ホーム>プログラミング関連>その他のソースコード
ダウンロード

Windowsセキュアホストベースライン

Windowsセキュアホストベースラインについて

Windows Secure Host Baseline(SHB)は、すべてのサイズの組織が消費できるフレームワークを使用して、Windows 10の最新リリースを展開する際にDODを支援するための自動化された柔軟なアプローチを提供します。

DOD CIOは、2015年11月20日に、戦闘員、サービス、機関、フィールドアクティビティ(CC/S/AS)を指示するメモを発行し、2017年1月末までに展開を完了する目的で、それぞれの組織全体でWindows 10オペレーティングシステムを迅速に展開するよう指示しました。 2017年1月末までにホストベースラインを保護します。[1]

正式な製品評価は、Windows 10への移行もサポートしています。NationalInformation Assurance Partnership(NIAP)およびNational Institute of Standards and Technology(NIST)は、国家安全保障システムで使用する商用IT製品の評価を監督しています。

  • 2016年4月5日に完了した汎用オペレーティングシステムのNIAP保護プロファイルに対するWindows 10の一般的な基準評価は、2017年2月2日に更新され、Windows Server 2016を含めました。
  • 2016年1月29日に完了し、2017年4月12日に更新されてWindows Server 2016を含めるために、モバイルデバイスの基礎に対するNIAP保護プロファイルに対するWindows 10の一般的な基準評価。
  • IPSEC仮想プライベートネットワーク(VPN)クライアントのNIAP保護プロファイルに対するWindows 10の一般的な基準評価2016年11月10日に完了し、2016年12月29日に更新されてWindows Server 2016を含めました。
  • NIST FIPS 140-2 Windows 10の検証は、2016年6月2日に完了しました(証明書番号2600、2601、2602、2603、2604、2605、2606、および2607を参照)。

安全なホストベースラインを使用することは、NSA情報保証のトップ10緩和戦略の1つです。 DOD Secure Host Baselineは、アプリケーションホワイトリストの使用、アンチエクスプロイテーション機能の有効化、最新バージョンのオペレーティングシステムとアプリケーションの使用など、他のIADトップ10の緩和戦略も例示しています。

このリポジトリについて

このリポジトリは、Groupポリシーオブジェクト、コンプライアンスチェック、およびDODセキュアーホストベースライン(SHB)Framework for Windows 10をホストしています。防衛産業ベースの一部である国家セキュリティシステムの管理者は、Windows 10のCAC(CAC)にアクセスする必要があるDOD SHBフレームワークへのアクセスの代わりにこのリポジトリを活用できます。

質問またはコメントは、リポジトリの問題トラッカーに提出するか、CACまたはPIVスマートカードをアクセスする必要があるソフトウェアForgeに関するWindows 10 Secure Host Baseline Project Forumsに投稿できます。

リポジトリコンテンツ

グループポリシーオブジェクト

  • ActivClientフォルダーには、ActivClientソフトウェアを使用してスマートカードログオンを使用する人向けのActivClientコンピューターポリシーが含まれています。
  • Adobe Readerフォルダーには、Adobe Reader DCの最新バージョンのAdobe Reader DCコンピューターとユーザーポリシーが含まれています。
  • Applockerフォルダーには、Windows 10の最新バージョン用のApplockerコンピューターポリシーが含まれています。
  • 証明書フォルダーには、DODルートおよび中級証明書当局を配布するためのコンピューターポリシーが含まれています。
  • Chromeフォルダーには、Chromeの最新バージョン用のChromeブラウザコンピューターポリシーが含まれています。
  • Internet Explorerフォルダーには、Windows 10の最新バージョン用のInternet Explorer 11コンピューターとユーザーポリシーが含まれています。
  • Officeフォルダーには、Office 2013およびOffice 2016ポリシーが含まれています。
  • Windowsフォルダーには、Windows 10の最新バージョンのWindows 10ユーザーとコンピューターポリシーが含まれています。
  • Windowsファイアウォールフォルダーには、Windows 10の最新バージョン用のWindowsファイアウォールコンピューターポリシーが含まれています。

スクリプトとツール

SHBでユーザーを支援するためのスクリプトは、各コンポーネントのスクリプトサブフォルダーにあります。これまでに使用できるスクリプト:

