WindowsServer安全基线

1     帐号管理与授权

1.1               按照用户角色分配不同权限的帐号【可选】

配置项描述

按照用户角色分配不同权限的帐号,对不同的帐户分配不同的权限,确保用户权限最小化

检查方法

进入“控制面板->管理工具->计算机管理->系统工具->本地用户和组”:

审核用户和组,审核帐户隶属的组权限,审核组用户。

操作步骤

根据系统的要求和实际业务情况,设定不同的帐户和帐户组,如管理员用户、数据库用户、审计用户、来宾用户等。

回退操作

删除新增加的用户,还原用户权限到初始设置。部分操作可能无法回退。

操作风险

需要确认帐户用途,确认用户所需权限,更改用户权限可能导致某些应用无法正常运行。

1.2               删除或锁定可能无用的帐户

配置项描述

删除或锁定无用的帐户,定期清理无用账户,防止攻击者使用过期账户非法登入操作系统

检查方法

进入“控制面板->管理工具->计算机管理->系统工具->本地用户和组”:

审核不必要的用户和组,审核帐户隶属的组权限,审核组用户。

操作步骤

根据系统的要求和实际业务情况,设定不同的帐户和帐户组,如管理员用户、数据库用户、审计用户、来宾用户等。

删除或锁定与设备运行、维护等与工作无关的帐户

回退操作

增加被删除的用户,激活被锁定的用户,还原用户权限到初始设置。部分操作可能无法回退。

操作风险

需要确认帐户用途,被锁定的帐户无法登录系统,可能导致某些应用无法正常运行。

1.3               更改缺省帐户名称,禁用guest帐号

配置项描述

对于管理员帐号,要求更改缺省帐户名称,当攻击者发起穷举攻击时,使用默认用户名,会大大降低攻击者的攻击难度;禁用guest(来宾)帐号。

检查方法

进入“控制面板->管理工具->计算机管理->系统工具->本地用户和组”:

检查Administrator->属性-> 更改名称

检查 Guest帐号->属性-> 已停用

操作步骤

缺省账户Administrator名称已更改

Guest帐号已停用

回退操作

重命名用户名称,还原用户属性设置

操作风险

可能导致某些自动登录的服务异常,建议实施。

1.4               设置口令策略满足复杂度要求

配置项描述

口令策略设置不符合复杂度要求,口令过于简单,易被黑客破译

检查方法

进入“控制面板->管理工具->本地安全策略”,在“帐户策略->密码策略”中:

检查“密码必须符合复杂度要求”设置

操作步骤

设置“密码必须符合复杂度要求”已开启

要求密码长度最少为8位,包含大小写字母、数字和特殊符号。

回退操作

回退到原有的配置设置

操作风险

 

1.5               口令生存期不得长于60天

配置项描述

口令生存期不得长于60天,应定期更改用户口令

检查方法

进入“控制面板->管理工具->本地安全策略”,在“帐户策略->密码策略”中:

检查“密码最长存留期”设置

操作步骤

设置“密码最长存留期”小于等于60

回退操作

回退到原有的配置设置

操作风险

 

1.6               设定不能重复使用口令

配置项描述

设定不能重复使用最近5次(含5次)内已使用的口令

检查方法

进入“控制面板->管理工具->本地安全策略”,在“帐户策略->密码策略”中:

检查“强制密码历史”设置

操作步骤

设置“强制密码历史”大于等于5

回退操作

回退到原有的配置设置

操作风险

 

1.7               设定连续认证失败次数-【可选】

配置项描述

设定连续认证失败次数超过10次(不含10次)锁定该账号

检查方法

进入“控制面板->管理工具->本地安全策略”,在“帐户策略->帐户锁定策略”中:

检查“帐户锁定阀值”设置

操作步骤

设置“帐户锁定阀值”小于等于10

回退操作

回退到原有的配置设置

操作风险

恶意尝试可能导致锁定帐户

1.8               远端系统强制关机的权限设置-【可选】

配置项描述

将从远端系统强制关机仅指派给Administrators组,避免普通用户拥有额外的系统控制权限

检查方法

进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权利指派”中:

检查“从远端系统强制关机”设置

查看“从远端系统强制关机”是否设置为“只指派给Administrators组”

操作步骤

设置“从远端系统强制关机”删除除Administrators以外其他项

回退操作

回退到原有的配置设置

操作风险

可能导致某些系统功能异常或应用非正常运行

1.9               关闭系统的权限设置

配置项描述

将关闭系统仅指派给Administrators组,避免普通用户拥有额外的系统控制权限

检查方法

进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权利指派”中:

检查“关闭系统”设置

操作步骤

设置“关闭系统”删除除Administrators以外其他项

回退操作

回退到原有的配置设置

操作风险

可能导致某些系统功能异常或应用非正常运行

1.10          取得文件或其它对象的所有权设置-【可选】

配置项描述

将取得文件或其它对象的所有权设置仅指派给Administrators组,避免普通用户拥有额外的系统控制权限

检查方法

进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权利指派”中:

检查“取得文件或其它对象的所有权”设置

操作步骤

设置“取得文件或其它对象的所有权”删除除Administrators以外其他项

回退操作

回退到原有的配置设置

操作风险

可能导致某些系统功能异常或应用非正常运行,建议实施。

1.11          将从本地登录设置为指定授权用户

配置项描述

防止用户非法登录主机,在本地安全设置中配置指定授权用户允许本地登陆此计算机

检查方法

进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权利指派”:查看并记录“从本地登陆此计算机”的当前设置。

查看是否“从本地登陆此计算机”设置为“指定授权用户”。

操作步骤

参考配置操作:

进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权利指派”

“从本地登陆此计算机”设置为“指定授权用户”

回退操作

回退到原有的配置设置

操作风险

增加物理临近攻击和本地物理攻击以及非授权用户非法登陆主机的风险

 

1.12          将从网络访问设置为指定授权用户

配置项描述

将从网络访问设置为指定授权用户

检查方法

进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权利指派”中:

检查“从网络访问”设置

操作步骤

设置“从网络访问”只保留授权用户,删除其他项

回退操作

回退到原有的配置设置

操作风险

可能导致某些系统功能异常或应用非正常运行

2       日志配置要求

2.1               审核策略设置中成功失败都要审核

配置项描述

记录系统的所有审核信息,审核策略设置中成功失败都要审核

检查方法

进入“控制面板->管理工具->本地安全策略”,在“本地策略->审核策略”中:

查看是否符合操作中提到的各标准

操作步骤

设置如下:

审核登录事件,双击,设置为成功和失败都审核。

“审核策略更改”设置为“成功”和“失败”都要审核

“审核对象访问”设置为“成功”和“失败”都要审核

“审核目录服务器访问”设置为“成功”和“失败”都要审核

“审核特权使用”设置为“成功”和“失败”都要审核

“审核系统事件”设置为“成功”和“失败”都要审核

“审核账户管理”设置为“成功”和“失败”都要审核

“审核过程追踪”设置为“失败”需要审核

其他设置无要求。

回退操作

回退到原有的配置设置

操作风险

开启无用的审核可能降低系统性能并占用一定磁盘空间

2.2               设置日志查看器大小-【可选】

配置项描述

将应用、系统、安全日志查看器大小设置为至少8192KB

检查方法

进入“控制面板->管理工具->事件查看器”,在“事件查看器(本地)”中:(在应用程序日志、安全日志和系统日志上点右键,看属性中的日志大小上限设置,单位为KB。)

查看是否符合操作中提到的各标准

操作步骤

将不符合评估内容项进行加固,应用日志的容量为8192KB,安全日志的容量为8192KB,系统日志的容量为8192KB,设置当达到最大的日志大小时,“按需要覆盖事件”。并且用户有流程定期转存日志

