Windows Secure Host Baseline

Der Windows Secure Host Baseline (SHB) bietet einen automatisierten und flexiblen Ansatz, um den DOD bei der Bereitstellung der neuesten Veröffentlichungen von Windows 10 mithilfe eines Frameworks zu unterstützen, das von Organisationen aller Größen konsumiert werden kann.

Der DoD CIO gab am 20. November 2015 ein Memo heraus, in dem Kombattantenbefehle, Dienste, Agenturen und Feldaktivitäten (CC/S/AS) das Windows 10 -Betriebssystem in ihren jeweiligen Organisationen schnell eingesetzt werden, um Ende Januar 2017 das Ziel zu vervollständigen. Grundlinie bis Ende Januar 2017. [1]

Formale Produktbewertungen unterstützen auch den Umzug in Windows 10. Die National Information Assurance Partnership (NIAP) und das National Institute of Standards and Technology (NIST) überwachen die Bewertungen kommerzieller IT -Produkte zur Verwendung in nationalen Sicherheitssystemen.

• Gemeinsame Kriterien Bewertung von Windows 10 gegen das NIAP -Schutzprofil für Allzweckbetriebssysteme abgeschlossen am 5. April 2016 und aktualisiert am 2. Februar 2017, um Windows Server 2016 einzuschließen.
• Gemeinsame Kriterienbewertung von Windows 10 gegen das NIAP -Schutzprofil für die Grundlagen für Mobilgeräte, die am 29. Januar 2016 abgeschlossen und am 12. April 2017 aktualisiert wurden, um Windows Server 2016 einzuschließen.
• Gemeinsame Kriterien Evaluierung von Windows 10 gegen NIAP -Schutzprofil für IPSec Virtual Private Network (VPN) -Clients, die am 10. November 2016 abgeschlossen und am 29. Dezember 2016 aktualisiert wurden, um Windows Server 2016 einzuschließen.
• Die NIST-FIPS 140-2 Validierung von Windows 10 Cryptografischen Modulen wurde am 2. Juni 2016 abgeschlossen (siehe Zertifikatnummern 2600, 2601, 2602, 2603, 2604, 2605, 2606 und 2607).

Die Verwendung einer sicheren Host -Baseline ist eine der Top -10 -Minderungsstrategien für die NSA -Information. Der DOD Secure Host-Baseline veranschaulicht auch andere IAD-Top-10-Minderungsstrategien, wie die Verwendung von Anwendungshitelisting, die Aktivierung von Anti-Exploitations-Funktionen sowie die Verwendung der neuesten Version des Betriebssystems und der Anwendungen.

Dieses Repository hostet Gruppenrichtlinienobjekte, Compliance -Überprüfungen und Konfigurationstools zur Unterstützung des DOD Secure Host -Baseline -Frameworks für Windows 10. Administratoren von nationalen Sicherheitssystemen, wie beispielsweise diejenigen, die Teil der Verteidigungsbasis sind, können dieses Repository anstelle des Zugriffs auf das DOD -SHB -Framework für Windows, für die eine gewöhnliche Zugriffskarte (CAC) oder personal identifiziert werden (CAC) oder personaler Identifizierung (CAC) oder personaler Identifizierung (CAC) (CAC) oder personaler Identifizierung (PIV) (CAC) (CAC) oder PERSIGING (PIV) (CAC) (CAC) (CAC) oder PERIFIZIERUNG (PISPIFIZIERUNGSPRAGE (PIV).

Fragen oder Kommentare können an den Repository -Problem -Tracker oder in Windows 10 Secure Host -Baseline -Projektforen auf Software -Schmiede gesendet werden, für die ein CAC- oder PIV -Smartcard zugegriffen werden muss.

• Der ActivClient -Ordner enthält Activclient -Computerrichtlinien für diejenigen, die Smart -Card -Anmeldungen mit Activclient -Software verwenden.
• Der Adobe Reader -Ordner enthält Adobe Reader DC Computer- und Benutzerrichtlinien für die neueste Version von Adobe Reader DC.
• Der Applocker -Ordner enthält die Applikationsrichtlinie für Applocker -Computer für die neueste Version von Windows 10.
• Der Zertifikatordner enthält die Computerrichtlinie zum Verteilen der DOD -Root- und Intermediate -Zertifikat -Behörden.
• Der Chromordner enthält die Chrome -Browser -Computerrichtlinie für die neueste Version von Chrome.
• Der Internet Explorer -Ordner enthält Internet Explorer 11 Computer- und Benutzerrichtlinien für die neueste Version von Windows 10.
• Der Büroordner enthält Office 2013 und Office 2016 -Richtlinien.
• Der Windows -Ordner enthält Windows 10 -Benutzer- und Computerrichtlinien für die neueste Version von Windows 10.
• Der Windows Firewall -Ordner enthält die Windows Firewall -Computerrichtlinie für die neueste Version von Windows 10.

