Windows Secure Host Baseline

Windows Secure Host Baseline (SHB) ให้วิธีการอัตโนมัติและยืดหยุ่นสำหรับการช่วยเหลือ DOD ในการปรับใช้ Windows 10 รุ่นล่าสุดโดยใช้เฟรมเวิร์กที่สามารถบริโภคได้โดยองค์กรทุกขนาด

DOD CIO ออกบันทึกในวันที่ 20 พฤศจิกายน 2558 กำกับคำสั่งของคู่ต่อสู้บริการหน่วยงานและกิจกรรมภาคสนาม (CC/S/AS) เพื่อปรับใช้ระบบปฏิบัติการ Windows 10 อย่างรวดเร็วทั่วทั้งองค์กรของตนโดยมีวัตถุประสงค์เพื่อการปรับใช้ในเดือนมกราคม 2017 พื้นฐานภายในสิ้นเดือนมกราคม 2017 [1]

การประเมินผลิตภัณฑ์อย่างเป็นทางการยังสนับสนุนการย้ายไปยัง Windows 10. การประกันข้อมูลแห่งชาติ (NIAP) และสถาบันมาตรฐานและเทคโนโลยีแห่งชาติ (NIST) ดูแลการประเมินผลของผลิตภัณฑ์ไอทีเชิงพาณิชย์เพื่อใช้ในระบบความมั่นคงแห่งชาติ

• การประเมินเกณฑ์ทั่วไปของ Windows 10 กับโปรไฟล์การป้องกัน NIAP สำหรับระบบปฏิบัติการวัตถุประสงค์ทั่วไปเสร็จสมบูรณ์ 5 เมษายน 2559 และอัปเดต 2 กุมภาพันธ์ 2017 เพื่อรวม Windows Server 2016
• การประเมินเกณฑ์ทั่วไปของ Windows 10 กับโปรไฟล์การป้องกัน NIAP สำหรับพื้นฐานอุปกรณ์มือถือเสร็จสิ้น 29 มกราคม 2016 และอัปเดต 12 เมษายน 2017 เพื่อรวม Windows Server 2016
• การประเมินเกณฑ์ทั่วไปของ Windows 10 เทียบกับโปรไฟล์การป้องกัน NIAP สำหรับไคลเอนต์ IPSec Virtual Private Network (VPN) เสร็จสิ้นเมื่อวันที่ 10 พฤศจิกายน 2016 และอัปเดต 29 ธันวาคม 2016 เพื่อรวม Windows Server 2016
• NIST FIPS 140-2 การตรวจสอบความถูกต้องของโมดูลการเข้ารหัส Windows 10 เสร็จสิ้นเมื่อวันที่ 2 มิถุนายน 2016 (ดูหมายเลขใบรับรอง 2600, 2601, 2602, 2603, 2604, 2605, 2606 และ 2607)

การใช้พื้นฐานโฮสต์ที่ปลอดภัยเป็นหนึ่งในกลยุทธ์การบรรเทาผลกระทบ 10 อันดับแรกของ NSA พื้นฐานโฮสต์ที่ปลอดภัยของ DOD ยังเป็นตัวอย่างของกลยุทธ์การบรรเทาผลกระทบ 10 อันดับแรกของ IAD เช่นการใช้แอปพลิเคชันการอนุญาตให้ใช้งานการอนุญาตให้ใช้คุณสมบัติต่อต้านการสำรวจและใช้ระบบปฏิบัติการและแอพพลิเคชั่นเวอร์ชันล่าสุด

พื้นที่เก็บข้อมูลนี้โฮสต์วัตถุนโยบายกลุ่มการตรวจสอบการปฏิบัติตามและเครื่องมือกำหนดค่าเพื่อสนับสนุนกรอบการทำงานของโฮสต์ Secure Host (SHB) สำหรับ Windows 10 ผู้ดูแลระบบของระบบความมั่นคงแห่งชาติเช่นผู้ที่เป็นส่วนหนึ่งของฐานอุตสาหกรรมป้องกัน

คำถามหรือความคิดเห็นสามารถส่งไปยังตัวติดตามปัญหาที่เก็บหรือโพสต์บนฟอรัมโครงการพื้นฐานของ Windows 10 Secure Host บนซอฟต์แวร์ Forge ซึ่งต้องใช้สมาร์ทการ์ด CAC หรือ PIV เพื่อเข้าถึง

• โฟลเดอร์ ActivClient มีนโยบายคอมพิวเตอร์ ActivClient สำหรับผู้ที่ใช้ล็อกออนสมาร์ทการ์ดด้วยซอฟต์แวร์ ActivClient
• โฟลเดอร์ Adobe Reader มีคอมพิวเตอร์ Adobe Reader DC และนโยบายผู้ใช้สำหรับ Adobe Reader DC เวอร์ชันล่าสุด
• โฟลเดอร์ Applocker มีนโยบายคอมพิวเตอร์ Applocker สำหรับ Windows 10 เวอร์ชันล่าสุด
• โฟลเดอร์ใบรับรองมีนโยบายคอมพิวเตอร์เพื่อแจกจ่ายรูท DOD และหน่วยงานใบรับรองระดับกลาง
• โฟลเดอร์ Chrome ประกอบด้วยนโยบายคอมพิวเตอร์ของเบราว์เซอร์ Chrome สำหรับ Chrome เวอร์ชันล่าสุด
• โฟลเดอร์ Internet Explorer มี Internet Explorer 11 คอมพิวเตอร์และนโยบายผู้ใช้สำหรับ Windows 10 เวอร์ชันล่าสุด
• โฟลเดอร์ Office มีนโยบาย Office 2013 และ Office 2016
• โฟลเดอร์ Windows มีนโยบายผู้ใช้ Windows 10 และคอมพิวเตอร์สำหรับ Windows 10 เวอร์ชันล่าสุด
• โฟลเดอร์ Windows Firewall มีนโยบายคอมพิวเตอร์ Windows Firewall สำหรับ Windows 10 เวอร์ชันล่าสุด

สคริปต์สำหรับการช่วยเหลือผู้ใช้ที่มี SHB อยู่ในโฟลเดอร์ย่อยสคริปต์ของแต่ละองค์ประกอบ สคริปต์พร้อมใช้งานจนถึงตอนนี้:

• Adobe Reader
• ใบรับรอง
• โครเมี่ยม
• ทั่วไป
• หน้าต่าง

Nessus (aka ACAs ใน DOD) ไฟล์ตรวจสอบรวมอยู่ในที่เก็บนี้ มีการตรวจสอบการปฏิบัติตามกฎระเบียบสำหรับ:

• Adobe Reader DC
• โครเมี่ยม
• Internet Explorer
• หน้าต่าง
• Windows Firewall

คำแนะนำสำหรับการเรียกใช้การตรวจสอบการปฏิบัติตามในโดเมนหรือสภาพแวดล้อมแบบสแตนด์อโลนสามารถพบได้ในหน้าการปฏิบัติตามกฎระเบียบ

ในการเริ่มต้นใช้เครื่องมือ:

1. ดาวน์โหลดที่เก็บเป็นไฟล์ zip
2. กำหนดค่า PowerShell
3. โหลดรหัส
4. ใช้นโยบาย
5. ตรวจสอบการปฏิบัติตามกฎระเบียบ

ดาวน์โหลดรหัสปัจจุบันไปยังโฟลเดอร์ ดาวน์โหลด ของคุณ มันจะถูกบันทึกเป็น windows-secure-host-baseline-master.zip โดยค่าเริ่มต้น

คำสั่ง PowerShell นั้นหมายถึงการเรียกใช้จากระบบที่ติดตั้งอย่างน้อย PowerShell 3.0 PowerShell อาจต้องกำหนดค่าให้เรียกใช้คำสั่ง

ผู้ใช้อาจจำเป็นต้องเปลี่ยนนโยบายการดำเนินการ PowerShell เริ่มต้น สิ่งนี้สามารถทำได้ในหลายวิธี:

• เปิดคำสั่งพรอมต์และเรียกใช้ powershell.exe -ExecutionPolicy ไม่ จำกัด และเรียกใช้สคริปต์จากเซสชัน PowerShell นั้น
• เปิด PowerShell Propts และเรียกใช้ Set -ExecutionPolicy กระบวนการไม่ จำกัด -สคริปต์ และเรียกใช้สคริปต์จากเซสชัน PowerShell ปัจจุบัน
• เปิดพรอมต์ PowerShell และเรียกใช้ set-executionpolicy ไม่ จำกัด และเรียกใช้สคริปต์จากเซสชัน PowerShell ใด ๆ

ผู้ใช้จะต้องปลดบล็อกไฟล์ zip ที่ดาวน์โหลดมาเนื่องจากจะถูกทำเครื่องหมายว่าถูกดาวน์โหลดจากอินเทอร์เน็ตซึ่ง PowerShell จะบล็อกจากการดำเนินการตามค่าเริ่มต้น เปิดพรอมต์ PowerShell และเรียกใช้คำสั่งต่อไปนี้เพื่อปลดบล็อกรหัส PowerShell ในไฟล์ zip:

1. cd $env:USERPROFILE
2. cd Downloads
3. Unblock-File -Path '.Windows-Secure-Host-Baseline-master.zip'

การรันสคริปต์ PowerShell ภายในไฟล์ zip โดยไม่ต้องยกเลิกการปิดกั้นไฟล์จะส่งผลให้คำเตือนดังต่อไปนี้:

คำเตือนด้านความปลอดภัย ดำเนินการเฉพาะสคริปต์ที่คุณไว้วางใจ ในขณะที่สคริปต์จากอินเทอร์เน็ตมีประโยชน์สคริปต์นี้อาจเป็นอันตรายต่อคอมพิวเตอร์ของคุณ หากคุณไว้วางใจสคริปต์นี้ให้ใช้ CMDLET ที่ไม่ปิดกั้นเพื่ออนุญาตให้สคริปต์ทำงานโดยไม่มีข้อความเตือนนี้ คุณต้องการเรียกใช้ c: users user downloads script.ps1 หรือไม่? [D] อย่าเรียกใช้ [r] รันหนึ่งครั้ง [s] ระงับ [?] ความช่วยเหลือ (ค่าเริ่มต้นคือ "d"):

หากไฟล์ zip ที่ดาวน์โหลดไม่ถูกปิดกั้นก่อนที่จะแยกไฟล์แล้วไฟล์ PowerShell แต่ละไฟล์ทั้งหมดที่อยู่ในไฟล์ zip จะต้องถูกปิดกั้น คุณจะต้องเรียกใช้คำสั่งต่อไปนี้หลังจากขั้นตอนที่ 5 ในการโหลดส่วนรหัส:

 Get-ChildItem -Path '.Windows-Secure-Host-Baseline' -Recurse -Include '*.ps1','*.psm1' | Unblock-File -Verbose

ดูเอกสารคำสั่ง Unblock-File สำหรับข้อมูลเพิ่มเติมเกี่ยวกับวิธีการใช้งาน

ตอนนี้แยกไฟล์ zip ที่ดาวน์โหลดมาแล้วและโหลดรหัส PowerShell ที่ใช้สำหรับใช้นโยบาย

1. คลิกขวาที่ไฟล์ zip และเลือก แยกทั้งหมด
2. ที่กล่องโต้ตอบลบ Windows-Host-Host-Baseline-Master ออกจากจุดสิ้นสุดของเส้นทางเนื่องจากจะแยกไฟล์ไปยังโฟลเดอร์ Host-Host-Host-Baseline-Master โดยค่าเริ่มต้น
3. คลิกปุ่ม แยก
4. เปลี่ยนชื่อโฟลเดอร์ Windows-Host-Host-Baseline-Master เป็น Baseline-Host-Host-Baseline ของ Windows
5. เปิดพรอมต์ PowerShell ในฐานะผู้ดูแลระบบ
6. นำเข้าโมดูลนโยบายกลุ่ม PowerShell เพื่อโหลดรหัสลงในเซสชัน PowerShell: Import-Module -Name .Windows-Secure-Host-BaselineScriptsGroupPolicy.psm1

คำสั่ง Invoke-ApprysecurehostBaseline ที่พบในโมดูลนโยบายกลุ่ม PowerShell เป็นคำสั่งหลักสำหรับการใช้นโยบาย โดยค่าเริ่มต้นคำสั่งนี้จะ:

• นำเข้าทั้งนโยบายคอมพิวเตอร์และผู้ใช้ ใช้ตัวเลือก -policyscopes และระบุเฉพาะค่า 'ผู้ใช้' หรือ 'คอมพิวเตอร์' เพื่อนำเข้านโยบายผู้ใช้หรือคอมพิวเตอร์เท่านั้น
• นโยบายนำเข้าที่มีตัวเลือกการตรวจสอบ (เช่น Applocker) ในโหมดการตรวจสอบ ในการนำเข้านโยบายเหล่านั้นในโหมดการบังคับใช้ให้ใช้ตัวเลือก -policymode และระบุค่า 'บังคับใช้'
• สร้างสำเนาสำรองของวัตถุนโยบายกลุ่ม SHB ที่นำเข้า (และเทมเพลตนโยบายกลุ่มหากใช้ตัวเลือก -UpDateMplates) หากมีอยู่ การสำรองข้อมูลจะอยู่ในไดเรกทอรีที่อยู่ที่ %uerprofile % desktop backup_yyyymmdhhmmss ที่สอดคล้องกับเวลาที่คำสั่งถูกดำเนินการ หากต้องการเปลี่ยนตำแหน่งนี้ให้ใช้ตัวเลือก -backuppath และระบุเส้นทางไปยังโฟลเดอร์ที่มีอยู่ซึ่งจะสร้างการสำรองข้อมูล _yyyymmdhhmmss
• ไม่ อัปเดตไฟล์เทมเพลตนโยบายกลุ่มที่สอดคล้องกับวัตถุนโยบายกลุ่มที่ใช้ ใช้ตัวเลือก -UpDatEmplates เพื่ออัปเดตเทมเพลตนโยบายกลุ่ม

