Windows Secure Host Baseline

La línea de base de Windows Secure Host (SHB) proporciona un enfoque automatizado y flexible para ayudar al DOD a implementar las últimas versiones de Windows 10 utilizando un marco que pueden consumir organizaciones de todos los tamaños.

El CIO del DOD emitió un memorando el 20 de noviembre de 2015 que dirigiera los comandos de combatientes, servicios, agencias y actividades de campo (CC/S/AS) para implementar rápidamente el sistema operativo de Windows 10 a lo largo de sus respectivas organizaciones con el objetivo de completar el despliegue a fines de enero de 2017. El subsecretario de la defensa de la defensa se lleva a la Memo del 26 de febrero de 2016, ordenando el DOD a la rápida desplegación y la transición de Windows a la configuración de Windows. a fines de enero de 2017. [1]

Las evaluaciones formales de productos también respaldan la mudanza a Windows 10. La Asociación Nacional de Aseguramiento de la Información (NIAP) y el Instituto Nacional de Normas y Tecnología (NIST) supervisa las evaluaciones de productos de TI comerciales para su uso en sistemas de seguridad nacional.

• Evaluación de criterios comunes de Windows 10 contra el perfil de protección de NIAP para sistemas operativos de propósito general completado el 5 de abril de 2016 y actualizado el 2 de febrero de 2017 para incluir Windows Server 2016.
• Evaluación de criterios comunes de Windows 10 contra el perfil de protección NIAP para los fundamentos de dispositivos móviles completados el 29 de enero de 2016 y actualizado el 12 de abril de 2017 para incluir Windows Server 2016.
• Evaluación de criterios comunes de Windows 10 contra el perfil de protección NIAP para clientes de red privada virtual (VPN) de IPSEC completó el 10 de noviembre de 2016 y se actualizó el 29 de diciembre de 2016 para incluir Windows Server 2016.
• NIST FIPS 140-2 Validación de los módulos criptográficos de Windows 10 se completó el 2 de junio de 2016 (ver números de certificado 2600, 2601, 2602, 2603, 2604, 2605, 2606 y 2607).

El uso de una línea de base de host segura es una de las 10 estrategias de mitigación de la Garantía de Información de la NSA. La línea de base del host Secure de DOD también ejemplifica otras 10 estrategias de mitigación principales de la AIA, como usar la lista blanca de aplicaciones, habilitar funciones anti-explotación y usar la última versión del sistema operativo y las aplicaciones.

Este repositorio aloja objetos de política de grupo, verificaciones de cumplimiento y herramientas de configuración en apoyo del marco de línea de base del host Secure (SHB) del DOD (SHB) para Windows 10. Administradores de sistemas de seguridad nacional, como aquellos que forman parte de la base industrial de defensa, pueden aprovechar este respaldo en lugar de acceso al DOD SHB para Windows 10 que requiere una tarjeta de acceso común (CAC) o una verificación personal de identificación personal (PIV) a acceso a la carta de acceso inteligente.

Las preguntas o comentarios se pueden enviar al rastreador de problemas del repositorio o publicar en los foros de proyectos de línea de base de Host Secure de Windows 10 en Forja de software que requiere una tarjeta inteligente CAC o PIV para acceder.

• La carpeta ActivClient contiene una política informática de ActivClient para aquellos que usan los inicios de sesión de tarjetas inteligentes con el software ActivClient.
• La carpeta Adobe Reader contiene la computadora Adobe Reader DC y las políticas de usuario para la última versión de Adobe Reader DC.
• La carpeta de Applocker contiene la política informática de Applocker para la última versión de Windows 10.
• La carpeta de certificados contiene una política informática para distribuir las autoridades de certificado de raíz DOD y intermedia.
• La carpeta Chrome contiene la política informática del navegador Chrome para la última versión de Chrome.
• La carpeta de Internet Explorer contiene las políticas de computadora y usuario de Internet Explorer 11 para la última versión de Windows 10.
• La carpeta de la oficina contiene la política de Office 2013 y Office 2016.
• La carpeta Windows contiene políticas de usuario y computadora de Windows 10 para la última versión de Windows 10.
• La carpeta Windows Firewall contiene la política informática de Windows Firewall para la última versión de Windows 10.

