Windows Secure Host Baseline

Le Windows Secure Host Baseline (SHB) fournit une approche automatisée et flexible pour aider le DOD à déployer les dernières versions de Windows 10 à l'aide d'un cadre qui peut être consommé par des organisations de toutes tailles.

Le DOD CIO a publié un mémo le 20 novembre 2015 de réalisation de commandes, services, agences et activités sur le terrain (CC / S / AS) pour déployer rapidement le système d'exploitation Windows 10 dans leurs organisations respectives dans le but de terminer le déploiement d'ici la fin de janvier 2017. fin janvier 2017. [1]

Les évaluations formelles de produits soutiennent également le passage à Windows 10. Le National Information Assurance Partnership (NIAP) et le National Institute of Standards and Technology (NIST) supervisent les évaluations des produits informatiques commerciaux pour une utilisation dans les systèmes de sécurité nationale.

• Évaluation des critères communs de Windows 10 par rapport au profil de protection NIAP pour les systèmes d'exploitation à usage général achevés le 5 avril 2016 et mis à jour le 2 février 2017 pour inclure Windows Server 2016.
• Évaluation des critères communs de Windows 10 contre le profil de protection NIAP pour les fondamentaux des appareils mobiles terminés le 29 janvier 2016 et mis à jour le 12 avril 2017 pour inclure Windows Server 2016.
• Évaluation des critères communs de Windows 10 contre le profil de protection NIAP pour les clients IPSec Virtual Private Network (VPN) terminé le 10 novembre 2016 et mis à jour le 29 décembre 2016 pour inclure Windows Server 2016.
• NIST FIPS 140-2 La validation des modules cryptographiques de Windows 10 a été achevée le 2 juin 2016 (voir Numéros de certificat 2600, 2601, 2602, 2603, 2604, 2605, 2606 et 2607).

L'utilisation d'une base de référence hôte sécurisée est l'une des stratégies d'atténuation des 10 meilleures NSA d'assurance de l'information. La ligne de base de l'hôte DOD sécurisée illustre également d'autres stratégies d'atténuation des 10 meilleures IAD telles que l'utilisation de la liste blanche des applications, l'activation des fonctionnalités anti-exploitation et l'utilisation de la dernière version du système d'exploitation et des applications.

Ce référentiel héberge des objets de stratégie de groupe, des vérifications de conformité et des outils de configuration à la prise en charge du framework DOD Secure Host Laseline (SHB) pour Windows 10. Les administrateurs de systèmes de sécurité nationale, tels que ceux qui font partie de la base industrielle de la défense, peuvent tirer parti de ce référentiel au lieu d'accès à la vérification du DOD SHB pour la carte Smart Windows 10 qui accéder à la carte Smart.

Des questions ou des commentaires peuvent être soumis au tracker du numéro de référentiel ou publiés sur les forums de projet de base d'hôte sécurisé Windows 10 sur Software Forge qui nécessite une carte à puce CAC ou PIV pour accéder.

• Le dossier ActivClient contient une stratégie informatique ActivClient pour ceux qui utilisent des connexions de cartes à puce avec le logiciel ActivClient.
• Le dossier Adobe Reader contient Adobe Reader DC Computer and User Stratégies pour la dernière version d'Adobe Reader DC.
• Le dossier Applocker contient une stratégie informatique Applocker pour la dernière version de Windows 10.
• Le dossier Certificates contient une politique informatique pour distribuer les autorités de la racine DoD et des certificats intermédiaires.
• Le dossier Chrome contient une stratégie informatique de navigateur Chrome pour la dernière version de Chrome.
• Le dossier Internet Explorer contient Internet Explorer 11 informatiques et politiques utilisateur pour la dernière version de Windows 10.
• Le dossier de bureau contient Office 2013 et Office 2016 Policy.
• Le dossier Windows contient des stratégies utilisateur et informatiques de Windows 10 pour la dernière version de Windows 10.
• Le dossier de pare-feu Windows contient une stratégie informatique de pare-feu Windows pour la dernière version de Windows 10.

