Windows Secure Host Baseline

يوفر Windows Secure Host Baseline (SHB) نهجًا تلقائيًا ومرنًا لمساعدة DOD في نشر أحدث الإصدارات من Windows 10 باستخدام إطار يمكن أن تستهلكه منظمات من جميع الأحجام.

أصدر CIO DOD مذكرة في 20 نوفمبر 2015 لتوجيه الأوامر والخدمات والوكالات والأنشطة الميدانية (CC/S) لنشر نظام التشغيل Windows 10 بسرعة في جميع أنحاء منظمات كل منها مع الهدف من إكمال النشر بحلول نهاية يناير 2017. خط الأساس المضيف بحلول نهاية يناير 2017. [1]

تدعم تقييمات المنتج الرسمية أيضًا الانتقال إلى Windows 10. تشرف شراكة ضمان المعلومات الوطنية (NIAP) والمعهد الوطني للمعايير والتكنولوجيا (NIST) تقييمات منتجات تكنولوجيا المعلومات التجارية للاستخدام في أنظمة الأمن القومي.

• المعايير الشائعة تقييم Windows 10 مقابل ملف تعريف حماية NIAP لأنظمة التشغيل للأغراض العامة المكتملة في 5 أبريل 2016 وتم تحديثها في 2 فبراير 2017 لتضمين Windows Server 2016.
• تم تقييم المعايير الشائعة لنظام التشغيل Windows 10 مقابل ملف NIAP Protection Profile لأساسيات الأجهزة المحمولة في 29 يناير 2016 وتم تحديثه في 12 أبريل 2017 لتشمل Windows Server 2016.
• المعايير الشائعة تقييم Windows 10 مقابل ملف تعريف حماية NIAP لعملاء شبكة IPSEC الافتراضية (VPN) أكملوا 10 نوفمبر 2016 وتم تحديثهم في 29 ديسمبر 2016 لتضمين Windows Server 2016.
• تم الانتهاء من NIST FIPS 140-2 التحقق من وحدات Windows 10 تشفير في 2 يونيو 2016 (انظر أرقام الشهادات 2600 و 2601 و 2602 و 2603 و 2604 و 2605 و 2606 و 2607).

يعد استخدام خط الأساس المضيف الآمن أحد استراتيجيات التخفيف من أهم 10 استراتيجيات للتخفيف من NSA. يوضح خط الأساس المضيف DOD Secure أيضًا استراتيجيات تخفيف من أفضل 10 استراتيجيات أخرى من IAD مثل استخدام القائمة البيضاء للتطبيق ، وتمكين ميزات مكافحة الاستغلال ، واستخدام أحدث إصدار من نظام التشغيل والتطبيقات.

يستضيف مستودع مستضيف كائنات سياسة المجموعة ، وفحص الامتثال ، وأدوات التكوين لدعم إطار خط الأساس المضيف لوزارة الدفاع (SHB) لنظام التشغيل Windows 10. يمكن لمسؤولي أنظمة الأمن القومي ، مثل أولئك الذين يشكلون جزءًا من قاعدة الدفاع الصناعية ، الاستفادة من هذا المستودع (PIV) في إطار عمل DOD لـ Windows 10 الذي يتطلب بطاقة الوصول الشائعة (CAC) (PIV).

يمكن إرسال الأسئلة أو التعليقات إلى متتبع مشكلة المستودع أو نشرها على منتديات مشروع خط الأساس المضيف في Windows 10 على Forge التي تتطلب بطاقة CAC أو PIV الذكية للوصول إليها.

• يحتوي مجلد ActivClient على سياسة كمبيوتر ActivClient لأولئك الذين يستخدمون تسجيلات البطاقات الذكية مع برنامج ActivClient.
• يحتوي مجلد Adobe Reader على سياسات Adobe Reader DC والسياسات المستخدم لأحدث إصدار من Adobe Reader DC.
• يحتوي مجلد Applocker على سياسة الكمبيوتر Applocker لأحدث إصدار من Windows 10.
• يحتوي مجلد الشهادات على سياسة الكمبيوتر لتوزيع سلطات DOD Root وسلطات الشهادات المتوسطة.
• يحتوي مجلد Chrome على سياسة كمبيوتر متصفح Chrome لأحدث إصدار من Chrome.
• يحتوي مجلد Internet Explorer على سياسات Internet Explorer 11 والكمبيوتر لأحدث إصدار من Windows 10.
• يحتوي مجلد المكتب على Office 2013 وسياسة Office 2016.
• يحتوي مجلد Windows على سياسات مستخدمي Windows 10 والكمبيوتر لأحدث إصدار من Windows 10.
• يحتوي مجلد جدار Firewall Windows على سياسة الكمبيوتر لجدار Windows Firewall لأحدث إصدار من Windows 10.

