使用 Microsoft 安全基线强化 Windows

Microsoft 安全基线包含 Microsoft 建议的 Windows 工作站和服务器的推荐设置，以提供安全配置并保护域控制器、服务器、计算机和用户。 Microsoft 已根据安全基线开发了参考组策略对象和模板。管理员可以将它们应用在他们的 AD 域中。 Microsoft Security Baseline GPO 中的安全设置使管理员能够根据最新的全球安全最佳实践来保护 Windows 基础结构。在本文中，我们将展示如何在您的域中实施 Microsoft 安全基线 GPO。

参考 Microsoft 安全基线组策略是 Microsoft 安全合规管理器 (SCM) 的一部分。 SCM 是一款免费产品，包含多种工具，用于分析、测试和应用 Windows 和其他 Microsoft 产品的最佳实践和当前安全建议。

Microsoft 安全合规性工具包可通过以下链接获取：https://www.microsoft.com/en-us/download/details.aspx?id=55319。今天，安全合规工具包中提供了以下产品的基准：

• Windows 10 版本 20H2 和 Windows Server 版本 20H2

• Windows 10 版本 2004 和 Windows Server 版本 2004

• Windows 10 版本 1909 和 Windows Server 版本 1909

• Windows 10 版本 1903 和 Windows Server 版本 1903

• Windows 10 版本 1809 和 Windows Server 2019

• Windows 10 版本 1607 和 Windows Server 2016

• 微软Edge v88

• Office365专业增强版

• Windows Server 2012 R2

您还可以下载这些工具：

• LGPO用于管理本地GPO设置；

• PolicyAnalyzer是一个分析现有组策略并将其与安全基线中的参考策略进行比较的工具；

• 设置对象安全

每个 Windows 版本的安全基线存档包含多个文件夹：

• 文档包含 XLSX 和 PDF 文件，其中包含安全基线中应用的设置的详细说明；

• GP 报告 具有 HTML 报告，其中包含要应用的 GPO 设置；

• GPO - 包含不同场景的 GPO 对象。您可以将策略导入到组策略管理 (GPMC) 控制台；

• 脚本包含 PowerShell 脚本，可轻松将 GPO 设置导入域或本地策略：

  Baseline-ADImport.ps1

  ,

  Baseline-LocalInstall.ps1

  ,

  Remove-EPBaselineSettings.ps1

  ,

  MapGuidsToGpoNames.ps1

• 模板 - 其他 ADMX/ADML GPO 模板（例如，

  AdmPwd.admx

  包含 LAPS 的本地密码管理设置，

  MSS-legacy.admx

  ,

  SecGuide.admx

  ）

在Active Directory域环境中，使用GPO更容易实现安全基线（在工作组中，您可以使用LGPO.exe工具通过本地组策略应用推荐的安全设置）。

有针对不同 Windows 基础结构元素的 GPO 安全基线模板：计算机、用户、域服务器、域控制器的策略（针对虚拟 DC 有单独的策略），以及 Internet Explorer、BitLocker、Credential Guard、Windows Defender 防病毒设置。针对各种场景配置的组策略位于 GPO 文件夹中（您可以在下面查看 Windows Server 2019 和 Windows 10 1909 的 GPO 列表）：

• MSFT Internet Explorer 11 — 计算机

• MSFT Internet Explorer 11 — 用户

• MSFT Windows 10 1909 — BitLocker

• MSFT Windows 10 1909 — 计算机

• MSFT Windows 10 1909 — 用户

• MSFT Windows 10 1909 和 Server 1909 — Defender 防病毒软件

• MSFT Windows 10 1909 和 Server 1909 — 域安全

• MSFT Windows 10 1909 和 Server 1909 成员服务器 — Credential Guard

• MSFT Windows Server 1909 — 基于域控制器虚拟化的安全性

• MSFT Windows Server 1909 — 域控制器

• MSFT Windows Server 1909 — 成员服务器

请注意，每个 Windows Server 版本或 Windows 10 版本都有一个单独的安全基线集。

使用与您的 Windows 版本匹配的安全基线版本提取存档，然后打开组策略管理 (

gpmc.msc

） 安慰。

1. 将 ADMX 模板复制到 DC 上的 SYSVOL PolicyDefinitions 文件夹（GPO 中央存储）；

   

2. 创建一个名为Windows 10 2004 Security Baseline的新GPO；

3. 右键单击该 GPO，然后选择导入设置；

   

4. 指定您的 Windows 版本的安全基线文件的路径作为备份位置（例如，

   C:\Tools\SCM\Windows 10 Version 2004 and Windows Server Version 2004 Security Baseline\Windows-10-Windows Server-v2004-Security-Baseline-FINAL\GPOs

   ）；

   

5. 您将看到策略模板列表。在我们的例子中，我将导入带有计算机设置的策略。选择MSFT Windows 10 2004 - 计算机（使用查看设置按钮，可以以gpresult报告的形式查看策略设置）；

   

6. 然后系统会提示您选择如何将引用链接迁移到安全对象和 UNC 路径。由于该策略是新的，因此选择从源中以相同方式复制它们；

   

7. 然后，运行 Windows 10 2004 的计算机的参考安全基线策略设置将导入到您的 GPO。

   

要将组策略对象仅应用于运行特定 Windows 版本的计算机，请使用 GPO WMI 筛选器。例如，对于 Windows 10 2004，您可以使用以下 WMI 过滤器：

Select Version,ProductType from Win32_OperatingSystem WHERE Version LIKE "10.0.19041%" and ProductType = "1"

将过滤器应用到您的策略并将策略链接到您需要的组织单位。

以同样的方式，您可以导入用户、域控制器、域成员服务器等的安全基线。

在将安全基线应用于用户计算机之前，请彻底检查建议的设置，并首先将它们应用于具有测试用户或计算机的 OU。如果需要，您可以禁用安全基线建议的某些设置。只有在测试计算机上成功测试安全基线设置后，您才能将它们应用到域中的所有计算机/服务器。

安全基线包含数十甚至数百个设置。我们无法在一篇文章中讨论它们。让我们考虑一下 a-d.site 上其他文章中介绍的安全设置：

• 管理程序启动和安装规则：AppLocker、软件限制策略、UAC 和 Windows Installer

• 域密码和帐户锁定策略

• 特权帐户限制

• 匿名访问限制

• 审核策略设置以获取有关所有事件和用户登录历史记录的信息

• LSA内存保护

• 访问外围设备（包括打印机和 USB 安装策略）

• 禁用 NetBIOS 和 NTLM 协议

• 远程协助、影子连接、RDS 超时、CredSSP Oracle 修复的设置

• PowerShell 执行策略

• Windows 错误报告的配置

• Windows 防火墙规则管理

• WinRM 设置

• 禁用内置管理员帐户

• 强化的 UNC 路径策略

• 禁用 SMBv1

如果您想保护运行 Windows 10 的家庭计算机，您可以使用现成的 PowerShell 脚本在其上应用安全基线设置。

允许运行未签名的脚本：

Set-ExecutionPolicy -Scope Process Unrestricted

应用政策：

Baseline-LocalInstall.ps1 -Win10NonDomainJoined

Microsoft 安全基线设置可以增强 Windows 基础结构的安全性，并有助于确保相同的设置应用于公司网络上的所有计算机（包括新计算机）。