安全性基準
在組織中使用安全性基準
Microsoft 致力於為其客戶提供安全的操作系統,例如 Windows 和 Windows Server,以及安全的應用程式,例如適用於企業和 Microsoft Edge 的 Microsoft 365 應用程式。 除了其產品的安全性保證之外,Microsoft 也藉由提供各種設定功能,讓您可以精確控制您的環境。
即使 Windows 和 Windows Server 在設計上即已內建安全性,但許多組織仍然想要更精細地控制其安全性設定。 為了操控大量的控制項,組織需要指導方針來設定各種安全性功能。 Microsoft 是以安全性基準的形式提供這份指導方針。
我們建議您實作普遍熟知且經完整測試的業界標準設定 (例如 Microsoft 安全性基準),而不要自行建立設定。 此業界標準設定有助於增加彈性並降低成本。
如需詳細資訊,請參閱下列部落格文章: 使用已知且經過證實的解決方案。
什麼是安全性基準?
每個組織都會面臨安全性威脅。 不過,一個組織最關心的安全性威脅類型可能不同於另一個組織。 例如,電子商務公司可能著重於保護其因特網對向 Web 應用程式,而醫院則可專注於保護機密患者資訊。 所有組織都有一個共通點,就是需要確保其應用程式和裝置安全。 這些裝置必須符合組織所定義的安全性標準 (或安全性基準)。
安全性基準是一組 Microsoft 建議的組態設定,可說明其安全性含意。 這些設定所根據的是 Microsoft 安全性工程團隊、產品群組、合作夥伴及客戶的意見反應。
為什麼需要安全性基準?
安全性基準將 Microsoft、合作夥伴及客戶的專業知識匯集在一起,對客戶大有好處。
例如,Windows 10 有超過 3,000 個組策略設定,其中不包含超過 1,800 個 Internet Explorer 11 設定。 在這 4,800 個設定中,只有部分是與安全性相關。 雖然 Microsoft 針對不同的安全性功能提供大量的指導方針,但逐一瀏覽可能要花費很長的時間。 您必須自行判斷每個設定的安全性含意。 然後,您仍然需要判斷每個設定的適當值。
在現代化組織中,安全性威脅環境不斷演進,IT 專業人員和原則制定者必須跟上安全性威脅,對安全性設定進行必要的變更,以協助減輕這些威脅。 為了啟用更快速的部署並更輕鬆地管理 Microsoft 產品,Microsoft 為客戶提供可取用格式的安全性基準,例如組策略物件備份。
Windows 版本和授權需求
下表列出支援安全性基準的 Windows 版本:
| Windows 專業版 | Windows 企業版 | Windows 專業教育版/SE | Windows 教育版 |
|---|---|---|---|
| 是 | 是 | 是 | 是 |
安全性基準授權權利由下列授權授與:
| Windows 專業版/專業教育版/SE | Windows 企業版 E3 | Windows 企業版 E5 | Windows 教育版 A3 | Windows 教育版 A5 |
|---|---|---|---|---|
| 是 | 是 | 是 | 是 | 是 |
如需 Windows 授權的詳細資訊,請參閱 Windows 授權概觀。
基準原則
我們的建議遵循簡化且有效率的基準定義方法。 該方法的基礎基本上是:
- 基準是專為妥善管理、具有安全性意識的組織所設計,其中的標準用戶沒有系統管理許可權。
- 基準只有在可降低現代安全性威脅,而且不會造成比其降低的風險更糟的操作問題時,才會強制執行設定。
- 只有在授權的使用者可能將其設定為不安全狀態時,基準才會強制執行預設值:
- 如果非系統管理員可以設定不安全的狀態,請強制執行預設值。
- 如果設定不安全的狀態需要系統管理許可權,只有在格式錯誤的系統管理員可能無法選擇時,才強制執行預設值。
如何使用安全性基準?
您可以使用安全性基準來:
- 確保使用者和裝置的組態設定與基準相符。
- 設定組態設定。 例如,您可以使用組策略、Microsoft Configuration Manager 或 Microsoft Intune 來設定具有基準中指定之設定值的裝置。
可從哪裡取得安全性基準?
有數種方式可以取得和使用安全性基準:
您可以從 Microsoft 下載中心 下載此安全性基準。 此下載頁面適用於 安全性合規性工具組 (SCT) ,其中包含除了安全性基準以外,可協助系統管理員管理基準的工具。 SCT 也包含可協助您管理安全性基準的工具。 您也可以 取得安全性基準的支援
行動裝置管理 (MDM) 安全性基準 的運作方式與 Microsoft 組策略型安全性基準類似,而且可以輕鬆地將這些基準整合到現有的 MDM 管理工具中。
在執行 Windows 10 和 Windows 11 的裝置上,可以輕鬆地在 Microsoft Intune 中設定 MDM 安全性基準。 如需詳細資訊,請參閱 Intune 中 Windows 10/11 MDM 安全性基準中的設定清單。
相關文章
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應