Los scripts para ayudar a los usuarios con el SHB se encuentran en las subpoletas de Scripts de cada componente. Scripts disponibles para su uso hasta ahora:

• Lector de adobe
• Certificados
• Cromo
• General
• Windows

Los archivos de auditoría de Nessus (también conocido como ACAS en el DOD) se incluyen en este repositorio. Los controles de cumplimiento están disponibles para:

• Adobe Reader DC
• Cromo
• Explorador de Internet
• Windows
• Firewall de Windows

Las instrucciones para ejecutar las verificaciones de cumplimiento en un dominio o entorno independiente se pueden encontrar en la página de cumplimiento.

Para comenzar a usar las herramientas:

1. Descargue el repositorio como un archivo zip
2. Configurar PowerShell
3. Carga el código
4. Aplicar las políticas
5. Verifique el cumplimiento

Descargue el código actual en su carpeta de descargas . Se guardará como Windows-Secure-Host-Baseline-Master.zip de forma predeterminada.

Los comandos de PowerShell están destinados a ejecutarse desde un sistema con al menos PowerShell 3.0 instalados. PowerShell es posible que deba configurarse para ejecutar los comandos.

Los usuarios pueden necesitar cambiar la política de ejecución PowerShell predeterminada. Esto se puede lograr de diferentes maneras:

• Abra un símbolo del sistema y ejecute PowerShell.exe -ExecutionPolicy sin restricciones y ejecute scripts de esa sesión de PowerShell.
• Abra un mensaje de PowerShell y ejecute el proceso Set -ExecutionPolicy sin restricciones y ejecute scripts desde la sesión actual de PowerShell.
• Abra un indicador administrativo de PowerShell y ejecute Set-ExecutionPolicy sin restricciones y ejecute scripts de cualquier sesión de PowerShell.

Los usuarios deberán desbloquear el archivo ZIP descargado, ya que se marcará como que se descargue de Internet, que PowerShell bloqueará la ejecución de forma predeterminada. Abra un aviso de PowerShell y ejecute los siguientes comandos para desbloquear el código PowerShell en el archivo zip:

1. cd $env:USERPROFILE
2. cd Downloads
3. Unblock-File -Path '.Windows-Secure-Host-Baseline-master.zip'

Ejecutar los scripts de PowerShell dentro del archivo zip sin desbloquear el archivo dará como resultado la siguiente advertencia:

Advertencia de seguridad solo ejecuta scripts en los que confía. Si bien los scripts de Internet pueden ser útiles, este script puede dañar su computadora. Si confía en este script, use el cmdlet de archivo de desbloqueo para permitir que el script se ejecute sin este mensaje de advertencia. ¿Quieres ejecutar C: Users User downloads script.ps1? [D] No ejecute [r] ejecute una vez que [s] suspenda [?] Ayuda (el valor predeterminado es "d"):

Si el archivo zip descargado no está desbloqueado antes de extraerlo, entonces todos los archivos de PowerShell individuales que estaban en el archivo zip deberán desbloquear. Deberá ejecutar el siguiente comando después del paso 5 en la sección Cargando la sección del código:

 Get-ChildItem -Path '.Windows-Secure-Host-Baseline' -Recurse -Include '*.ps1','*.psm1' | Unblock-File -Verbose

Consulte la documentación del comando de archivo de desbloqueo para obtener más información sobre cómo usarla.

Ahora extraiga el archivo zip descargado y cargue el código PowerShell utilizado para aplicar las políticas.

1. Haga clic derecho en el archivo zip y seleccione extraer todo
2. En el diálogo, elimine Windows-Secure-Host-Baseline-Master desde el final de la ruta, ya que extraerá los archivos a una carpeta Windows-Secure-Host-Baseline-Master de forma predeterminada
3. Haga clic en el botón Extraer
4. Cambie el nombre de la carpeta Windows-Secure-Host-Baseline-Master a Windows-Secure-Host-Baseline
5. Abra un aviso de PowerShell como administrador
6. Importe el módulo de Política de Política de grupo para cargar el código en la sesión de PowerShell: Import-Module -Name .Windows-Secure-Host-BaselineScriptsGroupPolicy.psm1

El comando Invoke-ApplySeCureHostBaseline que se encuentra en el módulo de Política de PowerShell de grupo es el comando principal para aplicar políticas. Por defecto, este comando:

