第0059期•2021.12.20 發行
ISSN 2077-8813

首頁 >專題報導

關於政府組態基準GCB導入工具與方法

作者:游子興 / 臺灣大學計算機及資訊網路中心資訊網路組 / 副理


資通安全法施行後,責任等級為A或 B 級之公務機關應導入政府組態基準 GCB,本文介紹三種 GCB 導入工具,包含本機群組原則編輯器、微軟群組原則批次匯入程式、微軟 PolicyAnalyzer,另外依據實際導入經驗歸納三種不同的導入方法,並分析各方法之優劣,可供未來即將導入GCB之單位參考。

 

政府組態基準GCB導入工具

依據資通安全責任等級分級辦法,責任等級為A或B級之公務機關應辦事項中,需導入政府組態基準GCB(Government Configuration Baseline)。行政院國家資通安全會報技術服務中心https://www.nccst.nat.gov.tw/GCB,依據作業系統、瀏覽器、網通設備、應用程式,制訂了多套 GCB 標準規範。目前市面上已經有多套商業軟體,可協助導入政府組態基準 GCB以符合法規需求,本文將介紹在無 Active Directory 部署環境下,使用Windows內建及微軟相關免費程式進行 GCB導入。

本機群組原則編輯器

本機群組原則編輯器 Local Group Policy Editor,可協助未加入 AD 群組之個人電腦進行符合GCB規範之規則設定。執行方法為在Windows命令列視窗執行gpedit.msc,即可開啟”本機群組原則編輯器”視窗如下圖1。

 

圖1

依據技服提供之文件:TWGCB-01-005_Microsoft Windows 10政府組態基準說明文件(V1.3).docx,其中項次 1 ~ 9 是關於帳戶原則之建議設定值如下表1。

