Microsoft lanceert vlot over te nemen beveiligingspolicies voor bedrijven, onderverdeeld in vijf categorieën die rekening houden met het risico dat een endpoint loopt.
Microsoft helpt bedrijven met de introductie van het Security Configuration Network of Seccon, dat niet toevallig verwijst naar het Amerikaanse militaire paraatheidsniveau Defcon. Net als Defcon is Seccon onderverdeeld in vijf niveaus, waarvan vijf het meest toegankelijke en één het meest dichtgetimmerde is.
Ieder niveau correspondeert met een type gebruiker of endpoint in een zakelijke omgeving. Seccon 5, Enterprise Security, ziet Microsoft als het absolute minimum. De degelijke beveiliging voorzien van tal van best practices is gericht op traditionele medewerkers die niet noodzakelijk met gevoelige bedrijfsinformatie omgaan. De policies zijn uit te rollen binnen de maand.
Kwetsbare systemen
Een trapje hoger vinden we Seccon 4, gericht op wat Microsoft Enterprise High Security-profielen noemt. Zij komen wel in aanraking met gevoelige of vertrouwelijke informatie, en hebben daarom een betere beveiliging nodig. Die kan soms tot compatibiliteitsproblemen leiden, en vereist meer inmenging van IT. Security audits zijn bijvoorbeeld een belangrijk onderdeel van dit niveau. Microsoft schat dat de policysuggesties in 90 dagen tijd geïmplementeerd kunnen worden.
Het laatste niveau vat Microsoft al helemaal uitwerkte is Seccon 3 voor Enteprise VIP-profielen. De bijhorende policies zijn geschikt voor organisaties die gespecialiseerdere beveiligingsteams ter beschikking hebben. Ze hebben als doel om endpoints van gebruikers te beveiligingen die omgaan met echt gevoelige data, waarvan een lek bijvoorbeeld een impact kan hebben op de aandelenkoers of de competitieve positie van de onderneming. Microsoft geeft aan dat Seccon 3-policies uitrollen geen eenvoudige klus is, en al snel meer dan drie maanden tijd in beslag kan nemen. Het gaat dan ook om complexe ingrepen, zoals het verwijderen dan lokale administrator-rechten.
Devops en admins
Tot slot zijn er nog twee niveaus waarvan Microsoft de policies nog in detail moet uitwerken. Seccon 2 is gericht op de bescherming van Devops-omgevingen die gevoelig zijn voor diefstal van intellectuele eigendom langs de ene kant, maar ook supply chain-aanvallen langs de andere kant. In het geval van een incident kan de werking van een organisatie hier kritiek gestoord worden.
Seccon 1 is tot slot voorbehouden voor de admin-consoles van de beveiligingsteams zijn. Zij hebben noodgedwongen heel wat rechten, zodat een beveiligingsprobleem hier verregaande repercussies kan hebben. Ook voor dit niveau sleutelt Microsoft nog aan een set van policies.
De instellingen voor Seccon 5 tot en met 3 zijn al wel beschikbaar. Ze nemen de vorm aan van een duidelijke lijst met policies die administrators kunnen configureren in Windows 10. Het was de ambitie van Microsoft om een zo breed mogelijke set aan richtlijnen op te stellen die organisaties als basis kunnen gebruiken voor de uitrol van hun eigen beveiligingsimplementatie. Het security-raamwerk is online te raadplegen.