұмысын не жиі бұзады
Ең жиі себеп — «қатаң CIS» емес, жылдамдық пен шекаралардың болмауы. Команда өлшеуді бастап, бірден мәжбүрлеуге көшкенде блоктау, қосымша қателері және жаңартулардың сәтсіздігі көрінеді.
Қате 1: Level 2-ні пилотсыз және ерекшеліктерсіз қосу
Level 2 көбіне қатты шектеулерді талап етеді. Пилотсыз қай топтар зардап шегетінін көрмейсіз: бухгалтерия, call-центр, даму тобы, терминал пайдаланушылары. Ерекшеліктер тізімі алдын ала болу керек, әйтпесе «бәріне бірдей» — тоқтап қалуға алып келеді.
Қате 2: жұмыс станциялары мен серверлер профилдерін араластыру
Серверге арналған саясат пен жұмыс станциясына арналған саясат ұқсас көрінуі мүмкін, бірақ қолданыс сценарийлері әртүрлі. ДЦ-дегі баптама қашықтан жұмысқа, басып шығаруға немесе ескірген корпоративті клиенттерді іске қосуды бұзуы мүмкін.
Міндетті түрде ішкі аймақтарды тексеріңіз: кіру және есептік жазбаларды блоктау параметрлері, макростар мен скрипттерге тыйымдар (PowerShell қоса), SMB/NTLM мен қол қою талаптары, брандмауэр және корпоративтік қосымшаларға ережелер, RDP және желілік аутентификация деңгейлері.
Қате 3: «қолданылмайды» мен «сәйкес емес» терминдерін шатастыру
Егер баптама рөлге немесе Windows нұсқасына қолданылмаса, оны «сәйкес емес» деп санауға болмайды. Әйтпесе есеп үрдіссіз өсіп, шынайы тәуекелдер шу ішінде жоғалады. Әсіресе әртүрлі сборкалар мен рөлдер бар ортада көрінеді.
Қате 4: GPO қақтығыстарын елемеу
Қақтығыстар мен қолданылу тәртібі болжамсыз әсер береді: сіз «бірдеңені қосып» қойдыңыз, ал басқа саясат әрекет етеді. Қорытынды жасағанда қандай саясат жеңгенін және қайдан келгенін тіркеңіз.
Қате 5: аудит пен журналдауды кеңейтіп алып, көлемді есептемей қосу
Толық аудит дискіні тез толтырып немесе лог жинауды шамадан тыс жүктеуі мүмкін. Мысал: бірнеше жүз ПК және бірнеше сервері бар ұйым аудитті кеңейтті де, бір аптада журналдар толып, жинағыш пен өңдеуде қиындықтар туындады.
Аудитті кеңейту алдында кемінде мына қадамдарды жасаңыз:
- пилоттық топта оқиғалар көлемін бағалау;
- журнал шектеулерін және қайта жазу саясатын қою;
- диск орнын және лог жеткізу жылдамдығын тексеру.
Мәжбүрлеуге көшер алдында жедел тексерулер
Мәжбүрлеуді қосар алдында қысқа «ұшу алдындағы» тексерулер жасаңыз. Олар сағаттар алады, ал VPN тоқтауы немесе басып шығарудың жоғалуы сияқты күндерді үнемдейді.
Алдымен әр топқа қай CIS профил қолданылатынын бекітіңіз. Серверлер, жұмыс станциялары, терминал хосттары және киоскалар үшін талаптар әдетте әртүрлі. Егер профиль бекітілмесе, әрі қарай фактілер емес, трактовкалар үшін дау жалғасады.
Содан кейін baseline бар және әр баптаманың қайдан алынатындығын түсінетініңізге көз жеткізіңіз: локал саясат, GPO, MDM немесе скрипт. Осысыз бір жерде «түзетіп» қойсаңыз, ол басқа жерден қайта келуі мүмкін.
