Windows Secure Host Baseline

Windows安全的主机基线（SHB）提供了一种自动化和灵活的方法，用于帮助DOD使用各种规模的组织可以消费的框架来帮助DOD部署Windows 10的最新版本。

国防部CIO于2015年11月20日发布了一份备忘录，指导战斗人员司令部，服务，机构和现场活动（CC/S/AS）在整个组织中迅速部署Windows 10操作系统，目的是在2017年1月底完成部署到2017年1月底之前完成部署。国防部的副代表在2016年迅速宣布了一份秘书，以确定秘书，以确定秘书，以确定秘书，以确定秘书，以确定秘书，以确定秘书，以确定秘书，以确定国防部的秘诀到2017年1月底。[1]

正式的产品评估还支持迁移到Windows 10。国家信息保证合作伙伴关系（NIAP）和国家标准技术研究所（NIST）监督对用于国家安全系统的商业IT产品的评估。

• Windows 10对NIAP保护配置文件的常见标准评估通用操作系统于2016年4月5日完成，并于2017年2月2日更新，以包括Windows Server 2016。
• Windows 10对移动设备基础知识的NIAP保护配置文件的常见标准评估，于2016年1月29日完成，并于2017年4月12日更新，包括Windows Server 2016。
• Windows 10对IPSEC虚拟专用网络（VPN）客户端的NIAP保护配置文件的常见标准评估，于2016年11月10日完成，并于2016年12月29日更新了Windows Server 2016。
• NIST FIPS 140-2 Windows 10加密模块的验证于2016年6月2日完成（请参阅证书编号2600、2601、2602、2603、2603、2604、2605、2606和2607）。

使用安全的主机基线是NSA信息保证前10名缓解策略之一。 DOD安全的主机基线还例证了其他IAD前10个缓解策略，例如使用应用程序白名单，启用反爆发功能以及使用最新版本的操作系统和应用程序。

该存储库托管组策略对象，合规性检查和配置工具，以支持Windows 10的DOD安全主机基线（SHB）框架。国家安全系统的管理员（例如那些是国防工业基础的人的管理员）可以利用此存储库来代替需要访问Windows 10的Windows SHB框架，以访问DOD SHB框架，以访问常见的访问卡（CAC）或个人身份证明（CAC）或个人身份证明（CAC）或个人身份证明（PIV）（PIV）（PIV）。

可以将问题或评论提交给存储库问题跟踪器，也可以在Windows 10 Secure Host Basine Projems上发布在Software Forge上，该项目需要使用CAC或PIV智能卡才能访问。

• ActivClient文件夹包含用于使用ActivClient软件的智能卡登录者的ActivClient计算机策略。
• Adobe读取器文件夹包含Adobe Reader DC计算机和最新版本Adobe Reader DC的用户策略。
• Applocker文件夹包含最新版本Windows 10的Appleocker计算机策略。
• 证书文件夹包含用于分发DOD根和中间证书授权的计算机策略。
• Chrome文件夹包含最新版本Chrome的Chrome浏览器计算机策略。
• Internet Explorer文件夹包含Internet Explorer 11计算机和最新版本Windows 10的用户策略。
• 办公文件夹包含Office 2013和Office 2016政策。
• Windows文件夹包含Windows 10的Windows 10用户和计算机策略，适用于Windows 10的最新版本。
• Windows防火墙文件夹包含Windows 10 Windows 10的Windows防火墙计算机策略。

带有SHB的帮助用户的脚本位于每个组件的脚本子文件夹中。到目前为止可使用的脚本：

• Adobe阅读器
• 证书
• 铬合金
• 一般的
• 视窗

此存储库中包含Nessus（又名ACA）审核文件。合规性检查可用于：

• Adobe Reader DC
• 铬合金
• Internet Explorer
• 视窗
• Windows防火墙

在域或独立环境中运行合规性检查的说明可以在“合规”页面上找到。

开始使用这些工具：

1. 将存储库作为zip文件下载
2. 配置PowerShell
3. 加载代码
4. 应用政策
5. 检查合规性

将当前代码下载到您的下载文件夹。默认情况下，它将保存为Windows-Secure-Baseline-Master.zip 。

PowerShell命令的目的是从至少安装了PowerShell 3.0的系统中运行。 PowerShell可能需要配置以运行命令。

用户可能需要更改默认的PowerShell执行策略。这可以通过多种不同的方式实现：

• 打开命令提示符并运行powershell.exe -execution -executionPolicy无限制，并从该PowerShell会话中运行脚本。
• 打开一个PowerShell提示，并运行Set -ExecutionPolicy -Scope流程，并从当前的PowerShell会话中运行脚本。
• 打开一个管理PowerShell提示并运行Set-ExecutionPolicy无限制，并从任何PowerShell会话中运行脚本。

用户将需要解除下载的zip文件，因为它将被标记为从Internet下载的powershell将默认将无法执行的Internet。打开一个PowerShell提示，并运行以下命令以解开zip文件中的PowerShell代码：

1. cd $env:USERPROFILE
2. cd Downloads
3. Unblock-File -Path '.Windows-Secure-Host-Baseline-master.zip'