Skripte für die Unterstützung von Benutzern mit dem SHB befinden sich in den Skripts -Unterordnern jeder Komponente. Skripte zur Verwendung bisher zur Verfügung stehen:

• Adobe Reader
• Zertifikate
• Chrom
• Allgemein
• Fenster

In diesem Repository sind Nessus (auch bekannt als ACAs in der DOD) Audit -Dateien enthalten. Compliance -Überprüfungen sind verfügbar für:

• Adobe Reader DC
• Chrom
• Internet Explorer
• Fenster
• Windows Firewall

Anweisungen zum Ausführen der Konformitätsprüfungen in einer Domain- oder eigenständige Umgebung finden Sie auf der Compliance -Seite.

Um mit den Tools zu beginnen:

1. Laden Sie das Repository als ZIP -Datei herunter
2. Konfigurieren Sie PowerShell
3. Laden Sie den Code
4. Wenden Sie die Richtlinien an
5. Überprüfen Sie die Compliance

Laden Sie den aktuellen Code in Ihren Download -Ordner herunter. Es wird standardmäßig als Windows-Secure-Host-Baseline-Master.zip gespeichert.

Die PowerShell -Befehle sollen aus einem System mit mindestens installiertem PowerShell 3.0 ausgeführt werden. PowerShell muss möglicherweise konfiguriert werden, um die Befehle auszuführen.

Benutzer müssen möglicherweise die Ausführungsrichtlinie für PowerShell -Ausführungen ändern. Dies kann auf verschiedene Arten erreicht werden:

• Öffnen Sie eine Eingabeaufforderung und führen Sie PowerShell.exe -executionPolicy uneingeschränkt aus und führen Sie Skripte aus dieser PowerShell -Sitzung aus.
• Öffnen Sie eine PowerShell -Eingabeaufforderung und führen Sie SET -ExecutionPolicy -uneingeschränkte SCOPE -Prozess aus und führen Sie Skripte aus der aktuellen PowerShell -Sitzung aus.
• Eröffnen Sie eine administrative PowerShell-Eingabeaufforderung und führen Sie die uneingeschränkte Set-ExecutionPolicy aus und führen Sie Skripte aus jeder PowerShell-Sitzung aus.

Benutzer müssen die heruntergeladene ZIP -Datei entsperren, da sie mit dem Herunterladen aus dem Internet markiert wird, das PowerShell standardmäßig aus der Ausführung blockiert wird. Öffnen Sie eine PowerShell -Eingabeaufforderung und führen Sie die folgenden Befehle aus, um den PowerShell -Code in der ZIP -Datei zu entsperren:

1. cd $env:USERPROFILE
2. cd Downloads
3. Unblock-File -Path '.Windows-Secure-Host-Baseline-master.zip'

Das Ausführen der PowerShell -Skripte in der ZIP -Datei ohne Entbindung der Datei führt zu der folgenden Warnung:

Sicherheitswarnung Führen Sie nur Skripte aus, denen Sie vertrauen. Während Skripte aus dem Internet nützlich sein können, kann dieses Skript Ihren Computer möglicherweise schädigen. Wenn Sie diesem Skript vertrauen, verwenden Sie das CMDLET von UnBlock-Datei, damit das Skript ohne diese Warnmeldung ausgeführt werden kann. Möchten Sie C: Benutzer Benutzer Downloads script.ps1 ausführen? [D] Führen Sie [R] nicht einmal aus.

Wenn die heruntergeladene ZIP -Datei vor dem Extrahieren nicht entsperrt ist, müssen alle einzelnen PowerShell -Dateien, die sich in der ZIP -Datei befanden, entsperrt werden. Sie müssen den folgenden Befehl nach Schritt 5 im Abschnitt Code ausführen:

 Get-ChildItem -Path '.Windows-Secure-Host-Baseline' -Recurse -Include '*.ps1','*.psm1' | Unblock-File -Verbose

Weitere Informationen zur Verwendung finden Sie in der Dokumentation des Entblock-Datei-Befehls.

Extrahieren Sie nun die heruntergeladene Zip -Datei und laden Sie den PowerShell -Code, der für die Anwendung der Richtlinien verwendet wird.

1. Klicken Sie mit der rechten Maustaste auf die ZIP -Datei und wählen Sie alle extrahieren
2. Im Dialogfeld entfernen Sie Windows-Secure-Host-Baseline-Master vom Ende des Pfad
3. Klicken Sie auf die Schaltfläche Extrahieren
4. Benennen Sie den Windows-Secure-Host-Baseline-Master- Ordner in Windows-Secure-Host-Baseline um
5. Öffnen Sie eine PowerShell -Eingabeaufforderung als Administrator
6. Importieren Sie das PowerShell-Modul der Gruppenpolitik, um den Code in die PowerShell-Sitzung zu laden: Import-Module -Name .Windows-Secure-Host-BaselineScriptsGroupPolicy.psm1

Der im Gruppenrichtlinienmodul gefundene Befehl infoke-applysecurehostbaseline ist der Hauptbefehl für die Anwendung von Richtlinien. Standardmäßig wird dieser Befehl:

• Importieren Sie sowohl Computer- als auch Benutzerrichtlinien. Verwenden Sie die Option -policysCopes und geben Sie nur den Wert "Benutzer" oder "Computer" an, um nur Benutzer- oder Computerrichtlinien zu importieren.
• Importieren Richtlinien, die eine Prüfungsoption (z. B. Applocker) im Prüfungsmodus haben. Verwenden Sie die Option -Policymode , um diese Richtlinien im Durchsetzungsmodus zu importieren, und geben Sie den "erzwungenen" Wert an.
• Erstellen Sie eine Sicherungskopie der vorhandenen Richtlinienobjekte der importierten SHB -Gruppen (und Gruppenrichtlinienvorlagen, wenn die Option für -updatetemplates verwendet wird), wenn sie vorhanden sind. Die Backups befinden sich in einem Verzeichnis in %UerProfile % Desktop backup_yyyymmdhhmms, der der Zeit entspricht, als der Befehl ausgeführt wurde. Um diesen Ort zu ändern, verwenden Sie die Option -backuppath und geben Sie einen Pfad zu einem vorhandenen Ordner an, in dem die backup_yyyymmddhmms erstellt wird.
• Aktualisieren Sie die Gruppenrichtlinienvorlagendateien nicht , die den angewandten Gruppenrichtlinienobjekten entsprechen. Verwenden Sie die Option -U -updatetemplates , um die Gruppenrichtlinienvorlagen zu aktualisieren.

Optionen für den Befehl sind:

• -Path - erforderlich. Der Pfad zum Ordner, der das heruntergeladene und extrahierte Github SHB -Repository enthält.
• -PolicyNames - Erforderlich. Die Namen der zu bewerbenen Richtlinien. Kann 1 oder mehr Richtliniennamen sein. Verfügbare Namen: 'ActivClient', 'Adobe Reader', 'Applocker', 'Certificate', 'Chrome', 'Internet Explorer', 'Office 2013', 'Office 2016', 'Windows', 'Windows Firewall'.
• -PolicysCopes - Optional. Der Umfang der Richtlinien, die sich bewerben. Verfügbare Bereiche: 'Computer', 'Benutzer'. Standardmäßig zu "Computer", "Benutzer".
• -PolicyType - Optional. Die Art der Richtlinien, die sich bewerben. Verfügbare Typen: 'Domain', 'lokal'. Standardmäßig zu "Domain", wenn Sie einer Domäne zusammengeschlossen werden. Standardeinstellungen zu "Lokal", wenn Sie sich nicht mit einer Domäne zusammengeschlossen haben.
• -Policymode - optional. Die Art der Richtlinien, die angewendet werden soll, falls die spezifische Richtlinie unterstützt wird. Zum Beispiel unterstützt Applocker Audit- und Durchsetzungsmodi. Verfügbare Modi: "Audit", "erzwungen". Standardmäßig zu "prüfen".
• -Backuppath - optional. Der Pfad zu einem Ordner zum Speichern von Sicherungen vorhandenen importierten SHB -Gruppenrichtlinien (und Gruppenrichtlinienvorlagen, wenn die Option -U -updatetemplates verwendet wird), wenn sie vorhanden sind, falls ein Rollback erforderlich ist. Standardeinstellungen zu $ ​​env: userProfile desktop backup_yyyymmddhhmmss entsprechend dem Zeitpunkt, an dem das Skript ausgeführt wurde.
• -Toolpath - optional. Der Weg zum LGPO -Tool. Erforderlich, wenn PolicyType "lokal" ist.
• -Updatetemplates - optional. Aktualisieren Sie Gruppenrichtlinienvorlagen, die den angewandten Gruppenrichtlinienobjekten entsprechen.

Typ Man Invoke-ApplySecureHostBaseline bei einer PowerShell-Aufforderung zur Aufforderung zu weiteren Hilfe und Beispielen oder eine Frage an den Repository-Issue-Tracker einreichen.

Wenn Sie die SHB -Richtlinien auf ein eigenständiges System anwenden (z. B. nicht mit einer Domäne verbunden), laden Sie das LGPO -Tool aus diesem Microsoft -Blog -Beitrag herunter und extrahieren Sie die ausführbare Datei.

 Invoke-ApplySecureHostBaseline -Path '.Windows-Secure-Host-Baseline' -PolicyNames 'Adobe Reader','AppLocker','Certificates','Chrome','Internet Explorer','Office 2013','Office 2016','Windows','Windows Firewall' -ToolPath '.LGPOlgpo.exe'

Wenn Sie die SHB -Richtlinien auf eine Domäne anwenden, beachten Sie, dass die Gruppenrichtlinienobjekte nur in Active Directory geladen werden. Die Richtlinien sind nicht mit OUS verbunden, sodass die Einstellungen nicht automatisch den Einfluss aufnehmen.

 Invoke-ApplySecureHostBaseline -Path '.Windows-Secure-Host-Baseline' -PolicyNames 'Adobe Reader','AppLocker','Certificates','Chrome','Internet Explorer','Office 2013','Office 2016','Windows','Windows Firewall'

Sobald die Richtlinien angewendet wurden (und mit angemessenen OUs im Domain -Fall verknüpft wurden), finden Sie auf der Compliance -Seite Anweisungen zur Überprüfung der Einhaltung der Richtlinien.

Siehe Lizenz.

Siehe Haftungsausschluss.