APP下载

配置Windows安全基线

2020-11-11大庆时炜

网络安全和信息化 2020年10期
关键词:组策略安全策略基线

■ 大庆 时炜

编者按:Windows server和Windows系统在企业中应用非常广泛,其安全性相对来说也较为脆弱,因此对这些系统进行安全性防护显得非常重要。本文讲如何解配置Windows安全基线。

随着企业信息化的不断深入,信息安全的重要性越发凸显。其中计算机系统的安全是信息安全的基础,安全基线可以类比“木桶理论”,是安全木桶的最短板,是最基本的安全要求。

配置使用计算机系统的安全基线,可在计算机系统受到不法分子恶意攻击、恶意软件、木马及蠕虫病毒等攻击时能够起到主动防御的作用,从而有效地提高系统的安全性。

作为目前企业中最常用的操作系统,Windows server和Windows的配置对企业IT系统的安全性至关重要。

下面谈谈Windows安全基线配置的基本内容和方法。

Windows安全基线配置的基本内容和方法

Windows安全基线主要通过安全策略设置来实现。安全策略设置是计算机配置的规则,用于保护设备或网络上的资源,以帮助保护企业中的域控制器、服务器、客户端和其他资源。

安全策略包括如下。

帐户策略(密码策略、帐户锁定策略、Kerberos策略);本地策略(审核策略、用户权限分配、安全选项);具有高级安全性的Windows防火墙;网络列表管理器策略;公共密钥策略;软件限制策略;应用程序控制策略;本地计算机上的IP安全策略;高级审核策略配置;管理模板中与安全相关的IE、Edge、BitLocker、网路、系统等策略。

按照安全策略的内容,我们往往需要花相当长的时间查阅很多相关的资料,才能确定每个设置的安全影响,还需要确定每个设置的相应值。而Windows组策略设置中包括近4 800个设置项,其中只有一部分与安全相关。即使是IT专业人员配置安全基线也很麻烦的一件事。很幸运的是,微软公司提供了基于微软安全团队、产品组、合作伙伴和客户的反馈制作的安全基线配置工具Security Compliance Toolkit (SCT)包。

最新的Security Compli ance Toolkit包括:Windows 10各个版本的安全基线、Windows Server 2012 R2以后版本的安全基线、Micro soft Office 2016的安全基线及策略分析器工具和本地组策略对象(LGPO)工具。

图1

图2 配置安全基线前

配置步骤

1.下载Security Comp liance Toolkit(https://www.microsoft.com/en-us/download/details.aspx?id=55319),包括图1所示的文件。

2.检查操作系统版本,在运行处执行winver,查看系统版本。

3.以Windows 10版本1909为例,先将Windows 10 Version 1909 and Windows Server Version 1909 Se curity Baseline.zip解压至本地c: 1909,然后将LGPO.zip解压至c:1909ScriptsTools。

4.以管理员身份运行Powershell,并进入PS C:1909scripts>,然后执行Baseline-LocalInstall.ps1脚本加相应的参数。

已经加入域的Windows 10系统执行“Baseline-Local Install.ps1-Win10Domain Joined”。

未加入域的Windows 10系统执行“Baseline-Local Install.ps1-Win10NonDo mainJoined”。

已加入域的域成员Win dows Server系统执行“Base line-LocalInstall.ps1-WS Member”。

而没有加入域的独立Windows Server系统执行“Baseline-LocalInstall.ps1-WSNonDomainJoined”。

在域控制器Windows Server系统执行“Baseline-Local Install.ps1-WS Do mainController”。

以未加入域的Windows 10版本1909系统为例

PS C:1909scri pts>.Baseline-Local Install.ps1-Win10Non DomainJoined

提示无法加载文件C:1909scriptsBaseline-LocalInstall.ps1。

查看限制策略:PS C:1909scripts>get-exe cutionpolicy显示Restri cted。

这是因为在此系统默认策略上禁止运行脚本。

图3 配置安全基线后

解除限制策略,执行“PS C:1909scripts>setexecutionpolicy -exe cutionpolicy unrestricted-scope currentuser”,选择“Y”。

重新执行PS C:1909scripts>.Baseline-LocalInstall.ps1-Win10 NonDomainJoined。策略安装成功,安全基线配置完成。

以密码策略为例,配置安全基线前(如图2所示)与安全基线后(如图3所示)比较,配置安全基线后密码设置策略安全性更高。

在Windows安全基线配置后,如果某些应用受到影响,而暂时又不能发现原因,可以重置系统安全策略。

以管理员身份运行CMD,并执行C: Windowssystem 32 >secedit/con figure/cfg %windir%infdefltbase.inf/dbdeflt base.sdb/verbose

使安全策略恢复到初始状态,待查明原因后,重复上面的步骤安装Windows安全基线配置。然后调整安全基线,以适应应用的需要。

企业可以根据自身的需要,在此基础上通过组策略进行调整,对提高企业计算机的安全设置起到事半功倍的作用。

例如,企业部署了Windows Server更新服务器,域名为updat.dod.com,端口为8530。

在域控制器服务器上,打开组策略管理,选择“域策略→设置”项,点击右键进行编辑。然后打开“组策略编辑管理器→计算机配置→策略→管理模板→Windows组件→Windows更新→选择配置自动更新→选择已启用”;再选择指定Interanet Microsoft更新位置,选择“已启用”。在设置检测更新的Interanet更新服务及设置Interanet统计服务器分别输入“http://updat.dod.com:8530”。这样,企业内的计算机即可保持自动更新,避免安全漏洞的威胁。

猜你喜欢

组策略安全策略基线
GNSS 静态相对定位精度分析与比较
基于可视化的安全策略链编排框架
补齐设置短板 用好Microsoft Edge
通过PowerShell获取组策略安全报告
多媒体教学服务器限制访问的一种措施
新版GAMIT10.70解算GPS/BDS基线精度对比分析
基于虚拟基线的相位干涉仪阵列优化设计
如何完全卸载OneDrive
浅析涉密信息系统安全策略
地铁客运组织方式及安全分析