虽然说 Windows 10 的出厂缺省配置已经比较安全了,但是管理员还是有必要对企业电脑上的 Windows 10 系统做一些更细粒度的安全设置,例如设置用户登录密码的复杂度、密码的过期时间等等,以附合企业的安全规定和达到更高的安全等级。但是安全策略涉及的面比较广,怎样设置才能确保没有遗漏呢?例如,Windows 10 中包含有超过 3000 个组策略,IE 浏览器 11 有超过 1800 个参数选项,虽然并不是所有这些选项都是安全相关的,但是你需要逐个地评估这些选项对于安全的影响,这需要花费很大的精力和时间。有没有一些业界的安全标准可供参考呢?的确有,下面给大家介绍两个比较有名的的安全标准。
Microsoft Security Baseline
微软根据她的安全团队、产品开发团队、合作伙伴和客户的反馈建议,制定了一套推荐的安全配置建议,称之为安全基线 (Security Baseline)。微软的安全基线是通过安全合规工具箱 SCT (Security Compliance Toolkit) 来提供给用户的,SCT 可以从 Microsoft Download Center 下载得到,里面包含了安全设置的建议文档、供导入的组策略配置文件、本地组策略的导入工具 LGPO.exe 等。SCT 工具箱中包含了以下几类安全基线:
- Windows 10 安全基线
Windows 10 Version 1803 (April 2018 Update)
Windows 10 Version 1709 (Fall Creators Update)
Windows 10 Version 1703 (Creators Update)
Windows 10 Version 1607 (Anniversary Update)
Windows 10 Version 1511 (November Update)
Windows 10 Version 1507 - Windows Server 安全基线
Windows Server 2016
Windows Server 2012 R2 - Microsoft Office 安全基线
Office 2016
CIS Benchmark
CIS 是互联网安全中心 (Center for Internet Security) 的缩写,它针对一些常见的系统制定了一套安全配置指南,称之为 Benchmark。CIS Benchmark 是由一组互联网安全专家共同讨论和制定的,这些安全指南被政府、企业和学术机构广泛认可和执行。CIS Benchmark 的覆盖范围很广,涵盖了 Windows 10 和 Windows Server、各种主流 Linux 发行版本、Android、iOS、各种主流的数据库系统等,针对这些系统的 Benchmark 可以从 CIS 官网下载。CIS Benchmark 实际上是一份 PDF 文件,里面详细记录了针对系统各个维度的安全配置建议和指南,但是 CIS 没有提供一个安全配置工具。
Workspace ONE 从版本 1811 开始支持安全基线 (Baseline),并且提供了一些主流的安全基线模板,如上面提到的 Windows 10 Security Baseline 和 CIS Benchmark;另外还有符合健康保险流通与责任法案 HIPAA (Health Insurance Portability and Accountability Act) 规定的模板,适用于医疗和保险行业的用户。通过基线这一功能,管理员只需要在现有的模板基础上做出一些小小的修改,就可以快速创建一个企业适用的安全配置基线,然后把这条基线部署到所有的 Windows 10 设备上去。大大简化了 Windows 10 电脑的安全配置,并且尽可能地减少了电脑设备上的安全漏洞和隐患。
最后给大家看一段 Workspace ONE 创建安全基线的演示视频,你可以看到这一功能大大简化的管理员的工作量,同时提高了受管理 Windows 10 电脑的安全等级。