安全基线
在你的组织中使用安全基线
Microsoft致力于为其客户提供安全的操作系统(如 Windows 和 Windows Server)和安全应用,例如Microsoft 365 企业应用和 Microsoft Edge。 除了产品的安全保障,Microsoft 还通过提供各种配置功能使你良好地控制环境。
尽管 Windows 和 Windows Server 设计为开箱即安全,但仍有许多组织希望可以更细化地控制他们的安全配置。 为了操作这些大量的控制,组织需要关于配置各种安全功能的指南。 Microsoft 以安全基线的形式提供此指南。
我们建议你实施广为人知且经过充分测试的行业标准配置,如 Microsoft 安全基线,而不是自行创建。 这种行业标准配置有助于提高灵活性并降低成本。
有关详细信息,请参阅以下博客文章: 坚持使用已知且经过验证的解决方案。
什么是安全基线?
每个组织都会面临安全威胁。 但是,一个组织最关心的安全威胁类型可能不同于另一个组织。 例如,电子商务公司可能专注于保护其面向 Internet 的 Web 应用,而医院可能专注于保护患者的机密信息。 所有组织共有的需求是使其应用和设备保持安全。 这些设备必须符合由组织定义的安全标准(或安全基线)。
安全基线是一组Microsoft建议的配置设置,用于解释其安全隐患。 这些设置基于来自 Microsoft 安全工程团队、产品组、合作伙伴和客户的反馈。
为什么需要安全基线?
安全基线是为客户提供的基本权益,因为它们将来自 Microsoft、合作伙伴和客户的专业知识综合在一起。
例如,Windows 10 有 3,000 多个组策略设置,其中不包括超过 1,800 个 Internet Explorer 11 设置。 在这 4800 个设置中,只有一部分与安全相关。 尽管 Microsoft 提供关于不同安全功能的广泛指南,但浏览每个指南可能需要很长时间。 必须自行确定每个设置的安全含义。 然后,仍需要为每个设置确定适当的值。
在现代组织中,安全威胁形势在不断发展,IT 专业人员和决策者必须跟上安全威胁,对安全设置进行所需的更改,以帮助缓解这些威胁。 为了加快部署速度并简化Microsoft产品的管理,Microsoft为客户提供了以易耗型格式提供的安全基线,例如组策略对象备份。
Windows 版本和许可要求
下表列出了支持安全基线的 Windows 版本:
| Windows 专业版 | Windows 企业版 | Windows 专业教育版/SE | Windows 教育版 |
|---|---|---|---|
| 是 | 是 | 是 | 是 |
安全基线许可证权利由以下许可证授予:
| Windows 专业版/专业教育版/SE | Windows 企业版 E3 | Windows 企业版 E5 | Windows 教育版 A3 | Windows 教育版 A5 |
|---|---|---|---|---|
| 是 | 是 | 是 | 是 | 是 |
有关 Windows 许可的详细信息,请参阅 Windows 许可概述。
基线原则
我们的建议遵循简化且高效的基线定义方法。 这种方法的基础实质上是:
- 基线专为管理良好的安全意识组织设计,其中标准最终用户没有管理权限。
- 仅当基线可缓解当代安全威胁且不导致比其缓解的风险更严重的操作问题时,基线才会强制实施设置。
- 仅当授权用户可能将其设置为不安全状态时,基线才会强制实施默认值:
- 如果非管理员可设置不安全状态,请强制实施默认值。
- 如果设置不安全状态需要管理权限,则仅当错误信息管理员可能选择不当时才强制实施默认值。
如何使用安全基线?
你可以将安全基线用于:
- 确保用户和设备配置设置符合基线。
- 设定配置设置。 例如,可以使用组策略、Microsoft Configuration Manager 或 Microsoft Intune 来配置使用基线中指定的设置值的设备。
可以在哪里获取安全基线?
可通过多种方式获取和使用安全基线:
可以从 Microsoft 下载中心下载安全基线。 此下载页适用于 安全合规性工具包 (SCT) ,其中包括可帮助管理员管理基线以及安全基线的工具。 SCT 还包括有助于管理安全基线的工具。 还可以 获取对安全基线的支持
移动设备管理 (MDM) 安全基线 的功能类似于基于Microsoft组策略的安全基线,并且可以轻松地将这些基线集成到现有的 MDM 管理工具中。
可以在运行 Windows 10 和 Windows 11 的设备上的 Microsoft Intune 中轻松配置 MDM 安全基线。 有关详细信息,请参阅 Intune 中的 Windows 10/11 MDM 安全基线中的设置列表。