GCB 為 Government Configuration Baseline 的縮寫,中文譯為政府組態基準,目的在於規範終端設備的安全設定,在一致性的安全規範下,能夠降低終端設備成為駭客入侵的管道,有效加強資訊防護。而 RapixEngine 政府組態基準管理系統就是一款適用於臺灣現行政府組態基準要求的工具軟體。它可以協助公務機關或部門,迅速有效地實現資訊資產的系統組態合於規範,也能符合政府對資訊安全的政策要求。而相關 GCB 的工具設置範圍包括了:系統管理者可以定義用戶端所必須套用的 GPO (群組原則);用戶端登入網域時透過 Logon Script 將本身所帶的GPO資訊回傳到主機上。 主機端可以產出報表檢視用戶端所套用到的 GPO,及是否符合管理者的規範。此外,系統並可進一步篩選出缺少特定 GPO 的單機或使用者。以及同時也提供報表的功能等等。以上種種,均為 GCB 工具支援的工作範圍。
自 2013 年來,行政院資通安全處大力推行 GCB,要求逐年推動 A、B、C、C+ 級機關導入,且為重點稽核項目。因此,機關企業導入 GCB 提升資安防護力是刻不容緩的事情。
資安法規中歸類於 A 級機關者有四大特性,舉凡其業務涉及全國性民眾或公務員個人資料檔案之持有者。或業務涉及全國性能源;水資源;通訊傳播;交通;銀行與金融;緊急救援等事項者。以及全國性跨公務機關共用性資通系統之維運者。最後,則是各地公立醫院中心均屬於A級機關。
RapixEngine 也是臺灣本土自我研發的優秀產品。並為了符合臺灣政府組態基準的合規性上有相當豐富的推展經驗。目前已有多處公務單位陸續導入採用。包括:臺中市政府;南投縣政府;雲林縣政府;臺南市政府;臺中市警局;臺中地方稅務局;彰化縣警局;雲林縣警局;雲林縣稅務局等等。
群組原則(Group Policy , GPO)為微軟目錄服務(Active Directory, AD)中的骨幹核心,透過群組原則可以套用作業系統相 關設定以增加資訊安全,並降低資訊人員的維護成本。GCB為多項GPO設定所組合而成的建議範本,希望透過資通訊設備的GCB套用提昇資訊安全,以避免成為駭客入侵管道,進而引發資安事件。Rapix Engine可在GPO及GCB套用時提供完善的解決方案,除原則套用後的掃瞄結果回傳外,更提供群組本機備份及派送功能,並且能有效解決因為原則套用後所造成的衝突問題,包含: ‧GPO、GCB主動完整備份。群組原則套用單次排程掃描。終端DNA識別。特權帳號管理。支援Windows Desktop 7/8.1/10與Windows Server 2008 R2/2012/2016。
RapixEngine 是一套把複雜事情簡單做的 GPO/GCB 套用工具。 RapixEngine 可在 GPO/GCB 套用時提供完善的解決方案,擁有簡易操作、快速解決套用衝突的特色,讓用戶端能以最快速的方式導入 GCB,以最輕鬆的方式上手操作介面。
GCB 的設定值在原則上不宜隨意更動,但不同單位都有特殊的公務執行需求(例如:使用公文系統、共享印表機等),RapixEngine 能夠依照用戶端的需求,在快速套用 GCB 的同時,也能排除衝突的群組原則設定,協助客戶端開設例外。
RapixEngine 擁有淺顯易懂的操作介面,讓使用者能快速上手。例如一鍵掃描功能可以快速蒐集單位設備資訊,提供即時的掃描結果,更透過視覺化的圖表標示重點資訊,使管理者能一目了然相關的警示訊息。
伺服器端要求:CPU:4核心、記憶體:8 GB、磁碟空間:120GB 以供產品安裝 及後續資料儲存。網路:1 Mbps 或更快 作業系統:Linux作業系統 (CentOS 7以上)。 而用戶端要求:CPU: x86/x64 位元處理器 記憶體:20 MB;磁碟空間:10 MB 以供產品安裝 網路:1 Mbps 或更快作業系統:Windows Desktop 7 /8.1/10 與Windows Server 2008 R2/2012/2016。
RapixEngine 擁有雙版本設計,包含免安裝版(Agentless)及安裝版本(Agent-based)。其中,免安裝版本的設計不強迫於終端安裝常駐程式,且只需要約 2MB,執行一分鐘即能獲取終端資訊。
RapixEngine 標準版為免安裝設計,進階版為安裝版設計。此外,相較於標準版的單次GCB掃描,進階版提供主動派送功能,使用者不需發出任何請求,即可自動接收從 Server 主動派送之訊息,包含 IE 設定套用、GCB 套用、GCB 掃描等相關作業,也可以定期排程,針對終端環境掃描與執行資訊蒐集,以及各項環境設定與GCB套用作業。
RapixEngine 擁有獨特的 RapixGCB Tool 輔助工具,您只要打開這個工具,選擇復原初始設定後,即可一鍵復原到最原始的狀態,詳細步驟可參閱使用者手冊說明。
RapixEngine 政府組態基準系統中的「策略」,是管理員對每一台用戶端所做的設定。這些設定規定了該用戶端的保密功能。RapixEngine的策略包括受控制程式策略、禁用程式策略、離線策略,審核管理和其它策略原則五種。
如果您單位的電腦數量不算太多,而網路中的伺服器資源相對足夠,那麼您的確無需為RapixEngine的部署而額外添購其他設備了。當然,如果您的預算充足,那麼為RapixEngine單獨購買一套伺服器則是更有效率的方案。若需要單獨建置,可分為主伺服器及分流伺服器兩端分別安裝,兩端的硬體需求為:CPU:四核心以上。RAM:8GB以上。HDD:100GB以上空間即可安裝。另外開通之網路埠號則為80埠及443埠。並且可支援IPv4及IPv6兩種網路架構。
RapixGCB Tool 為 RapixEngine 的 GCB 檢測輔助工具,能夠針對 GCB 各項原則項目進行套用或開設例外,並且有完整的套用紀錄供使用者查詢,是客戶端在套用GCB時不可或缺的小幫手!
提供組織內部系統軟體自動化稽核、套用,提供完整組態歷程。免安裝程式 (Agentless),不必占用並浪費用戶端資源及環境,可透過遠端方式掃描。因應偶發例外需求,使用者可自訂例外組態管理。具備全環境可視化儀表板與圖示報表來評估組態狀態。蒐集終端微軟更新(Microsoft Hotfix)安裝狀況進行彙整,透過智慧篩選機制,可於特定資安事件發生時(如:WannaCry 勒索病毒)盤點終端更新狀況。可隨時進行組態備份與還原,有助於回溯不同時期及不同需求以套用組態。
RapixEngine 所支援的檢核項目非常多,下列只列出重點摘要項目。例如:1. 帳戶安全性 (Account Policy):對於密碼原則、密碼長度、帳戶鎖定原則等組態進行檢測。2. 個人電腦系統 (Computer Settings):針對安全性選項、使用者權限指派、網際網路通訊設定、自動播放等組態進行檢測。3. 使用者設定 (User Settings) :使用者螢幕保護裝置、網際網路通訊、網路共用、附件管理員等組態進行檢測。4. 附加軟體資產管理系統 (Dragonsoft SoftwareAsset Management, D-SAM),能取得端點設備的資產清單,能讓管理者掌握現行的資產清單,亦能針對內部營運狀況做資產汰換,提升效益。5. 瀏覽器設定 (Google Chrome/Microsoft IE):對於 Google Chrome 內容設定、HTTP 驗證政策、密碼管理員、設定遠端存取選項、擴充功能等組態進行檢測。6. 防火牆設定 (Firewall Settings):Windows 防火牆公用設定檔、私人設定檔、網域設定檔等組態進行檢測。
1. 提供 Windows HotFix 更新清單:可顯示終端 HotFix 已裝清單或透過搜尋特定 KB 版本號碼以找出有安裝的機器。2. 分群顯示:可整合現有 AD 組織或自建群組以做到「分群顯示」,方便後續檢視及管理。3. 分權管理:可依照組織不同,分級設立管理者並賦予相對的權限,以做到「分權管理及權責區分」。4. 提供政府合規的預設組態:為了方便大量套用及設置, RapixEngine 提供了「政府技服/資安辦公室」的預設組態範本,有助您快速導入並合乎上級規範。
GCB 針對不同的作業環境(例如:作業系統、瀏覽器版本等)有不同的項目設定標準,倘若一口氣全部套用,用戶端勢必會遇見很多問題,例如無法新增信任網站、無法共享資料夾等。RapixEngine 能夠協助用戶端在短時間內找出衝突的群組原則,在安全規範的前提下,協助用戶端開設例外清單,讓用戶端能輕鬆導入 GCB。此外,客戶有任何問題都不需要感到慌張,Rapixus 提供網路及電話諮詢服務,如有需要也能提供遠端系統檢視服務,及時協助客戶解決問題。
您只要進到後台,在微軟更新的頁面輸入您所要搜尋的Hotfix,系統便會自動幫您找出滿足條件的電腦,讓用戶端能在特定的資安事件時(例如:勒索病毒)盤點終端的更新狀況。
RapixEngine 可以將 GCB 掃描結果輸出成CSV及PDF報表,透過視覺化統計圖表的呈現,使複雜的資訊變得簡潔明瞭,讓客戶端能夠輕鬆產出經過智慧篩選分析過後的報表。
RapixEngine 政府組態基準系統依原廠訂價策略採主機授權總量賣斷制。將依您的企業網路主機需求數量規模而對導入成本有所差異。若需進一步的瞭解或報價,請即與我們連繫安排。