  • アドビリーダー
  • 証明書
  • クロム
  • 一般的な
  • Windows

コンプライアンスチェック

Nessus(別名DODのACA)監査ファイルはこのリポジトリに含まれています。コンプライアンスチェックは以下を利用できます。

  • Adobe Reader DC
  • クロム
  • インターネットエクスプローラー
  • Windows
  • Windowsファイアウォール

ドメインまたはスタンドアロン環境でコンプライアンスチェックを実行するための手順は、コンプライアンスページにあります。

はじめる

ツールの使用を開始するには:

  1. zipファイルとしてリポジトリをダウンロードします
  2. PowerShellを構成します
  3. コードをロードします
  4. ポリシーを適用します
  5. コンプライアンスを確認してください

リポジトリのダウンロード

現在のコードをダウンロードフォルダーにダウンロードします。デフォルトでは、 Windows-Secure-Host-Baseline-Master.Zipとして保存されます。

PowerShell環境の構成

PowerShellコマンドは、少なくともPowerShell 3.0がインストールされているシステムから実行することを目的としています。 PowerShellは、コマンドを実行するように構成する必要がある場合があります。

PowerShell実行ポリシーの変更

ユーザーは、デフォルトのPowerShell実行ポリシーを変更する必要がある場合があります。これは、さまざまな方法で達成できます。

  • コマンドプロンプトを開き、 PowerShell.exe -ExecutionPolicyを実行し、そのPowerShellセッションからスクリプトを実行します。
  • PowerShellプロンプトを開き、 Set -ExecutionPolicyの無制限のスコーププロセスを実行し、現在のPowerShellセッションからスクリプトを実行します。
  • 管理PowerShellプロンプトを開き、 Set-ExecutionPolicyを無制限に実行し、PowerShellセッションからスクリプトを実行します。

PowerShellスクリプトのブロックを解除します

ユーザーは、PowerShellがデフォルトで実行されるのをブロックするインターネットからダウンロードされたものとしてマークされるため、ダウンロードしたZIPファイルのブロックを解除する必要があります。 PowerShellプロンプトを開き、次のコマンドを実行して、ZIPファイルのPowerShellコードのブロックを解除します。

  1. cd $env:USERPROFILE
  2. cd Downloads
  3. Unblock-File -Path '.Windows-Secure-Host-Baseline-master.zip'

ファイルを解除せずにzipファイル内でPowerShellスクリプトを実行すると、次の警告が発生します。

セキュリティ警告あなたが信頼するスクリプトのみを実行します。インターネットからのスクリプトは便利ですが、このスクリプトはコンピューターに害を及ぼす可能性があります。このスクリプトを信頼する場合は、Unblock-File cmdletを使用して、この警告メッセージなしでスクリプトを実行できるようにします。 c: uses user downloads script.ps1を実行しますか? [d]一度[s] suspend [?]ヘルプを実行しないでください(デフォルトは「d」):

ダウンロードされたzipファイルが抽出される前にブロックされていない場合、zipファイルにある個々のpowershellファイルはすべてブロック解除する必要があります。コードセクションのロードでステップ5の後に次のコマンドを実行する必要があります。 

 Get-ChildItem -Path '.Windows-Secure-Host-Baseline' -Recurse -Include '*.ps1','*.psm1' | Unblock-File -Verbose

使用方法の詳細については、Unblock-Fileコマンドのドキュメントを参照してください。

コードの読み込み

次に、ダウンロードしたzipファイルを抽出し、ポリシーの適用に使用されるPowerShellコードをロードします。

  1. zipファイルを右クリックして、すべてを抽出します
  2. ダイアログでは、デフォルトでファイルをWindows-Secure-Hast-Baseline-Masterフォルダーに抽出するため、パスの端からWindows-Secure-Host-Baseline-Masterを削除します
  3. [抽出]ボタンをクリックします
  4. Windows-Secure-Host-Baseline-MasterフォルダーをWindows-Secure-Host-Baselineに変更します
  5. 管理者としてPowerShellプロンプトを開きます
  6. グループポリシーPowerShellモジュールをインポートして、コードをPowerShellセッションにロードします。Import Import-Module -Name .Windows-Secure-Host-BaselineScriptsGroupPolicy.psm1

ポリシーの適用

グループポリシーPowerShellモジュールにあるInvoke-Applysecurehostbaselineコマンドは、ポリシーを適用するための主要なコマンドです。デフォルトでは、このコマンドは次のとおりです。

