【转载】Windows操作系统基线核查

一、身份鉴别

1.1应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换

对用户进行鉴别也就是登录时需要你输入用户名、口令的行为。

针对本地登录,使用Win+R组合键打开运行框,在里面内输入netplwiz,则会出现用户账户页面,如下所示:

1600132874.png!small

打开控制面板->管理工具->本地安全策略->账户策略->密码策略

1600132895.png!small

1600132907.png!small

使用Win+R组合键打开运行框,在里面内输入 net user administrator,查看administrator账户更换密码的情况,加以证实。

1600132930.png!small

对于口令更换策略而言,还有个地方需要先去看看,也就是在计算机管理-本地用户和组-用户中,如果这里勾选了“密码永不过期”,那么windows的密码策略中的“密码最长使用期限”也就失效了。需要先把“密码永不过期”去掉。

1600132952.png!small

1.2应具有登录失败处理功能,应加固并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施

打开控制面板->管理工具->本地安全策略->账户策略->账户锁定策略

1600132974.png!small

1.3当进行远程管理时,应采取必要措施防止鉴别信息再网络传输过程中被窃听

如果被测评服务器没有连接外部网络,仅处于内网之中(也没有wifi),管理服务器的方式就是跑去机房进行本地操作的话,也就不存在什么“远程管理”,不存在什么“数据保密性”,自然就符合了。

如果采用远程管理的方式,则分为使用远程桌面还是第三方软件。不可以直接使用远程桌面。同时也需要关闭telnet服务:

查看telnet服务是否开启,没有就合规。

1600133014.png!small

建议采用vpn连接内网,然后通过堡垒机进行远程管理。

二、访问控制

2.1应对登录的用户分配账户与权限

如果windows系统中仅存在Administrator账户可用的话,就无所谓分配不分配了,无论谁来,都只能登录这一个账户,自然就不符合要求。建议建立几个普通用户,赋予在其正常工作范围内的操作权限。

2.2应重命名或删除默认账户,修改默认账户的默认口令

查看是否存在默认账户

1600133046.png!small

1600133053.png!small

同时查看“组”里面的用户和组的说明:

1600133088.png!small

查看用户权限分配情况:

1600133101.png!small

2.3应及时删除或停用多余的、过期的账户,避免共享账户的存在

若只存在一个administrator账户,需要新建适量的新用户,确保避免共享账户的存在。若有多余、过期的账户,需要及时清理删除。

1600133116.png!small

2.4用授予管理用户所需的最小权限,实现管理用户的权限分离

限制普通用户所需的最小权限,控制其访问范围

1600133135.png!small

三、安全审计

3.1应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计

查看windows日志功能是否开启,默认一般都是开启状态

1600133153.png!small

1600133160.png!small

3.2审计记录应包括事件的日期、用户、事件类型、事件是否成功及其它与审计相关的信息

查看审计策略,若不是下图这样,则不合规。

1600133177.png!small

3.3应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等

这里首先应该是查看审计记录文件的权限,是否会被未授权用户删除。

windows中的日志一般我们比较关注应用程序日志、安全日志、系统日志(其中最重要的是安全日志),其存储文件分别是:

设置应用日志文件大小至少为 8192 KB,可根据磁盘空间配置日志文件大小,记录的日志越多越好。并设置当达到最大的日志尺寸时,按需要轮询记录日志:

1600133208.png!small

1600133216.png!small

1600133236.png!small

以上日志内容需要进行定期备份,审计记录保留至少6个月以上。

四、入侵防范

4.1应遵循最小安装的原则,仅安装需要的组件和应用程序

遵循最小安装原则,禁止“夹带”现象,只安装需要的组件和应用程序;

4.2应关闭不需要的系统服务、默认共享和高危端口

使用netstat -an命令,查看开启了哪些端口:

1600133262.png!small

查看所有的正在运行的服务

1600133273.png!small

禁用TCP/IP上的NetBIOS协议,可以关闭监听的 UDP 137(netbios-ns)、UDP 138(netbios-dgm)以及 TCP 139(netbios-ssn)端口

停用不使用的服务

1600133303.png!small

4.3启用SYN攻击保护

指定触发SYN洪水攻击保护所必须超过的TCP连接请求数阈值为5。

指定处于 SYN_RCVD 状态的 TCP 连接数的阈值为500。

指定处于至少已发送一次重传的 SYN_RCVD 状态中的 TCP 连接数的阈值为400。

操作步骤

打开 注册表编辑器,根据推荐值修改注册表键值。

Windows Server 2012

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\SynAttackProtect
推荐值:2

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\TcpMaxHalfOpen
推荐值:500

Windows Server 2008

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SynAttackProtect
推荐值:2

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMaxPortsExhausted
推荐值:5

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMaxHalfOpen
推荐值:500

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMaxHalfOpenRetried
推荐值:400

五、恶意代码防范

5.1应安装防恶意代码软件或加固具有相应功能的软件,并定期进行升级和更新防恶意代码库

查看有无杀毒软件,是否升级为最新版本

六、数据备份恢复

6.1应提供重要数据的本地数据备份与恢复功能

查看是否有备份文件,以及了解备份机制和恢复机制

若无,需要建立备份文件,进行每日增量、每周全量的备份策略。

6.2应提供异地数据备份功能,利用通信网络将重要数据定时批量传送至备用场地

将备份文件存放异地且确保其有效性,避免出现单点故障后不具备恢复的风险。

七、资源控制

7.1应确保系统磁盘根分区已使用空间维持在80%以下

如果磁盘动态分区空间不足,建议管理员扩充磁盘容量

7.2限制远程登录空闲断开时间

控制面板----管理工具----本地安全策略----安全选项:设置15分钟

1600133359.png!small

7.3禁用未登陆前关机

控制面板----管理工具----本地安全策略----安全选项:将已启用改为禁用

1600133378.png!small

posted @ 2020-09-25 11:33  桑中子衿  阅读(2333)  评论(0编辑  收藏  举报