您的瀏覽器似乎不支援JavaScript語法,但沒關係,這裡的JavaScript語法並不會影響 到內容的陳述, 如需要選擇字級大小,IE6請利用鍵盤按住ALT鍵+ V → X → (G)最大 (L)較大(M)中(S)較小(A)小,來選擇適合您的文字大小, 而IE7或Firefox瀏覽器則可 利用鍵盤 Ctrl + (+)放大(-)縮小來改變字型大小,如需要回到上一頁可使用瀏覽器提 供的 Alt+左方向鍵(←) 快速鍵功能,列印可使用瀏覽器提供的(Ctrl+P)功能。

政府組態基準(GCB)

政府組態基準(Government Configuration Baseline,簡稱GCB)目的在於規範資通訊終端設備(如:個人電腦) 的一致性安全設定(如:密碼長度、更新期限等),以降低成為駭客入侵管道,進而引發資安事件之疑慮。

作業系統說明文件

Windows 7、Windows 8.1、Windows 10、Windows Server 2008 R2、Windows Server 2012 R2、RedHat Enterprise Linux 5

瀏覽器說明文件

Internet Explorer 8、Internet Explorer 11、Google Chrome、Mozilla FireFox

網通設備說明文件

無線網路、Juniper Firewall、Fortinet Fortigate

應用程式說明文件

Exchange Server 2013

Windows設定對照表

帳戶原則與精細密碼原則設定說明

作業系統GPO檔

Windows 7、Windows 8.1、Windows 10、Windows Server 2008 R2、Windows Server 2012 R2

瀏覽器GPO檔

Internet Explorer 8、Internet Explorer 11、Google Chrome

Mozilla Firefox部署設定檔

Google Chrome政策範本檔

LocalGPO安裝程式

107年政府組態基準(GCB)實作研習活動教材

政策說明、組態設定與派送說明(Windows 10、Windows Server 2012 R2、Mozilla Firefox、Fortinet Fortigate)、政府機關資訊系統弱點通報機制(VANS)

106年政府組態基準(GCB)實作研習活動教材

政策說明、組態設定與派送說明(Exchange Server 2013、Juniper Firewall、Google Chrome)

105年政府組態基準(GCB)實作研習活動教材

政策說明、組態設定與派送說明(Windows 8.1、Internet Explorer 11、無線網路、網路與端點安全技術應用建議方案)

104年政府組態基準(GCB)實作研習活動教材

政策說明、組態設定與派送說明(Windows Server 2008 R2、Internet Explorer 11、RedHat Enterprise Linux 5)

103年第2次政府組態基準(GCB)實作研習活動教材

政策說明、組態設定與派送說明(Windows 7、Internet Explorer 8)、AMT安全建議

103年第1次政府組態基準(GCB)實作研習活動教材

政策說明、組態設定與派送說明(Windows 7、Internet Explorer 8)

地方政府資安區域聯防最佳實務及GCB導入精進作為

107年政府組態基準(GCB)實作研習活動數位教材影片

政策說明、組態設定與派送說明(Windows 10、Windows Server 2012 R2、Mozilla Firefox、Fortinet Fortigate)、政府機關資訊系統弱點通報機制(VANS)

106年政府組態基準(GCB)實作研習活動數位教材影片

政策說明、組態設定與派送說明(Exchange Server 2013、Juniper Firewall、Google Chrome)

105年政府組態基準(GCB)實作研習活動數位教材影片

組態設定與派送說明(Windows 8.1、Internet Explorer 11、無線網路

104年政府組態基準(GCB)實作研習活動數位教材影片

政策說明、組態設定與派送說明(Windows Server 2008 R2、Internet Explorer 11、RedHat Enterprise Linux 5)

103年政府組態基準(GCB)實作研習活動數位教材影片

政策說明、組態設定與派送說明(Windows 7、Internet Explorer 8)

1.LocalGPO匯入失敗(Path not found)之解決方式?

