Windows Server服务器安全加固基线配置

一、账户管理、认证授权

一、账户
1、管理缺省账户
安全基线项说明：对于管理员账号，要求更改缺省账户名称；禁用Guest(来宾)账户。
操作步骤：进入控制面板-->管理工具-->计算机管理，在系统工具-->本地用户和组：缺省账户Administrator-->右键重命名为JFadmin;Guest账户-->属性-->停用；
 
2.按照用户来分配账户
安全基线项说明：根据系统要求，设定不同的账户和账户组、管理员用户、审计账户、数据库账户等。
操作步骤：进入控制面板-->管理工具-->计算机管理，在系统工具-->本地用户和组：
管理员用户admingroup,用户属性-->隶属于-->添加-->查找位置-->本机-->输入对象名称选择-->Administrators
数据库用户DBgroup，用户属性-->隶属于-->添加-->查找位置-->本机-->输入对象名称选择-->IIS_IUSRS、Power Users
审计用户auditgroup,用户属性-->隶属于-->添加-->查找位置-->本机-->输入对象名称选择-->Event log readers、Performance Log Users
 
3、删除与设备无关账户
操作步骤：进入控制面板-->管理工具-->计算机管理，在系统工具-->本地用户和组：删除或锁定与设备运行、维护无关的账户。
 
4、administrator账户绑定
操作步骤：系统中不得通过JFadmin(原administrator)与别的应用或服务器进行登录绑定，JFadmin密码可以随时进行更换，不影响业务正常使用。
 
二、口令
1、密码复杂度
安全基线项说明：密码不得少于8位，且需包含大小写字母、数字、特殊符号中的三种。
操作步骤：进入控制面板-->管理工具-->本地安全策略，在账户策略-->密码策略：查看是否“密码必须符合复杂度要求”选择"已启动"
 
2、密码最长留存期
安全基线项说明：对于采用静态口令认证技术的设备，账号口令的生存期不得长于90天。
操作步骤：进入控制面板-->管理工具-->本地安全策略，在账户策略-->密码策略：查看“密码最长留存期”。
 
3、账户锁定策略
安全基线项说明：对于采用静态口令认证技术的设备，应配置当用户连续认证失败次数超过5次，锁定该用户使用的账户。
操作步骤：进入控制面板-->管理工具-->本地安全策略，在账户策略-->账户锁定策略：查看账户锁定阈值设置，设置为小于或等于5次。
 
4、口令到期提示
安全基线项说明：对于采用静态口令认证技术的设备，账户口令到生存期前5天提示更换密码。
操作步骤：进入控制面板-->管理工具-->本地安全策略，在本地策略-->安全选项：查看交互式登录：提示用户在过期之前更改密码。密码最长存留期到期前设置等于5天
 
三、授权
1、远程关机
安全基线项说明：在本地安全设置中从远端系统强制关机只指派给Administrator组
操作步骤：进入控制面板-->管理工具-->本地安全策略，用户权力指派：查看“从远端系统强制关机”设置，改为只指派给Administrator组
 
2、本地关机
安全基线项说明：在本地安全设置中关闭系统只指派给Administrator组
操作步骤：进入控制面板-->管理工具-->本地安全策略，用户权力指派：查看“关闭系统”设置，改为只指派给Administrator组
 
3、用户权力指派
安全基线项说明：在本地安全设置中取得文件或其他对象的所有权仅指派给Administrators组
操作步骤：进入控制面板-->管理工具-->本地安全策略，用户权力指派：查看是否“取得文件或其他对象的所有权”设置，设置为仅指派给Administrators组
 
4、授权账户从网络访问
安全基线项说明：在组策略中只允许授权账号从网络访问(包括网络共享等，但不包括远程桌面)此服务器。
操作步骤：进入控制面板-->管理工具-->本地安全策略，在本地策略-->用户权力指派：从网络访问此计算机设置为指定授权用户
 
5、通过堡垒机登录系统
安全基线项说明：系统只能通过堡垒机使用rdp协议登录
操作步骤：堡垒机配合防火墙设置，通过防火墙限制用户可访问渠道
 
 
四、日志配置
1、审核登录
安全基线项说明：设备应配置日志功能，对用户登录进行记录，记录内容包括用户登录使用的账户，登录是否成功，登录时间，以及远程登录时用户使用的IP地址。
操作步骤：进入控制面板-->管理工具-->本地安全策略，审核策略－－＞审核登录事件，设置为成功和失败都审核
 
