Windows Secure Host Baseline

A linha de base do Host Secure (SHB) do Windows Secure fornece uma abordagem automatizada e flexível para ajudar o Departamento de Defesa a implantar os lançamentos mais recentes do Windows 10 usando uma estrutura que pode ser consumida por organizações de todos os tamanhos.

O DOD CIO emitiu um memorando em 20 de novembro de 2015 direcionando comandos, serviços, agências e atividades de campo (CC/S/AS) para implantar rapidamente o sistema operacional do Windows 10 ao longo de suas respectivas organizações com o objetivo de preencher o Raputy, o Raputy de Raputy, no final de 2016, o Raputy do Raputy, no Secrety, no Raputent, em Raputy, em 26 de fevereiro de 2016, o Raputy Direty, o Raputy, o Raputy, no Raputy, em 26 de fevereiro, o Raputy de Raputy em 26 de fevereiro de 2016. Linha de base do hospedeiro até o final de janeiro de 2017. [1]

As avaliações formais de produtos também apóiam a mudança para o Windows 10. A Parceria Nacional de Garantia de Informações (NIAP) e o Instituto Nacional de Padrões e Tecnologia (NIST) supervisionam as avaliações de produtos comerciais de TI para uso em sistemas de segurança nacional.

• Avaliação de critérios comuns do Windows 10 contra o perfil de proteção do NIAP para sistemas operacionais de finalidade geral concluídos em 5 de abril de 2016 e atualizados em 2 de fevereiro de 2017 para incluir o Windows Server 2016.
• Avaliação de critérios comuns do Windows 10 contra o perfil de proteção do NIAP para os fundamentos do dispositivo móvel concluído em 29 de janeiro de 2016 e atualizado em 12 de abril de 2017 para incluir o Windows Server 2016.
• Avaliação de critérios comuns do Windows 10 contra o perfil de proteção da NIAP para clientes da Rede Privada Virtual IPSEC (VPN) concluídos em 10 de novembro de 2016 e atualizados em 29 de dezembro de 2016 para incluir o Windows Server 2016.
• NIST FIPS 140-2 A validação dos módulos criptográficos do Windows 10 foi concluída em 2 de junho de 2016 (ver números de certificado 2600, 2601, 2602, 2603, 2604, 2605, 2606 e 2607).

O uso de uma linha de base do host segura é uma das 10 principais estratégias de mitigação da NSA. A linha de base do host segura do DOD também exemplifica outras 10 principais estratégias de mitigação da IAD, como o uso da lista de permissões de aplicativos, permitindo recursos anti-exploração e usando a versão mais recente do sistema operacional e aplicativos.

Este repositório hosts de objetos de política de grupo de grupo, verificações de conformidade e ferramentas de configuração no suporte à estrutura da linha de base do Host Secure (SHB) do Departamento de Prazo do DOD para o Windows 10. Administradores de sistemas de segurança nacional, como aqueles que fazem parte da base industrial de defesa, podem aproveitar o CACATE (CAC) ou o cartão de acesso a um cartão de acesso (CAC) ou o cartão de acesso a que é um cartão de acesso (CAC) ou que seja um cartão de acesso (CAC), que requer que seja um cartão de acesso (CAC) ou que seja um cartão de acesso a que seja um cartão de acesso (CAC) ou que seja um cartão de acesso a que se acalme.

Perguntas ou comentários podem ser enviados ao rastreador de edições do repositório ou publicado nos fóruns do projeto de linha de base do host do Windows 10, que requer um cartão inteligente CAC ou PIV para acessar.

• A pasta ActivClient contém uma política de computador do ActivClient para quem usa logons de cartões inteligentes com o software ActivClient.
• A pasta Adobe Reader contém políticas de computador e usuário do Adobe Reader DC para a versão mais recente do Adobe Reader DC.
• A pasta AppleSocker contém política de computador AppLocker para a versão mais recente do Windows 10.
• A pasta Certificados contém uma política de computador para distribuir as autoridades de root e certificado intermediário do DoD.
• A pasta Chrome contém a política do computador do navegador Chrome para a versão mais recente do Chrome.
• A pasta Internet Explorer contém políticas de computador e usuário do Internet Explorer 11 para a versão mais recente do Windows 10.
• A pasta do Office contém o Office 2013 e o Office 2016 Policy.
• A pasta Windows contém políticas de usuário e computador do Windows 10 para a versão mais recente do Windows 10.
• A pasta Windows Firewall contém uma política de computadores do Windows Firewall para a versão mais recente do Windows 10.

