Вы находитесь на странице: 1из 15

1.

4 Защита от взлома и проникновения в сеть


Лабораторная работа "Office Advanced Threat Protection"

По завершению лабораторной работы вы научитесь:

 Создавать политики безопасных вложений.


 Создавать политики безопасных ссылок.
 Тестировать политики безопасных ссылок.

Упражнение 1: Настройка безопасных вложений

1. В адресной строке браузера укажите адрес https://protection.office.com/

2. Введите учетные данные администратора для входа

3. В меню слева выберите Управление угрозами -> Политика ->


Безопасные вложения ATP

4. Создайте новую политику, нажав знак (+). В поле Имя введите


«Политика замены вложений»

5. Выберите действие Динамическая доставка

6. Поставьте галочку “Включить перенаправление”, укажите адрес, куда


должны перенаправляться исходные сообщения

7. В секции Применено к выберите в списке значение “Домен


получателя”, укажите нужный домен в новом окне и нажмите OK.
Создайте политику, нажав кнопку Сохранить

8. Через 30 минут политика вступит в действие.

Упражнение 2: Настройка безопасных ссылок

1. В адресной строке браузера укажите адрес https://protection.office.com/


2. Введите учетные данные администратора для входа

3. В меню слева выберите Управление угрозами->Политика-


>Безопасные ссылки ATP

4. Создайте новую политику, нажав знак (+) в нижней части страницы. В


поле Имя введите «Политика ссылок для всех»

5. Выберите "Вкл.: когда пользователь щелкнет ссылку, URL-адреса


будут перезаписаны и сверены со списком известных вредоносных
ссылок”

6. Поставьте галочку напротив “Использование безопасных вложений


для сканирования скачиваемого содержимого”

7. В поле “Не переопределять следующие URL-адреса”


введите http://www.bing.com/

8. В секции “Применяется к” выберите в списке значение “Домен


получателя”, укажите нужный домен в новом окне и нажмите OK.
Создайте политику, нажав кнопку Сохранить

9. Откройте свойства политики Default, применяемой ко всей


организации. В поле “Заблокировать следующие URL-адреса” укажите
любой желаемый URL-адрес (например, http://www.yahoo.com/)

10. Нажмите кнопку Сохранить

Упражнение 3: Тестирование безопасных ссылок

1. Перейдите в любой доступный вам почтовый аккаунт (gmail,


outlook.com, Yandex-почта и тд)

2. Отправьте на емейл-адрес пользователя, защищенного политикой


Безопасные ссылки ATP письмо следующего содержания:

Тема: [любая]
Текст: ссылки на полезные сайты

 http://www.bing.com
 http://www.spamlink.contoso.com/
 http://www.yahoo.com

3. Перейдите по адресу https://outlook.office.com и введите учетные


данные пользователя, которому отправлялось письмо

4. Для начала наведите курсор на каждую из ссылок. Обратите


внимание, что ссылка http://www.bing.com осталась оригинальной, а две
других были перезаписаны

5. Кликните по ссылке http://www.spamlink.contoso.com/ . Переход должен


быть заблокирован, поскольку данный ресурс классифицирован
компанией Microsoft как небезопасный

6. Кликните по ссылке http://www.yahoo.com. Переход должен быть


заблокирован, поскольку данный ресурс классифицирован вами как
небезопасный

1.5 Windows Defender Exploit Guard


Лабораторная работа "Развертывание Windows Defender Exploit Guard"

По завершению лабораторной работы вы научитесь:

 Настраивать модуль Attack Surface Reduction.


 Настраивать модуль Controlled Folder Access.

Требования:

ПК Windows 10 1709 и выше любой редакции, Microsoft Office 2010, 2013,


2016, 365. Обязательным условием является отсутствие на ПК
стороннего антивируса.
Упражнение 1: Настройка и тестирование правил Attack Surface
Reduction

1. Подключитесь к ПК Windows 10 с правами пользователя, состоящего в


группе Администраторы.

2. Создайте на диске C: папку demo и поместите в неё документ Word


прим. Документ будет шифрован, не тестируйте на важных данных

3. Скачайте и запустите документ с помощью Microsoft


Word https://demo.wd.microsoft.com/Content/ransomware_testfile_doc.docm.
В документе Word нажмите «Разрешить редактирование», а затем
«Включить содержимое» для активации макросов. Убедитесь, что файлы
в папке c:\demo были зашифрованы. Запустите макрос ещё раз для
расшифровки. Прим. При повторном открытии документа макросы могут
запускаться автоматически, без нажатия кнопки «Включить
содержимое». Чтобы измениться это поведение, перейдите в параметры
Word, Центр управления безопасностью. В меню Надежные документы
поставьте галочку напротив «Отключить надежные документы».