2、审核策略更改
安全基线项说明：启用组策略中对Windows系统的审核策略更改，成功和失败都要审核
操作步骤：进入控制面板-->管理工具-->本地安全策略，审核策略-->审核策略更改设置，设置为成功和失败都要审核
 
3、审核对象访问
安全基线项说明：启用组策略中对Windows系统的审核对象访问，成功和失败都要审核
操作步骤：进入控制面板-->管理工具-->本地安全策略，审核策略-->审核对象访问，设置为成功和失败都要审核
 
4、审核目录服务访问
安全基线项说明：启用组策略中对Windows系统的审核目录服务访问，成功和失败都要审核
操作步骤：进入控制面板-->管理工具-->本地安全策略，审核策略-->审核目录服务访问，设置为成功和失败都要审核
 
5、审核特权使用
安全基线项说明：启用组策略中对Windows系统的审核特权使用，成功和失败都要审核
操作步骤：进入控制面板-->管理工具-->本地安全策略，审核策略-->审核特权使用，设置为成功和失败都要审核
 
6、审核系统事件
安全基线项说明：启用组策略中对Windows系统的审核系统事件，成功和失败都要审核
操作步骤：进入控制面板-->管理工具-->本地安全策略，审核策略-->审核系统事件，设置为成功和失败都要审核
 
7、审核账户管理
安全基线项说明：启用组策略中对Windows系统的审核账户管理，成功和失败都要审核
操作步骤：进入控制面板-->管理工具-->本地安全策略，审核策略-->审核账户管理，设置为成功和失败都要审核
 
8、审核过程追踪
安全基线项说明：启用组策略中对Windows系统的审核过程追踪，成功和失败都要审核
操作步骤：进入控制面板-->管理工具-->本地安全策略，审核策略-->审核过程追踪，设置为失败需要审核
 
9、日志文件大小
安全基线项说明：设置应用日志文件至少要大于20480KB，设置当达到最大的日志尺寸时，按需要覆盖事件(旧事件优先)
操作步骤：进入控制面板-->管理工具-->事件查看器，查看应用日志，系统日志，安全日志属性中的日志大小，以及设置当达到最大的日志尺寸时的相应策略。打开C:\windows\system32\winevt,再打开Logs文件夹
 
10、日志文件上传
安全基线项说明：日志保存时间为180天
操作步骤：日志文件转存日志服务器，通过日志服务器可查看到相关服务器的日志信息
 
11、防病毒管理
安全基线项说明：安装公司指定的360杀毒软件
操作步骤：netstat -ano或通过任务管理器查看。配置时防火墙需放开杀毒软件的端口
 
12、远程登录控制
安全基线项说明：对于远程登录的账号，设置不活动断连时间15分钟，再次登录时信息还在
检测操作步骤：进入控制面板-->管理工具-->本地安全策略，在本地策略-->安全选项-->Microsoft网络服务器设置为"在挂起会话之前所需的空闲时间"为15分钟
 
13、补丁管理
安全基线项说明：应安装漏扫里面的高危补丁，但如果此服务器不具备停机条件，延期安装但不能超过三个月。暂定两个月更新一次高危补丁，更新之前做好快照预防打补丁之后出现异常情况。突发高风险漏洞根据实际情况进行紧急预案并处理
操作步骤：根据漏扫报告，对高危补丁进行修复安装
 
五、端口管理
1、远程控制服务安全
安全基线项说明：修改rdp远程默认端口3389
操作步骤:进入注册表修改(省略)，改完端口后更新防火墙规则
 
2、端口开放与关闭
安全基线项说明：关闭TCP与UDP135-139、445、5355端口，telnetTCP23，只开放需要开放的服务端口
操作步骤：控制面板-->Windows防火墙-->高级设置-->入站规则-->选择某条规则-->属性-->常规-->已启用(勾选或取消勾选)-->只允许安全连接
 
六、时间同步
1、时间同步
安全基线项说明：要求配置时间同步源，服务器定期执行时间同步操作(必要时)
操作步骤：1、加域服务器默认已指向时间服务器 2、虚拟服务器需在宿主机上指定时间服务器 3、物理服务器需手动设置gpedit.msc