Les scripts pour aider les utilisateurs avec le SHB sont situés dans les sous-dossiers de scripts de chaque composant. Scripts disponibles pour une utilisation jusqu'à présent:

• Adobe Reader
• Certificats
• Chrome
• Général
• Fenêtre

Les fichiers d'audit NESSUS (AKA ACAS dans le DOD) sont inclus dans ce référentiel. Des vérifications de conformité sont disponibles pour:

• Adobe Reader DC
• Chrome
• Internet Explorer
• Fenêtre
• Pare-feu Windows

Les instructions pour exécuter les vérifications de conformité dans un domaine ou un environnement autonome peuvent être trouvées sur la page de conformité.

Pour commencer à utiliser les outils:

1. Téléchargez le référentiel en tant que fichier zip
2. Configurer PowerShell
3. Chargez le code
4. Appliquer les politiques
5. Vérifier la conformité

Téléchargez le code actuel dans votre dossier de téléchargements . Il sera enregistré en tant que Windows-Secure-Host-Baseline-Master.zip par défaut.

Les commandes PowerShell sont destinées à fonctionner à partir d'un système avec au moins PowerShell 3.0 installé. PowerShell peut devoir être configuré pour exécuter les commandes.

Les utilisateurs peuvent avoir besoin de modifier la politique d'exécution PowerShell par défaut. Cela peut être réalisé de différentes manières:

• Ouvrez une invite de commande et exécutez PowerShell.exe -executionPolicy sans restriction et exécutez des scripts de cette session PowerShell.
• Ouvrez une invite PowerShell et exécutez le processus Set-ExécutionPolicy-Scope et exécutez les scripts de la session PowerShell actuelle.
• Ouvrez une invite administrative PowerShell et exécutez Set-ExécutionPolicy sans restriction et exécutez des scripts à partir de toute session PowerShell.

Les utilisateurs devront débloquer le fichier zip téléchargé car il sera marqué comme ayant été téléchargé à partir d'Internet que PowerShell empêchera l'exécution par défaut. Ouvrez une invite PowerShell et exécutez les commandes suivantes pour débloquer le code PowerShell dans le fichier zip:

1. cd $env:USERPROFILE
2. cd Downloads
3. Unblock-File -Path '.Windows-Secure-Host-Baseline-master.zip'

L'exécution des scripts PowerShell à l'intérieur du fichier zip sans débloquer le fichier entraînera l'avertissement suivant:

AVERTISSEMENT DE SÉCURITÉ EXPOIGNER LES SCRIPTS À LA CONFIENCE. Bien que les scripts d'Internet puissent être utiles, ce script peut potentiellement nuire à votre ordinateur. Si vous faites confiance à ce script, utilisez la commande Unlock-File pour permettre au script d'exécuter sans ce message d'avertissement. Voulez-vous exécuter c: users user downloads script.ps1? [D] Ne pas exécuter [r] exécuter une fois [s] suspendre [?] Aide (par défaut est "d"):

Si le fichier zip téléchargé n'est pas débloqué avant de l'extraire, tous les fichiers PowerShell individuels qui étaient dans le fichier zip devront être débloqués. Vous devrez exécuter la commande suivante après l'étape 5 dans la section Code de chargement:

 Get-ChildItem -Path '.Windows-Secure-Host-Baseline' -Recurse -Include '*.ps1','*.psm1' | Unblock-File -Verbose

Voir la documentation de la commande Unlock-File pour plus d'informations sur la façon de les utiliser.

Extraire maintenant le fichier zip téléchargé et chargez le code PowerShell utilisé pour appliquer les politiques.

1. Cliquez avec le bouton droit sur le fichier zip et sélectionnez TOUT
2. Au dialogue, supprimez-vous Windows-Secure-Host-Baseline-Master de la fin du chemin, car il extrait les fichiers vers un dossier Windows-Secure-Host-Baseline-Master par défaut
3. Cliquez sur le bouton Extraire
4. Renommer le dossier Windows-Secure-Host-Baseline-Master à Windows-Secure-Host-Baseline
5. Ouvrez une invite PowerShell en tant qu'administrateur
6. Importez le module PORMITY POWERSHELL de la stratégie de groupe pour charger le code dans la session PowerShell: Import-Module -Name .Windows-Secure-Host-BaselineScriptsGroupPolicy.psm1

La commande invoke-applySecureHostBaseline trouvée dans le module de politique de la politique de groupe est la principale commande pour appliquer des politiques. Par défaut, cette commande sera:

• Importez à la fois les politiques informatiques et utilisateur. Utilisez l'option -policyscopes et spécifiez uniquement la valeur «utilisateur» ou «ordinateur» pour importer uniquement des stratégies utilisateur ou informatique.
• Politiques d'importation, qui ont une option d'audit (par exemple, Applocker), en mode Audit. Pour importer ces politiques en mode application, utilisez l'option -policymode et spécifiez la valeur «appliquée» .
• Faites une copie de sauvegarde des objets de stratégie de groupe SHB importés existants (et des modèles de stratégie de groupe si l'option -updatemplate est utilisée) si elles existent. Les sauvegardes seront dans un répertoire situé à % uerprofile% Desktop backup_yyymmmddhhmmss correspondant au moment où la commande a été exécutée. Pour modifier cet emplacement, utilisez l'option -backuppath et spécifiez un chemin vers un dossier existant où le backup_yyymmddhhmms sera créé.
• ne pas mettre à jour les fichiers de modèle de stratégie de groupe qui correspondent aux objets de stratégie de groupe appliqués. Utilisez l'option -updatemplates pour mettre à jour les modèles de stratégie de groupe.

Les options pour la commande sont:

• -Path - requis. Le chemin d'accès au dossier contenant le référentiel GitHub SHB téléchargé et extrait.
• -PolicyNames - requis. Les noms des politiques à postuler. Peut être 1 ou plusieurs noms de stratégie. Noms disponibles: «ActivClient», «Adobe Reader», «Applocker», «Certificates», «Chrome», «Internet Explorer», «Office 2013», `` Office 2016 »,« Windows »,« Windows Firewall ».
• -PolicyScopes - Facultatif. La portée des politiques à postuler. Scopes disponibles: «ordinateur», «utilisateur». Par défaut est «ordinateur», «utilisateur».
• -PolicyType - Facultatif. Le type de politiques à appliquer. Types disponibles: «domaine», «local». Par défaut «domaine» lorsqu'il est joint à un domaine. Par défaut «local» lorsqu'il n'est pas joint à un domaine.
• -PolicyMode - Facultatif. Le mode de politiques à appliquer, s'il est soutenu par la politique spécifique. Par exemple, Applocker prend en charge les modes d'audit et d'application. Modes disponibles: «audit», «appliqué». Par défaut «Audit».
• -Backuppath - Facultatif. Le chemin d'accès à un dossier pour enregistrer les sauvegardes des objets de stratégie de groupe SHB importés existants (et les modèles de stratégie de groupe si l'option -updateTEmplate est utilisée) si elles existent en cas de retour en arrière. Par défaut est $ env: userProfile Desktop backup_yyymmddhhmmss correspondant au moment où le script a été exécuté.
• -ToolPath - Facultatif. Le chemin d'accès à l'outil LGPO. Requis lorsque PolicyType est «local».
• -UpDateTemplates - Facultatif. Mettez à jour les modèles de stratégie de groupe qui correspondent aux objets de stratégie de groupe appliqués.

Type Man Invoke-ApplySecureHostBaseline à une invite PowerShell pour plus d'aide et d'exemples ou soumettre une question au suivi du numéro de référentiel.

Si vous appliquez les politiques SHB à un système autonome (par exemple, non joint à un domaine), téléchargez l'outil LGPO à partir de cet article de blog Microsoft et extraire l'exécutable.

 Invoke-ApplySecureHostBaseline -Path '.Windows-Secure-Host-Baseline' -PolicyNames 'Adobe Reader','AppLocker','Certificates','Chrome','Internet Explorer','Office 2013','Office 2016','Windows','Windows Firewall' -ToolPath '.LGPOlgpo.exe'

Si vous appliquez les politiques SHB à un domaine, notez que les objets de stratégie de groupe ne sont chargés que dans Active Directory. Les politiques ne sont liées à aucune OUS afin que les paramètres ne prennent pas automatiquement l'affect.

 Invoke-ApplySecureHostBaseline -Path '.Windows-Secure-Host-Baseline' -PolicyNames 'Adobe Reader','AppLocker','Certificates','Chrome','Internet Explorer','Office 2013','Office 2016','Windows','Windows Firewall'

Une fois que les politiques ont été appliquées (et liées à l'OUS appropriée dans le cas du domaine), consultez la page de conformité pour des instructions sur la façon de vérifier la conformité aux politiques.

Voir la licence.

Voir l'avertissement.