4. Откройте веб-браузер и перейдите по


адресу https://docs.microsoft.com/en-us/windows/security/threat-
protection/windows-defender-exploit-guard/enable-attack-surface-reduction

5. Скопируйте GUID правила Block Office applications from creating child


processes (D4F940AB-401B-4EFC-AADC-AD5F3C50688A)

6. Откройте консоль gpedit.msc

7. Последовательно разверните Конфигурация компьютера ->


Административные шаблоны -> Компоненты Windows -> Антивирусная
программа «Защитник Windows» -> Exploit Guard в Защитнике Windows ->
Сокращение возможных направлений атак.

8. Откройте политику «Настроить правила сокращения возможных


направлений атак» и переключите в положение Включено. Нажмите
кнопку «Показать…».
9. В поле «Имя значения» введите GUID правила (D4F940AB-401B-4EFC-
AADC-AD5F3C50688A), в поле «Значение» укажите «1». Нажмите ОК
дважды.

10. Запустите макрос ещё раз. Убедитесь, что действие было


заблокировано, а документы в папке c:\demo остались в исходном
состоянии

Упражнение 2: Настройка Controlled Folder Access

1. Подключитесь к ПК Windows 10 с правами пользователя, состоящего в


группе Администраторы.

2. Создайте на диске C: папку demo и поместите в неё документ Word


прим. Документ будет шифрован, не тестируйте на важных данных

3. Скачайте и запустите
приложение https://demo.wd.microsoft.com/Content/ransomware_testfile_un
signed.exe. Убедитесь, что файлы в папке c:\demo были зашифрованы.
Запустите приложение ещё раз для расшифровки.

4. Перейдите в меню Параметры Windows -> Обновление и безопасность


-> Безопасность Windows -> Защита от вирусов и угроз -> Защита от
программ-шантажистов

5. Включите «Контролируемый доступ к папкам»

6. Перейдите в защищенные папки и добавьте c:\demo в список

7. Запустите приложение ещё раз. Убедитесь, что действие было


заблокировано, а документы в папке c:\demo остались в исходном с

остоянии.
1.9 Многофакторная аутентификация
Лабораторная работа "Настройка многофакторной аутентификации для
облачных сервисов"

По завершению лабораторной работы вы научитесь:

* Активировать многофакторную аутентификацию для пользователей.

* Настраивать требования для многофакторной аутентификации.

Упражнение 1: Активация многофакторной аутентификации

1. В адресной строке браузера укажите


адрес https://account.activedirectory.windowsazure.com/

2. Введите данные администратора рабочей учетной записи для входа

3. Перейдите в Параметры службы

4. Укажите Параметры проверки

5. Вернитесь в Пользователи

6. Выберите пользователя, для которого потребуется включить


многофакторную аутентификацию и нажмите Включить.

7. Подключитесь под пользователем. При первом входе систем


потребует дополнительную информацию для настройки многофакторной
аутентификации.

1.10 Windows Defender Credential Guard


Тест к занятию Windows Defender Credential Guard
Сожалеем, вы не прошли тест.
Правильных ответов: 2 (40%)Неправильных ответов: 3 (60%)
1/5
1. В чем опасность использования устаревших версий ПО?
(выберите все, что подходит)
Ваши ответы: A. Вендоры не выпускают обновления безопасности для ПО,
которое завершило цикл поддержкиB. Устаревшие версии ПО поддерживают
менее безопасные технологии
Правильные ответы: A. Вендоры не выпускают обновления безопасности для
ПО, которое завершило цикл поддержкиB. Устаревшие версии ПО поддерживают
менее безопасные технологииC. Возможности ПО проектируется для защиты от
текущих и потенциальных будущих угроз, но не все будущие угрозы можно
предсказатьD. Методы взлома устаревшего ПО лучше изучены и доступны
широкой публике
2/5
2. Какие из возможностей Windows 10 Pro отсутствуют в
Windows 10 Home
(выберите все, что подходит)
Ваши ответы: A. Подключение к домену
Правильные ответы: A. Подключение к доменуC. Шифрование дисков (Bitlocker)
3/5
3. Какие из возможностей Windows 10 отсутствуют в Windows
7
(выберите все, что подходит)
Ваш ответ: D. Application Guard
4/5
4. От каких известных атак помогает защититься технология
Windows Defender Credential Guard
(выберите все, что подходит)
Ваши ответы: B. Kerberoast attack
Правильные ответы: A. Pass-the-Hash attackD. Pass-the-Ticket attack
5/5
5. Многофакторная аутентификация — это эффективная
защита от атак перебором паролей?
Ваш ответ: A. Да

1.10 Windows Defender Credential Guard


Лабораторная работа "Развертывание Windows Defender Credential
Guard"

По завершению лабораторной работы вы научитесь:


 Активировать Credential Guard с помощью групповой политики.
 Активировать Credential Guard с помощью Device Guard and Credential
Guard hardware readiness tool.

