■ 大慶 時煒
編者按:Windows server和Windows系統(tǒng)在企業(yè)中應用非常廣泛,其安全性相對來說也較為脆弱,因此對這些系統(tǒng)進行安全性防護顯得非常重要。本文講如何解配置Windows安全基線。
隨著企業(yè)信息化的不斷深入,信息安全的重要性越發(fā)凸顯。其中計算機系統(tǒng)的安全是信息安全的基礎,安全基線可以類比“木桶理論”,是安全木桶的最短板,是最基本的安全要求。
配置使用計算機系統(tǒng)的安全基線,可在計算機系統(tǒng)受到不法分子惡意攻擊、惡意軟件、木馬及蠕蟲病毒等攻擊時能夠起到主動防御的作用,從而有效地提高系統(tǒng)的安全性。
作為目前企業(yè)中最常用的操作系統(tǒng),Windows server和Windows的配置對企業(yè)IT系統(tǒng)的安全性至關重要。
下面談談Windows安全基線配置的基本內容和方法。
Windows安全基線主要通過安全策略設置來實現(xiàn)。安全策略設置是計算機配置的規(guī)則,用于保護設備或網(wǎng)絡上的資源,以幫助保護企業(yè)中的域控制器、服務器、客戶端和其他資源。
安全策略包括如下。
帳戶策略(密碼策略、帳戶鎖定策略、Kerberos策略);本地策略(審核策略、用戶權限分配、安全選項);具有高級安全性的Windows防火墻;網(wǎng)絡列表管理器策略;公共密鑰策略;軟件限制策略;應用程序控制策略;本地計算機上的IP安全策略;高級審核策略配置;管理模板中與安全相關的IE、Edge、BitLocker、網(wǎng)路、系統(tǒng)等策略。
按照安全策略的內容,我們往往需要花相當長的時間查閱很多相關的資料,才能確定每個設置的安全影響,還需要確定每個設置的相應值。而Windows組策略設置中包括近4 800個設置項,其中只有一部分與安全相關。即使是IT專業(yè)人員配置安全基線也很麻煩的一件事。很幸運的是,微軟公司提供了基于微軟安全團隊、產(chǎn)品組、合作伙伴和客戶的反饋制作的安全基線配置工具Security Compliance Toolkit (SCT)包。
最新的Security Compli ance Toolkit包括:Windows 10各個版本的安全基線、Windows Server 2012 R2以后版本的安全基線、Micro soft Office 2016的安全基線及策略分析器工具和本地組策略對象(LGPO)工具。
圖1
圖2 配置安全基線前
1.下載Security Comp liance Toolkit(https://www.microsoft.com/en-us/download/details.aspx?id=55319),包括圖1所示的文件。
2.檢查操作系統(tǒng)版本,在運行處執(zhí)行winver,查看系統(tǒng)版本。
3.以Windows 10版本1909為例,先將Windows 10 Version 1909 and Windows Server Version 1909 Se curity Baseline.zip解壓至本地c: 1909,然后將LGPO.zip解壓至c:1909ScriptsTools。
4.以管理員身份運行Powershell,并進入PS C:1909scripts>,然后執(zhí)行Baseline-LocalInstall.ps1腳本加相應的參數(shù)。
已經(jīng)加入域的Windows 10系統(tǒng)執(zhí)行“Baseline-Local Install.ps1-Win10Domain Joined”。
未加入域的Windows 10系統(tǒng)執(zhí)行“Baseline-Local Install.ps1-Win10NonDo mainJoined”。
已加入域的域成員Win dows Server系統(tǒng)執(zhí)行“Base line-LocalInstall.ps1-WS Member”。
而沒有加入域的獨立Windows Server系統(tǒng)執(zhí)行“Baseline-LocalInstall.ps1-WSNonDomainJoined”。
在域控制器Windows Server系統(tǒng)執(zhí)行“Baseline-Local Install.ps1-WS Do mainController”。
PS C:1909scri pts>.Baseline-Local Install.ps1-Win10Non DomainJoined
提示無法加載文件C:1909scriptsBaseline-LocalInstall.ps1。
查看限制策略:PS C:1909scripts>get-exe cutionpolicy顯示Restri cted。
這是因為在此系統(tǒng)默認策略上禁止運行腳本。
圖3 配置安全基線后
解除限制策略,執(zhí)行“PS C:1909scripts>setexecutionpolicy -exe cutionpolicy unrestricted-scope currentuser”,選擇“Y”。
重新執(zhí)行PS C:1909scripts>.Baseline-LocalInstall.ps1-Win10 NonDomainJoined。策略安裝成功,安全基線配置完成。
以密碼策略為例,配置安全基線前(如圖2所示)與安全基線后(如圖3所示)比較,配置安全基線后密碼設置策略安全性更高。
在Windows安全基線配置后,如果某些應用受到影響,而暫時又不能發(fā)現(xiàn)原因,可以重置系統(tǒng)安全策略。
以管理員身份運行CMD,并執(zhí)行C: Windowssystem 32 >secedit/con figure/cfg %windir%infdefltbase.inf/dbdeflt base.sdb/verbose
使安全策略恢復到初始狀態(tài),待查明原因后,重復上面的步驟安裝Windows安全基線配置。然后調整安全基線,以適應應用的需要。
企業(yè)可以根據(jù)自身的需要,在此基礎上通過組策略進行調整,對提高企業(yè)計算機的安全設置起到事半功倍的作用。
例如,企業(yè)部署了Windows Server更新服務器,域名為updat.dod.com,端口為8530。
在域控制器服務器上,打開組策略管理,選擇“域策略→設置”項,點擊右鍵進行編輯。然后打開“組策略編輯管理器→計算機配置→策略→管理模板→Windows組件→Windows更新→選擇配置自動更新→選擇已啟用”;再選擇指定Interanet Microsoft更新位置,選擇“已啟用”。在設置檢測更新的Interanet更新服務及設置Interanet統(tǒng)計服務器分別輸入“http://updat.dod.com:8530”。這樣,企業(yè)內的計算機即可保持自動更新,避免安全漏洞的威脅。