在ZIP文件中运行PowerShell脚本而无需解除文件，将导致以下警告：

安全警告仅您信任的脚本运行。尽管来自Internet的脚本可能很有用，但此脚本可能会损害您的计算机。如果您信任此脚本，请使用Unblock-File CMDLET允许脚本在没有此警告消息的情况下运行。您是否要运行C： User User user downloads Script.ps1？ [d]不运行[r]暂停[？] help（默认为“ d”）：

如果在提取下载的zip文件之前没有释放zip文件，则必须将所有ZIP文件中的单个PowerShell文件删除。您需要在加载代码部分中的步骤5之后运行以下命令：

 Get-ChildItem -Path '.Windows-Secure-Host-Baseline' -Recurse -Include '*.ps1','*.psm1' | Unblock-File -Verbose

有关如何使用它的更多信息，请参见Unblock-File命令的文档。

现在，提取下载的zip文件并加载用于应用策略的PowerShell代码。

1. 右键单击zip文件，然后选择“提取全部”
2. 在对话框上，从路径的末端删除Windows-Secure-Baseline-Master，因为它将将文件提取到Windows-Secure-Baseline-Master-Master文件夹中
3. 点击提取按钮
4. 将Windows-Secure-Baseline-Master文件夹重命名为Windows-Secure-Baseline
5. 打开powershell提示作为管理员
6. 导入组策略PowerShell模块将代码加载到PowerShell会话中： Import-Module -Name .Windows-Secure-Host-BaselineScriptsGroupPolicy.psm1

在组策略PowerShell模块中发现的Invoke-ApplySecureHostBaseline命令是应用策略的主要命令。默认情况下，此命令将：

• 导入计算机和用户策略。使用-policyscopes选项，仅指定“用户”或“计算机”值以仅导入用户或计算机策略。
• 在审核模式下具有审核选项（例如Applocker）的导入策略。要在执法模式下导入这些策略，请使用-policymode选项并指定“执行”值。
• 如果存在-updateTemplates选项，则进行现有导入的SHB组策略对象的备份副本（以及组策略模板）。备份将在位于％UERPROFILE％ desktop backup_yyyymmddhhmmss的目录中，该目录与执行命令的时间相对应。要更改此位置，请使用-backuppath选项，并指定将创建backup_yyymddhhmmss的现有文件夹的路径。
• 不要更新与应用的组策略对象相对应的组策略模板文件。使用-updateTemplates选项更新组策略模板。

该命令的选项是：

• - Path-必需。包含下载和提取的GitHub SHB存储库的文件夹的路径。
• -policynames-必需。适用的政策的名称。可以是1个或多个策略名称。可用的名称：“ ActivClient”，“ Adob​​e Reader”，“ Applocker”，“证书”，“ Chrome”，“ Internet Explorer”，“ Office 2013”​​，“ Office 2016”，“ Windows”，“ Windows Firewall”。
• -policysycopes-可选。申请政策的范围。可用范围：“计算机”，“用户”。默认为“计算机”，“用户”。
• -policyType-可选。适用的政策类型。可用类型：“域”，“本地”。连接到域时默认为“域”。当未加入域时，默认为“本地”。
• -policymode-可选。如果特定政策的支持，则适用的策略方式。例如，Appleocker支持审计和执行模式。可用模式：“审核”，“执行”。默认为“审核”。
• -backuppath-可选。如果需要回滚，则可以保存现有导入的SHB组策略对象备份的文件夹（如果使用-updateTemplates选项）的备份（以及组策略模板），以防万一需要回滚。默认为$ env：userProfile desktop backup_yyyymmddhhmmss对应于脚本执行何时。
• -toolpath-可选。 LGPO工具的路径。当policyType为“本地”时，需要。
• -updateTemplates-可选。更新与应用程序组策略对象相对应的组策略模板。

在PowerShell上键入MAN Indake-ApplySecureHostBaseline提示提供更多帮助和示例或向存储库问题跟踪器提交问题。

如果将SHB策略应用于独立系统（例如未加入域），请从此Microsoft博客文章中下载LGPO工具并提取可执行文件。

 Invoke-ApplySecureHostBaseline -Path '.Windows-Secure-Host-Baseline' -PolicyNames 'Adobe Reader','AppLocker','Certificates','Chrome','Internet Explorer','Office 2013','Office 2016','Windows','Windows Firewall' -ToolPath '.LGPOlgpo.exe'

如果将SHB策略应用于域，请注意，组策略对象仅加载到Active Directory中。政策与任何OUS没有链接，因此设置不会自动影响。

 Invoke-ApplySecureHostBaseline -Path '.Windows-Secure-Host-Baseline' -PolicyNames 'Adobe Reader','AppLocker','Certificates','Chrome','Internet Explorer','Office 2013','Office 2016','Windows','Windows Firewall'

一旦应用了策略（并链接到域案件中的适当OUS），请参阅“合规”页面，以获取有关如何查看符合策略的说明。

请参阅许可证。

请参阅免责声明。