Требования:

ПК Windows 10 Enterprise edition, присоединенная к домену.


Обязательным условием является поддержка виртуализации
процессором и включенная функция Secure Boot (доступно только при
загрузчике UEFI).

В случае выполнения на гипервизоре Hyper-V, требуется создать


виртуальную машину второго поколения.

Упражнение 1: Проверка ПК на соответствие требованиям

1. Подключитесь к ПК Windows 10 с правами пользователя, состоящего в


группе Администраторы.

2. Откройте веб-браузер и перейдите по


адресу https://www.microsoft.com/en-us/download/details.aspx?id=53337

3. Скачайте архив DG_Readiness_Tool_v3.5.zip (имя и номер версии


могут измениться). Распакуйте в директорию C:\DG\

4. Запустите Windows Powershell от имени администратора

5. Введите cd C:\DG и нажмите Enter

6. Введите DG_Readiness_Tool_v3.5.ps1 -Capable и нажмите Enter

7. Дождитесь выполнения скрипта и перезагрузите компьютер

8. Выполните DG_Readiness_Tool_v3.5.ps1 -Capable ещё раз.


Посмотрите результат выполнения скрипта. Если ПК не соответствует
требованиям, вы увидите красный текст “Machine is not Device Guard /
Credential Guard compatible because of the following:”.

Если ПК соответствует требованием, то увидите текст “Device Guard /


Credential Guard can be enabled on this machine”

Упражнение 2: Включение Windows Defender Credential Guard с


помощью групповой политики

1. Подключитесь к ПК Windows 10 с правами пользователя, состоящего в


группе Администраторы.

2. Откройте консоль gpedit.msc

3. Последовательно разверните Конфигурация компьютера ->


Административные шаблоны -> Система -> Device Guard.

4. Откройте политику «Включить безопасность на основе виртуализации»


и переключите в положение Включено. Нажмите ОК.

Прим. Настройка Credential Guard требует включенной безопасности на


основе виртуализации, поэтому сначала политику требуется включить, а
затем добавлять функцию Credential Guard.

5. Откройте политику «Включить безопасность на основе


виртуализации». В блоке Настройка Credential Guard выберите Включено
без блокировки. Нажмите ОК

Упражнение 3: Включение Windows Defender Credential Guard с


помощью Device Guard and Credential Guard hardware readiness tool

1. Подключитесь к ПК Windows 10 с правами пользователя, состоящего в


группе Администраторы.
2. Запустите Windows Powershell от имени администратора

3. Введите cd C:\DG и нажмите Enter

4. Введите DG_Readiness_Tool_v3.5.ps1 -Enable -CG и нажмите Enter

5. Перезагрузите ПК

1.11 OneDrive for Business


Лабораторная работа "Подключение OneDrive для бизнеса"

По завершению лабораторной работы вы научитесь:

 Подключать OneDrive для бизнеса к ПК Windows 10.


 Использовать версионность документов в сервисе OneDrive для бизнеса.

Упражнение 1: Подключение OneDrive для бизнеса

1. Нажмите кнопку Пуск, выполните поиск по запросу OneDrive и откройте


программу.

2. В окне параметров откройте вкладку Учетная запись и выберите


“Добавить рабочую учетную запись”.

3. Когда настройка OneDrive запустится, введите данные своей рабочей


учетной записи (в домене onmicrosoft.com), а затем щелкните Вход,
чтобы настроить учетную запись.

4. На экране Ваша папка OneDrive нажмите кнопку “Далее”, чтобы


принять расположение папки по умолчанию для файлов OneDrive. Если
вы хотите изменить папку, лучше сделать это сейчас, выбрав пункт
Изменить расположение.

5. На экране Синхронизация файлов из OneDrive выберите папки для


синхронизации и нажмите кнопку Далее. Таким образом можно
контролировать объем места, занимаемого файлами OneDrive на
компьютере, и пропускную способность, используемую в процессе
синхронизации. Вы можете изменить эти папки в дальнейшем в
параметрах, но можно сделать это и сейчас.

Упражнение 2: Тестирование синхронизации

1. Поместите документы в папку OneDrive и дождитесь синхронизации

2. Откройте документы и выполните в нем изменение. Дождитесь


синхронизации

3. Откройте веб-браузер и перейдите на портал yourdomain-


my.sharepoint.com, где yourdomain это имя домена для рабочей учетной
записи. Пример: user@yourdomain.onmicrosoft.com

4. Введите учетные данные пользователя, в чей аккаунт выполняется


синхронизация

5. Кликните правой кнопкой по измененному документу, перейдите в


журнал версий

6. Восстановите нужную версию

1.12 Защита данных от утечки. Bitlocker.