可選擇下列2種方式其中一種可解決Path not found的問題:

1.移除目錄名稱中的空白,例如將「USGCB Account Policy」調整為「USGCBAccountPolicy」。

2.匯入時將資料夾名稱前後加入雙引號,例如:"C:\USGCB Internet Explorer 8 Computer Settings\{61A09835-BED1-4573-A599-3E87118754CA}"。

2.如何將網站加入信任網站區域,使Active X元件能夠執行?

如因公務執行需求,必須將某些網址加入信任網站清單,請先依機關完成清單審核後,再依照下列步驟操作將網站加入信任網站區域:

1.從單機加入信任網站方式:

(1)開啟本機群組編輯器(gpedit.msc)。

開啟本機群組編輯器(gpedit.msc)

(2)選取設定路徑:"電腦設定"=>"系統管理範本"=>"Windows元件"=>"Internet Explorer"=>"網際網路控制台"=>"安全性網頁"=>"指派網站到區域清單"。將「指派網站到區域清單」改為已啟用,並點選「顯示」。

將「指派網站到區域清單」改為已啟用,並點選「顯示」

(3)「值名稱」欄位:輸入欲加入到信任的網站區域的網址(例如:http://tw.yahoo.com)。

(4)「值」欄位:輸入2後,按「確定」,並關閉本機群組原則編輯器。

輸入欲加入到信任的網站區域的網址,並在「值」欄位輸入2

(5)啟用cmd.exe,執行gpupdate /force,更新群組原則設定後,即完成將網站新增至信任網站區域作業。

啟用cmd.exe,執行gpupdate /force

2.從Windows Server 2003 AD加入信任網站方式:

(1)開啟「群組原則管理」,於GPO上按「右鍵」點選「編輯」,設定路徑:"電腦設定"=>"系統管理範本"=>"Windows元件"=>"Internet Explorer"=>"網際網路控制台"=>"安全性畫面"=>"指派網站到區域清單"。

(2)將「指派網站到區域清單」改為「已啟用」,並點選「顯示」。

將「指派網站到區域清單」改為「已啟用」,並點選「顯示」

(3)點選「新增」。

點選「新增」

(4)「請輸入要新增的項目名稱」欄位:輸入欲加入到信任的網站區域的網址(例如:http://tw.yahoo.com)。

(5)「請輸入要新增的項目值」欄位:輸入2後,按「確定」。

輸入欲加入到信任的網站區域的網址,並在「值」欄位輸入2

註:若於AD伺服器上找不到「群組原則管理」,請至微軟網站下載安裝Group Policy Management Console(GPMC)軟體,下載網址:http://www.microsoft.com/zh-tw/download/details.aspx?id=21895

3.從Windows Server 2008 AD加入信任網站方式:

(1)開啟「群組原則管理」,於GPO上按「右鍵」點選「編輯」,設定路徑:"電腦設定"=>"原則"=>"系統管理範本"=>"Windows元件"=>"Internet Explorer"=>"網際網路控制台"=>"安全性網頁"=>"指派網站到區域清單"。

(2)將「指派網站到區域清單」改為「啟用」,並點選「顯示」。

將「指派網站到區域清單」改為「啟用」,並點選「顯示」

(3)點選「新增」。

點選「新增」

(4)「請輸入要新增的項目名稱」欄位:輸入欲加入到信任的網站區域的網址(例如:http://tw.yahoo.com)。

(5)「請輸入要新增的項目值」欄位:輸入2後,按「確定」。

輸入欲加入到信任的網站區域的網址,並在「值」欄位輸入2

3.如何讓加解密相關程式能夠順利執行(例如:MD5)?

政府組態基準(GCB)之設定值原則上不宜隨意更動,但如因公務執行需求,必須調整CCE-9266-8設定值,方法如下:

將「"電腦設定"=>"Windows設定"=>"安全性設定"=>"本機原則"=>"安全性選項"=>"系統加密編譯:使用FIPS 140相容加密演算法,包括加密、雜湊以及簽署演算法"」設為停用即可。

4.Windows Server 2003 AD伺服器如何匯入從技術服務中心所下載之GPO檔案?

可依照下列步驟操作可將技術服務中心網站所下載之GPO匯入Windows Server 2003 AD伺服器:

1.安裝微軟的安全性規範管理員工具Security Compliance Manager,下載網址:http://gallery.technet.microsoft.com/LocalGPOmsi-Excellent-MS-2593b2eb,安裝步驟請參考「技術服務中心網站-->資安業務與服務-->政府組態基準(GCB)-->教育訓練教材-->103年第1次政府組態基準(GCB)實作研習活動教材-->政府組態基準(GCB)實作研習活動_實作.pdf」或「技術服務中心網站-->資安業務與服務-->政府組態基準(GCB)-->教育訓練教材-->103年第2次政府組態基準(GCB)實作研習活動教材-->政府組態基準(GCB)實作研習活動_實作_2.pdf」。

2.將所下載之GPO檔案匯入Security Compliance Manager工具。

將所下載之GPO檔案匯入Security Compliance Manager工具

3.利用Security Compliance Manager工具的匯出功能,將步驟2所匯入之GCB設定直接匯出,匯出後的GPO版本即可匯入Windows Server 2003 AD伺服器。

將步驟2所匯入之GCB設定直接匯出

4.開啟「群組原則管理」匯入GPO,步驟請參考「技術服務中心網站-->資安業務與服務-->政府組態基準(GCB)-->教育訓練教材-->103年第1次政府組態基準(GCB)實作研習活動教材-->政府組態基準(GCB)實作研習活動_實作.pdf」或「技術服務中心網站-->資安業務與服務-->政府組態基準(GCB)-->教育訓練教材-->103年第2次政府組態基準(GCB)實作研習活動教材-->政府組態基準(GCB)實作研習活動_實作_2.pdf」。

註:若於AD伺服器上找不到「群組原則管理」,請至微軟網站下載安裝Group Policy Management Console(GPMC)軟體,下載網址:http://www.microsoft.com/zh-tw/download/details.aspx?id=21895

5.如何在群組原則編輯器中顯示MSS類別的設定?

可依照下列步驟操作可顯示MSS類別的設定:

1.安裝LOCAL GPO程式。

2.按右鍵「以系統管理員身分執行」啟動LOCAL GPO Command 程式。

3.在LOCAL GPO Command輸入cscript LocalGPO.wsf /ConfigSCE執行後,就可以在群組原則編輯器看到MSS類別的設定。

6.如何調整登入畫面不顯示「Warning」訊息?

本項需調整CCE-8740-3與CCE-8973-0設定值,方法如下:

將「"電腦設定"=>"Windows設定"=>"安全性設定"=>"本機原則"=>"安全性選項"=>"互動式登入:給登入使用者的訊息標題"」與「"電腦設定"=>"Windows設定"=>"安全性設定"=>"本機原則"=>"安全性選項"=>"互動式登入:給登入使用者的訊息本文"」2項設定值清空,就不會顯示Warning訊息。

此兩條目已於105年刪除。

7.如何在群組原則中設定「允許主動式內容在我電腦上的檔案中執行」?

政府組態基準(GCB)之設定值原則上不宜隨意更動,但如因公務執行需求,必須調整本項設定值,方法如下:

將「"電腦設定"=>"Windows設定"=>"系統管理範本"=>"Windows元件"=>"Internet Explorer"=>"安全性功能"=>"本機電腦區域鎖定安全性"=>"Internet Explorer程序"」設為停用即可。

8.電腦套用GCB後如何共用檔案及印表機?

政府組態基準(GCB)之設定值原則上不宜隨意更動,但如因公務執行需求,必須調整CCE-9620-6設定值,方法如下:

1.開啟群組原則編輯器(gpedit.msc)

2.依照路徑:「"電腦設定"=>"Windows設定"=>"安全性設定"=>"具有進階安全性的Windows防火牆"=>"輸入規則"」。

3.於「輸入規則」上點選右鍵,選擇「新增規則」。

4.選擇「預先定義」選項,從下拉式選單選擇「檔案及印表機共用」項目。

5.允許有關「網域」設定檔之8條連線規則。

6.將「"電腦設定"=>"Windows設定"=>"安全性設定"=>"本機原則"=>"使用者權限指派"=>"從網路存取這台電腦"」加入欲新增的「使用者群組」。

7.完成後,於命令提示字元(cmd.exe)執行gpupdate /force指令。

9.win7作業系統遠端桌面連線至XP作業系統出現「用戶端無法建立與遠端電腦的連線」訊息時該如何解決?

政府組態基準(GCB)之設定值原則上不宜隨意更動,但如因公務執行需求使用遠端桌面連線出現下圖之訊息。

使用遠端桌面連線出現的訊息

必須調整CCE-9266-8設定值,方法如下:

將「"電腦設定"=>"Windows設定"=>"安全性設定"=>"本機原則"=>"安全性選項"=>"系統加密編譯:使用FIPS 140相容加密演算法,包括加密、雜湊以及簽署演算法"」設為停用即可。

10.如何解決「政府歲計會計資訊管理系統」(GBA)上傳資料失敗?

使用者執行上傳資料時,在下拉式選單中選擇以SFTP協定傳送即可排除問題。

11.如何解決「公教人員人事管理系統」(Pemis2K)無法進入差勤子系統?

執行程式時,按右鍵選擇「以系統管理員身分執行」,即可排除問題。

12.如何解決「二代健保補充保費系統」補充保費繳款書列印失敗?

政府組態基準(GCB)之設定值原則上不宜隨意更動,但如因公務執行需求,必須調整CCE-9266-8設定值,方法如下:

1.將「"電腦設定"=>"Windows設定"=>"安全性設定"=>"本機原則"=>"安全性選項"=>"系統加密編譯:使用FIPS 140相容加密演算法,包括加密、雜湊以及簽署演算法"」設為停用。

2.執行程式時,按右鍵選擇「以系統管理員身分執行」。

13.如何解決自然輸入法V10切換輸入法會造成當機?

政府組態基準(GCB)之設定值原則上不宜隨意更動,但如因公務執行需求,必須調整CCE-9266-8設定值,方法如下:

將「"電腦設定"=>"Windows設定"=>"安全性設定"=>"本機原則"=>"安全性選項"=>"系統加密編譯:使用FIPS 140相容加密演算法,包括加密、雜湊以及簽署演算法"」設為停用即可。

14.使用者電腦無法連線至Windows Server 2000的共享資料夾?

政府組態基準(GCB)之設定值原則上不宜隨意更動,但如因公務執行需求,必須調整CCE-9327-8設定值,方法如下:

將「"電腦設定"=>"Windows設定"=>"安全性設定"=>"本機原則"=>"安全性選項"=>"Microsoft網路用戶端:數位簽章用戶端的通訊(自動)"」設為停用即可。

15.如何在win7電腦開啟遠端桌面連線共用?

政府組態基準(GCB)之設定值原則上不宜隨意更動,但如因公務執行需求,必須調整CCE-9620-6與CCE-9985-3設定值,方法如下:

1.將「"電腦設定"=>"Windows設定"=>"安全性設定"=>"具有進階安全性的Windows防火牆"=>"輸入規則"」,新增防火牆輸入規則:允許「網域」TCP通訊埠3389的輸入連線。

2.將「"電腦設定"=>"系統管理範本"=>"Windows元件"=>"遠端桌面服務"=>"遠端桌面工作階段主機"=>"連線"=>"允許使用者使用遠端桌面服務從遠端連線"」設為啟用即可。

16.Adobe acrobat professional無法進行軟體更新?

政府組態基準(GCB)之設定值原則上不宜隨意更動,但如因公務執行需求,必須調整CCE-9888-9設定值,方法如下:

將「"電腦設定"=>"系統管理範本"=>"Windows元件"=>"Windows Installer"=>"禁止非系統管理員套用廠商簽署的更新"」設為停用即可。

17.套用GCB後無法觀看HTTPS網址之YouTube影片?