表1

TWGCB-ID

原則設定名稱

GPO設定路徑

GCB設定值

TWGCB-01-005-0001

密碼最短使用期限

電腦設定\Windows設定\安全性設定\帳戶原則\密碼原則\密碼最短使用期限

1天

TWGCB-01-005-0002

密碼最長使用期限

電腦設定\Windows設定\安全性設定\帳戶原則\密碼原則\密碼最長使用期限

90天以下

TWGCB-01-005-0003

最小密碼長度

電腦設定\Windows設定\安全性設定\帳戶原則\密碼原則\最小密碼長度

8個字元以上

TWGCB-01-005-0004

密碼必須符合複雜性需求

電腦設定\Windows設定\安全性設定\帳戶原則\密碼原則\密碼必須符合複雜性需求

啟用

TWGCB-01-005-0005

強制執行密碼歷程記錄

電腦設定\Windows設定\安全性設定\帳戶原則\密碼原則\強制執行密碼歷程記錄

3以上記憶的密碼

TWGCB-01-005-0006

使用可還原的加密來存放密碼

電腦設定\Windows設定\安全性設定\帳戶原則\密碼原則\使用可還原的加密來存放密碼

停用

TWGCB-01-005-0007

帳戶鎖定閾值

電腦設定\Windows設定\安全性設定\帳戶原則\帳戶鎖定原則\帳戶鎖定閾值

5次不正確的登入嘗試

TWGCB-01-005-0008

重設帳戶鎖定計數器的時間間隔

電腦設定\Windows設定\安全性設定\帳戶原則\帳戶鎖定原則\重設帳戶鎖定計數器的時間間隔

15分鐘

TWGCB-01-005-0009

帳戶鎖定期間

電腦設定\Windows設定\安全性設定\帳戶原則\帳戶鎖定原則\帳戶鎖定期間

15分鐘

接著可依照上表1中之”GPO設定路徑”欄位在”本機群組原則編輯器”中依序進行設定與調整,設定完成後如下圖2所示。

圖2

依據技服提供之文件:TWGCB-02-003_Google Chrome政府組態基準說明文件(V1.2).docx,其中 GPO 設定路徑如下表2所示。

表2

項次

TWGCB-ID

原則設定名稱

GPO設定路徑

GCB設定值

14

TWGCB-02-003-0014

啟用自動填入

電腦設定\系統管理範本\Google Chrome\已淘汰的政策\啟用自動填入

停用

18

TWGCB-02-003-0018

無痕模式適用性

電腦設定\系統管理範本\Google Chrome\無痕模式適用性

啟用 無痕模式已停用

但在”本機群組原則編輯器”視窗中,依序展開”電腦設定”及”系統管理範本”,卻找不到”Google Chrome”之資料夾如下圖3。

圖3

解決方法為需先下載Chrome政策範本.ADM .ADMX,可由如下Google網頁連結”為受管理的電腦設定Chrome瀏覽器政策”

https://support.google.com/chrome/a/answer/187202?hl=zh-Hant#zippy=%2Cwindows
下載 Google Chrome 範本和說明文件的 ZIP 檔案
https://dl.google.com/dl/edgedl/chrome/policy/policy_templates.zip

解開壓縮檔後,複製 .admx 檔案到如下對應之路徑中:
Copy .\windows\admx\chrome.admx To C:\Windows\PolicyDefinitions
Copy .\windows\admx\zh-TW\chrome.adml To
C:\Windows\PolicyDefinitions\zh-TW

之後在”本機群組原則編輯器”視窗中,依序展開”電腦設定”及”系統管理範本”即可看到 Google 及 Google Chrome 資料夾如下圖4,之後就可依照 GCB 文件進行設定。


圖4

另外關於 Mozilla Firefox 之設定方式較為特別,依據技服提供之文件:TWGCB-02-004_Mozilla Firefox政府組態基準說明文件(V1.1).docx,其中 GPO 設定路徑如下表3所示

表3

項次

TWGCB-ID

原則設定名稱

設定方式

GCB設定值

1

TWGCB-02-004-0001

啟用更新功能

於CFG檔案中,新增設定:lockPref("app.update.enabled", true);

TRUE

2

TWGCB-02-004-0002

啟用自動下載更新與安裝

於CFG檔案中,新增設定:lockPref("app.update.auto", true);

TRUE

因此Mozilla Firefox之GCB設定方法為直接編輯兩個設定檔,其存放路徑如下:

ds_mozilla.cfg 路徑
C:\Program Files\Mozilla Firefox (64位元)
C:\Program Files (x86)\Mozilla Firefox (32位元)
local-settings.js 路徑
C:\Program Files\Mozilla Firefox\defaults\pref (64位元)
C:\Program Files (x86) \Mozilla Firefox\defaults\pref (32位元)

 

微軟群組原則批次匯入程式

行政院技服依據作業系統、瀏覽器、網通設備、應用程式,制訂了多套GCB標準規範,常用之規則統計項目如下表4:

表4

項目

技服GCB規則項數

Win10

345

Windows Server 2016

590

Red Hat Enterprise Linux 8

292

IE11

154

Chrome

33

Firefox

52

Edge

12

Wireless

19

Fortigate Firewall

46

總數

1500+

因為項目眾多,若使用上述”本機群組原則編輯器”逐項逐台電腦進行設定曠日廢時,因此微軟有提供一個”群組原則批次匯入程式” LGPO.exe,其下載路徑如下:

Microsoft Security Compliance Toolkit 1.0
https://www.microsoft.com/en-us/download/details.aspx?id=55319
建議可如下圖5勾選 LGPO.zip 及 PolicyAnalyzer.zip 進行下載。

圖5

解開LGPO.zip內有LGPO.exe檔案,執行時可開啟”命令提示字元”使用”系統管理者身份”,LGPO.exe 支援多種匯入格式如下:

• GPO Files Path
• Registry Policy files (.pol)
• Security Templates (.ini)
• Advanced Auditing backup files (.csv)
• Policy Analyzer Rules (.PolicyRules)
• XML files (.xml)
• LGPO text (.txt)

其中GPO Files Path可從技服網站
https://www.nccst.nat.gov.tw/GCB?lang=zh,GCB部署資源進行下載,檔案格式為.zip,解壓縮後若要將規則全部導入可執行:
LGPO.exe /g .\GCB-Windows10-gpos