Лабораторная работа "Шифрование BitLocker"

По завершению лабораторной работы вы научитесь:

 Настраивать групповые политики для шифрования Bitlocker.


 Включать шифрование Bitlocker.

Упражнение 1: Настройка групповых политик

1. Подключитесь к ПК Windows 10 с правами пользователя, состоящего в


группе Администраторы.

2. Откройте консоль gpedit.msc.


3. В редакторе локальной политики последовательно раскройте
Конфигурация компьютера -> Административные шаблоны ->
Компоненты Windows -> Шифрование диска Bitlocker -> Диски
операционной системы.

4. Откройте политику «Требовать дополнительную проверку подлинности


при запуске» и нажмите Включить.

5. Нажмите ОК и закройте открытые все окна.

Упражнение 2: Включение Bitlocker

1. Подключитесь к ПК Windows 10 с правами пользователя, состоящего в


группе Администраторы.

2. Откройте проводник и перейдите в меню Компьютер

3. Кликните правой кнопкой по диску, который хотите зашифровать и


выберите «Включить Bitlocker». Диск может быть как системным, так и
диском с данными.

4. Укажите «Использовать пароль для разблокировки».

5. Введите пароль и нажмите Далее.

6. На предложение заархивировать ключ восстановления выберите


«Сохранить в файле».

7. Укажите место для сохранения ключа восстановления. Ключ


восстановления нельзя сохранить на шифруемый диск

8. Укажите метод шифрования Новый и нажмите «Начать шифрование».

9. Перезапустите ПК.
Упражнение 3: Проверка

1. Подключитесь к ПК Windows 10.

2. С помощью проводник откройте зашифрованный диск.

3. Система потребует ввести пароль.

4. Введите пароль и проверьте, что содержимое доступно

1.13 Azure Information Protection


Лабораторная работа "Настройка Microsoft Azure Information Protection"

По завершению лабораторной работы вы научитесь:

 Активировать Azure Information Protection.


 Настраивать политики.
 Скачивать и инсталлировать клиент Azure Information Protection.
 Защищать документы с помощью Azure Information Protection.
 Настраивать интеграцию между Exchange Online и Azure Information
Protection.

Упражнение 1: Активация Azure Information Protection

1. В адресной строке браузера укажите адрес https://portal.office.com/

2. Введите учетные данные администратора для входа

3. Выберите Администрирование

4. В меню слева нажмите Параметры -> Службы и надстройки


5. Нажмите Microsoft Azure Information Protection и далее по ссылке
Управление параметрами Microsoft Azure Information Protection

6. Если Microsoft Azure Information Protection не активирован, нажмите


Включить

Упражнение 2: Настройка политик Azure Information Protection

1. В адресной строке браузера укажите адрес https:// portal.azure.com/

2. Введите учетные данные администратора для входа

3. В меню слева нажмите “Больше служб” и введите “Azure Information


Protection” в строке поиска

4. Выберите метку Конфиденциально. В пункте “Задайте разрешения для


документов и электронных писем, имеющих эту метку” укажите
Защитить. Нажмите кнопку Сохранить.

Упражнение 3: Настройка клиента Azure Information Protection

1. В адресной строке браузера укажите


адрес https://www.microsoft.com/en-us/download/details.aspx?id=53018

2. Скачайте и инсталлируйте AZInfoProtection.exe

Упражнение 4: Защита документов с помощью Azure Information


Protection

1. Откройте Word 2016. В появившемся окне введите учетные данные


пользователя, обладающего лицензией Azure Information Protection

2. Введите любой текст и выберите метку Конфиденциально.


3. Сохраните документ и откройте на другом устройстве. Он более
недоступен без ввода учетных данных.

Упражнение 5: Интеграция между Exchange Online и Azure


Information Protection

1. Откройте Powershell на рабочей станции и введите $Cred = Get-


Credential. Укажите учетные данные администратора

2. Укажите $Session = New-PSSession -ConfigurationName


Microsoft.Exchange -ConnectionUri https://ps.outlook.com/powershell/ -
Credential $Cred -Authentication Basic –AllowRedirection

3. Импортируйте сессию Import-PSSession $Session

4. Включите Azure Information Protection Set-IRMConfiguration -


AzureRMSLicensingEnabled $true

5. Протестируйте Test-IRMConfiguration -Sender <user email address>

1.16 Microsoft Intune (Application Management)


Ссылка на пробную версию Microsoft Office 365

https://signup.microsoft.com/signup/logout?offerid=101bde18-5ffb-4d79-a47b-
f5b2c62525b3&dl=enterprisepremium&culture=ru-
ru&country=ru&ali=1&wt.mc_id=AID726555_QSG_PD_SCL_280792

Оценить