回退操作

还原“应用日志”、“系统日志”、“安全日志”的设置到加固之前配置

操作风险

建议实施

3       IP协议配置要求

3.1               启用防火墙-【可选】

配置项描述

启用Windows 2008和Windows 2003 自带防火墙,切根据业务需要限定允许访问网络的应用程序,和允许远程登陆该设备的IP地址范围

检查方法

进入“控制面板->网络连接->本地连接”,在高级选项的设置中,查看是否启用Windows防火墙。

查看是否在“例外”中配置允许业务所需的程序接入网络。

查看是否在“例外->编辑->更改范围”编辑允许接入的网络地址范围。

操作步骤

将不符合评估内容项进行加固,启用Windows 2008和Windows 2003 自带防火墙。根据业务需要限定允许访问网络的应用程序,和允许远程登陆该设备的IP地址范围。

回退操作

回退到原有的配置设置

操作风险

必须正确设置网络访问控制策略,否则可能导致某些应用无法正常访问网络,建议实施。

3.2               启用TCP/IP筛选-【可选】

配置项描述

过滤不必要的端口,提高系统安全性,对没有自带防火墙的Windows系统,启用Windows系统的IP安全机制(IPSec)或网络连接上的TCP/IP筛选,只开放业务所需要的TCP,UDP端口和IP协议

检查方法

进入“控制面板->网络连接->本地连接”,进入“Internet协议(TCP/IP)属性->高级TCP/IP设置”,在“选项”的属性中查看“网络连接上的TCP/IP筛选”的状态,并记录。

查看是否只开放业务所需要的TCP,UDP端口和IP协议。

利用Netstat –an命令查看当前系统开放端口是否与系统管理员所出示的业务所需端口列表相对应;如发现存在与业务和应用无关的端口,则查明后在TPC/IP筛选配置中将其过滤掉。

操作步骤

参考配置操作:

系统管理员出示业务所需端口列表。

根据列表只开放系统与业务所需端口。

进入“控制面板->网络连接->本地连接”,进入“Internet协议(TCP/IP)属性->高级TCP/IP设置”,在“选项”的属性中启用网络连接上的TCP/IP筛选,只开放业务所需要的TCP,UDP端口和IP协议。

回退操作

回退到原有的配置设置

操作风险

如不有效过滤系统中存在的不必要的端口以及默认的端口会增加潜在被攻击和非法利用的安全风险

 

3.3               启用SYN攻击保护-【可选】

配置项描述

启用SYN攻击保护,当攻击者发起SYN攻击时,避免CPU和内存资源被过度消耗

检查方法

在“开始->运行->键入regedit”。

启用 SYN 攻击保护的命名值位于注册表项 HKEY_LOCAL_MACHINE\ SYSTEM\CurrentControlSet\Services 之下:

值名称:SynAttackProtect

Windows2000推荐值:2

Windows2003推荐值:1

以下部分中的所有项和值均位于注册表项 HKEY_LOCAL_MACHINE\ SYSTEM\CurrentControlSet\Services 之下:

指定必须在触发 SYN flood 保护之前超过的 TCP 连接请求阈值:

值名称:TcpMaxPortsExhausted

推荐值:5

启用 SynAttackProtect 后,该值指定 SYN_RCVD 状态中的 TCP 连接阈值,超过 SynAttackProtect 时,触发 SYN flood 保护:

值名称:TcpMaxHalfOpen

推荐值数据:500

启用 SynAttackProtect 后,指定至少发送了一次重传的 SYN_RCVD 状态中的 TCP 连接阈值,超过 SynAttackProtect 时,触发 SYN flood 保护:

值名称:TcpMaxHalfOpenRetried

推荐值数据:400

操作步骤

1、备份注册表原有的配置设置

2、将不符合评估内容项进行加固,启用SYN攻击保护:

指定触发SYN洪水攻击保护所必须超过的TCP连接请求数阀值为5;

指定处于 SYN_RCVD 状态的 TCP 连接数的阈值为500;

指定处于至少已发送一次重传的 SYN_RCVD 状态中的 TCP 连接数的阈值为400。

回退操作

回退到原有的配置设置

操作风险

必须正确设置网络访问控制策略,否则可能导致某些应用无法正常访问网络,面临该风险的设备建议实施。

4       服务配置要求

4.1               启用NTP服务

配置项描述

启用NTP服务,配置统一服务器时钟,应开启NTP服务向网络内指定的NTP server同步时钟。

检查方法

对于已加入域的服务器,系统将自动与域控服务器同步时钟;