• Importar políticas de computadora y usuario. Use la opción -PolicyScopes y especifique solo el valor 'Usuario' o 'Computadora' para importar solo políticas de usuario o computadora.
• Importar políticas, que tienen una opción de auditoría (por ejemplo, Applocker), en modo de auditoría. Para importar esas políticas en modo de cumplimiento, use la opción -policymode y especifique el valor 'forzado' .
• Realice una copia de copia de seguridad de los objetos de política de grupo SHB importados existentes (y las plantillas de política de grupo si se usa la opción -updateTemplates) si existen. Las copias de seguridad estarán en un directorio ubicado en %UerProfile % Desktop backup_yyyymmddhhmmss correspondiente al momento en que se ejecutó el comando. Para cambiar esta ubicación, use la opción -backuppath y especifique una ruta a una carpeta existente donde se creará el copia de seguridad_yyyyMMDDHHMMSS.
• No actualice los archivos de plantilla de política de grupo que corresponden a los objetos de política de grupo aplicado. Use la opción -updateTemplates para actualizar las plantillas de políticas de grupo.

Las opciones para el comando son:

• -Path - requerido. La ruta a la carpeta que contiene el repositorio GitHub SHB descargado y extraído.
• -Policynames - requerido. Los nombres de las políticas para aplicar. Puede ser 1 o más nombres de políticas. Nombres disponibles: 'ActivClient', 'Adobe Reader', 'Applocker', 'Certificados', 'Chrome', 'Internet Explorer', 'Office 2013', 'Office 2016', 'Windows', 'Windows Firewall'.
• -PolicyScopes - opcional. El alcance de las políticas para aplicar. ESCOPES DISPONIBLES: 'Computadora', 'Usuario'. El valor predeterminado es 'computadora', 'usuario'.
• -PolicyType - Opcional. El tipo de políticas para aplicar. Tipos disponibles: 'dominio', 'local'. El valor predeterminado es 'dominio' cuando se une a un dominio. El valor predeterminado es 'local' cuando no se une a un dominio.
• -PolicyMode - opcional. El modo de aplicación para aplicar, si es compatible con la política específica. Por ejemplo, Applocker admite modos de auditoría y aplicación. Modos disponibles: 'Auditoría', 'Formado'. El valor predeterminado es 'Auditoría'.
• -BackUppath - opcional. La ruta a una carpeta para guardar las copias de seguridad de los objetos de política de grupo SHB importados existentes (y las plantillas de política de grupo si se usa la opción -updateTemplates) si existen en caso de que se necesite una reversión. El valor predeterminado es $ env: userProfile Desktop backup_yyyymmddhhmmss correspondiente a cuando se ejecutó el script.
• -Toolpath - opcional. El camino a la herramienta LGPO. Requerido cuando PolicyType es 'local'.
• -UpdateTemplates - opcional. Actualizar plantillas de política de grupo que corresponden a los objetos de política de grupo aplicado.

Escriba el hombre Invoke-ApplySecureHostBaseline en una solicitud de PowerShell para obtener más ayuda y ejemplos o envíe una pregunta al rastreador de problemas del repositorio.

Si aplica las políticas de SHB a un sistema independiente (por ejemplo, no unido a un dominio), descargue la herramienta LGPO de esta publicación de blog de Microsoft y extraiga el ejecutable.

 Invoke-ApplySecureHostBaseline -Path '.Windows-Secure-Host-Baseline' -PolicyNames 'Adobe Reader','AppLocker','Certificates','Chrome','Internet Explorer','Office 2013','Office 2016','Windows','Windows Firewall' -ToolPath '.LGPOlgpo.exe'

Si aplica las políticas de SHB a un dominio, tenga en cuenta que los objetos de la política del grupo solo se cargan en Active Directory. Las políticas no están vinculadas a ningún OUS, por lo que la configuración no tiene efecto automáticamente.

 Invoke-ApplySecureHostBaseline -Path '.Windows-Secure-Host-Baseline' -PolicyNames 'Adobe Reader','AppLocker','Certificates','Chrome','Internet Explorer','Office 2013','Office 2016','Windows','Windows Firewall'

Una vez que las políticas se hayan aplicado (y vinculadas a los OUS apropiados en el caso de dominio), consulte la página de cumplimiento para obtener instrucciones sobre cómo verificar el cumplimiento de las políticas.

Ver licencia.

Ver descargo de responsabilidad.