配置Windows安全基線

■ 大慶 時煒

編者按：Windows server和Windows系統(tǒng)在企業(yè)中應用非常廣泛，其安全性相對來說也較為脆弱，因此對這些系統(tǒng)進行安全性防護顯得非常重要。本文講如何解配置Windows安全基線。

隨著企業(yè)信息化的不斷深入，信息安全的重要性越發(fā)凸顯。其中計算機系統(tǒng)的安全是信息安全的基礎，安全基線可以類比“木桶理論”，是安全木桶的最短板，是最基本的安全要求。

配置使用計算機系統(tǒng)的安全基線，可在計算機系統(tǒng)受到不法分子惡意攻擊、惡意軟件、木馬及蠕蟲病毒等攻擊時能夠起到主動防御的作用，從而有效地提高系統(tǒng)的安全性。

作為目前企業(yè)中最常用的操作系統(tǒng)，Windows server和Windows的配置對企業(yè)IT系統(tǒng)的安全性至關重要。

下面談談Windows安全基線配置的基本內容和方法。

Windows安全基線配置的基本內容和方法

Windows安全基線主要通過安全策略設置來實現(xiàn)。安全策略設置是計算機配置的規(guī)則，用于保護設備或網(wǎng)絡上的資源，以幫助保護企業(yè)中的域控制器、服務器、客戶端和其他資源。

安全策略包括如下。

帳戶策略（密碼策略、帳戶鎖定策略、Kerberos策略）；本地策略（審核策略、用戶權限分配、安全選項）；具有高級安全性的Windows防火墻；網(wǎng)絡列表管理器策略；公共密鑰策略；軟件限制策略；應用程序控制策略；本地計算機上的IP安全策略；高級審核策略配置；管理模板中與安全相關的IE、Edge、BitLocker、網(wǎng)路、系統(tǒng)等策略。

按照安全策略的內容，我們往往需要花相當長的時間查閱很多相關的資料，才能確定每個設置的安全影響，還需要確定每個設置的相應值。而Windows組策略設置中包括近4 800個設置項，其中只有一部分與安全相關。即使是IT專業(yè)人員配置安全基線也很麻煩的一件事。很幸運的是，微軟公司提供了基于微軟安全團隊、產(chǎn)品組、合作伙伴和客戶的反饋制作的安全基線配置工具Security Compliance Toolkit (SCT)包。

最新的Security Compli ance Toolkit包括：Windows 10各個版本的安全基線、Windows Server 2012 R2以后版本的安全基線、Micro soft Office 2016的安全基線及策略分析器工具和本地組策略對象（LGPO）工具。

圖1

圖2 配置安全基線前

配置步驟

1.下載Security Comp liance Toolkit（https://www.microsoft.com/en-us/download/details.aspx?id=55319），包括圖1所示的文件。

2.檢查操作系統(tǒng)版本，在運行處執(zhí)行winver，查看系統(tǒng)版本。

3.以Windows 10版本1909為例，先將Windows 10 Version 1909 and Windows Server Version 1909 Se curity Baseline.zip解壓至本地c: 1909,然后將LGPO.zip解壓至c:1909ScriptsTools。

4.以管理員身份運行Powershell，并進入PS C:1909scripts>，然后執(zhí)行Baseline-LocalInstall.ps1腳本加相應的參數(shù)。

已經(jīng)加入域的Windows 10系統(tǒng)執(zhí)行“Baseline-Local Install.ps1-Win10Domain Joined”。

未加入域的Windows 10系統(tǒng)執(zhí)行“Baseline-Local Install.ps1-Win10NonDo mainJoined”。

已加入域的域成員Win dows Server系統(tǒng)執(zhí)行“Base line-LocalInstall.ps1-WS Member”。

而沒有加入域的獨立Windows Server系統(tǒng)執(zhí)行“Baseline-LocalInstall.ps1-WSNonDomainJoined”。

在域控制器Windows Server系統(tǒng)執(zhí)行“Baseline-Local Install.ps1-WS Do mainController”。

以未加入域的Windows 10版本1909系統(tǒng)為例

PS C:1909scri pts>.Baseline-Local Install.ps1-Win10Non DomainJoined

提示無法加載文件C:1909scriptsBaseline-LocalInstall.ps1。

查看限制策略：PS C:1909scripts>get-exe cutionpolicy顯示Restri cted。

這是因為在此系統(tǒng)默認策略上禁止運行腳本。

圖3 配置安全基線后

解除限制策略，執(zhí)行“PS C:1909scripts>setexecutionpolicy -exe cutionpolicy unrestricted-scope currentuser”，選擇“Y”。

重新執(zhí)行PS C:1909scripts>.Baseline-LocalInstall.ps1-Win10 NonDomainJoined。策略安裝成功，安全基線配置完成。

以密碼策略為例，配置安全基線前（如圖2所示）與安全基線后（如圖3所示）比較，配置安全基線后密碼設置策略安全性更高。

在Windows安全基線配置后，如果某些應用受到影響，而暫時又不能發(fā)現(xiàn)原因，可以重置系統(tǒng)安全策略。

以管理員身份運行CMD，并執(zhí)行C: Windowssystem 32 >secedit/con figure/cfg %windir%infdefltbase.inf/dbdeflt base.sdb/verbose

使安全策略恢復到初始狀態(tài)，待查明原因后，重復上面的步驟安裝Windows安全基線配置。然后調整安全基線，以適應應用的需要。

企業(yè)可以根據(jù)自身的需要，在此基礎上通過組策略進行調整，對提高企業(yè)計算機的安全設置起到事半功倍的作用。

例如，企業(yè)部署了Windows Server更新服務器，域名為updat.dod.com，端口為8530。

在域控制器服務器上，打開組策略管理，選擇“域策略→設置”項，點擊右鍵進行編輯。然后打開“組策略編輯管理器→計算機配置→策略→管理模板→Windows組件→Windows更新→選擇配置自動更新→選擇已啟用”；再選擇指定Interanet Microsoft更新位置，選擇“已啟用”。在設置檢測更新的Interanet更新服務及設置Interanet統(tǒng)計服務器分別輸入“http://updat.dod.com:8530”。這樣，企業(yè)內的計算機即可保持自動更新，避免安全漏洞的威脅。