对于未加入域的服务器,需按以下步骤配置。

操作步骤

点击桌面右下角时钟栏,开启“更改日期和时钟设置”-“internet时间”

开启“自动与internet时间服务器同步”选型,在服务器栏中填写NTP server的IP地址,然后点击“立即更新”

回退操作

恢复系统原有NTP配置

操作风险

 

4.2               关闭不必要的服务

配置项描述

列出所需要服务的列表(包括所需的系统服务),不在此列表的服务需关闭

检查方法

进入“控制面板->管理工具->计算机管理”,进入“服务和应用程序”:

查看已经启动的或者是手动的服务。

以下服务开启通常存在风险,建议关闭:

Alerter(警示器服务);

Remote Registry Service(远程注册表服务);

Print Spooler(打印服务);

Telnet(远端登录服务);

Messenger(信使服务);

Help and Support(帮助和支持服务)

Error Reporting Service(错误报告服务)

Task Scheduler(计划任务服务);如无计划任务建议关闭该服务。

以下服务通常是系统需要的,建议开启,具体设置如下:

服务

启动类型

包括在成员服务器基准策略中的理由

COM+System Application

手动

允许组件服务的管理

COM+Event System

自动

在事件日志中记录条目所需

DHCP Client

自动

更新动态 DNS 中的记录所需

Distributed Link Tracking Client(分布式链接跟踪客户端)

自动

用来维护 NTFS 卷上的链接

DNS Client

自动

允许解析 DNS 名称

Windows Event Log

自动

允许在事件日志中查看事件日志消息

Logical Disk Managera(逻辑磁盘管理器)

自动

需要它来确保动态磁盘信息保持最新

Logical Disk Manager Administrative Service(逻辑磁盘管理器管理服务)

手动

需要它以执行磁盘管理

Netlogon

自动

加入域时所需

Network Connections(网络连接)

手动

网络通讯所需

Performance Logs and Alerts(性能日志和警报)

手动

收集计算机的性能数据,向日志中写入或触发警报

Plug and Play(即插即用)

自动

Windows 标识和使用系统硬件时所需

Protected Storage(受保护的存储区)

自动

需要用它保护敏感数据,如私钥

Remote Procedure Call (RPC) (远程过程调用服务)

自动

Windows 中的内部过程所需

远程注册服务

自动

hfnetchk 实用工具所需

Security Accounts Manager(安全帐户管理器)

自动

存储本地安全帐户的帐户信息

Server

自动

hfnetchk 实用工具所需

TCP/IP NetBIOS Helper

自动

在组策略中进行软件分发所需(可用来分发修补程序)

Windows Management Instrumentation(Windows管理规范)

Windows Management Instrumentation Driver Extensions(Windows管理规范驱动程序扩展)

手动

使用“性能日志和警报”实现性能警报时所需

Windows time

自动

需要它来保证 Kerberos 身份验证有一致的功能

Workstation(工作站)

自动

加入域时所需

 

操作步骤

关闭不需要的服务

回退操作

回退到原有的配置设置

操作风险

关闭或停止某些服务可能导致应用运行异常

4.3               关闭自动播放功能

配置项描述

关闭自动播放功能,避免执行未经扫描或确认的文件,从而引入木马或病毒

检查方法

点击开始→运行→输入gpedit.msc,打开组策略编辑器,浏览到计算机配置→管理模板→系统:

查看是否所有驱动器均选择“关闭自动播放”,查看“关闭自动播放”配置是否已启用,启用范围:所有驱动器。

操作步骤

参考配置操作:

点击开始→运行→输入gpedit.msc,打开组策略编辑器,浏览到计算机配置→管理模板→系统,在右边窗格中双击“关闭自动播放”,对话框中选择所有驱动器,确定即可。

回退操作

回退到原有的配置设置

操作风险

如不关闭Windows自动播放,则在进行U盘插入操作的时候,系统将面临被U盘中的病毒感染的风险

4.4               修改SNMP服务密码-【可选】

配置项描述

修改SNMP服务密码,防止泄露系统信息。如需启用SNMP服务,则修改默认的SNMP Community String设置

检查方法

打开“控制面板”,打开“管理工具”中的“服务”,找到“SNMP Service”,单击右键打开“属性”面板中的“安全”选项卡,在这个配置界面中,查看community strings,是否已改,而不是默认的“public”。

