作者:游子興 / 臺灣大學計算機及資訊網路中心資訊網路組 / 副理
資通安全法施行後,責任等級為A或 B 級之公務機關應導入政府組態基準 GCB,本文介紹三種 GCB 導入工具,包含本機群組原則編輯器、微軟群組原則批次匯入程式、微軟 PolicyAnalyzer,另外依據實際導入經驗歸納三種不同的導入方法,並分析各方法之優劣,可供未來即將導入GCB之單位參考。
政府組態基準GCB導入工具
依據資通安全責任等級分級辦法,責任等級為A或B級之公務機關應辦事項中,需導入政府組態基準GCB(Government Configuration Baseline)。行政院國家資通安全會報技術服務中心https://www.nccst.nat.gov.tw/GCB,依據作業系統、瀏覽器、網通設備、應用程式,制訂了多套 GCB 標準規範。目前市面上已經有多套商業軟體,可協助導入政府組態基準 GCB以符合法規需求,本文將介紹在無 Active Directory 部署環境下,使用Windows內建及微軟相關免費程式進行 GCB導入。
本機群組原則編輯器
本機群組原則編輯器 Local Group Policy Editor,可協助未加入 AD 群組之個人電腦進行符合GCB規範之規則設定。執行方法為在Windows命令列視窗執行gpedit.msc,即可開啟”本機群組原則編輯器”視窗如下圖1。
圖1
依據技服提供之文件:TWGCB-01-005_Microsoft Windows 10政府組態基準說明文件(V1.3).docx,其中項次 1 ~ 9 是關於帳戶原則之建議設定值如下表1。
表1
|
TWGCB-ID
|
原則設定名稱
|
GPO設定路徑
|
GCB設定值
|
|
TWGCB-01-005-0001
|
密碼最短使用期限
|
電腦設定\Windows設定\安全性設定\帳戶原則\密碼原則\密碼最短使用期限
|
1天
|
|
TWGCB-01-005-0002
|
密碼最長使用期限
|
電腦設定\Windows設定\安全性設定\帳戶原則\密碼原則\密碼最長使用期限
|
90天以下
|
|
TWGCB-01-005-0003
|
最小密碼長度
|
電腦設定\Windows設定\安全性設定\帳戶原則\密碼原則\最小密碼長度
|
8個字元以上
|
|
TWGCB-01-005-0004
|
密碼必須符合複雜性需求
|
電腦設定\Windows設定\安全性設定\帳戶原則\密碼原則\密碼必須符合複雜性需求
|
啟用
|
|
TWGCB-01-005-0005
|
強制執行密碼歷程記錄
|
電腦設定\Windows設定\安全性設定\帳戶原則\密碼原則\強制執行密碼歷程記錄
|
3以上記憶的密碼
|
|
TWGCB-01-005-0006
|
使用可還原的加密來存放密碼
|
電腦設定\Windows設定\安全性設定\帳戶原則\密碼原則\使用可還原的加密來存放密碼
|
停用
|
|
TWGCB-01-005-0007
|
帳戶鎖定閾值
|
電腦設定\Windows設定\安全性設定\帳戶原則\帳戶鎖定原則\帳戶鎖定閾值
|
5次不正確的登入嘗試
|
|
TWGCB-01-005-0008
|
重設帳戶鎖定計數器的時間間隔
|
電腦設定\Windows設定\安全性設定\帳戶原則\帳戶鎖定原則\重設帳戶鎖定計數器的時間間隔
|
15分鐘
|
|
TWGCB-01-005-0009
|
帳戶鎖定期間
|
電腦設定\Windows設定\安全性設定\帳戶原則\帳戶鎖定原則\帳戶鎖定期間
|
15分鐘
|
接著可依照上表1中之”GPO設定路徑”欄位在”本機群組原則編輯器”中依序進行設定與調整,設定完成後如下圖2所示。
圖2
依據技服提供之文件:TWGCB-02-003_Google Chrome政府組態基準說明文件(V1.2).docx,其中 GPO 設定路徑如下表2所示。
表2
|
項次
|
TWGCB-ID
|
原則設定名稱
|
GPO設定路徑
|
GCB設定值
|
|
14
|
TWGCB-02-003-0014
|
啟用自動填入
|
電腦設定\系統管理範本\Google Chrome\已淘汰的政策\啟用自動填入
|
停用
|
|
18
|
TWGCB-02-003-0018
|
無痕模式適用性
|
電腦設定\系統管理範本\Google Chrome\無痕模式適用性
|
啟用 無痕模式已停用
|
但在”本機群組原則編輯器”視窗中,依序展開”電腦設定”及”系統管理範本”,卻找不到”Google Chrome”之資料夾如下圖3。