  • コンピューターとユーザーの両方のポリシーをインポートします。 -policyScopesオプションを使用し、 「ユーザー」または「コンピューター」値のみを指定して、ユーザーまたはコンピューターポリシーのみをインポートします。
  • 監査モードで監査オプション(Applockerなど)があるポリシーをインポートします。これらのポリシーを執行モードでインポートするには、 -policyModeオプションを使用して、 「強制」値を指定します。
  • 既存のインポートされたSHBグループポリシーオブジェクトのバックアップコピー(および-UpDateTemplatesオプションが使用されている場合は、グループポリシーテンプレートが存在する場合)を作成します。バックアップは、コマンドが実行された時間に対応する%uerprofile% desktop backup_yyyymmddhhmmssにあるディレクトリにあります。この場所を変更するには、 -backuppathオプションを使用し、backup_yyymmdhhmmssが作成される既存のフォルダーへのパスを指定します。
  • 適用されたグループポリシーオブジェクトに対応するグループポリシーテンプレートファイルを更新しないでください-updateTemplatesオプションを使用して、グループポリシーテンプレートを更新します。

コマンドのオプションは次のとおりです。

  • -path-必須。ダウンロードおよび抽出されたGitHub SHBリポジトリを含むフォルダーへのパス。
  • -policynames-必須。適用するポリシーの名前。 1つ以上のポリシー名にすることができます。利用可能な名前:「ActivClient」、「Adobe Reader」、「Applocker」、「証明書」、「Chrome」、「Internet Explorer」、「Office 2013」、「Office 2016」、「Windows」、「Windows Firewall」。
  • -policyscopes-オプション。適用するポリシーの範囲。利用可能なスコープ:「コンピューター」、「ユーザー」。デフォルトは「コンピューター」、「ユーザー」になります。
  • -policytype-オプション。適用するポリシーの種類。利用可能なタイプ:「ドメイン」、「ローカル」。ドメインに結合すると、デフォルトは「ドメイン」になります。ドメインに結合されない場合、デフォルトは「ローカル」になります。
  • -policymode-オプション。特定のポリシーでサポートされている場合、適用するポリシーのモード。たとえば、Applockerは監査モードと執行モードをサポートしています。利用可能なモード:「監査」、「強制」。デフォルトは「監査」になります。
  • -backuppath-オプション。ロールバックが必要な場合に存在する場合、既存のインポートされたSHBグループポリシーオブジェクト(および-UpDateTemplatesオプションが使用されている場合はグループポリシーテンプレート)のバックアップを保存するためのフォルダーへのパス。デフォルトは$ env:userprofile desktop backup_yyyymmdhhmmssに対応して、スクリプトが実行されたときに対応します。
  • -toolpath-オプション。 LGPOツールへのパス。 PolicyTypeが「ローカル」である場合に必要です。
  • -updateTemplates-オプション。適用されたグループポリシーオブジェクトに対応するグループポリシーテンプレートを更新します。

Type Man Invoke-ApplySecureHostBaseLine PowerShellのプロンプトで、より多くのヘルプと例を求めて、リポジトリの問題トラッカーに質問を提出します。

SHBポリシーをスタンドアロンシステムに適用します

SHBポリシーをスタンドアロンシステムに適用する場合(例:ドメインに結合されていない)、このMicrosoftブログ投稿からLGPOツールをダウンロードして、実行可能ファイルを抽出します。 

 Invoke-ApplySecureHostBaseline -Path '.Windows-Secure-Host-Baseline' -PolicyNames 'Adobe Reader','AppLocker','Certificates','Chrome','Internet Explorer','Office 2013','Office 2016','Windows','Windows Firewall' -ToolPath '.LGPOlgpo.exe'

SHBポリシーをドメインに適用します

SHBポリシーをドメインに適用する場合、グループポリシーオブジェクトはActive Directoryにのみロードされることに注意してください。ポリシーはOUSにリンクされていないため、設定が自動的に影響を与えません。 

 Invoke-ApplySecureHostBaseline -Path '.Windows-Secure-Host-Baseline' -PolicyNames 'Adobe Reader','AppLocker','Certificates','Chrome','Internet Explorer','Office 2013','Office 2016','Windows','Windows Firewall'

コンプライアンスの確認

ポリシーが適用されたら(およびドメインケースの適切なOUSにリンクされています)、ポリシーへのコンプライアンスを確認する方法については、コンプライアンスページを参照してください。

ライセンス

ライセンスを参照してください。

免責事項

免責事項を参照してください。

拡大する
追加情報
関連アプリ
おすすめ
関連情報 すべて