灌了政府兩字，果然威能，請小心服用...

適用人員: 技術人員。
適用法規: 資通安全責任等級分級辦法 - 附表技術面之政府組態基準

技術面分類提要

• 網路架構
• 端點安全防護
  • 防毒軟體與軟體防火牆
  • 端點防護軟體 EDR
  • 政府組態基準 GCB
  • VANS
• 應用開發

政府組態基準一般以其英文名稱縮寫 GCB(Government Configuration Baseline)代稱。主要透過修改資通系統的設定檔達到基本的安全要求。實作方面也可以當做是 Windows 的本機群組原則 ( Local Gropu Policy ，就是常用來關閉 Windows update 的那個設定)、本機安全性原則(Local Security Poliy)的操作。詳請可參照會報的GCB專區。
註: 本機安全性原則(Local Security Poliy)也是本機群組原則 ( Local Gropu Policy)中的其中一項，位於電腦設定> Widnows 設定 > 安全性設定

在使用之前先說明常見的問題

• 只有相對應的版本才要套用，太新的作業系統、應用程式沒有會報提供的 GCB 時，就不會被要求。
• 套用後可依情況修改，並在 GCB 的例外排除中註明即可。
• GCB 影響之大，務必測試後再上線。最好是上級機關已經測試後再統一部署，不然常常有奇怪的系統無法連線、功能異常等問題。
• 雖然手動可行，但在之後的管理與稽核時要提出證據時會有點麻煩。
• 即使使用商業軟體也要確保問題發生時，廠商的即使處理能力

這裡我將會報提供的分為兩類，一是下載會報提供的檔案並套用就行，以上述提到的 Windows 作業系統為大宗。二是針對非 Windows 類的作業系統、應用系統或設備，這類就只有文件指南而已。

Windows GPO 類。可從 GCB 部署資源下載

• Windows 作業系統。如果是 Wndows Server 要注意除了套用基本的 GPO ，還要套用角色的 GPO (如Web Server、File Server等)
• 瀏覽器: IE、Edge、Chrome。
• Office 系統: Word, Excel, PowerPoint, Outlook
• 應用程式的政策檔: 應用程式本身有一層政策可套用，如 Office, Firefox, Chrome

其他類。 沒有設定檔可下載，依 GCB 說明文件手動操作

• 作業系統。Red Hat
• 網通設備。僅有特定的廠商有，就不提了...
• 應用程式。針對特定版本的應用程式，如 IIS 8.5, SQL Server 2016

所以重點只有一個，能少裝的程式就少裝...IE 我愛你，且只愛你一個!