Windows Secure Host Baseline

Windows安全的主機基線（SHB）提供了一種自動化和靈活的方法，用於幫助DOD使用各種規模的組織可以消費的框架來幫助DOD部署Windows 10的最新版本。

國防部CIO於2015年11月20日發布了一份備忘錄，指導戰鬥人員司令部，服務，機構和現場活動（CC/S/AS）在整個組織中迅速部署Windows 10操作系統，目的是在2017年1月底完成部署到2017年1月底之前完成部署。國防部的副代表在2016年迅速宣布了一份秘書，以確定秘書，以確定秘書，以確定秘書，以確定秘書，以確定秘書，以確定秘書，以確定秘書，以確定國防部的秘訣到2017年1月底。 [1]

正式的產品評估還支持遷移到Windows 10。國家信息保證合作夥伴關係（NIAP）和國家標準技術研究所（NIST）監督對用於國家安全系統的商業IT產品的評估。

• Windows 10對NIAP保護配置文件的常見標準評估通用操作系統於2016年4月5日完成，並於2017年2月2日更新，以包括Windows Server 2016。
• Windows 10對移動設備基礎知識的NIAP保護配置文件的常見標準評估，於2016年1月29日完成，並於2017年4月12日更新，包括Windows Server 2016。
• Windows 10對IPSEC虛擬專用網絡（VPN）客戶端的NIAP保護配置文件的常見標準評估，於2016年11月10日完成，並於2016年12月29日更新了Windows Server 2016。
• NIST FIPS 140-2 Windows 10加密模塊的驗證於2016年6月2日完成（請參閱證書編號2600、2601、2602、2603、2603、2604、2605、2606和2607）。

使用安全的主機基線是NSA信息保證前10名緩解策略之一。 DOD安全的主機基線還例證了其他IAD前10個緩解策略，例如使用應用程序白名單，啟用反爆發功能以及使用最新版本的操作系統和應用程序。

該存儲庫託管組策略對象，合規性檢查和配置工具，以支持Windows 10的DOD安全主機基線（SHB）框架。國家安全系統的管理員（例如那些是國防工業基礎的人的管理員）可以利用此存儲庫來代替需要訪問Windows 10的Windows SHB框架，以訪問DOD SHB框架，以訪問常見的訪問卡（CAC）或個人身份證明（CAC）或個人身份證明（CAC）或個人身份證明（PIV）（PIV）（PIV）。

可以將問題或評論提交給存儲庫問題跟踪器，也可以在Windows 10 Secure Host Basine Projems上發佈在Software Forge上，該項目需要使用CAC或PIV智能卡才能訪問。

• ActivClient文件夾包含用於使用ActivClient軟件的智能卡登錄者的ActivClient計算機策略。
• Adobe讀取器文件夾包含Adobe Reader DC計算機和最新版本Adobe Reader DC的用戶策略。
• Applocker文件夾包含最新版本Windows 10的Appleocker計算機策略。
• 證書文件夾包含用於分發DOD根和中間證書授權的計算機策略。
• Chrome文件夾包含最新版本Chrome的Chrome瀏覽器計算機策略。
• Internet Explorer文件夾包含Internet Explorer 11計算機和最新版本Windows 10的用戶策略。
• 辦公文件夾包含Office 2013和Office 2016政策。
• Windows文件夾包含Windows 10的Windows 10用戶和計算機策略，適用於Windows 10的最新版本。
• Windows防火牆文件夾包含Windows 10 Windows 10的Windows防火牆計算機策略。

帶有SHB的幫助用戶的腳本位於每個組件的腳本子文件夾中。到目前為止可使用的腳本：

• Adobe閱讀器
• 證書
• 鉻合金
• 一般的
• 視窗

此存儲庫中包含Nessus（又名ACA）審核文件。合規性檢查可用於：

• Adobe Reader DC
• 鉻合金
• Internet Explorer
• 視窗
• Windows防火牆

在域或獨立環境中運行合規性檢查的說明可以在“合規”頁面上找到。

開始使用這些工具：

1. 將存儲庫作為zip文件下載
2. 配置PowerShell
3. 加載代碼
4. 應用政策
5. 檢查合規性

將當前代碼下載到您的下載文件夾。默認情況下，它將保存為Windows-Secure-Baseline-Master.zip 。

PowerShell命令的目的是從至少安裝了PowerShell 3.0的系統中運行。 PowerShell可能需要配置以運行命令。

用戶可能需要更改默認的PowerShell執行策略。這可以通過多種不同的方式實現：

• 打開命令提示符並運行powershell.exe -execution -executionPolicy無限制，並從該PowerShell會話中運行腳本。
• 打開一個PowerShell提示，並運行Set -ExecutionPolicy -Scope流程，並從當前的PowerShell會話中運行腳本。
• 打開一個管理PowerShell提示並運行Set-ExecutionPolicy無限制，並從任何PowerShell會話中運行腳本。

用戶將需要解除下載的zip文件，因為它將被標記為從Internet下載的powershell將默認將無法執行的Internet。打開一個PowerShell提示，並運行以下命令以解開zip文件中的PowerShell代碼：