توجد البرامج النصية لمساعدة المستخدمين مع SHB في المجلدات الفرعية للنصوص لكل مكون. البرامج النصية المتاحة للاستخدام حتى الآن:

• قارئ Adobe
• الشهادات
• الكروم
• عام
• النوافذ

يتم تضمين ملفات تدقيق Nessus (المعروف أيضًا باسم ACAS في DOD) في هذا المستودع. شيكات الامتثال متاحة ل:

• Adobe Reader DC
• الكروم
• Internet Explorer
• النوافذ
• جدار الحماية Windows

يمكن العثور على تعليمات لتشغيل عمليات فحص الامتثال في مجال أو بيئة مستقلة على صفحة الامتثال.

للبدء في استخدام الأدوات:

1. قم بتنزيل المستودع كملف مضغوط
2. تكوين PowerShell
3. تحميل الرمز
4. تطبيق السياسات
5. تحقق من الامتثال

قم بتنزيل الكود الحالي إلى مجلد التنزيلات . سيتم حفظه كـ Windows-Secure-Host-Baseline-Master.zip افتراضيًا.

تهدف أوامر PowerShell إلى التشغيل من نظام مع تثبيت PowerShell 3.0 على الأقل. قد تحتاج PowerShell إلى تكوينها لتشغيل الأوامر.

قد يحتاج المستخدمون إلى تغيير سياسة تنفيذ PowerShell الافتراضية. يمكن تحقيق ذلك في عدد من الطرق المختلفة:

• افتح موجه الأوامر وقم بتشغيل PowerShell.exe -executionpolicy غير مقيد وتشغيل البرامج النصية من جلسة PowerShell هذه.
• افتح موجه PowerShell وقم بتشغيل Set -executionPolicy غير المقيد -عملية التشغيل وتشغيل البرامج النصية من جلسة PowerShell الحالية.
• افتح موجه PowerShell الإداري وقم بتشغيل set-executionpolicy غير مقيد وتشغيل البرامج النصية من أي جلسة powerShell.

سيحتاج المستخدمون إلى إلغاء حظر ملف zip الذي تم تنزيله نظرًا لأنه سيتم تمييزه على أنه تم تنزيله من الإنترنت والذي سيحظره PowerShell من التنفيذ افتراضيًا. افتح موجه PowerShell وقم بتشغيل الأوامر التالية لإلغاء حظر رمز PowerShell في ملف ZIP:

1. cd $env:USERPROFILE
2. cd Downloads
3. Unblock-File -Path '.Windows-Secure-Host-Baseline-master.zip'

سيؤدي تشغيل البرامج النصية PowerShell داخل ملف zip دون إلغاء حظر الملف إلى التحذير التالي:

تحذير الأمن تشغيل البرامج النصية فقط التي تثق بها. على الرغم من أن البرامج النصية من الإنترنت يمكن أن تكون مفيدة ، إلا أن هذا البرنامج النصي يمكن أن يضر الكمبيوتر الخاص بك. إذا كنت تثق في هذا البرنامج النصي ، فاستخدم CMDLET غير الحظر للسماح للبرنامج النصي بالتشغيل بدون رسالة تحذير هذه. هل تريد تشغيل C: Users User Downloads Script.ps1؟ [D] لا تقم بتشغيل [r] مرة واحدة [S] تعليق [؟] المساعدة (الافتراضي هو "D"):

إذا لم يتم إلغاء حظر ملف zip الذي تم تنزيله قبل استخراجه ، فسيتعين إلغاء حظر جميع ملفات PowerShell الفردية التي كانت موجودة في ملف zip. ستحتاج إلى تشغيل الأمر التالي بعد الخطوة 5 في قسم تحميل الكود:

 Get-ChildItem -Path '.Windows-Secure-Host-Baseline' -Recurse -Include '*.ps1','*.psm1' | Unblock-File -Verbose

راجع وثائق أمر إلغاء الحظر لمزيد من المعلومات حول كيفية استخدامه.

قم الآن باستخراج ملف zip الذي تم تنزيله وتحميل رمز PowerShell المستخدم لتطبيق السياسات.

1. انقر بزر الماوس الأيمن على ملف zip وحدد استخراج الكل
2. في مربع الحوار ، قم بإزالة Windows-Secure-Host-Baseline-Master من نهاية المسار لأنه سيتم استخراج الملفات إلى مجلد Windows-Secure-Host-Master افتراضيًا
3. انقر فوق زر الاستخراج
4. أعد تسمية مجلد Windows-Secure-Host-Baseline-Master إلى Windows-Secure-Host-Baseline
5. افتح موجه PowerShell كمسؤول
6. استيراد وحدة PowerShell سياسة المجموعة لتحميل الكود في جلسة PowerShell: Import-Module -Name .Windows-Secure-Host-BaselineScriptsGroupPolicy.psm1

إن أمر Invoke-ApplySecureHostBaseline الموجود في وحدة PowerShell Policshell الجماعية هو الأمر الرئيسي لتطبيق السياسات. افتراضيا هذا الأمر سوف:

• استيراد كل من سياسات الكمبيوتر والمستخدم. استخدم خيار -policyscopes وحدد فقط قيمة "المستخدم" أو "الكمبيوتر" لاستيراد سياسات المستخدم أو الكمبيوتر فقط.
• سياسات الاستيراد ، التي لها خيار تدقيق (مثل Applocker) ، في وضع التدقيق. لاستيراد هذه السياسات في وضع الإنفاذ ، استخدم خيار -policymode وحدد قيمة "القسامة" .
• قم بعمل نسخة احتياطية من كائنات سياسة مجموعة SHB المستوردة (وقوالب سياسة المجموعة إذا تم استخدام خيار -updateTemplates) إذا كانت موجودة. ستكون النسخ الاحتياطية في دليل موجود في ٪ uerprofile ٪ desktop backup_yyyymmddhhmmss المقابلة للوقت الذي تم فيه تنفيذ الأمر. لتغيير هذا الموقع ، استخدم خيار -backuppath وحدد مسارًا إلى مجلد موجود حيث سيتم إنشاء backup_yyyyymmdhhmmss.
• لا تحديث ملفات قالب سياسة المجموعة التي تتوافق مع كائنات سياسة المجموعة المطبقة. استخدم خيار -updateTemplates لتحديث قوالب سياسة المجموعة.

خيارات الأمر هي:

• -صاف - مطلوب. المسار إلى المجلد الذي يحتوي على مستودع GitHub SHB الذي تم تنزيله واستخلاصه.
• -policynames - مطلوب. أسماء السياسات التي يجب تطبيقها. يمكن أن يكون 1 أو أكثر من أسماء السياسة. الأسماء المتاحة: "ActivClient" ، "Adobe Reader" ، "Applocker" ، "الشهادات" ، "Chrome" ، "Internet Explorer" ، "Office 2013" ، "Office 2016" ، "Windows" ، "Windows Firewall".
• -policyscopes - اختياري. نطاق السياسات للتطبيق. النطاقات المتاحة: "الكمبيوتر" ، "المستخدم". الإعدادات الافتراضية إلى "الكمبيوتر" ، "المستخدم".
• -policytype - اختياري. نوع السياسات التي يجب تطبيقها. الأنواع المتاحة: "المجال" ، "محلي". الإعدادات الافتراضية إلى "المجال" عند الانضمام إلى مجال. الإعدادات الافتراضية إلى "المحلية" عندما لا تنضم إلى مجال.
• -policymode - اختياري. طريقة السياسات التي يجب تطبيقها ، إذا كانت مدعومة بالسياسة المحددة. على سبيل المثال ، يدعم Applocker أوضاع التدقيق والإنفاذ. الأوضاع المتاحة: "التدقيق" ، "فرض". الإعدادات الافتراضية إلى "التدقيق".
• -backuppath - اختياري. المسار إلى مجلد لحفظ النسخ الاحتياطية لكائنات سياسة مجموعة SHB المستوردة (وقوالب سياسة المجموعة إذا تم استخدام خيار -upDateTemplates) إذا كانت موجودة في حالة حاجة إلى تراجع. الإعدادات الافتراضية إلى $ env: userprofile desktop backup_yyyymmddhhmmss المقابلة لموعد تنفيذ البرنامج النصي.
• -ToolPath - اختياري. المسار إلى أداة LGPO. مطلوب عندما يكون PolicyType "محليًا".
• -updateTemplates - اختياري. تحديث قوالب سياسة المجموعة التي تتوافق مع كائنات سياسة المجموعة المطبقة.

Type Man Invoke-ApplySecureHostbaseline في مطالبة PowerShell للحصول على مزيد من المساعدة والأمثلة أو إرسال سؤال إلى متتبع مشكلة المستودع.

إذا كانت تطبيق سياسات SHB على نظام مستقل (على سبيل المثال ، لم يتم الانضمام إلى مجال) ، فعليك تنزيل أداة LGPO من منشور مدونة Microsoft واستخراج القابل للتنفيذ.

 Invoke-ApplySecureHostBaseline -Path '.Windows-Secure-Host-Baseline' -PolicyNames 'Adobe Reader','AppLocker','Certificates','Chrome','Internet Explorer','Office 2013','Office 2016','Windows','Windows Firewall' -ToolPath '.LGPOlgpo.exe'

في حالة تطبيق سياسات SHB على مجال ما ، لاحظ أن كائنات سياسة المجموعة يتم تحميلها فقط في Active Directory. لا ترتبط السياسات بأي OUS ، لذا فإن الإعدادات لا تؤثر تلقائيًا.

 Invoke-ApplySecureHostBaseline -Path '.Windows-Secure-Host-Baseline' -PolicyNames 'Adobe Reader','AppLocker','Certificates','Chrome','Internet Explorer','Office 2013','Office 2016','Windows','Windows Firewall'

بمجرد تطبيق السياسات (وربطها بـ OUS المناسبة في حالة المجال) ، راجع صفحة الامتثال للحصول على تعليمات حول كيفية التحقق من الامتثال للسياسات.

انظر الترخيص.

انظر إخلاء المسئولية.