Алғашқы өзгерістерге дейін бес нәрсені тексеріңіз:
- Әр топ үшін CIS профилі бекітілді (және бенчмарк нұсқасы жазылды).
- Типтік ПК мен серверлерде baseline жиналды, және әр баптаманың көзі белгіленді (локал, GPO, MDM).
- Есепте топ-10 критикалық ауытқу бар және әрқайсысы үшін шешім иесі тағайындалды (ИБ, AD-топ, қосымша иесі).
- Пилоттық топ бар (10–30 пайдаланушы немесе 1–2 бөлім) және әр өзгеріс үшін кері қайтару жоспары анық.
- Әсер метрикалары қойылды: қолдау сұраулардың көбеюі, логин сәтсіздіктері, қосымша қателері, басып шығару мәселелері, өнімділіктің төмендеуі.
Есепті алдын ала «жерге түсіріңіз»: әрбір критикалық ауытқу үшін тек статус (pass/fail) емес, шешім — тәуекелді қабылдау, өтем жасау немесе түзету, плюс мерзім және жауапты көрсетіңіз.
Мысал: бухгалтерия пилотында экранды қатаң блоктау мен макростарға тыйымды күшейтуді жоспарлайсыз. Мәжбүрлеу алдында апта бойы тикеттер статистикасын жинаңыз: қанша логин сұрауы, 1С/Office қателері, қанша рет пайдаланушылар саяси себеппен құлыпталған. Егер өзгеріс jälkeen метрикалар күрт өссе, нақты баптаманы алдын ала дайындалған кері қайтару жоспары бойынша қайтарыңыз, барлық саясатты емес.
Сценарий мысалы: өлшеуден пилотқа дейінгі үрдіс
Ұйымды 300 жұмыс станциясы және 40 сервері бар деп ойлаңыз. Қызметкерлердің бір бөлігі қашықтан жұмыс істейді, бірнеше критикалық жүйе бар (бухгалтерия, медицина, терминалды фермалар). Мақсат — CIS тексерісінен өту, кенеттен өзгерістерсіз.
4 апталық жоспар
Неделя 1: тек өлшейміз және baseline жинаймыз. Сіз Windows нұсқасына сай CIS Benchmarks нұсқасын таңдап, объектілер тізімін бекітесіз: жұмыс станциялары, серверлер, домен контроллері, RDP-хосттар. Тексеру аудит режимінде жүреді: ешқандай мәжбүрлеуші GPO жоқ, тек фактілер жинағы. Нәтижеде әдетте 15–25 шынымен тәуекел тудыруы мүмкін ауытқу шығады. Біздің мысалда — 20 негізгі табылу.
Нәтижені пилот үшін жарамды ету үшін бірден тіркеңіз:
- дата және қамту (қанша ПК/сервер тексерілді);
- қайталанушылық бойынша топ ауытқулар;
- баптама қайдан алынғаны (локал немесе GPO);
- қай бөлімдер/жүйелер зардап шегеді;
- пайдаланушыларға ықтимал әсердің алдын ала бағасы.
Неделя 2: пилот. Түрлі рөлдерден 20 ПК және 2 аса маңызды емес сервер таңдайсыз. Қауіпсіздік пен ИТ алдын ала ерекшеліктерді келіседі, мысалы бухгалтерия мен медсистемаларға қатысты, себебі ескі ПО қатты аутентификацияны немесе макростардың өшірілуін көтере алмауы мүмкін.
Неделя 3–4: кеңейту. Қолдануды кезең-кезеңімен арттырасыз, әр толқыннан кейін қысқа бақылау кезеңі. Сәйкестік пайызын ғана емес, тикеттер санының өсуін, логин сәтсіздіктерін, басып шығару және қосымша ақауларын қарайсыз. Жақсы белгі — инциденттер болмаса да тәуекелдердің азаюы.
