Windows伺服器作業系統安全配置檢查和加固方法

mdxy-dxy發表於2019-01-24

本文件旨在指導系統管理人員或安全檢查人員進行Windows作業系統的安全合規性檢查和配置,需要的朋友可以參考下。

1. 賬戶管理和認證授權

1.1 賬戶

預設賬戶安全禁用Guest賬戶。禁用或刪除其他無用賬戶(建議先禁用賬戶三個月,待確認沒有問題後刪除。)

操作步驟

開啟 控制皮膚 > 管理工具 > 計算機管理,在 系統工具 > 本地使用者和組 > 使用者 中,雙擊 Guest 帳戶,在屬性中選中 帳戶已禁用,單擊 確定

按照使用者分配帳戶

按照使用者分配帳戶。根據業務要求,設定不同的使用者和使用者組。例如,管理員使用者,資料庫使用者,審計使用者,來賓使用者等。

操作步驟

開啟 控制皮膚 > 管理工具 > 計算機管理,在 系統工具 > 本地使用者和組 中,根據您的業務要求設定不同的使用者和使用者組,包括管理員使用者、資料庫使用者、審計使用者、來賓使用者等。

定期檢查並刪除與無關帳戶

定期刪除或鎖定與裝置執行、維護等與工作無關的帳戶。

操作步驟

開啟 控制皮膚 > 管理工具 > 計算機管理,在 系統工具 > 本地使用者和組 中,刪除或鎖定與裝置執行、維護等與工作無關的帳戶。

不顯示最後的使用者名稱

配置登入登出後,不顯示使用者名稱稱。

操作步驟:

開啟 控制皮膚 > 管理工具 > 本地安全策略,在 本地策略 > 安全選項 中,雙擊 互動式登入:不顯示最後的使用者名稱,選擇 已啟用 並單擊 確定

log

1.2 口令

密碼複雜度

密碼複雜度要求必須滿足以下策略:

最短密碼長度要求八個字元。啟用本機組策略中密碼必須符合複雜性要求的策略。
即密碼至少包含以下四種類別的字元中的兩種:英語大寫字母 A, B, C, … Z 英語小寫字母 a, b, c, … z 西方阿拉伯數字 0, 1, 2, … 9 非字母數字字元,如標點符號,@, #, $, %, &, *等

操作步驟

開啟 控制皮膚 > 管理工具 > 本地安全策略,在 帳戶策略 > 密碼策略 中,確認 密碼必須符合複雜性要求 策略已啟用。

密碼最長留存期

對於採用靜態口令認證技術的裝置,帳戶口令的留存期不應長於90天。

操作步驟開啟 控制皮膚 > 管理工具 > 本地安全策略,在 帳戶策略 > 密碼策略 中,配置 密碼最長使用期限 不大於90天。pwd

帳戶鎖定策略

對於採用靜態口令認證技術的裝置,應配置當使用者連續認證失敗次數超過10次後,鎖定該使用者使用的帳戶。

操作步驟

開啟 控制皮膚 > 管理工具 > 本地安全策略,在 帳戶策略 > 帳戶鎖定策略 中,配置 帳戶鎖定閾值 不大於10次。

配置樣例:

con

1.3 授權

遠端關機

在本地安全設定中,從遠端系統強制關機許可權只分配給Administrators組。

操作步驟

開啟 控制皮膚 > 管理工具 > 本地安全策略,在 本地策略 > 使用者許可權分配 中,配置 從遠端系統強制關機 許可權只分配給Administrators組。

本地關機

在本地安全設定中關閉系統許可權只分配給Administrators組。

操作步驟

開啟 控制皮膚 > 管理工具 > 本地安全策略,在 本地策略 > 使用者許可權分配 中,配置 關閉系統 許可權只分配給Administrators組。

使用者許可權指派

在本地安全設定中,取得檔案或其它物件的所有權許可權只分配給Administrators組。

操作步驟

開啟 控制皮膚 > 管理工具 > 本地安全策略,在 本地策略 > 使用者許可權分配 中,配置 取得檔案或其它物件的所有權許可權只分配給Administrators組。

授權帳戶登陸

在本地安全設定中,配置指定授權使用者允許本地登陸此計算機。

操作步驟

開啟 控制皮膚 > 管理工具 > 本地安全策略,在 本地策略 > 使用者許可權分配 中,配置 允許本地登入 許可權給指定授權使用者。

授權帳戶從網路訪問

在本地安全設定中,只允許授權帳號從網路訪問(包括網路共享等,但不包括終端服務)此計算機。

操作步驟

開啟 控制皮膚 > 管理工具 > 本地安全策略,在 本地策略 > 使用者許可權分配 中,配置 從網路訪問此計算機 許可權給指定授權使用者。

au1

2. 日誌配置操作

2.1 日誌配置

稽核登入

裝置應配置日誌功能,對使用者登入進行記錄。記錄內容包括使用者登入使用的帳戶、登入是否成功、登入時間、以及遠端登入時、及使用者使用的IP地址。

操作步驟

開啟 控制皮膚 > 管理工具 > 本地安全策略,在 本地策略 > 稽核策略 中,設定 稽核登入事件

稽核策略

啟用本地安全策略中對Windows系統的稽核策略更改,成功和失敗操作都需要稽核。

操作步驟

開啟 控制皮膚 > 管理工具 > 本地安全策略,在 本地策略 > 稽核策略 中,設定 稽核策略更改

稽核物件訪問

啟用本地安全策略中對Windows系統的稽核物件訪問,成功和失敗操作都需要稽核。

操作步驟

開啟 控制皮膚 > 管理工具 > 本地安全策略,在 本地策略 > 稽核策略 中,設定 稽核物件訪問

稽核事件目錄服務訪問

啟用本地安全策略中對Windows系統的稽核目錄服務訪問,僅需要稽核失敗操作。

操作步驟

開啟 控制皮膚 > 管理工具 > 本地安全策略,在 本地策略 > 稽核策略 中,設定 稽核目錄伺服器訪問

稽核特權使用

啟用本地安全策略中對Windows系統的稽核特權使用,成功和失敗操作都需要稽核。

操作步驟

開啟 控制皮膚 > 管理工具 > 本地安全策略,在 本地策略 > 稽核策略 中,設定 稽核特權使用

稽核系統事件

啟用本地安全策略中對Windows系統的稽核系統事件,成功和失敗操作都需要稽核。

操作步驟

開啟 控制皮膚 > 管理工具 > 本地安全策略,在 本地策略 > 稽核策略 中,設定 稽核系統事件

稽核帳戶管理

啟用本地安全策略中對Windows系統的稽核帳戶管理,成功和失敗操作都要稽核。

操作步驟

開啟 控制皮膚 > 管理工具 > 本地安全策略,在 本地策略 > 稽核策略 中,設定 稽核帳戶管理

稽核過程追蹤

啟用本地安全策略中對Windows系統的稽核程式追蹤,僅失敗操作需要稽核。

操作步驟

開啟 控制皮膚 > 管理工具 > 本地安全策略,在 本地策略 > 稽核策略 中,設定 稽核程式追蹤au

日誌檔案大小

設定應用日誌檔案大小至少為 8192 KB,可根據磁碟空間配置日誌檔案大小,記錄的日誌越多越好。並設定當達到最大的日誌尺寸時,按需要輪詢記錄日誌。

操作步驟

開啟 控制皮膚 > 管理工具 > 事件檢視器,配置 應用日誌、系統日誌、安全日誌 屬性中的日誌大小,以及設定當達到最大的日誌尺寸時的相應策略。
log

3. IP協議安全配置

3.1 IP協議安全

啟用SYN攻擊保護

啟用SYN攻擊保護。

指定觸發SYN洪水攻擊保護所必須超過的TCP連線請求數閾值為5。指定處於 SYN_RCVD 狀態的 TCP 連線數的閾值為500。指定處於至少已傳送一次重傳的 SYN_RCVD 狀態中的 TCP 連線數的閾值為400。

