posted

0 Comments

雖然說 Windows 10 的出廠缺省配置已經比較安全了,但是管理員還是有必要對企業電腦上的 Windows 10 系統做一些更細細微性的安全設置,例如設置使用者登錄密碼的複雜度、密碼的過期時間等等,以附合企業的安全規定和達到更高的安全等級。但是安全性原則涉及的面比較廣,怎樣設置才能確保沒有遺漏呢?例如,Windows 10 中包含有超過 3000 個群組原則,IE 流覽器 11 有超過 1800 個參數選項,雖然並不是所有這些選項都是安全相關的,但是你需要逐個地評估這些選項對於安全的影響,這需要花費很大的精力和時間。有沒有一些業界的安全標準可供參考呢?的確有,下面給大家介紹兩個比較有名的的安全標準。

 

Microsoft Security Baseline

微軟根據她的安全團隊、產品開發團隊、合作夥伴和客戶的回饋建議,制定了一套推薦的安全配置建議,稱之為安全基線 (Security Baseline)。微軟的安全基線是通過安全合規工具箱 SCT (Security Compliance Toolkit) 來提供給用戶的,SCT 可以從 Microsoft Download Center 下載得到,裡面包含了安全設置的建議文檔、供導入的群組原則設定檔、本地群組原則的導入工具 LGPO.exe 等。SCT 工具箱中包含了以下幾類安全基線:

  • Windows 10 安全基線
    Windows 10 Version 1803 (April 2018 Update)
    Windows 10 Version 1709 (Fall Creators Update)
    Windows 10 Version 1703 (Creators Update)
    Windows 10 Version 1607 (Anniversary Update)
    Windows 10 Version 1511 (November Update)
    Windows 10 Version 1507
  • Windows Server 安全基線
    Windows Server 2016
    Windows Server 2012 R2
  • Microsoft Office 安全基線
    Office 2016

 

CIS Benchmark

CIS 是互聯網安全中心 (Center for Internet Security) 的縮寫,它針對一些常見的系統制定了一套安全配置指南,稱之為 Benchmark。CIS Benchmark 是由一組互聯網安全專家共同討論和制定的,這些安全指南被政府、企業和學術機構廣泛認可和執行。CIS Benchmark 的覆蓋範圍很廣,涵蓋了 Windows 10 和 Windows Server、各種主流 Linux 發行版本本、Android、iOS、各種主流的資料庫系統等,針對這些系統的 Benchmark 可以從 CIS 官網下載。CIS Benchmark 實際上是一份 PDF 檔,裡面詳細記錄了針對系統各個維度的安全配置建議和指南,但是 CIS 沒有提供一個安全配置工具。

 

Workspace ONE 從版本 1811 開始支援安全基線 (Baseline),並且提供了一些主流的安全基線範本,如上面提到的 Windows 10 Security Baseline 和 CIS Benchmark;另外還有符合健康保險流通與責任法案 HIPAA (Health Insurance Portability and Accountability Act) 規定的範本,適用於醫療和保險行業的用戶。通過基線這一功能,管理員只需要在現有的範本基礎上做出一些小小的修改,就可以快速創建一個企業適用的安全配置基線,然後把這條基線部署到所有的 Windows 10 設備上去。大大簡化了 Windows 10 電腦的安全配置,並且盡可能地減少了電腦設備上的安全性漏洞和隱患。

 

最後給大家看一段 Workspace ONE 創建安全基線的演示視頻,你可以看到這一功能大大簡化的管理員的工作量,同時提高了受管理 Windows 10 電腦的安全等級。