圖3
解決方法為需先下載Chrome政策範本.ADM .ADMX,可由如下Google網頁連結”為受管理的電腦設定Chrome瀏覽器政策”
https://support.google.com/chrome/a/answer/187202?hl=zh-Hant#zippy=%2Cwindows
下載 Google Chrome 範本和說明文件的 ZIP 檔案
https://dl.google.com/dl/edgedl/chrome/policy/policy_templates.zip
解開壓縮檔後,複製 .admx 檔案到如下對應之路徑中:
Copy .\windows\admx\chrome.admx To C:\Windows\PolicyDefinitions
Copy .\windows\admx\zh-TW\chrome.adml To
C:\Windows\PolicyDefinitions\zh-TW
之後在”本機群組原則編輯器”視窗中,依序展開”電腦設定”及”系統管理範本”即可看到 Google 及 Google Chrome 資料夾如下圖4,之後就可依照 GCB 文件進行設定。
圖4
另外關於 Mozilla Firefox 之設定方式較為特別,依據技服提供之文件:TWGCB-02-004_Mozilla Firefox政府組態基準說明文件(V1.1).docx,其中 GPO 設定路徑如下表3所示
表3
|
項次
|
TWGCB-ID
|
原則設定名稱
|
設定方式
|
GCB設定值
|
|
1
|
TWGCB-02-004-0001
|
啟用更新功能
|
於CFG檔案中,新增設定:lockPref("app.update.enabled", true);
|
TRUE
|
|
2
|
TWGCB-02-004-0002
|
啟用自動下載更新與安裝
|
於CFG檔案中,新增設定:lockPref("app.update.auto", true);
|
TRUE
|
因此Mozilla Firefox之GCB設定方法為直接編輯兩個設定檔,其存放路徑如下:
ds_mozilla.cfg 路徑
C:\Program Files\Mozilla Firefox (64位元)
C:\Program Files (x86)\Mozilla Firefox (32位元)
local-settings.js 路徑
C:\Program Files\Mozilla Firefox\defaults\pref (64位元)
C:\Program Files (x86) \Mozilla Firefox\defaults\pref (32位元)
微軟群組原則批次匯入程式
行政院技服依據作業系統、瀏覽器、網通設備、應用程式,制訂了多套GCB標準規範,常用之規則統計項目如下表4:
表4
|
項目
|
技服GCB規則項數
|
|
Win10
|
345
|
|
Windows Server 2016
|
590
|
|
Red Hat Enterprise Linux 8
|
292
|
|
IE11
|
154
|
|
Chrome
|
33
|
|
Firefox
|
52
|
|
Edge
|
12
|
|
Wireless
|
19
|
|
Fortigate Firewall
|
46
|
|
…
|
…
|
|
總數
|
1500+
|
因為項目眾多,若使用上述”本機群組原則編輯器”逐項逐台電腦進行設定曠日廢時,因此微軟有提供一個”群組原則批次匯入程式” LGPO.exe,其下載路徑如下:
Microsoft Security Compliance Toolkit 1.0
https://www.microsoft.com/en-us/download/details.aspx?id=55319
建議可如下圖5勾選 LGPO.zip 及 PolicyAnalyzer.zip 進行下載。
圖5
解開LGPO.zip內有LGPO.exe檔案,執行時可開啟”命令提示字元”使用”系統管理者身份”,LGPO.exe 支援多種匯入格式如下:
‧ GPO Files Path
‧ Registry Policy files (.pol)
‧ Security Templates (.ini)
‧ Advanced Auditing backup files (.csv)