若僅有部分規則導入,例如僅導入與帳號相關規則:
LGPO.exe /g .\GCB-Windows10-gpos\Windows10AccountSettings

導入後Windows 10作業系統預設每隔90分鐘,才會套入新設定之規則,若要立即生效需執行指令:
C:\> gpupdate /force

 

微軟 PolicyAnalyzer

如前所述在微軟Microsoft Security Compliance Toolkit 1.0中可下載另一個程式 PolicyAnalyzer.zip,解開後執行 PolicyAnalyzer.exe,此程式支援匯入GPO檔案,之後可匯出.PolicyRules或比對目前電腦的設定與GPO檔案之差異,關於PolicyAnalyzer之詳細操作將另闢專文介紹。

 

GCB導入方法

在瞭解導入GCB之相關工具後,本文提供三種GCB實際導入方法及步驟可供參考:

• 方法1

此方法為準備一台新安裝Windows電腦,將所需軟體安裝完成,接著參考技服GCB文件逐項進行設定,設定時已經考慮排除項文件調整相關規則設定,之後使用LGPO.exe匯出GPO設定檔,再將GPO設定檔部署至其他電腦。詳細步驟與指令如下:

1.準備一台新安裝Windows電腦,將所需軟體安裝完成(Chrome, Firefox, Office 等)

2.參考技服網站”GCB文件”逐項設定(已考慮排除項)
Gpedit.msc

3.使用LGPO進行GPO檔案匯出與備份
LGPO.exe /b C:\GCB\GPO

4.於其他電腦使用LGPO匯入GPO並立即生效
LGPO.exe /g C:\GCB\GPO
gpupdate /force

• 方法2

此方法同樣需準備一台新安裝Windows電腦,將所需軟體安裝完成,接著依據技服網站提供之GPO設定檔,使用LGPO.exe全部匯入,接著依據排除項文件調整相關規則設定,之後使用LGPO.exe匯出GPO設定檔,再將GPO設定檔部署至其他電腦。此方法之優點在於排除項通常僅佔所有GCB規則之少數,因此僅需進行排除項之規則調整即可。詳細步驟與指令如下

1.準備一台新安裝Windows電腦,將所需軟體安裝完成(Chrome, Firefox, Office 等)

2.技服網站“GCB部署資源”下載GPO檔案
執行LGPO.exe 匯入GPO
LGPO /g C:\GCB\GPO
gpupdate /force

3.依據排除項逐項進行調整
Gpedit.msc

4.使用LGPO 進行 GPO檔案匯出與備份
LGPO.exe /b C:\GCB\GPO

5.於其他電腦使用LGPO 匯入GPO並立即生效
LGPO.exe /g C:\GCB\GPO
gpupdate /force

• 方法3

此方法與之前兩個方法不同,不需準備Windows GCB規則範本電腦,而是將技服網站提供之GPO設定檔下載後,使用PolicyAnalyzer.exe 存成 .PolicyRules及匯出成Excel文件檔,之後依據單位需求,將排除項同步調整 .PolicyRules及Excel,之後使用.PolicyRules規則檔案部署至其他電腦。此方法之優點在於不需準備額外之電腦資源,且導入GCB之規則與排除項文件可維持同步,是本文建議最佳之導入方法,詳細步驟與指令如下

1.技服網站“GCB部署資源”下載GPO檔案
2.執行PolicyAnalyzer.exe Add GPO 檔案,存成.PolicyRules及Export to
Excel文件檔
3.依據排除項逐項同步調整.PolicyRules及Excel文件檔
4.於其他電腦使用LGPO匯入PolicyRules並立即生效
LGPO.exe /p C:\GCB\GCB.PolicyRules
gpupdate /force

 

結論

導入政府組態基準設定之目的在於減少被駭客入侵的風險,對於經費有限的單位可運用微軟提供相關的工具進行導入,另外也可依據各單位的需求評估不同的導入方法。