Соңынан пайдаланушылар мен қосымшалардың мінезін айтарлықтай өзгертетін баптамаларды қосыңыз:
- макростар мен скрипттерге қатысты ережелер;
- SMB/NTLM шектеулері және Kerberos саясаттарын қатаңдату;
- AppLocker/WDAC және іске қосуға бақылау;
- UAC өзгерістері, пароль сақтауды және авттолтыруды шектеу;
- RDP параметрлері (NLA, шифрлау, ескі клиенттерге тыйым).
Осылай басқарылатын түрде: алдымен өлшейсіз және келісесіз, сосын нүктелік енгізіп, масштабтайсыз.
Келесі қадамдар: аудиттен мәжбүрлеуге қалай жұмсақ өту
Аудит аяқталғаннан кейін бәрін бірден қоспаңыз. Мәжбүрлеуге өту басқарылатын өзгеріс ретінде жасалуы тиіс: айқын кезеңдер, жауаптылар және жылдам кері қайтару мүмкіндігі.
Өту жол картасы
ИТ, қауіпсіздік және процесс иелеріне түсінікті жоспар жасаңыз. Көбінесе төрт кезең жеткілікті:
- Өлшеу: ауытқуларды тіркеу және пайдаланушылардың нақты инциденттерін жинау.
- Пилот: кішкене топта саясаттарды қосу (мысалы, 20–50 адам).
- Кезең-кезең енгізу: бөлімдер бойынша, алдымен өзгерістерге төзімділері.
- Бақылау: бұрын және кейінгі есептерді салыстыру, Windows жаңартулары мен GPO түзетулерінен кейінгі қайта оралуын бақылау.
Әр кезеңге дайындық критерийлерін қосыңыз. Мысалы, пилоттан енгізуге өту үшін: логин, басып шығару және желілік ресурстарға тәуелділік бойынша критикалық ақаулар болмауы; қолдау нұсқаулықтары бар; ерекшеліктер тізімі келісілген.
Операциялық бөлік — онысыз бәрі бұзылады
Енгізу барысында қолмен жұмыстың көп болмауы үшін саясат және ерекшеліктер шаблондарын алдын ала дайындаңыз. Әйтпесе кез келген ерекше рөлге (кассир, дәрігер, оператор) жеке түзету қажет болады.
Иелерді тағайындап, өзгеріс күні пайдаланушыларға қалай көмек көрсетілетінін келісіңіз:
- кім өтініш қабылдайды және кім уақытша саясатты уақытша алып тастай алады;
- ерекшелік сұрауы қалай көрінеді (себеп, мерзім, жүйе иесі, тәуекел);
- ерекшеліктер тізімі қайда сақталады және қаншалықты жиі қайта қаралады;
- кім ай сайынғы есеп шығарады: не жақсарды, не нашарлады, не кері қайтарылды.
Практикалық есеп өзгерістер динамикасын көрсеткен дұрыс, тек сәйкестік пайызын ғана емес. Мысалы: ай ішінде 12 орташа ауытқу жабылды, бірақ жаңартудан кейін кей ноутбуктерде брандмауэр параметрі 3 рет қайтадан өзгеріп кетті.
Егер сырттан көмек керек болса, жолда команда жүктелмес үшін жүйелік интегратор GSE.kz (gse.kz) аудит, пилот және әрі қарайғы қолдауда көмектесе алады, 24/7 қолдауды және ұйым талаптарына сай инфрақұрылым таңдауын қоса.
FAQ
CIS Benchmarks-ты қалай тексеріп, пайдаланушылардың жұмысын бұзбауға болады?
Бастапқыда «тек өлшейміз» режимін қолданыңыз: хосттардағы нақты параметрлерді жинап, CIS-пен салыстырыңыз — GPO, MDM-профильдер мен реестрді өзгертпей. Осы уақытта бенчмарк нұсқасын, тексерілген жабдықты және сервер рөлдерін тіркеңіз — нәтижелерді қайталауға және келісімге қоюға болатындай етіп.
Қай профильді таңдау керек: Level 1 немесе Level 2?