操作步驟

開啟 登錄檔編輯器,根據推薦值修改登錄檔鍵值。

Windows Server 2012

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\SynAttackProtect
推薦值:2HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\TcpMaxHalfOpen
推薦值:500

Windows Server 2008

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SynAttackProtect
推薦值:2HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMaxPortsExhausted
推薦值:5HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMaxHalfOpen
推薦值:500HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMaxHalfOpenRetried
推薦值:400

4. 檔案許可權

4.1 共享資料夾及訪問許可權

關閉預設共享

非域環境中,關閉Windows硬碟預設共享,例如C$,D$。

操作步驟

開啟 登錄檔編輯器,根據推薦值修改登錄檔鍵值。

注意: Windows Server 2012版本已預設關閉Windows硬碟預設共享,且沒有該登錄檔鍵值。

HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters\AutoShareServer
推薦值: 0

共享資料夾授權訪問

每個共享資料夾的共享許可權,只允許授權的帳戶擁有共享此資料夾的許可權。

操作步驟

每個共享資料夾的共享許可權僅限於業務需要,不要設定成為 Everyone。開啟 控制皮膚 > 管理工具 > 計算機管理,在 共享資料夾 中,檢視每個共享資料夾的共享許可權。

5. 服務安全

5.1 禁用TCP/IP上的NetBiOS

禁用TCP/IP上的NetBIOS協議,可以關閉監聽的 UDP 137(netbios-ns)、UDP 138(netbios-dgm)以及 TCP 139(netbios-ssn)埠。

操作步驟

在 計算機管理 > 服務和應用程式 > 服務 中禁用 TCP/IP NetBIOS Helper 服務。在網路連線屬性中,雙擊 Internet協議版本4(TCP/IPv4),單擊 高階。在 WINS 頁籤中,進行如下設定:
bios

禁用不必要的服務

禁用不必要的服務,請參考:
ser

6.安全選項

6.1 啟用安全選項

操作步驟

開啟 控制皮膚 > 管理工具 > 本地安全策略,在 本地策略 > 安全選項 中,進行如下設定:
audit

6.2 禁用未登入前關機

伺服器預設是禁止在未登入系統前關機的。如果啟用此設定,伺服器安全性將會大大降低,給遠端連線的駭客造成可乘之機,強烈建議禁用未登入前關機功能。

操作步驟

開啟 控制皮膚 > 管理工具 > 本地安全策略,在 本地策略 > 安全選項 中,禁用 關機: 允許系統在未登入前關機 策略。
sg

7. 其他安全配置

7.1 防病毒管理

Windows系統需要安裝防病毒軟體。

操作步驟

安裝企業級防病毒軟體,並開啟病毒庫更新及實時防禦功能。

7.2 設定螢幕保護密碼和開啟時間

設定從螢幕保護恢復時需要輸入密碼,並將螢幕保護自動開啟時間設定為五分鐘。

操作步驟

啟用螢幕保護程式,設定等待時間為 5分鐘,並啟用 在恢復時使用密碼保護

7.3 限制遠端登陸空閒斷開時間

對於遠端登陸的帳號,設定不活動超過時間15分鐘自動斷開連線。

操作步驟

開啟 控制皮膚 > 管理工具 > 本地安全策略,在 本地策略 > 安全選項 中,設定 Microsoft網路伺服器:暫停會話前所需的空閒時間數量 屬性為15分鐘。

7.4 作業系統補丁管理

安裝最新的作業系統Hotfix補丁。安裝補丁時,應先對伺服器系統進行相容性測試。

操作步驟

安裝最新的作業系統Hotfix補丁。安裝補丁時,應先對伺服器系統進行相容性測試。

注意:對於實際業務環境伺服器,建議使用通知並自動下載更新,但由管理員選擇是否安裝更新,而不是使用自動安裝更新,防止自動更新補丁對實際業務環境產生影響。
update

相關文章