Windows 系统安全基线及软件工具介绍
和Linux环境相同,微软在维护Windows环境的网络安全上也花费了大量力气。在微软的网站上也有很多介绍,不过那些自动翻译真是看得人头大,所以大致概括一下。
笔者:国际认证信息系统审计师、软考系统分析师
为了使企业、组织能对部署的Windows 操作系统产品充分细化地控制和安排配置,微软通过Security baselines即安全基线的方式,提供了相关文档指南和软件工具。
这些安全基线是基于行业标准或相关合规要求进行设计的,直接采用这些安全基线要求可以为企业的安全控制过程带来灵活性并降低成本。
安全基线是安全标准的具体实现,可以理解为达到一定的安全要求时所必须要执行的最基本的配置工作。由于不同的组织,所要面对的安全威胁都不同,所以安全基线在主要应对不同机构组织之间共同的安全需求之外,还针对每一个特定领域设计了一些特定的安全配置。
Windows操作系统发展到今天,内部有大量的配置设置,比如Windows 10有3000个组策略设置,以及1800个IE11的设置,这加起来4800个设置并不是全部都和安全相关。
作为系统管理员,虽然可以一个个设置去查阅参考指南和决定如何进行合规设置,但这需要花费相当长的时间,而且,不同的安全设置之间可能会产生交叉影响,都需要管理员自己去先行确定,这无疑产生了巨大的工作量。
为了加快企业和组织的网络安全专业人员在应对安全威胁的响应速度,简化Windows等微软产品的部署过程,管理员可以通过包括组策略对象备份等方式进行快速的安全基线配置,从而大大降低安全配置所需要的工作量,使企业更有效地应对安全威胁。
- 微软的基线定义遵循如下原则:
- 基线专为安全意识良好的组织设计,这些组织中的一般用户不具备计算机管理权限。
- 基线只有在能缓解当前安全威胁 并且不会导致比它们所缓解的风险更糟的操作问题时才强制执行设置。
- 基线只有在被授权用户可能将其设置为不安全状态时,强制执行默认值:
- 如果非管理员可设置不安全状态,则强制执行默认值。
- 如果设置不安全状态需要计算机管理员权限,则只有在可能是因为管理员由于信息错误而选择不当时,才强制实施默认值。
- 确保用户和设备配置的设置符合基线。
- 设定和管理配置的设置集合。
相关手段包括组策略、Microsoft Endpoint Configuration Manager或Microsoft Intune等专门的系统化的管理工具软件。这些手段都可以使用基线中定义的设置值去配置设备。
有几种获取和使用安全基线的方法:
1、可以从 Microsoft 下载中心下载安全基线。这是 Security Compliance Toolkit (SCT) 的下载页面,其中包含可帮助管理员管理安全基线以及其他基线的各种工具,以及安全基线本身。参见:
https://www.microsoft.com/download/details.aspx?id=55319
2、MDM (移动设备管理) 安全基线功能,基于 Microsoft 组策略的安全基线。如果企业或组织具备MDM管理工具,可以轻松地将其集成进去。参见:
https://docs.microsoft.com/en-us/windows/client-management/mdm/#mdm-security-baseline
3、MDM 安全基线可以通过 Microsoft Endpoint Manager 对运行了Windows 10和11 的设备上轻松地进行配置。详细步骤参见:
https://docs.microsoft.com/en-us/mem/intune/protect/security-baseline-settings-mdm-all
安全合规工具,即Security Compliance Toolkit (SCT) 是一组可以让企业或组织的安全管理员为 Windows 和其他微软产品下载、分析、测试、编辑和存储 Microsoft 推荐的安全配置基线的工具。
SCT使管理员能够有效管理企业的组策略对象 (GPO)。使用此工具套件,管理员可以将其当前的 GPO 与微软推荐的 GPO 基线或其他基线进行比较、对其进行编辑、以 GPO 备份文件格式进行存储并通过活动目录、或单独通过本地策略实现在企业组织范围内的广泛应用。
当前版本的 SCT 工具包包括了:
- Windows 11安全基线
- Windows 10 安全基线(低至1507版本)
- Windows Server 安全基线(低至2012 R2版本)
- Microsoft Office安全基线(低至2016版本)
- Microsoft Edge安全基线(低至98版本)
-
操作工具,包括
- 策略分析器
- LGPO (本地组策略)
- 设置对象安全性
- GPO 到策略规则
SCT下载地址:
https://www.microsoft.com/en-us/download/details.aspx?id=55319
策略分析器是一款用于分析和比较组策略对象 (GPO) 集的实用程序。它的主要功能包括:
- 当一组组策略具有冗余设置或内部不一致时突出显示
- 突出显示不同版本或不同集合的组策略之间的差异
- 将 GPO 与当前的本地策略和本地注册表设置进行比较
- 将结果导出为 Microsoft Excel 电子表格
借助策略分析器,你可以将一组 GPO 作为单个单元处理。使管理员能更容易地确定某个特定设置是否跨 GPO 重复了,又或者错误地配置为相互冲突了。借助策略分析器,你还可以把系统设置按基线定义捕获留存,在未来的时候可以进行历史对比,以识别设置集合中是否存在更改。
有关策略分析器工具详细信息,请参阅:
https://docs.microsoft.com/en-us/archive/blogs/secguide/new-tool-policy-analyzer
LGPO.exe 是用于帮助管理员进行自动化管理本地组策略的命令行实用工具。本地策略为管理员提供了一种简单的方法去验证组策略设置的效果,并且对于管理没有加入到域的计算机也很有用。
LGPO.exe 可以从注册表策略 (Registry.pol) 文件、安全模板、高级审计备份文件以及经过良好格式化后的“LGPO 文本”文件中导入和应用设置到计算机。它还可以将本地策略导出为 GPO 备份,可以将注册表策略文件的内容导出为可以编辑的“LGPO 文本”格式,并可以根据 LGPO 文本文件构建注册表策略文件。
有关 LGPO 工具的文档,请参阅:
SetObjectSecurity.exe可以为任何类型的 Windows 安全对象(如文件、目录、注册表项、事件日志、服务和 SMB 共享)设置安全描述符。对于文件系统和注册表对象,可以选择是否应用继承规则。
管理员还可以选择把安全描述符以兼容注册表导出文件,即 .reg 格式文件的方式去导出。导出的文件使用REG_BINARY类型的注册表数据去表达安全描述符。
有关 Set Object Security 工具的文档,可参阅:
该工具可以自动化 GPO 备份转换为策略分析器的 .PolicyRules 文件的过程,从而不需要管理员通过GUI进行人手操作。GPO2PolicyRules 是策略分析器软件包中包含的命令行工具。
有关 GPO 到 PolicyRules 工具的文档,可参阅:
本站微信订阅号:
本页网址二维码: