当前位置:   article > 正文

Windows Server服务器安全加固基线配置

Windows Server服务器安全加固基线配置

一、账户管理、认证授权

  1. 一、账户
  2. 1、管理缺省账户
  3. 安全基线项说明:对于管理员账号,要求更改缺省账户名称;禁用Guest(来宾)账户。
  4. 操作步骤:进入控制面板-->管理工具-->计算机管理,在系统工具-->本地用户和组:缺省账户Administrator-->右键重命名为JFadmin;Guest账户-->属性-->停用;
  5. 2.按照用户来分配账户
  6. 安全基线项说明:根据系统要求,设定不同的账户和账户组、管理员用户、审计账户、数据库账户等。
  7. 操作步骤:进入控制面板-->管理工具-->计算机管理,在系统工具-->本地用户和组:
  8. 管理员用户admingroup,用户属性-->隶属于-->添加-->查找位置-->本机-->输入对象名称选择-->Administrators
  9. 数据库用户DBgroup,用户属性-->隶属于-->添加-->查找位置-->本机-->输入对象名称选择-->IIS_IUSRS、Power Users
  10. 审计用户auditgroup,用户属性-->隶属于-->添加-->查找位置-->本机-->输入对象名称选择-->Event log readers、Performance Log Users
  11. 3、删除与设备无关账户
  12. 操作步骤:进入控制面板-->管理工具-->计算机管理,在系统工具-->本地用户和组:删除或锁定与设备运行、维护无关的账户。
  13. 4、administrator账户绑定
  14. 操作步骤:系统中不得通过JFadmin(原administrator)与别的应用或服务器进行登录绑定,JFadmin密码可以随时进行更换,不影响业务正常使用。
  15. 二、口令
  16. 1、密码复杂度
  17. 安全基线项说明:密码不得少于8位,且需包含大小写字母、数字、特殊符号中的三种。
  18. 操作步骤:进入控制面板-->管理工具-->本地安全策略,在账户策略-->密码策略:查看是否“密码必须符合复杂度要求”选择"已启动"
  19. 2、密码最长留存期
  20. 安全基线项说明:对于采用静态口令认证技术的设备,账号口令的生存期不得长于90天。
  21. 操作步骤:进入控制面板-->管理工具-->本地安全策略,在账户策略-->密码策略:查看“密码最长留存期”。
  22. 3、账户锁定策略
  23. 安全基线项说明:对于采用静态口令认证技术的设备,应配置当用户连续认证失败次数超过5次,锁定该用户使用的账户。
  24. 操作步骤:进入控制面板-->管理工具-->本地安全策略,在账户策略-->账户锁定策略:查看账户锁定阈值设置,设置为小于或等于5次。
  25. 4、口令到期提示
  26. 安全基线项说明:对于采用静态口令认证技术的设备,账户口令到生存期前5天提示更换密码。
  27. 操作步骤:进入控制面板-->管理工具-->本地安全策略,在本地策略-->安全选项:查看交互式登录:提示用户在过期之前更改密码。密码最长存留期到期前设置等于5
  28. 三、授权
  29. 1、远程关机
  30. 安全基线项说明:在本地安全设置中从远端系统强制关机只指派给Administrator组
  31. 操作步骤:进入控制面板-->管理工具-->本地安全策略,用户权力指派:查看“从远端系统强制关机”设置,改为只指派给Administrator组
  32. 2、本地关机
  33. 安全基线项说明:在本地安全设置中关闭系统只指派给Administrator组
  34. 操作步骤:进入控制面板-->管理工具-->本地安全策略,用户权力指派:查看“关闭系统”设置,改为只指派给Administrator组
  35. 3、用户权力指派
  36. 安全基线项说明:在本地安全设置中取得文件或其他对象的所有权仅指派给Administrators组
  37. 操作步骤:进入控制面板-->管理工具-->本地安全策略,用户权力指派:查看是否“取得文件或其他对象的所有权”设置,设置为仅指派给Administrators组
  38. 4、授权账户从网络访问
  39. 安全基线项说明:在组策略中只允许授权账号从网络访问(包括网络共享等,但不包括远程桌面)此服务器。
  40. 操作步骤:进入控制面板-->管理工具-->本地安全策略,在本地策略-->用户权力指派:从网络访问此计算机设置为指定授权用户
  41. 5、通过堡垒机登录系统
  42. 安全基线项说明:系统只能通过堡垒机使用rdp协议登录
  43. 操作步骤:堡垒机配合防火墙设置,通过防火墙限制用户可访问渠道
  44. 四、日志配置
  45. 1、审核登录
  46. 安全基线项说明:设备应配置日志功能,对用户登录进行记录,记录内容包括用户登录使用的账户,登录是否成功,登录时间,以及远程登录时用户使用的IP地址。
  47. 操作步骤:进入控制面板-->管理工具-->本地安全策略,审核策略-->审核登录事件,设置为成功和失败都审核
  48. 2、审核策略更改
  49. 安全基线项说明:启用组策略中对Windows系统的审核策略更改,成功和失败都要审核
  50. 操作步骤:进入控制面板-->管理工具-->本地安全策略,审核策略-->审核策略更改设置,设置为成功和失败都要审核
  51. 3、审核对象访问
  52. 安全基线项说明:启用组策略中对Windows系统的审核对象访问,成功和失败都要审核
  53. 操作步骤:进入控制面板-->管理工具-->本地安全策略,审核策略-->审核对象访问,设置为成功和失败都要审核
  54. 4、审核目录服务访问
  55. 安全基线项说明:启用组策略中对Windows系统的审核目录服务访问,成功和失败都要审核
  56. 操作步骤:进入控制面板-->管理工具-->本地安全策略,审核策略-->审核目录服务访问,设置为成功和失败都要审核
  57. 5、审核特权使用
  58. 安全基线项说明:启用组策略中对Windows系统的审核特权使用,成功和失败都要审核
  59. 操作步骤:进入控制面板-->管理工具-->本地安全策略,审核策略-->审核特权使用,设置为成功和失败都要审核
  60. 6、审核系统事件
  61. 安全基线项说明:启用组策略中对Windows系统的审核系统事件,成功和失败都要审核
  62. 操作步骤:进入控制面板-->管理工具-->本地安全策略,审核策略-->审核系统事件,设置为成功和失败都要审核
  63. 7、审核账户管理
  64. 安全基线项说明:启用组策略中对Windows系统的审核账户管理,成功和失败都要审核
  65. 操作步骤:进入控制面板-->管理工具-->本地安全策略,审核策略-->审核账户管理,设置为成功和失败都要审核
  66. 8、审核过程追踪
  67. 安全基线项说明:启用组策略中对Windows系统的审核过程追踪,成功和失败都要审核
  68. 操作步骤:进入控制面板-->管理工具-->本地安全策略,审核策略-->审核过程追踪,设置为失败需要审核
  69. 9、日志文件大小
  70. 安全基线项说明:设置应用日志文件至少要大于20480KB,设置当达到最大的日志尺寸时,按需要覆盖事件(旧事件优先)
  71. 操作步骤:进入控制面板-->管理工具-->事件查看器,查看应用日志,系统日志,安全日志属性中的日志大小,以及设置当达到最大的日志尺寸时的相应策略。打开C:\windows\system32\winevt,再打开Logs文件夹
  72. 10、日志文件上传
  73. 安全基线项说明:日志保存时间为180
  74. 操作步骤:日志文件转存日志服务器,通过日志服务器可查看到相关服务器的日志信息
  75. 11、防病毒管理
  76. 安全基线项说明:安装公司指定的360杀毒软件
  77. 操作步骤:netstat -ano或通过任务管理器查看。配置时防火墙需放开杀毒软件的端口
  78. 12、远程登录控制
  79. 安全基线项说明:对于远程登录的账号,设置不活动断连时间15分钟,再次登录时信息还在
  80. 检测操作步骤:进入控制面板-->管理工具-->本地安全策略,在本地策略-->安全选项-->Microsoft网络服务器设置为"在挂起会话之前所需的空闲时间"15分钟
  81. 13、补丁管理
  82. 安全基线项说明:应安装漏扫里面的高危补丁,但如果此服务器不具备停机条件,延期安装但不能超过三个月。暂定两个月更新一次高危补丁,更新之前做好快照预防打补丁之后出现异常情况。突发高风险漏洞根据实际情况进行紧急预案并处理
  83. 操作步骤:根据漏扫报告,对高危补丁进行修复安装
  84. 五、端口管理
  85. 1、远程控制服务安全
  86. 安全基线项说明:修改rdp远程默认端口3389
  87. 操作步骤:进入注册表修改(省略),改完端口后更新防火墙规则
  88. 2、端口开放与关闭
  89. 安全基线项说明:关闭TCP与UDP135-1394455355端口,telnetTCP23,只开放需要开放的服务端口
  90. 操作步骤:控制面板-->Windows防火墙-->高级设置-->入站规则-->选择某条规则-->属性-->常规-->已启用(勾选或取消勾选)-->只允许安全连接
  91. 六、时间同步
  92. 1、时间同步
  93. 安全基线项说明:要求配置时间同步源,服务器定期执行时间同步操作(必要时)
  94. 操作步骤:1、加域服务器默认已指向时间服务器 2、虚拟服务器需在宿主机上指定时间服务器 3、物理服务器需手动设置gpedit.msc

声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/黑客灵魂/article/detail/769491
推荐阅读
相关标签
  

闽ICP备14008679号