操作步骤

参考配置操作:

打开“控制面板”,打开“管理工具”中的“服务”,找到“SNMP Service”,单击右键打开“属性”面板中的“安全”选项卡,在这个配置界面中,可以修改community strings,也就是微软所说的“团体名称”。

回退操作

回退到原有的配置设置

操作风险

如未修改SNMP服务的默认密码,则攻击者利用SNMP信息探测工具就可以获取系统信息。从而增加系统被攻击的风险。但可能导致服务不正常,建议实施。

4.5               关闭默认共享

配置项描述

关闭默认共享,未经确认的共享操作,尤其是对everyone的共享,会对信息安全造成严重威胁

检查方法

1、    net share或计算机管理--共享

2、    查看并记录:注册表

HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters\增加了REG_DWORD类型的AutoShareServer 键的值,为 0

操作步骤

关闭Windows硬盘默认共享,例如ADMIN$,C$,D$。

进入“开始->运行->Regedit”,进入注册表编辑器,更改注册表键值:

在HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters\下,增加REG_DWORD类型的AutoShareServer 键,值为0。

回退操作

回退到原有的配置设置

操作风险

可能导致某些必须使用共享的应用非正常运行

4.6               设置共享文件夹中的授权用户为指定用户

配置项描述

共享文件夹中,设置只允许授权的账户拥有权限共享此文件夹

检查方法

检查共享文件夹中的授权用户

操作步骤

进入“控制面板->管理工具->计算机管理”,进入“系统工具->共享文件夹”:

查看每个共享文件夹的共享权限。

查看每个共享文件夹的共享权限是否仅限于业务需要,不设置成为“everyone”。

回退操作

回退到原有的配置设置

操作风险

须经测试,可能导致某些使用共享的应用异常

4.7               删除可匿名访问的共享

配置项描述

删除可匿名访问的共享,共享文件应明确共享对象,且不允许匿名访问

检查方法

进入“控制面板->管理工具->本地安全策略”,在“本地策略->安全选项”中:

检查“网络访问: 可匿名访问的共享”设置

操作步骤

删除“网络访问: 可匿名访问的共享”中的所有项

回退操作

回退到原有的配置设置

操作风险

可能导致某些系统功能异常或应用非正常运行

4.8               审核HOST文件的可疑条目

配置项描述

删除HOST文件下的可疑条目

检查方法

查看是否符合操作中提到的标准,检查C:\windows\system32\drivers\etc目录下的用于静态DNS解析的HOSTS文件内容是否正常

操作步骤

1、备份HOSTS文件

2、将不符合评估内容项进行加固,确保C:\windows\system32\drivers\etc目录下的用于静态DNS解析的HOSTS文件内容正常,对于未知条目可以与管理员追查

回退操作

将备份的HOSTS文件替换更改的文件

操作风险

与系统管理员确认后可执行加固

4.9               卸载未知或无用的应用程序

配置项描述

卸载未知或无用的应用程序,应定期清理应用程序列表中无用或未知的程序,防止系统被植入木马或病毒

检查方法

检查“添加或删除程序”面板中的列表

操作步骤

备份需要协助的应用程序的配置文件

不要安装不必要的应用程序,向管理员确认可卸载的应用软件项

回退操作

重新安装卸载的应用重新,恢复配置文件

操作风险

需要确认应用是否必须,可能需要重启系统

4.10          关闭远程注册表

配置项描述

关闭远程注册表,防止用户远程修改或查看系统注册表

检查方法

进入“控制面板->管理工具->计算机管理”,进入“服务和应用程序”:

检查“Remote Registry”

操作步骤

设置“Remote Registry”已停用

回退操作

回退到原有的配置设置

操作风险

某些应用可能需要此功能,建议实施

4.11          数据执行保护配置

配置项描述

提高系统抵抗非法修改文件的性能。对于Windows XP SP2及Windows 2003对Windows操作系统程序和服务启用系统自带DEP功能(数据执行保护),防止在受保护内存位置运行有害代码。

