配置Windows安全基线

■ 大庆 时炜

编者按：Windows server和Windows系统在企业中应用非常广泛，其安全性相对来说也较为脆弱，因此对这些系统进行安全性防护显得非常重要。本文讲如何解配置Windows安全基线。

随着企业信息化的不断深入，信息安全的重要性越发凸显。其中计算机系统的安全是信息安全的基础，安全基线可以类比“木桶理论”，是安全木桶的最短板，是最基本的安全要求。

配置使用计算机系统的安全基线，可在计算机系统受到不法分子恶意攻击、恶意软件、木马及蠕虫病毒等攻击时能够起到主动防御的作用，从而有效地提高系统的安全性。

作为目前企业中最常用的操作系统，Windows server和Windows的配置对企业IT系统的安全性至关重要。

下面谈谈Windows安全基线配置的基本内容和方法。

Windows安全基线配置的基本内容和方法

Windows安全基线主要通过安全策略设置来实现。安全策略设置是计算机配置的规则，用于保护设备或网络上的资源，以帮助保护企业中的域控制器、服务器、客户端和其他资源。

安全策略包括如下。

帐户策略（密码策略、帐户锁定策略、Kerberos策略）；本地策略（审核策略、用户权限分配、安全选项）；具有高级安全性的Windows防火墙；网络列表管理器策略；公共密钥策略；软件限制策略；应用程序控制策略；本地计算机上的IP安全策略；高级审核策略配置；管理模板中与安全相关的IE、Edge、BitLocker、网路、系统等策略。

按照安全策略的内容，我们往往需要花相当长的时间查阅很多相关的资料，才能确定每个设置的安全影响，还需要确定每个设置的相应值。而Windows组策略设置中包括近4 800个设置项，其中只有一部分与安全相关。即使是IT专业人员配置安全基线也很麻烦的一件事。很幸运的是，微软公司提供了基于微软安全团队、产品组、合作伙伴和客户的反馈制作的安全基线配置工具Security Compliance Toolkit (SCT)包。

最新的Security Compli ance Toolkit包括：Windows 10各个版本的安全基线、Windows Server 2012 R2以后版本的安全基线、Micro soft Office 2016的安全基线及策略分析器工具和本地组策略对象（LGPO）工具。

图1

图2 配置安全基线前

配置步骤

1.下载Security Comp liance Toolkit（https://www.microsoft.com/en-us/download/details.aspx?id=55319），包括图1所示的文件。

2.检查操作系统版本，在运行处执行winver，查看系统版本。

3.以Windows 10版本1909为例，先将Windows 10 Version 1909 and Windows Server Version 1909 Se curity Baseline.zip解压至本地c: 1909,然后将LGPO.zip解压至c:1909ScriptsTools。

4.以管理员身份运行Powershell，并进入PS C:1909scripts>，然后执行Baseline-LocalInstall.ps1脚本加相应的参数。

已经加入域的Windows 10系统执行“Baseline-Local Install.ps1-Win10Domain Joined”。

未加入域的Windows 10系统执行“Baseline-Local Install.ps1-Win10NonDo mainJoined”。

已加入域的域成员Win dows Server系统执行“Base line-LocalInstall.ps1-WS Member”。

而没有加入域的独立Windows Server系统执行“Baseline-LocalInstall.ps1-WSNonDomainJoined”。

在域控制器Windows Server系统执行“Baseline-Local Install.ps1-WS Do mainController”。

以未加入域的Windows 10版本1909系统为例

PS C:1909scri pts>.Baseline-Local Install.ps1-Win10Non DomainJoined

提示无法加载文件C:1909scriptsBaseline-LocalInstall.ps1。

查看限制策略：PS C:1909scripts>get-exe cutionpolicy显示Restri cted。

这是因为在此系统默认策略上禁止运行脚本。

图3 配置安全基线后

解除限制策略，执行“PS C:1909scripts>setexecutionpolicy -exe cutionpolicy unrestricted-scope currentuser”，选择“Y”。

重新执行PS C:1909scripts>.Baseline-LocalInstall.ps1-Win10 NonDomainJoined。策略安装成功，安全基线配置完成。

以密码策略为例，配置安全基线前（如图2所示）与安全基线后（如图3所示）比较，配置安全基线后密码设置策略安全性更高。

在Windows安全基线配置后，如果某些应用受到影响，而暂时又不能发现原因，可以重置系统安全策略。

以管理员身份运行CMD，并执行C: Windowssystem 32 >secedit/con figure/cfg %windir%infdefltbase.inf/dbdeflt base.sdb/verbose

使安全策略恢复到初始状态，待查明原因后，重复上面的步骤安装Windows安全基线配置。然后调整安全基线，以适应应用的需要。

企业可以根据自身的需要，在此基础上通过组策略进行调整，对提高企业计算机的安全设置起到事半功倍的作用。

例如，企业部署了Windows Server更新服务器，域名为updat.dod.com，端口为8530。

在域控制器服务器上，打开组策略管理，选择“域策略→设置”项，点击右键进行编辑。然后打开“组策略编辑管理器→计算机配置→策略→管理模板→Windows组件→Windows更新→选择配置自动更新→选择已启用”；再选择指定Interanet Microsoft更新位置，选择“已启用”。在设置检测更新的Interanet更新服务及设置Interanet统计服务器分别输入“http://updat.dod.com:8530”。这样，企业内的计算机即可保持自动更新，避免安全漏洞的威胁。