配置Windows安全基线
2020-11-11大庆时炜
■ 大庆 时炜
编者按:Windows server和Windows系统在企业中应用非常广泛,其安全性相对来说也较为脆弱,因此对这些系统进行安全性防护显得非常重要。本文讲如何解配置Windows安全基线。
随着企业信息化的不断深入,信息安全的重要性越发凸显。其中计算机系统的安全是信息安全的基础,安全基线可以类比“木桶理论”,是安全木桶的最短板,是最基本的安全要求。
配置使用计算机系统的安全基线,可在计算机系统受到不法分子恶意攻击、恶意软件、木马及蠕虫病毒等攻击时能够起到主动防御的作用,从而有效地提高系统的安全性。
作为目前企业中最常用的操作系统,Windows server和Windows的配置对企业IT系统的安全性至关重要。
下面谈谈Windows安全基线配置的基本内容和方法。
Windows安全基线配置的基本内容和方法
Windows安全基线主要通过安全策略设置来实现。安全策略设置是计算机配置的规则,用于保护设备或网络上的资源,以帮助保护企业中的域控制器、服务器、客户端和其他资源。
安全策略包括如下。
帐户策略(密码策略、帐户锁定策略、Kerberos策略);本地策略(审核策略、用户权限分配、安全选项);具有高级安全性的Windows防火墙;网络列表管理器策略;公共密钥策略;软件限制策略;应用程序控制策略;本地计算机上的IP安全策略;高级审核策略配置;管理模板中与安全相关的IE、Edge、BitLocker、网路、系统等策略。
按照安全策略的内容,我们往往需要花相当长的时间查阅很多相关的资料,才能确定每个设置的安全影响,还需要确定每个设置的相应值。而Windows组策略设置中包括近4 800个设置项,其中只有一部分与安全相关。即使是IT专业人员配置安全基线也很麻烦的一件事。很幸运的是,微软公司提供了基于微软安全团队、产品组、合作伙伴和客户的反馈制作的安全基线配置工具Security Compliance Toolkit (SCT)包。
最新的Security Compli ance Toolkit包括:Windows 10各个版本的安全基线、Windows Server 2012 R2以后版本的安全基线、Micro soft Office 2016的安全基线及策略分析器工具和本地组策略对象(LGPO)工具。
图1
图2 配置安全基线前
配置步骤
1.下载Security Comp liance Toolkit(https://www.microsoft.com/en-us/download/details.aspx?id=55319),包括图1所示的文件。
2.检查操作系统版本,在运行处执行winver,查看系统版本。
3.以Windows 10版本1909为例,先将Windows 10 Version 1909 and Windows Server Version 1909 Se curity Baseline.zip解压至本地c: 1909,然后将LGPO.zip解压至c:1909ScriptsTools。
4.以管理员身份运行Powershell,并进入PS C:1909scripts>,然后执行Baseline-LocalInstall.ps1脚本加相应的参数。
已经加入域的Windows 10系统执行“Baseline-Local Install.ps1-Win10Domain Joined”。
未加入域的Windows 10系统执行“Baseline-Local Install.ps1-Win10NonDo mainJoined”。
已加入域的域成员Win dows Server系统执行“Base line-LocalInstall.ps1-WS Member”。
而没有加入域的独立Windows Server系统执行“Baseline-LocalInstall.ps1-WSNonDomainJoined”。
在域控制器Windows Server系统执行“Baseline-Local Install.ps1-WS Do mainController”。
以未加入域的Windows 10版本1909系统为例
PS C:1909scri pts>.Baseline-Local Install.ps1-Win10Non DomainJoined
提示无法加载文件C:1909scriptsBaseline-LocalInstall.ps1。
查看限制策略:PS C:1909scripts>get-exe cutionpolicy显示Restri cted。
这是因为在此系统默认策略上禁止运行脚本。
图3 配置安全基线后
解除限制策略,执行“PS C:1909scripts>setexecutionpolicy -exe cutionpolicy unrestricted-scope currentuser”,选择“Y”。
重新执行PS C:1909scripts>.Baseline-LocalInstall.ps1-Win10 NonDomainJoined。策略安装成功,安全基线配置完成。
以密码策略为例,配置安全基线前(如图2所示)与安全基线后(如图3所示)比较,配置安全基线后密码设置策略安全性更高。
在Windows安全基线配置后,如果某些应用受到影响,而暂时又不能发现原因,可以重置系统安全策略。
以管理员身份运行CMD,并执行C: Windowssystem 32 >secedit/con figure/cfg %windir%infdefltbase.inf/dbdeflt base.sdb/verbose
使安全策略恢复到初始状态,待查明原因后,重复上面的步骤安装Windows安全基线配置。然后调整安全基线,以适应应用的需要。
企业可以根据自身的需要,在此基础上通过组策略进行调整,对提高企业计算机的安全设置起到事半功倍的作用。
例如,企业部署了Windows Server更新服务器,域名为updat.dod.com,端口为8530。
在域控制器服务器上,打开组策略管理,选择“域策略→设置”项,点击右键进行编辑。然后打开“组策略编辑管理器→计算机配置→策略→管理模板→Windows组件→Windows更新→选择配置自动更新→选择已启用”;再选择指定Interanet Microsoft更新位置,选择“已启用”。在设置检测更新的Interanet更新服务及设置Interanet统计服务器分别输入“http://updat.dod.com:8530”。这样,企业内的计算机即可保持自动更新,避免安全漏洞的威胁。