Windows Secure Host Baseline

Windows Secure Host Baseline (SHB) memberikan pendekatan otomatis dan fleksibel untuk membantu DOD dalam menggunakan rilis terbaru Windows 10 menggunakan kerangka kerja yang dapat dikonsumsi oleh organisasi dari semua ukuran.

The DoD CIO issued a memo on November 20, 2015 directing Combatant Commands, Services, Agencies and Field Activities (CC/S/As) to rapidly deploy the Windows 10 operating system throughout their respective organizations with the objective of completing deployment by the end of January 2017. The Deputy Secretary of Defense issued a memo on February 26, 2016 directing the DoD to complete a rapid deployment and transition to Microsoft Windows 10 Secure Host Baseline pada akhir Januari 2017. [1]

Evaluasi produk formal juga mendukung kepindahan ke Windows 10. Kemitraan Informasi Informasi Nasional (NIAP) dan Institut Nasional Standar dan Teknologi (NIST) mengawasi evaluasi produk TI komersial untuk digunakan dalam sistem keamanan nasional.

• Evaluasi kriteria umum Windows 10 terhadap profil perlindungan NIAP untuk sistem operasi tujuan umum selesai 5 April 2016 dan diperbarui 2 Februari 2017 untuk memasukkan Windows Server 2016.
• Evaluasi kriteria umum Windows 10 terhadap profil perlindungan NIAP untuk fundamental perangkat seluler yang diselesaikan 29 Januari 2016 dan diperbarui 12 April 2017 untuk memasukkan Windows Server 2016.
• Evaluasi kriteria umum Windows 10 terhadap profil perlindungan NIAP untuk klien IPSEC Virtual Private Network (VPN) yang diselesaikan 10 November 2016 dan diperbarui 29 Desember 2016 untuk memasukkan Windows Server 2016.
• NIST FIPS 140-2 Validasi modul kriptografi Windows 10 diselesaikan pada 2 Juni 2016 (lihat Nomor Sertifikat 2600, 2601, 2602, 2603, 2604, 2605, 2606, dan 2607).

Menggunakan garis dasar host yang aman adalah salah satu dari 10 strategi mitigasi teratas NSA Assurance. Baseline Host Secure DoD juga mencontohkan 10 strategi mitigasi teratas IAD lainnya seperti menggunakan daftar putih aplikasi, memungkinkan fitur anti-eksploitasi, dan menggunakan versi terbaru dari sistem operasi dan aplikasi.

This repository hosts Group Policy objects, compliance checks, and configuration tools in support of the DoD Secure Host Baseline (SHB) framework for Windows 10. Administrators of National Security Systems, such as those who are part of the Defense Industrial Base, can leverage this repository in lieu of access to the DoD SHB framework for Windows 10 which requires a Common Access Card (CAC) or Personal Identification Verification (PIV) smart card to access.

Pertanyaan atau komentar dapat dikirimkan ke pelacak edisi repositori atau diposting di forum proyek dasar host Windows 10 Secure di Software Forge yang memerlukan kartu pintar CAC atau PIV untuk diakses.

• Folder ActivClient berisi Kebijakan Komputer ActivClient untuk mereka yang menggunakan Smart Card Logon dengan ActivClient Software.
• Folder Adobe Reader berisi Adobe Reader DC Computer dan kebijakan pengguna untuk versi terbaru Adobe Reader DC.
• Folder Applocker berisi kebijakan komputer Applocker untuk versi terbaru Windows 10.
• Folder sertifikat berisi kebijakan komputer untuk mendistribusikan root DoD dan otoritas sertifikat menengah.
• Folder Chrome berisi kebijakan komputer browser Chrome untuk versi terbaru Chrome.
• Folder Internet Explorer berisi kebijakan Internet Explorer 11 dan kebijakan pengguna untuk versi terbaru Windows 10.
• Folder kantor berisi kebijakan Office 2013 dan Office 2016.
• Folder Windows berisi kebijakan pengguna dan komputer Windows 10 untuk versi terbaru Windows 10.
• Folder Windows Firewall berisi kebijakan komputer Windows Firewall untuk versi terbaru Windows 10.

