端点防护软件 - 政府组态基准 GCB

灌了政府两字，果然威能，请小心服用...

适用人员: 技术人员。
适用法规: 资通安全责任等级分级办法 - 附表技术面之政府组态基准

技术面分类提要

• 网路架构
• 端点安全防护
  • 防毒软件与软件防火墙
  • 端点防护软件 EDR
  • 政府组态基准 GCB
  • VANS
• 应用开发

政府组态基准一般以其英文名称缩写 GCB(Government Configuration Baseline)代称。主要透过修改资通系统的设定档达到基本的安全要求。实作方面也可以当做是 Windows 的本机群组原则 ( Local Gropu Policy ，就是常用来关闭 Windows update 的那个设定)、本机安全性原则(Local Security Poliy)的操作。详请可参照会报的GCB专区。
注: 本机安全性原则(Local Security Poliy)也是本机群组原则 ( Local Gropu Policy)中的其中一项，位於电脑设定> Widnows 设定 > 安全性设定

在使用之前先说明常见的问题

• 只有相对应的版本才要套用，太新的作业系统、应用程序没有会报提供的 GCB 时，就不会被要求。
• 套用後可依情况修改，并在 GCB 的例外排除中注明即可。
• GCB 影响之大，务必测试後再上线。最好是上级机关已经测试後再统一部署，不然常常有奇怪的系统无法连线、功能异常等问题。
• 虽然手动可行，但在之後的管理与稽核时要提出证据时会有点麻烦。
• 即使使用商业软件也要确保问题发生时，厂商的即使处理能力

这里我将会报提供的分为两类，一是下载会报提供的档案并套用就行，以上述提到的 Windows 作业系统为大宗。二是针对非 Windows 类的作业系统、应用系统或设备，这类就只有文件指南而已。

Windows GPO 类。可从 GCB 部署资源下载

• Windows 作业系统。如果是 Wndows Server 要注意除了套用基本的 GPO ，还要套用角色的 GPO (如Web Server、File Server等)
• 浏览器: IE、Edge、Chrome。
• Office 系统: Word, Excel, PowerPoint, Outlook
• 应用程序的政策档: 应用程序本身有一层政策可套用，如 Office, Firefox, Chrome

其他类。 没有设定档可下载，依 GCB 说明文件手动操作

• 作业系统。Red Hat
• 网通设备。仅有特定的厂商有，就不提了...
• 应用程序。针对特定版本的应用程序，如 IIS 8.5, SQL Server 2016

所以重点只有一个，能少装的程序就少装...IE 我爱你，且只爱你一个!