Windows Secure Host Baseline
1.0.0
Windows Secure Host Baseline (SHB)은 DoD가 모든 크기의 조직에서 소비 할 수있는 프레임 워크를 사용하여 최신 Windows 10 릴리스를 배포 할 때 자동화되고 유연한 접근 방식을 제공합니다.
DoD CIO는 2015 년 11 월 20 일에 2017 년 11 월 말까지 전투원 사령부, 서비스, 대행사 및 현장 활동 (CC/S/AS)을 지시하는 메모를 2017 년 1 월 말까지 배치를 완료하는 목표를 달성하기 위해 Windows 10 운영 체제를 신속하게 배치했습니다. 2016 년 2 월 26 일에 DoD를 통해 DoD를 통해 Memo를 전달하여 Memo를 전환하여 Memo를 전달하여 Memo를 전달했습니다. 2017 년 1 월 말. [1]
공식 제품 평가는 또한 Windows 10으로의 이동을 지원합니다. NIAP (National Information Assurance Partnership) 및 NIST (National Information Assurance Partnership) 및 NIST (National Information Institute of Standards and Technology)는 국가 안보 시스템에서 사용하기위한 상업용 IT 제품의 평가를 감독합니다.
보안 호스트 기준을 사용하는 것은 NSA 정보 보증 상위 10 가지 완화 전략 중 하나입니다. DoD Secure Host Baseline은 또한 애플리케이션 화이트리스트 사용, 방지 방지 기능 활성화 및 최신 버전의 운영 체제 및 응용 프로그램과 같은 다른 IAD 상위 10 가지 완화 전략을 보여줍니다.
이 저장소는 Windows 10을위한 DoD Secure Host Baseline (SHB) 프레임 워크를 지원하는 그룹 정책 객체, 준수 검사 및 구성 도구를 호스트합니다. 방어 산업 기반의 일부인 국가 보안 시스템 관리자는 공통 액세스 카드 (CAC) 또는 개인 식별 카드에 대한 DoD SHB 프레임 워크에 대한 대신 에이 저장소를 활용할 수 있습니다.
CAC 또는 PIV 스마트 카드에 액세스 해야하는 소프트웨어 Forge의 Windows 10 Secure Host Baseline Project Forum에 질문이나 의견을 제출하거나 Windows 10 Secure Host Baseline Project Forum에 게시 할 수 있습니다.
SHB를 사용하여 사용자를 돕기위한 스크립트는 각 구성 요소의 스크립트 서브 폴더에 있습니다. 지금까지 사용할 수있는 스크립트 :
Nessus (일명 DoD의 ACA) 감사 파일 이이 저장소에 포함되어 있습니다. 준수 점검은 다음과 같습니다.
도메인 또는 독립형 환경에서 규정 준수 검사를 실행하는 지침은 규정 준수 페이지에서 찾을 수 있습니다.
도구 사용을 시작하려면 :
현재 코드를 다운로드 폴더로 다운로드하십시오. 기본적으로 Windows-Secure-Host-Baseline-Master.zip 으로 저장됩니다.
PowerShell 명령은 최소한 PowerShell 3.0이 설치된 시스템에서 실행됩니다. PowerShell은 명령을 실행하려면 구성해야 할 수도 있습니다.
사용자는 기본 PowerShell 실행 정책을 변경해야 할 수도 있습니다. 이것은 여러 가지 방법으로 달성 할 수 있습니다.
PowerShell이 기본적으로 실행되는 것을 차단하는 인터넷에서 다운로드 된 것으로 표시되므로 다운로드 된 zip 파일을 차단 해제해야합니다. PowerShell 프롬프트를 열고 다음 명령을 실행하여 ZIP 파일에서 PowerShell 코드를 차단 해제하십시오.
cd $env:USERPROFILEcd DownloadsUnblock-File -Path '.Windows-Secure-Host-Baseline-master.zip'파일을 차단하지 않고 ZIP 파일 내부에서 PowerShell 스크립트를 실행하면 다음 경고가 발생합니다.
보안 경고는 신뢰하는 스크립트 만 실행합니다. 인터넷의 스크립트는 유용 할 수 있지만이 스크립트는 컴퓨터에 잠재적으로 해를 끼칠 수 있습니다. 이 스크립트를 신뢰하는 경우 차단 파일 CMDLET를 사용 하여이 경고 메시지없이 스크립트를 실행할 수 있습니다. c : user user downloads script.ps1을 실행 하시겠습니까? [d] [r] 실행하지 않으면 [s] 삭감 [?] 도움말 (기본값은 "d") :
다운로드 된 zip 파일이 추출되기 전에 차단되지 않은 경우 Zip 파일에 있던 모든 개별 PowerShell 파일은 차단 해제되어야합니다. 코드로드 섹션에서 5 단계 후 다음 명령을 실행해야합니다.
Get-ChildItem -Path '.Windows-Secure-Host-Baseline' -Recurse -Include '*.ps1','*.psm1' | Unblock-File -Verbose
사용 방법에 대한 자세한 내용은 차단 파일 명령의 문서를 참조하십시오.
이제 다운로드 된 zip 파일을 추출하고 정책을 적용하는 데 사용되는 PowerShell 코드를로드하십시오.
Import-Module -Name .Windows-Secure-Host-BaselineScriptsGroupPolicy.psm1Group Policy PowerShell 모듈에있는 Invoke-ApplySecureHostBaseline 명령은 정책을 적용하기위한 주요 명령입니다. 기본적 으로이 명령은 다음과 같습니다.
명령 옵션은 다음과 같습니다.
유형 MAN MAN은 PowerShell 프롬프트에서 인 ApplySecureHostBaseline을 유형하여 더 많은 도움과 예제를 보장하거나 리포지토리 문제 추적기에 질문을 제출하십시오.
SHB 정책을 독립형 시스템 (예 : 도메인에 결합하지 않음)에 적용하는 경우이 Microsoft 블로그 게시물에서 LGPO 도구를 다운로드하고 실행 파일을 추출하십시오.
Invoke-ApplySecureHostBaseline -Path '.Windows-Secure-Host-Baseline' -PolicyNames 'Adobe Reader','AppLocker','Certificates','Chrome','Internet Explorer','Office 2013','Office 2016','Windows','Windows Firewall' -ToolPath '.LGPOlgpo.exe'
SHB 정책을 도메인에 적용하는 경우 그룹 정책 개체는 Active Directory에만로드됩니다. 정책은 OUS에 연결되어 있지 않으므로 설정이 자동으로 영향을 미치지 않습니다.
Invoke-ApplySecureHostBaseline -Path '.Windows-Secure-Host-Baseline' -PolicyNames 'Adobe Reader','AppLocker','Certificates','Chrome','Internet Explorer','Office 2013','Office 2016','Windows','Windows Firewall'
정책이 적용되고 (도메인 케이스에서 적절한 OU에 연결됨) 정책 준수를 확인하는 방법에 대한 지침은 규정 준수 페이지를 참조하십시오.
라이센스를 참조하십시오.
면책 조항을 참조하십시오.
