配置Windows安全基線

■ 大慶 時(shí)煒

編者按：Windows server和Windows系統(tǒng)在企業(yè)中應(yīng)用非常廣泛，其安全性相對(duì)來(lái)說(shuō)也較為脆弱，因此對(duì)這些系統(tǒng)進(jìn)行安全性防護(hù)顯得非常重要。本文講如何解配置Windows安全基線。

隨著企業(yè)信息化的不斷深入，信息安全的重要性越發(fā)凸顯。其中計(jì)算機(jī)系統(tǒng)的安全是信息安全的基礎(chǔ)，安全基線可以類比“木桶理論”，是安全木桶的最短板，是最基本的安全要求。

配置使用計(jì)算機(jī)系統(tǒng)的安全基線，可在計(jì)算機(jī)系統(tǒng)受到不法分子惡意攻擊、惡意軟件、木馬及蠕蟲病毒等攻擊時(shí)能夠起到主動(dòng)防御的作用，從而有效地提高系統(tǒng)的安全性。

作為目前企業(yè)中最常用的操作系統(tǒng)，Windows server和Windows的配置對(duì)企業(yè)IT系統(tǒng)的安全性至關(guān)重要。

下面談?wù)刉indows安全基線配置的基本內(nèi)容和方法。

Windows安全基線配置的基本內(nèi)容和方法

Windows安全基線主要通過(guò)安全策略設(shè)置來(lái)實(shí)現(xiàn)。安全策略設(shè)置是計(jì)算機(jī)配置的規(guī)則，用于保護(hù)設(shè)備或網(wǎng)絡(luò)上的資源，以幫助保護(hù)企業(yè)中的域控制器、服務(wù)器、客戶端和其他資源。

安全策略包括如下。

帳戶策略（密碼策略、帳戶鎖定策略、Kerberos策略）；本地策略（審核策略、用戶權(quán)限分配、安全選項(xiàng)）；具有高級(jí)安全性的Windows防火墻；網(wǎng)絡(luò)列表管理器策略；公共密鑰策略；軟件限制策略；應(yīng)用程序控制策略；本地計(jì)算機(jī)上的IP安全策略；高級(jí)審核策略配置；管理模板中與安全相關(guān)的IE、Edge、BitLocker、網(wǎng)路、系統(tǒng)等策略。

按照安全策略的內(nèi)容，我們往往需要花相當(dāng)長(zhǎng)的時(shí)間查閱很多相關(guān)的資料，才能確定每個(gè)設(shè)置的安全影響，還需要確定每個(gè)設(shè)置的相應(yīng)值。而Windows組策略設(shè)置中包括近4 800個(gè)設(shè)置項(xiàng)，其中只有一部分與安全相關(guān)。即使是IT專業(yè)人員配置安全基線也很麻煩的一件事。很幸運(yùn)的是，微軟公司提供了基于微軟安全團(tuán)隊(duì)、產(chǎn)品組、合作伙伴和客戶的反饋制作的安全基線配置工具Security Compliance Toolkit (SCT)包。

最新的Security Compli ance Toolkit包括：Windows 10各個(gè)版本的安全基線、Windows Server 2012 R2以后版本的安全基線、Micro soft Office 2016的安全基線及策略分析器工具和本地組策略對(duì)象（LGPO）工具。

圖1

圖2 配置安全基線前

配置步驟

1.下載Security Comp liance Toolkit（https://www.microsoft.com/en-us/download/details.aspx?id=55319），包括圖1所示的文件。

2.檢查操作系統(tǒng)版本，在運(yùn)行處執(zhí)行winver，查看系統(tǒng)版本。

3.以Windows 10版本1909為例，先將Windows 10 Version 1909 and Windows Server Version 1909 Se curity Baseline.zip解壓至本地c: 1909,然后將LGPO.zip解壓至c:1909ScriptsTools。

4.以管理員身份運(yùn)行Powershell，并進(jìn)入PS C:1909scripts>，然后執(zhí)行Baseline-LocalInstall.ps1腳本加相應(yīng)的參數(shù)。

已經(jīng)加入域的Windows 10系統(tǒng)執(zhí)行“Baseline-Local Install.ps1-Win10Domain Joined”。

未加入域的Windows 10系統(tǒng)執(zhí)行“Baseline-Local Install.ps1-Win10NonDo mainJoined”。

已加入域的域成員Win dows Server系統(tǒng)執(zhí)行“Base line-LocalInstall.ps1-WS Member”。

而沒(méi)有加入域的獨(dú)立Windows Server系統(tǒng)執(zhí)行“Baseline-LocalInstall.ps1-WSNonDomainJoined”。

在域控制器Windows Server系統(tǒng)執(zhí)行“Baseline-Local Install.ps1-WS Do mainController”。

以未加入域的Windows 10版本1909系統(tǒng)為例

PS C:1909scri pts>.Baseline-Local Install.ps1-Win10Non DomainJoined

提示無(wú)法加載文件C:1909scriptsBaseline-LocalInstall.ps1。

查看限制策略：PS C:1909scripts>get-exe cutionpolicy顯示Restri cted。

這是因?yàn)樵诖讼到y(tǒng)默認(rèn)策略上禁止運(yùn)行腳本。

圖3 配置安全基線后

解除限制策略，執(zhí)行“PS C:1909scripts>setexecutionpolicy -exe cutionpolicy unrestricted-scope currentuser”，選擇“Y”。

重新執(zhí)行PS C:1909scripts>.Baseline-LocalInstall.ps1-Win10 NonDomainJoined。策略安裝成功，安全基線配置完成。

以密碼策略為例，配置安全基線前（如圖2所示）與安全基線后（如圖3所示）比較，配置安全基線后密碼設(shè)置策略安全性更高。

在Windows安全基線配置后，如果某些應(yīng)用受到影響，而暫時(shí)又不能發(fā)現(xiàn)原因，可以重置系統(tǒng)安全策略。

以管理員身份運(yùn)行CMD，并執(zhí)行C: Windowssystem 32 >secedit/con figure/cfg %windir%infdefltbase.inf/dbdeflt base.sdb/verbose

使安全策略恢復(fù)到初始狀態(tài)，待查明原因后，重復(fù)上面的步驟安裝Windows安全基線配置。然后調(diào)整安全基線，以適應(yīng)應(yīng)用的需要。

企業(yè)可以根據(jù)自身的需要，在此基礎(chǔ)上通過(guò)組策略進(jìn)行調(diào)整，對(duì)提高企業(yè)計(jì)算機(jī)的安全設(shè)置起到事半功倍的作用。

例如，企業(yè)部署了Windows Server更新服務(wù)器，域名為updat.dod.com，端口為8530。

在域控制器服務(wù)器上，打開組策略管理，選擇“域策略→設(shè)置”項(xiàng)，點(diǎn)擊右鍵進(jìn)行編輯。然后打開“組策略編輯管理器→計(jì)算機(jī)配置→策略→管理模板→Windows組件→Windows更新→選擇配置自動(dòng)更新→選擇已啟用”；再選擇指定Interanet Microsoft更新位置，選擇“已啟用”。在設(shè)置檢測(cè)更新的Interanet更新服務(wù)及設(shè)置Interanet統(tǒng)計(jì)服務(wù)器分別輸入“http://updat.dod.com:8530”。這樣，企業(yè)內(nèi)的計(jì)算機(jī)即可保持自動(dòng)更新，避免安全漏洞的威脅。