1. cd $env:USERPROFILE
2. cd Downloads
3. Unblock-File -Path '.Windows-Secure-Host-Baseline-master.zip'

在ZIP文件中運行PowerShell腳本而無需解除文件，將導致以下警告：

安全警告僅您信任的腳本運行。儘管來自Internet的腳本可能很有用，但此腳本可能會損害您的計算機。如果您信任此腳本，請使用Unblock-File CMDLET允許腳本在沒有此警告消息的情況下運行。您是否要運行C： User User user downloads Script.ps1？ [d]不運行[r]暫停[？ ] help（默認為“ d”）：

如果在提取下載的zip文件之前沒有釋放zip文件，則必須將所有ZIP文件中的單個PowerShell文件刪除。您需要在加載代碼部分中的步驟5之後運行以下命令：

 Get-ChildItem -Path '.Windows-Secure-Host-Baseline' -Recurse -Include '*.ps1','*.psm1' | Unblock-File -Verbose

有關如何使用它的更多信息，請參見Unblock-File命令的文檔。

現在，提取下載的zip文件並加載用於應用策略的PowerShell代碼。

1. 右鍵單擊zip文件，然後選擇“提取全部”
2. 在對話框上，從路徑的末端刪除Windows-Secure-Baseline-Master，因為它將將文件提取到Windows-Secure-Baseline-Master-Master文件夾中
3. 點擊提取按鈕
4. 將Windows-Secure-Baseline-Master文件夾重命名為Windows-Secure-Baseline
5. 打開powershell提示作為管理員
6. 導入組策略PowerShell模塊將代碼加載到PowerShell會話中： Import-Module -Name .Windows-Secure-Host-BaselineScriptsGroupPolicy.psm1

在組策略PowerShell模塊中發現的Invoke-ApplySecureHostBaseline命令是應用策略的主要命令。默認情況下，此命令將：

• 導入計算機和用戶策略。使用-policyscopes選項，僅指定“用戶”或“計算機”值以僅導入用戶或計算機策略。
• 在審核模式下具有審核選項（例如Applocker）的導入策略。要在執法模式下導入這些策略，請使用-policymode選項並指定“執行”值。
• 如果存在-updateTemplates選項，則進行現有導入的SHB組策略對象的備份副本（以及組策略模板）。備份將在位於％UERPROFILE％ desktop backup_yyyymmddhhmmss的目錄中，該目錄與執行命令的時間相對應。要更改此位置，請使用-backuppath選項，並指定將創建backup_yyymddhhmmss的現有文件夾的路徑。
• 不要更新與應用的組策略對象相對應的組策略模板文件。使用-updateTemplates選項更新組策略模板。

該命令的選項是：

• - Path-必需。包含下載和提取的GitHub SHB存儲庫的文件夾的路徑。
• -policynames-必需。適用的政策的名稱。可以是1個或多個策略名稱。可用的名稱：“ ActivClient”，“ Adob​​e Reader”，“ Applocker”，“證書”，“ Chrome”，“ Internet Explorer”，“ Office 2013”​​，“ Office 2016”，“ Windows”，“ Windows Firewall”。
• -policysycopes-可選。申請政策的範圍。可用範圍：“計算機”，“用戶”。默認為“計算機”，“用戶”。
• -policyType-可選。適用的政策類型。可用類型：“域”，“本地”。連接到域時默認為“域”。當未加入域時，默認為“本地”。
• -policymode-可選。如果特定政策的支持，則適用的策略方式。例如，Appleocker支持審計和執行模式。可用模式：“審核”，“執行”。默認為“審核”。
• -backuppath-可選。如果需要回滾，則可以保存現有導入的SHB組策略對象備份的文件夾（如果使用-updateTemplates選項）的備份（以及組策略模板），以防萬一需要回滾。默認為$ env：userProfile desktop backup_yyyymmddhhmmss對應於腳本執行何時。
• -toolpath-可選。 LGPO工具的路徑。當policyType為“本地”時，需要。
• -updateTemplates-可選。更新與應用程序組策略對象相對應的組策略模板。

在PowerShell上鍵入MAN Indake-ApplySecureHostBaseline提示提供更多幫助和示例或向存儲庫問題跟踪器提交問題。

如果將SHB策略應用於獨立系統（例如未加入域），請從此Microsoft博客文章中下載LGPO工具並提取可執行文件。

 Invoke-ApplySecureHostBaseline -Path '.Windows-Secure-Host-Baseline' -PolicyNames 'Adobe Reader','AppLocker','Certificates','Chrome','Internet Explorer','Office 2013','Office 2016','Windows','Windows Firewall' -ToolPath '.LGPOlgpo.exe'

如果將SHB策略應用於域，請注意，組策略對象僅加載到Active Directory中。政策與任何OUS沒有鏈接，因此設置不會自動影響。

 Invoke-ApplySecureHostBaseline -Path '.Windows-Secure-Host-Baseline' -PolicyNames 'Adobe Reader','AppLocker','Certificates','Chrome','Internet Explorer','Office 2013','Office 2016','Windows','Windows Firewall'

一旦應用了策略（並鏈接到域案件中的適當OUS），請參閱“合規”頁面，以獲取有關如何查看符合策略的說明。

請參閱許可證。

請參閱免責聲明。