[研究]GCB,Windows Server 2019 Common、Windows Server 2022 Common排除評估
2024-01-30
政府組態基準(Government Configuration Baseline,簡稱GCB)
政府組態基準(GCB) / GCB部署資源 / 作業系統GPO檔 /
4. GCB-WindowsServer2019-gposv1.1_1120306.zip
5. GCB-WindowsServer2022-gposv1.0_1121201.zip
https://www.nics.nat.gov.tw/GCB.htm?lang=zh
https://www.nics.nat.gov.tw/GCBDownloadDetail-7.htm?lang=zh&seq=1079
項次 | GPO | 類別 | 原則設定名稱 | GPO設定路徑 | GCB設定值 | 排除說明 |
1 | Windows 2019 common | 安全性選項\系統加密編譯 | 系統密碼編譯:使用FIPS相容演算法於加密、雜湊以及簽章 | 電腦設定\Windows設定\安全性設定\本機原則\安全性選項 | 啟用 | 該設定會影響登入部分系統,故改為停用 |
2 | Windows 2019 common | 使用者權限指派 | 允許本機登入 | 本機原則/使用者權限指派 | Administrators | 遠端登入部署維運使用 |
3 | Windows 2019 common | 使用者權限指派 | 允許透過終端機服務登入 | 本機原則/使用者權限指派 | Administrators | 遠端登入部署維運使用 |
4 | Windows 2019 common | 使用者權限指派 | 以服務方式登入 | 本機原則/使用者權限指派 | No One | 系統排程服務使用NT SERVICE\ALL SERVICES、NT Service\MSSQLSERVER與NT Service\SQLSERVERAGENT,但該服務只能在各台主機上單獨設定,無法透過派送原則進行 |
5 | Windows 2019 common | 使用者權限指派 | 拒絕從網路存取這台電腦 | 本機原則/使用者權限指派 | 遠端登入部署維運使用(改為拒絕Guests) | |
6 | Windows 2019 common | 使用者權限指派 | 讓電腦及使用者帳戶受信賴,以進行委派 | 本機原則/使用者權限指派 | No One | 系統排程服務使用(請確認要加入哪個使用者或群組)Administrators |
7 | Windows 2019 common | Windows 遠端殼層 | 允許遠端殼層存取 | Windows 元件/Windows 遠端殼層 | 停用 | 遠端登入部署維運使用 |
8 | Windows 2019 common | Windows 遠端殼層 | 需要對遠端 (RDP) 連線使用特定的安全層 | Windows 元件/遠端桌面服務/遠端桌面工作階段主機/安全性 | 遠端登入部署維運使用(請告知要停用或啟用)啟用 | |
9 | Windows 2019 common | 遠端桌面服務\遠端桌面工作階段主機 | 不允許剪貼簿重新導向 | Windows 元件/遠端桌面服務/遠端桌面工作階段主機/裝置及資源重新導向 | 啟用 | 遠端登入部署維運使用 |
10 | Windows 2019 common | 遠端桌面服務\遠端桌面工作階段主機 | 不允許磁碟重新導向 | Windows 元件/遠端桌面服務/遠端桌面工作階段主機/裝置及資源重新導向 | 啟用 | 遠端登入部署維運使用 |
11 | Windows 2019 common | 使用者權限指派 | 拒絕透過遠端桌面服務 | 本機原則/使用者權限指派 | 遠端登入部署維運使用(改為拒絕Guests) |
********************************************************************************
Windows Server 2022 上,執行 gpedit.msc 啟動「本機群組原則編輯器」
接下來看沒套 GCB,和套用但排除的狀況。
********************************************************************************
No.1「本機電腦原則/電腦設定/Windows設定/安全性設定/本機原則/安全性選項」的「系統密碼編譯:使用FIPS相容演算法於加密、雜湊以及簽章」
(下圖) 沒套 GCB
(下圖) 套 GCB,但排除此條
- FIPS 模式已啟用 (Enabled):數值為 1 (0x1): 代表 FIPS 模式已經啟用。這表示系統將使用 FIPS(聯邦資訊處理標準)相容的加密、雜湊和簽章演算法,以符合相應的安全標準。
- FIPS 模式已禁用 (Disabled):數值為 0 (0x0): 代表 FIPS 模式已經禁用。在這種情況下,系統將使用非 FIPS 相容的演算法。
No.2
(下圖) 沒套 GCB
********************************************************************************
No.3
********************************************************************************
(完)
相關
[研究]退出 GCB AD Domain 成功,但實際上沒有完全成功
https://shaurong.blogspot.com/2024/01/gcb-ad-domain.html
[研究][GCB][AD]SQL Server 2019 登入失敗:無法連線至 。使用者 的登入失敗。(Microsoft SQL Server, 錯誤: 18456)
https://shaurong.blogspot.com/2024/01/sql-server-2019-microsoft-sql-server.html
[研究]本機加入 AD Domain 所需權限測試
https://shaurong.blogspot.com/2024/01/ad-domain.html
[研究]GCB,Windows 2019、2022 Common 排除評估
https://shaurong.blogspot.com/2024/01/gcbwindows-20192022-common.html
沒有留言:
張貼留言