Level 1 — әдетте пайдаланушыларға әсері орташа, қауіпсіздік үшін базалық минимум ретінде таңдалады. Level 2 қатты шектеулер талап етеді, сондықтан оны пилоттан кейін, қай жерлер бұзылатынын білген соң енгізген жөн.
Неге тексеруді Windows нұсқалары мен сервер рөлдері бойынша бөлу керек?
Өйткені CIS талаптары Windows нұсқасына және сервер рөліне тәуелді: бірдей баптама бір сценарий үшін қалыпты, ал басқа жерде қауіпті болуы мүмкін. Контроллерлер, терминалдар және жұмыс станцияларын бір чеклистке қоссаңыз, жалған «несоответствие»-тер көбейеді.
Baseline деген не және неге онсыз есептеу пайдасыз?
Baseline — бұл уақыт таңбасы бар ағымдағы жағдайдың «суреті»: қандай машиналар тексерілген, қай CIS қолданылған, мәлімет қайдан алынған және кім тексеруді жүргізген. Ол динамиканы көру, жаңартудан кейінгі қайта оралуы анықтау және «бізде әрқашан солай болған» дау-дамайды тоқтату үшін қажет.
Windows-та CIS-ті нақты қандай құралдармен өлшеуге болады?
Практикалық минимум — хосттағы нақты тексеріс плюс домен деңгейін түсіну. Әдетте локалдық қолданылған баптамаларды, ал қай көзден келгенін RSOP немесе gpresult арқылы тексереді; Microsoft Security Compliance Toolkit шаблондары мақсатты мәндерді салыстыруға көмектеседі.
Егер GPO дұрыс сияқты көрінсе, неге баптама CIS-ке сай келмейді?
Тексеру кезінде қай саясат жеңгенін қараңыз: GPO басымдылығы, мұрагерлік, блоктау, WMI-фильтрлар және security filtering. Көп жағдайда «не соответствует» настройканың жоқтығынан емес, басқа көзі болғандықтан шығады.
Есепте қандай статустар қолдану керек және «белгісіз» статусымен не істеу керек?
Төрт статус қолданыңыз: сәйкес, сәйкес емес, қолданылмайды және белгісіз. «Белгісіз» статусын жасырып қалмаңыз — ол жиі жеткіліксіз қолжетімділікті, телеметрияның жоқтығын немесе қайнар көздер арасындағы қайшылықты білдіреді және деректер жинаумен жабылуы керек.
Қай CIS баптамалары ең жиі жүйені бұзады және сақтықпен қарауды талап етеді?
Ең жиі мәселелер — парольдер мен блоктау, UAC пен құқықтар, брандмауэр, BitLocker және қашықтан қолжетімділік арқылы RDP. Бұл өзгерістер логинді, қашықтан әкімшілікті немесе ескірген қосымшалардың жұмысын тоқтатуы мүмкін, сондықтан оларды «пайдаланушыларға қауіпті» ретінде белгілеу және бөлек тестілеу керек.
Пилоттық топты қалай жинап, оның сәтті өткенін қалай анықтауға болады?
Типтік рөлдерді таңдаңыз, «ең сабырлы пайдаланушыларды» емес: офис, бухгалтерия, қашықтан жұмыс, инженерлік жұмыс орындары және 1–2 ұқсас, бірақ аса маңызды емес сервер. Пилот сәтті саналады, егер логин, басып шығару және желілік ресурстарға қолжетімділік бұзылмаса және қолдау қызметі нақты саясатты жедел алып тастай алатын болса.
Ерекшеліктерді қалай дұрыс рәсімдеу керек, сонда қауіпсіздік пен ИТ айлар бойы дауламайды?
Шығарылған ерекшеліктер көрінетін және шектеулі болуы керек: кім мақұлдады, мерзімі қандай, қандай хосттарға қатысты және қауіп қалай өтеледі. Егер ерекшелік мерзімсіз және иесіз болса, ол тез «әдепкі саңылауға» айналып, CIS-есебін формальді қылады.