iT邦幫忙

2021 iThome 鐵人賽

DAY 15
0
Security

作業抄起來!資通安全管理法什麼的系列 第 15

端點防護軟體 - 政府組態基準 GCB

  • 分享至 

  • xImage
  •  

灌了政府兩字,果然威能,請小心服用...

https://ithelp.ithome.com.tw/upload/images/20210930/20103688ZONmHAEe5r.png


適用人員: 技術人員。
適用法規: 資通安全責任等級分級辦法 - 附表技術面之政府組態基準

技術面分類提要

  • 網路架構
  • 端點安全防護
    • 防毒軟體與軟體防火牆
    • 端點防護軟體 EDR
    • 政府組態基準 GCB
    • VANS
  • 應用開發

政府組態基準一般以其英文名稱縮寫 GCB(Government Configuration Baseline)代稱。主要透過修改資通系統的設定檔達到基本的安全要求。實作方面也可以當做是 Windows 的本機群組原則 ( Local Gropu Policy ,就是常用來關閉 Windows update 的那個設定)、本機安全性原則(Local Security Poliy)的操作。詳請可參照會報的GCB專區
註: 本機安全性原則(Local Security Poliy)也是本機群組原則 ( Local Gropu Policy)中的其中一項,位於電腦設定> Widnows 設定 > 安全性設定

在使用之前先說明常見的問題

  • 只有相對應的版本才要套用,太新的作業系統、應用程式沒有會報提供的 GCB 時,就不會被要求。
  • 套用後可依情況修改,並在 GCB 的例外排除中註明即可。
  • GCB 影響之大,務必測試後再上線。最好是上級機關已經測試後再統一部署,不然常常有奇怪的系統無法連線、功能異常等問題。
  • 雖然手動可行,但在之後的管理與稽核時要提出證據時會有點麻煩。
  • 即使使用商業軟體也要確保問題發生時,廠商的即使處理能力

這裡我將會報提供的分為兩類,一是下載會報提供的檔案並套用就行,以上述提到的 Windows 作業系統為大宗。二是針對非 Windows 類的作業系統、應用系統或設備,這類就只有文件指南而已。

Windows GPO 類。可從 GCB 部署資源下載

  • Windows 作業系統。如果是 Wndows Server 要注意除了套用基本的 GPO ,還要套用角色的 GPO (如Web Server、File Server等)
  • 瀏覽器: IE、Edge、Chrome。
  • Office 系統: Word, Excel, PowerPoint, Outlook
  • 應用程式的政策檔: 應用程式本身有一層政策可套用,如 Office, Firefox, Chrome

其他類。 沒有設定檔可下載,依 GCB 說明文件手動操作

  • 作業系統。Red Hat
  • 網通設備。僅有特定的廠商有,就不提了...
  • 應用程式。針對特定版本的應用程式,如 IIS 8.5, SQL Server 2016

所以重點只有一個,能少裝的程式就少裝...IE 我愛你,且只愛你一個!


上一篇
端點安全防護 - 端點防護軟體 EDR
下一篇
端點防護軟體 - 弱點通報機制 VANS
系列文
作業抄起來!資通安全管理法什麼的34
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言