政府組態檔(GCB)
說明GCB是什麼與用途
GCB是什麼?
政府組態基準(Government Configuration Baseline,GCB)
目的在於規範資通訊設備(如個人電腦、伺服器主機及網通設備等) 的一致性安全設定(如密碼長度、更新期限等),
以減少資安事件就是增加一些電腦安全設定讓方便性下降很多但是安全性上升一些
套用後有感設定
密碼原則
- 密碼最短使用期限:1天
- 密碼最長使用期限:90天以下,大於0天
- 密碼必須符合複雜性需求:啟用
- 強制執行密碼歷程記錄:3 個以上記憶的密碼
- 帳戶鎖定閾值(嘗試登入錯誤次數):5 次以下不正確的登入嘗試,但須大於0次
- 重設帳戶鎖定計數器的時間間隔(重設登入次數的計時時間):15分鐘
- 帳戶鎖定期間:15分鐘
安全性選項
- 帳戶:Administrator 帳戶:停用
- 帳戶:Guest 帳戶:停用
- 互動式登入:不要求按CTRL+ALT+DEL鍵:停用,使用者登入前需要按 CTRL+ALT+DEL
- 互動式登入:電腦未使用時間限制:900秒(15分鐘)以下,但須大於 0 秒,(會進入鎖定畫面)
事件記錄服務
- 服務指定記錄檔大小上限(KB): 已啟用,32768KB以上
- 系統指定記錄檔大小上限(KB): 已啟用,32768KB以上
- 安全性指定記錄檔大小上限(KB): 已啟用,196608KB以上
如何套用GCB
下載LGPO工具
Microsoft Security Compliance Toolkit 1.0
下載GCB規則
執行套用
對下載的檔案解壓縮,並把解壓縮GCB檔案放進去LGPO資料夾
( 以下模擬LGPO檔案放置在c:\ )
使用最高權限來啟動命令命令提示字元,先進行主機設定的備份
1 | LGPO.exe /b c:\LGPO\backup |
套用規則
ps:後面路徑為GCB檔案所放的位置
1 | LGPO.exe /g c:\LGPO\GCB-WindowsServer2022-gposv1.0_112120 |
立刻生效可以執行該指令或是重新開機
1 | gpupdate /force |
檢查項目
可以確認密碼原則與帳號鎖定原則有沒有成功被修改
注意事項
主機帳號部分
套用GCB會把系統預設的administrator帳號改名成Renamed_Admin並停用
務必務必套用前新增一組administrator權限的帳號再套用
MSS規則找不到
可以參考該文章
下載對應的Security Baseline.zip
遠端桌面部分
不允許磁碟重新導向建議例外,套用後無法使用遠端桌面複製檔案到主機上
若是要用VPN後遠端,要麻煩與VPN管理員確認相關規定是否可以套用
如:需要安全的RPC通訊、需要對遠端(RDP)連線使用特定的安全層與遠端桌面相關的設定
使用者權限指派
若主機有安裝IIS、資料庫相關服務建議套用GCB規則前先進行記錄
以免導致套用後無法使用
如何還原GCB規則
1 | RD /S /Q C:\Windows\System32\GroupPolicy |