Os scripts para ajudar os usuários com o SHB estão localizados nas sub -pastas de scripts de cada componente. Scripts disponíveis para uso até agora:

• Adobe Reader
• Certificados
• Cromo
• Em geral
• Windows

Os arquivos de auditoria Nessus (também conhecidos como ACAs no DOD) estão incluídos neste repositório. As verificações de conformidade estão disponíveis para:

• Adobe Reader DC
• Cromo
• Internet Explorer
• Windows
• Windows Firewall

As instruções para executar as verificações de conformidade em um ambiente de domínio ou independente podem ser encontradas na página de conformidade.

Para começar a usar as ferramentas:

1. Baixe o repositório como um arquivo zip
2. Configure o PowerShell
3. Carregue o código
4. Aplique as políticas
5. Verifique a conformidade

Faça o download do código atual para sua pasta de downloads . Ele será salvo como Windows-Seguar-Host-Baseline-Master.zip por padrão.

Os comandos do PowerShell devem ser executados a partir de um sistema com pelo menos o PowerShell 3.0 instalado. O PowerShell pode precisar ser configurado para executar os comandos.

Os usuários podem precisar alterar a política de execução padrão do PowerShell. Isso pode ser alcançado de várias maneiras diferentes:

• Abra um prompt de comando e execute o PowerShell.exe -executionPolicy irrestrito e execute scripts dessa sessão do PowerShell.
• Abra um prompt PowerShell e execute o Processo Set -ExecutionPolicy InconStrits -Scope e execute scripts da sessão atual do PowerShell.
• Abra um prompt administrativo do PowerShell e execute o conjunto de execução sem restrições e execute scripts de qualquer sessão do PowerShell.

Os usuários precisarão desbloquear o arquivo zip baixado, pois será marcado como tendo sido baixado da Internet, que o PowerShell será executado de executar por padrão. Abra um prompt PowerShell e execute os seguintes comandos para desbloquear o código PowerShell no arquivo zip:

1. cd $env:USERPROFILE
2. cd Downloads
3. Unblock-File -Path '.Windows-Secure-Host-Baseline-master.zip'

Executar os scripts do PowerShell dentro do arquivo zip sem desbloquear o arquivo resultará no seguinte aviso:

Aviso de segurança execute apenas scripts em que você confia. Embora os scripts da Internet possam ser úteis, esse script pode prejudicar seu computador. Se você confiar neste script, use o cmdlet de desbloqueio para permitir que o script seja executado sem essa mensagem de aviso. Deseja executar C: Users User Downloads script.ps1? [D] Não execute [r] Run depois [s] suspenda [?] Ajuda (o padrão é "d"):

Se o arquivo zip baixado não estiver desbloqueado antes de extraí -lo, todos os arquivos individuais do PowerShell que estavam no arquivo zip terão que ser desbloqueados. Você precisará executar o seguinte comando após a etapa 5 na seção Carregando a seção de código:

 Get-ChildItem -Path '.Windows-Secure-Host-Baseline' -Recurse -Include '*.ps1','*.psm1' | Unblock-File -Verbose

Consulte a documentação do comando desbloqueio para obter mais informações sobre como usá-lo.

Agora extraia o arquivo zip baixado e carregue o código PowerShell usado para aplicar as políticas.

1. Clique com o botão direito do mouse no arquivo zip e selecione Extrair tudo
2. Na caixa de diálogo Remova o Mestre da linha de linha do Windows-Seguro-Host do final do caminho, pois extrairá os arquivos para uma pasta Windows-Seguar-Host-Baseline-Master por padrão
3. Clique no botão Extrair
4. Renomeie a pasta Windows-Seguar-Host-Baseline-Master para Windows-Seguar-Host-Baseline
5. Abra um prompt PowerShell como administrador
6. Importar o módulo Política do Grupo PowerShell para carregar o código na sessão do PowerShell: Import-Module -Name .Windows-Secure-Host-BaselineScriptsGroupPolicy.psm1

O comando Invoke-ApplySecureHostBaseline encontrado no módulo Política do Grupo PowerShell é o principal comando para aplicar políticas. Por padrão, este comando irá:

• Importar políticas de computador e usuário. Use a opção -policyScopes e especifique apenas o valor de 'usuário' ou 'computador' para importar apenas políticas de usuário ou computador.
• Políticas de importação, que possuem uma opção de auditoria (por exemplo, applocker), no modo de auditoria. Para importar essas políticas no modo de aplicação, use a opção -polymode e especifique o valor 'aplicado' .
• Faça uma cópia de backup dos objetos de política de grupo SHB importados existentes (e modelos de política de grupo se a opção -UpDateTemplates for usada) se houver. Os backups estarão em um diretório localizado em %uerprofile % desktop backup_yyyymmddhmmss correspondentes ao tempo em que o comando foi executado. Para alterar este local, use a opção -backuppath e especifique um caminho para uma pasta existente em que o backup_yyyymmddhmms será criado.
• Não atualize os arquivos do modelo de política do grupo que correspondem aos objetos de política do grupo aplicado. Use a opção -UpDateTemplates para atualizar os modelos de política do grupo.

As opções para o comando são:

• -Path - necessário. O caminho para a pasta que contém o repositório do Github SHB baixado e extraído.
• -PolicyNames - Necessário. Os nomes das políticas a serem aplicadas. Pode ser 1 ou mais nomes de políticas. Nomes disponíveis: 'ActivClient', 'Adobe Reader', 'Applocker', 'Certificates', 'Chrome', 'Internet Explorer', 'Office 2013', 'Office 2016', 'Windows', 'Windows Firewall'.
• -PolicyScopes - Opcional. O escopo das políticas para aplicar. Escopos disponíveis: 'Computador', 'Usuário'. Padrão para 'computador', 'usuário'.
• -PolicyTyPe - Opcional. O tipo de políticas a serem aplicadas. Tipos disponíveis: 'domínio', 'local'. Padrões de 'domínio' quando unidos a um domínio. Padrões para 'local' quando não estão unidos a um domínio.
• -PolicyMode - Opcional. O modo de políticas a serem aplicadas, se suportado pela política específica. Por exemplo, o AppLocker suporta modos de auditoria e aplicação. Modos disponíveis: 'auditoria', 'aplicado'. Padrões de 'auditoria'.
• -Backuppath - opcional. O caminho para uma pasta para salvar backups dos objetos de política do grupo SHB importado existentes (e modelos de política de grupo se a opção -pateTETemplates for usada) se houver caso existir caso seja necessária uma reversão. Padrão para $ env: userprofile desktop backup_yyyymmddhhmmss correspondentes a quando o script foi executado.
• -ToolPath - Opcional. O caminho para a ferramenta LGPO. Exigido quando o PolicyType é "local".
• -UpDateTemplates - Opcional. Atualizar modelos de política do grupo que correspondem aos objetos de política do grupo aplicado.

Type Man Invoke-ApplySecureHostBaseline em um prompt PowerShell para obter mais ajuda e exemplos ou enviar uma pergunta ao rastreador de emissão do repositório.

Se aplicar as políticas SHB a um sistema independente (por exemplo, não unido a um domínio), faça o download da ferramenta LGPO desta postagem no blog da Microsoft e extraia o executável.

 Invoke-ApplySecureHostBaseline -Path '.Windows-Secure-Host-Baseline' -PolicyNames 'Adobe Reader','AppLocker','Certificates','Chrome','Internet Explorer','Office 2013','Office 2016','Windows','Windows Firewall' -ToolPath '.LGPOlgpo.exe'

Se aplicar as políticas do SHB a um domínio, observe que os objetos de política do grupo são carregados apenas no Active Directory. As políticas não estão vinculadas a nenhuma OUS, portanto as configurações não afetam automaticamente.

 Invoke-ApplySecureHostBaseline -Path '.Windows-Secure-Host-Baseline' -PolicyNames 'Adobe Reader','AppLocker','Certificates','Chrome','Internet Explorer','Office 2013','Office 2016','Windows','Windows Firewall'

Depois que as políticas forem aplicadas (e vinculadas à OUS apropriada no caso de domínio), consulte a página de conformidade para obter instruções sobre como verificar a conformidade com as políticas.

Consulte a licença.

Veja a isenção de responsabilidade.