‧ Policy Analyzer Rules (.PolicyRules)
‧ XML files (.xml)
‧ LGPO text (.txt)
其中GPO Files Path可從技服網站
https://www.nccst.nat.gov.tw/GCB?lang=zh,GCB部署資源進行下載,檔案格式為.zip,解壓縮後若要將規則全部導入可執行:
LGPO.exe /g .\GCB-Windows10-gpos
若僅有部分規則導入,例如僅導入與帳號相關規則:
LGPO.exe /g .\GCB-Windows10-gpos\Windows10AccountSettings
導入後Windows 10作業系統預設每隔90分鐘,才會套入新設定之規則,若要立即生效需執行指令:
C:\> gpupdate /force
微軟 PolicyAnalyzer
如前所述在微軟Microsoft Security Compliance Toolkit 1.0中可下載另一個程式 PolicyAnalyzer.zip,解開後執行 PolicyAnalyzer.exe,此程式支援匯入GPO檔案,之後可匯出.PolicyRules或比對目前電腦的設定與GPO檔案之差異,關於PolicyAnalyzer之詳細操作將另闢專文介紹。
GCB導入方法
在瞭解導入GCB之相關工具後,本文提供三種GCB實際導入方法及步驟可供參考:
‧ 方法1
此方法為準備一台新安裝Windows電腦,將所需軟體安裝完成,接著參考技服GCB文件逐項進行設定,設定時已經考慮排除項文件調整相關規則設定,之後使用LGPO.exe匯出GPO設定檔,再將GPO設定檔部署至其他電腦。詳細步驟與指令如下:
1.準備一台新安裝Windows電腦,將所需軟體安裝完成(Chrome, Firefox, Office 等)
2.參考技服網站”GCB文件”逐項設定(已考慮排除項)
Gpedit.msc
3.使用LGPO進行GPO檔案匯出與備份
LGPO.exe /b C:\GCB\GPO
4.於其他電腦使用LGPO匯入GPO並立即生效
LGPO.exe /g C:\GCB\GPO
gpupdate /force
‧ 方法2
此方法同樣需準備一台新安裝Windows電腦,將所需軟體安裝完成,接著依據技服網站提供之GPO設定檔,使用LGPO.exe全部匯入,接著依據排除項文件調整相關規則設定,之後使用LGPO.exe匯出GPO設定檔,再將GPO設定檔部署至其他電腦。此方法之優點在於排除項通常僅佔所有GCB規則之少數,因此僅需進行排除項之規則調整即可。詳細步驟與指令如下
1.準備一台新安裝Windows電腦,將所需軟體安裝完成(Chrome, Firefox, Office 等)
2.技服網站“GCB部署資源”下載GPO檔案
執行LGPO.exe 匯入GPO
LGPO /g C:\GCB\GPO
gpupdate /force
3.依據排除項逐項進行調整
Gpedit.msc
4.使用LGPO 進行 GPO檔案匯出與備份
LGPO.exe /b C:\GCB\GPO
5.於其他電腦使用LGPO 匯入GPO並立即生效
LGPO.exe /g C:\GCB\GPO
gpupdate /force
‧ 方法3
此方法與之前兩個方法不同,不需準備Windows GCB規則範本電腦,而是將技服網站提供之GPO設定檔下載後,使用PolicyAnalyzer.exe 存成 .PolicyRules及匯出成Excel文件檔,之後依據單位需求,將排除項同步調整 .PolicyRules及Excel,之後使用.PolicyRules規則檔案部署至其他電腦。此方法之優點在於不需準備額外之電腦資源,且導入GCB之規則與排除項文件可維持同步,是本文建議最佳之導入方法,詳細步驟與指令如下
1.技服網站“GCB部署資源”下載GPO檔案
2.執行PolicyAnalyzer.exe Add GPO 檔案,存成.PolicyRules及Export to
Excel文件檔
3.依據排除項逐項同步調整.PolicyRules及Excel文件檔
4.於其他電腦使用LGPO匯入PolicyRules並立即生效
LGPO.exe /p C:\GCB\GCB.PolicyRules
gpupdate /force
結論
導入政府組態基準設定之目的在於減少被駭客入侵的風險,對於經費有限的單位可運用微軟提供相關的工具進行導入,另外也可依據各單位的需求評估不同的導入方法。