政府組態基準(GCB)之設定值原則上不宜隨意更動,但如因公務執行需求,必須調整CCE-9266-8設定值,方法如下:

將「"電腦設定"=>"Windows設定"=>"安全性設定"=>"本機原則"=>"安全性選項"=>"系統加密編譯:使用FIPS 140相容加密演算法,包括加密、雜湊以及簽署演算法"」設為停用即可。

18.如何讓IE瀏覽器網際網路選項的安全性分頁中自訂等級按鈕可以點選(解除反白)?

政府組態基準(GCB)之設定值原則上不宜隨意更動,但如因公務執行需求,必須調整CCE-10096-6與CCE-10037-0設定值,方法如下:

1.將「"電腦設定"=>"系統管理範本"=>"Windows元件"=>"Internet Explorer"=>"安全性區域:只使用電腦設定"」設為停用。

2.將「"電腦設定"=>"系統管理範本"=>"Windows元件"=>"Internet Explorer"=>"安全性區域:不允許使用者變更原則"」設為停用。

19.使用「筆硯公文系統」操作「線上簽核」功能,出現錯誤訊息?

使用「筆硯公文系統」操作「線上簽核」功能,出現以下錯誤訊息時,可在執行IE瀏覽器時,按右鍵選擇「以系統管理員身分執行」,便可排除問題。

錯誤訊息:CONFIG物件建立失敗:系統呼叫未傳入正確的組態參數,請聯絡系統管理員

20.如何使用LGPO將GPO備份檔倒入單機版的Win8.1或Win10?

依據微軟公司官方網站說明,舊版工具LocalGPO預設只支援至Windows 8,Windows 8.1與Windows 10並無法直接使用,且LocalGPO已不再維護,已改使用新版的LGPO工具取代,官網說明與新版LGPO工具下載網址如下:https://blogs.technet.microsoft.com/secguide/2016/01/21/lgpo-exe-local-group-policy-object-utility-v1-0/

新版LGPO的使用方法說明如下:

1.新版LGPO無須安裝,請至官網下載LGPO.zip後,解壓縮即可。

LGPO.zip解壓縮後會有LGPO.exe與LGPO.pdf

2.備份電腦現有組態設定:

(1)以系統管理員權限開啟「命令提示字元」。

(2)切換至LGPO所在目錄(ex:D:\LGPO)。

指令: d:,cd LGPO

(3)備份電腦現有組態設定語法: LGPO.exe /b [絕對路徑](ex: LGPO.exe /b "D:\Backup")

 

3.部署GCB組態設定(建議於部署前先完成步驟2之備份,以便還原之需求):

(1)由技術服務中心網站(http://www.nccst.nat.gov.tw/GCB?lang=zh)下載GPO,並解壓至目錄(ex:D:\GCB)。

解壓縮欲使用的GPO壓縮檔

(2)以系統管理員權限開啟「命令提示字元」。

(3)切換至LGPO所在目錄(ex:D:\LGPO)。

d:,cd LGPO

(4)部署GCB組態設定語法:LGPO.exe /g [絕對路徑] (ex: LGPO.exe /g "D:\GCB",此工具會將D:\GCB中所有的GPO檔一次全部匯入系統)。

指令: LGPO.exe /g D:\GCB

(5)使用gpupdate /force更新組態設定,或是重新啟動電腦。

gpupdate /force

4.還原組態設定:

(1)以系統管理員權限開啟「命令提示字元」。

(2)輸入指令:RD /S /Q ?:\Windows\System32\GroupPolicy 刪除GroupPolicy資料夾。

RD /S /Q ?:\Windows\System32\GroupPolicy

(3)還原已備份之組態設定語法:LGPO.exe /g [絕對路徑] (ex: LGPO.exe /g "D:\Backup")。

 

(4)使用gpupdate /force更新組態設定,或是重新啟動電腦。

gpupdate /force