Script untuk membantu pengguna dengan SHB terletak di sub folder skrip dari masing -masing komponen. Skrip tersedia untuk digunakan sejauh ini:

• Adobe Reader
• Sertifikat
• Chrome
• Umum
• Windows

File audit Nessus (alias ACAS dalam DoD) disertakan dalam repositori ini. Pemeriksaan kepatuhan tersedia untuk:

• Adobe Reader DC
• Chrome
• Penjelajah Internet
• Windows
• Windows Firewall

Instruksi untuk menjalankan pemeriksaan kepatuhan dalam domain atau lingkungan mandiri dapat ditemukan di halaman kepatuhan.

Untuk memulai menggunakan alat:

1. Unduh repositori sebagai file zip
2. Konfigurasikan PowerShell
3. Muat kode
4. Menerapkan kebijakan
5. Periksa kepatuhan

Unduh kode saat ini ke folder unduhan Anda. Ini akan disimpan sebagai windows-secure-host-baseline-master.zip secara default.

Perintah PowerShell dimaksudkan untuk dijalankan dari sistem dengan setidaknya PowerShell 3.0 terpasang. PowerShell mungkin perlu dikonfigurasi untuk menjalankan perintah.

Pengguna mungkin perlu mengubah kebijakan eksekusi PowerShell default. Ini dapat dicapai dengan sejumlah cara yang berbeda:

• Buka prompt perintah dan jalankan PowerShell.exe -ExecutionPolicy tidak dibatasi dan jalankan skrip dari sesi PowerShell itu.
• Buka PowerShell Prompt dan jalankan set -ExecutionPolicy tidak dibatasi -scope proses dan jalankan skrip dari sesi PowerShell saat ini.
• Buka prompt PowerShell administratif dan jalankan set-eksekusi tidak dibatasi dan jalankan skrip dari sesi PowerShell apa pun.

Pengguna perlu membuka blokir file zip yang diunduh karena akan ditandai sebagai telah diunduh dari internet yang akan diblokir oleh PowerShell dari dieksekusi secara default. Buka Prompt PowerShell dan jalankan perintah berikut untuk membuka blokir kode PowerShell dalam file zip:

1. cd $env:USERPROFILE
2. cd Downloads
3. Unblock-File -Path '.Windows-Secure-Host-Baseline-master.zip'

Menjalankan skrip PowerShell di dalam file zip tanpa membuka blokir file akan menghasilkan peringatan berikut:

Peringatan Keamanan Jalankan hanya skrip yang Anda percayai. Meskipun skrip dari internet dapat bermanfaat, skrip ini berpotensi membahayakan komputer Anda. Jika Anda mempercayai skrip ini, gunakan cmdlet unblock-file untuk memungkinkan skrip berjalan tanpa pesan peringatan ini. Apakah Anda ingin menjalankan C: USERS USER unduhan script.ps1? [D] Jangan jalankan [r] run sekali [s] tanggul [?] Bantuan (default adalah "d"):

Jika file zip yang diunduh tidak diblokir sebelum mengekstraknya, maka semua file PowerShell individu yang ada di file zip harus diblokir. Anda perlu menjalankan perintah berikut setelah langkah 5 di bagian memuat kode:

 Get-ChildItem -Path '.Windows-Secure-Host-Baseline' -Recurse -Include '*.ps1','*.psm1' | Unblock-File -Verbose

Lihat dokumentasi perintah unblock-file untuk informasi lebih lanjut tentang cara menggunakannya.

Sekarang ekstrak file zip yang diunduh dan muat kode PowerShell yang digunakan untuk menerapkan kebijakan.

1. Klik kanan pada file zip dan pilih Extract All
2. Di dialog, hapus windows-secure-host-baseline-master dari ujung jalur karena akan mengekstrak file ke folder windows-secure-host-baseline-master secara default
3. Klik tombol Ekstrak
4. Ubah nama folder Windows-Secure-Host-Baseline-Master ke Windows-Secure-Host-Baseline
5. Buka Prompt PowerShell sebagai Administrator
6. Impor Modul Kebijakan Grup PowerShell untuk memuat kode ke dalam sesi PowerShell: Import-Module -Name .Windows-Secure-Host-BaselineScriptsGroupPolicy.psm1

Perintah Invoke-ApplySecurehostBaseline yang ditemukan dalam Modul Kebijakan Grup PowerShell adalah perintah utama untuk menerapkan kebijakan. Secara default perintah ini akan:

• Impor kebijakan komputer dan pengguna. Gunakan opsi -policyscopes dan tentukan hanya nilai 'pengguna' atau 'komputer' untuk mengimpor hanya kebijakan pengguna atau komputer.
• Kebijakan impor, yang memiliki opsi audit (misalnya applocker), dalam mode audit. Untuk mengimpor kebijakan tersebut dalam mode penegakan hukum, gunakan opsi -policymode dan tentukan nilai 'diberlakukan' .
• Buat salinan cadangan dari objek kebijakan grup SHB yang diimpor yang ada (dan templat kebijakan grup jika opsi -updateTemplates digunakan) jika ada. Cadangan akan berada di direktori yang terletak di %uerprofile % desktop backup_yyyymmddhhmmss sesuai dengan waktu ketika perintah dieksekusi. Untuk mengubah lokasi ini, gunakan opsi -Backuppath dan tentukan jalur ke folder yang ada di mana backup_yyyymmddhhmmss akan dibuat.
• tidak memperbarui file templat kebijakan grup yang sesuai dengan objek kebijakan grup yang diterapkan. Gunakan opsi -upDateTemplates untuk memperbarui templat kebijakan grup.

Opsi untuk perintah ini adalah:

• -Path - Diperlukan. Jalur ke folder yang berisi repositori GitHub SHB yang diunduh dan diekstraksi.
• -Policynames - Diperlukan. Nama -nama kebijakan untuk diterapkan. Bisa 1 atau lebih nama kebijakan. Nama yang Tersedia: 'ActivClient', 'Adobe Reader', 'Applocker', 'Sertifikat', 'Chrome', 'Internet Explorer', 'Office 2013', 'Office 2016', 'Windows', 'Windows Firewall'.
• -Policyscopes - Opsional. Ruang lingkup kebijakan untuk diterapkan. Lingkup yang tersedia: 'komputer', 'pengguna'. Default ke 'komputer', 'pengguna'.
• -PolicyType - Opsional. Jenis kebijakan yang harus diterapkan. Jenis yang tersedia: 'domain', 'lokal'. Default ke 'domain' saat bergabung ke domain. Default ke 'lokal' ketika tidak bergabung dengan domain.
• -Policymode - Opsional. Mode kebijakan untuk diterapkan, jika didukung oleh kebijakan spesifik. Misalnya, AppLocker mendukung mode audit dan penegakan hukum. Mode yang tersedia: 'Audit', 'ditegakkan'. Default untuk 'audit'.
• -Backuppath - Opsional. Jalur ke folder untuk menyimpan cadangan objek kebijakan grup SHB yang diimpor yang ada (dan template kebijakan grup jika opsi -upDateTemplates digunakan) jika ada jika diperlukan rollback. Default ke $ env: userprofile desktop backup_yyyymmddhhmmss sesuai dengan saat skrip dieksekusi.
• -Toolpath - opsional. Jalur ke alat LGPO. Diperlukan saat PolicyType adalah 'lokal'.
• -PdateTemplates - Opsional. Perbarui templat kebijakan grup yang sesuai dengan objek kebijakan grup yang diterapkan.

Type Man Invoke-ApplySecureHostBaseline pada prompt PowerShell untuk bantuan dan contoh lebih lanjut atau mengirimkan pertanyaan kepada pelacak masalah repositori.

Jika menerapkan kebijakan SHB ke sistem mandiri (misalnya tidak bergabung ke domain), maka unduh alat LGPO dari posting blog Microsoft ini dan ekstrak yang dapat dieksekusi.

 Invoke-ApplySecureHostBaseline -Path '.Windows-Secure-Host-Baseline' -PolicyNames 'Adobe Reader','AppLocker','Certificates','Chrome','Internet Explorer','Office 2013','Office 2016','Windows','Windows Firewall' -ToolPath '.LGPOlgpo.exe'

Jika menerapkan kebijakan SHB ke domain, perhatikan bahwa objek kebijakan grup hanya dimuat ke Direktori Aktif. Kebijakan tidak ditautkan ke ous apa pun sehingga pengaturan tidak secara otomatis memengaruhi.

 Invoke-ApplySecureHostBaseline -Path '.Windows-Secure-Host-Baseline' -PolicyNames 'Adobe Reader','AppLocker','Certificates','Chrome','Internet Explorer','Office 2013','Office 2016','Windows','Windows Firewall'

Setelah kebijakan telah diterapkan (dan ditautkan ke OU yang sesuai dalam kasus domain), lihat halaman kepatuhan untuk instruksi tentang cara memeriksa kepatuhan terhadap kebijakan.

Lihat lisensi.

Lihat Penafian.