ตัวเลือกสำหรับคำสั่งคือ:

• -Path - จำเป็น เส้นทางไปยังโฟลเดอร์ที่มีพื้นที่เก็บข้อมูลที่ดาวน์โหลดและแยก GitHub SHB
• -policynames - จำเป็น ชื่อของนโยบายที่จะใช้ สามารถเป็น 1 ชื่อนโยบายขึ้นไป ชื่อที่มีอยู่: 'Activlient', 'Adobe Reader', 'Applocker', 'ใบรับรอง', 'Chrome', 'Internet Explorer', 'Office 2013', 'Office 2016', 'Windows', 'Windows Firewall'
• -policyscopes - เป็นทางเลือก ขอบเขตของนโยบายที่จะใช้ ขอบเขตที่มีอยู่: 'คอมพิวเตอร์', 'ผู้ใช้' ค่าเริ่มต้นเป็น 'คอมพิวเตอร์', 'ผู้ใช้'
• -PolicyType - เป็นทางเลือก ประเภทของนโยบายที่จะใช้ ประเภทที่มีอยู่: 'โดเมน', 'ท้องถิ่น' ค่าเริ่มต้นเป็น 'โดเมน' เมื่อเข้าร่วมกับโดเมน ค่าเริ่มต้นเป็น 'ท้องถิ่น' เมื่อไม่เข้าร่วมกับโดเมน
• -policymode - เป็นทางเลือก โหมดนโยบายที่จะนำไปใช้หากได้รับการสนับสนุนโดยนโยบายเฉพาะ ตัวอย่างเช่น Applocker รองรับโหมดการตรวจสอบและการบังคับใช้ โหมดที่มีอยู่: 'การตรวจสอบ', 'บังคับใช้' ค่าเริ่มต้นเป็น 'การตรวจสอบ'
• -backuppath - ไม่บังคับ เส้นทางไปยังโฟลเดอร์เพื่อบันทึกการสำรองข้อมูลของวัตถุนโยบายกลุ่ม SHB ที่นำเข้า (และเทมเพลตนโยบายกลุ่มหากใช้ตัวเลือก -UpDateMplates) หากมีการใช้งานในกรณีที่จำเป็นต้องย้อนกลับ ค่าเริ่มต้นเป็น $ env: userprofile desktop backup_yyyymmddhhmmss ที่สอดคล้องกับเมื่อสคริปต์ถูกดำเนินการ
• -Toolpath - เป็นทางเลือก เส้นทางไปยังเครื่องมือ LGPO จำเป็นเมื่อ PolicyType เป็น 'ท้องถิ่น'
• -UPDATETEMPLATES - เป็นทางเลือก อัปเดตเทมเพลตนโยบายกลุ่มที่สอดคล้องกับวัตถุนโยบายกลุ่มที่ใช้

Type Man Invoke-ApprysecurehostBaseline ที่ PowerShell Propts สำหรับความช่วยเหลือและตัวอย่างเพิ่มเติมหรือส่งคำถามไปยังตัวติดตามปัญหาที่เก็บ

หากใช้นโยบาย SHB กับระบบสแตนด์อโลน (เช่นไม่ได้เข้าร่วมกับโดเมน) ให้ดาวน์โหลดเครื่องมือ LGPO จากโพสต์บล็อก Microsoft นี้และแยกการปฏิบัติการ

 Invoke-ApplySecureHostBaseline -Path '.Windows-Secure-Host-Baseline' -PolicyNames 'Adobe Reader','AppLocker','Certificates','Chrome','Internet Explorer','Office 2013','Office 2016','Windows','Windows Firewall' -ToolPath '.LGPOlgpo.exe'

หากใช้นโยบาย SHB กับโดเมนโปรดทราบว่าวัตถุนโยบายกลุ่มจะถูกโหลดลงใน Active Directory เท่านั้น นโยบายไม่ได้เชื่อมโยงกับ OU ใด ๆ ดังนั้นการตั้งค่าจะไม่ส่งผลกระทบโดยอัตโนมัติ

 Invoke-ApplySecureHostBaseline -Path '.Windows-Secure-Host-Baseline' -PolicyNames 'Adobe Reader','AppLocker','Certificates','Chrome','Internet Explorer','Office 2013','Office 2016','Windows','Windows Firewall'

เมื่อมีการใช้นโยบาย (และเชื่อมโยงกับ OU ที่เหมาะสมในกรณีของโดเมน) ดูหน้าการปฏิบัติตามกฎระเบียบสำหรับคำแนะนำเกี่ยวกับวิธีการตรวจสอบการปฏิบัติตามนโยบาย

ดูใบอนุญาต

ดูข้อจำกัดความรับผิดชอบ