检查方法

进入“控制面板->系统”,在“高级”选项卡的 “性能”下的“设置”。进入 “数据执行保护”选项卡。查看是否设置为“ 仅为基本 Windows 操作系统程序和服务启用DEP”。

操作步骤

参考配置操作:

进入“控制面板->系统”,在“高级”选项卡的 “性能”下的“设置”。进入 “数据执行保护”选项卡。设置为“ 仅为基本 Windows 操作系统程序和服务启用DEP”。

回退操作

回退到原有的配置设置

操作风险

如未配置系统核心的数据执行保护,则无法对在内存位置运行有害代码进行保护

 

5     其它配置要求

5.1               安装防病毒软件

配置项描述

安装防病毒软件和防病毒软件并及时升级

检查方法

进入控制面板->添加或删除程序,查看是否安装有防病毒软件。同时打开防病毒软件控制面板,查看病毒码更新日期。

如已安装防病毒软件,则病毒码更新时间不早于1个月,各系统病毒码升级时间要求参见各系统相关规定。

操作步骤

安装杀毒软件并升级到最新版本

回退操作

卸载杀毒软件或回退到以前版本

操作风险

需要重启并可能误删正常的系统或应用文件

5.2               Service Pack补丁更新-【可选】

配置项描述

定期对系统需要更新的补丁进行补丁测试、评估,通过测试后进行更新,修复系统漏洞。

检查方法

检查Service Pack补丁版本:

进入控制面板->添加或删除程序->显示更新打钩,查看是否XP系统已安装SP3,Win2000系统已安装SP4,Win2003系统已安装SP2。

操作步骤

安装最新Service Pack补丁包

回退操作

卸载Service Pack补丁包

操作风险

需要重启且未经测试的补丁可能导致应用运行异常

5.3               Hotfix补丁更新-【可选】

配置项描述

定期对系统需要更新的Hotfix补丁进行补丁测试、评估,通过测试后进行更新,修复系统漏洞。

检查方法

检查Hotfix补丁版本:

检查所有的hotfix,并查看系统安装的最后一个补丁的发布日期是否与最近最新发布的补丁日期一致。

操作步骤

安装最新Hotfix补丁包

回退操作

卸载Hotfix补丁包

操作风险

需要重启且未经测试的补丁可能导致应用运行异常

5.4               IIS服务补丁更新-【可选】

配置项描述

如需启用IIS服务,定期对系统需要更新的IISV服务补丁进行补丁测试、评估,通过测试后进行更新,修复系统漏洞。

检查方法

检查IIS版本

操作步骤

安装IIS 补丁包或升级到IIS6.0

回退操作

卸载IIS 补丁包

操作风险

需要重启且未经测试的补丁可能导致应用运行异常,使用IIS的设备,建议实施。

5.5               设置带密码的屏幕保护

配置项描述

设置带密码的屏幕保护,并将时间设定为10分钟,防止合法用户未及时退出登录,造成数据泄露

检查方法

进入“控制面板->显示->屏幕保护程序”:

查看是否符合操作中提到的标准

操作步骤

将不符合评估内容项进行加固,查看是否启用屏幕保护程序,设置等待时间为“10分钟”,启用“在恢复时使用密码保护”。

回退操作

回退到原有的配置设置

操作风险

 

 

5.6               远程登陆的帐号,设置不活动断连时间

配置项描述

对于远程登陆的帐号,设置不活动断开时间为30分钟,长时间空闲账户将自动退出

检查方法

进入“控制面板->管理工具->本地安全策略”,在“本地策略->安全选项”中:

检查“Microsoft 网络服务器:在挂起会话前所需的空闲时间”设置

操作步骤

设置“Microsoft 网络服务器:在挂起会话前所需的空闲时间”小于等于30分钟

回退操作

回退到原有的配置设置

操作风险

可能导致某些应用运行异常

 asd

posted on 2021-01-13 14:42  遇见阿杜  阅读(878)  评论(0编辑  收藏  举报