【肥海豹】-网络安全等级保护（等保）-WINDOWS类服务器配置

        本文为个人总结，欢迎交流指正，集思广益，发现错误或其他配置方案会进行更新。（三级系统要求）

身份鉴别 a）应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，身份鉴别信息具有复杂度要求并定期更换；

1. 要求登录服务器的用户具有独立的身份标识（用户名），并需要采用身份鉴别措施（例如使用用户名+密码进行登录）；

2. 要求服务器中不存在同名用户（服务器自身无法创建同名用户）；

3. 要求从服务器策略上对密码复杂度进行限制，策略配置方法：

        本地组策略编辑器（运行 → gpedit.msc） → 计算机配置 → 安全设置 （可通过 运行 → secpol.msc 直达） → 账户策略 → 密码策略

        密码必须符合复杂性要求：已启用（启用密码策略后在更改或创建密码时执行如下复杂度要求：不能包含用户的账户名，不能包含用户姓名中超过两个连续字符的部分，至少有六个字符长度，至少包含数字、字母大写、字母小写、特殊字符中的三种）；

        密码长度最小值：8个字符（要求字符长度8位以上）；

        密码最短使用期限：0天（设置为0天，可以随时对密码进行更换）；

        密码最长使用期限：30-90天（根据运维情况设置密码更换周期，建议30-90天进行密码更换，以保证服务器密码安全）；

        强制密码历史：5次（新密码不允许与之前5个旧密码相同，根据运维情况进行配置，建议每次更换都是用不同的密码）；

        用可还原的加密来存储密码：已禁用；

注意：在本地用户和组中（运行 → lusrmgr.msc）查看系统用户属性，不应勾选“密码永不过期”选项！

身份鉴别 b）应具有登录失败处理功能，应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施；

1.  要求服务器启用登录失败处理功能，并对服务器登录阈值和锁定时间进行限制，策略配置方法：

       本地组策略编辑器（运行 → gpedit.msc） → 计算机配置 → 安全设置 （可通过 运行 → secpol.msc 直达） → 账户策略 → 账户锁定策略

        账户锁定时间：30分钟（触发账户锁定后的锁定时间，需先配置“账户锁定阈值”）；

        账户锁定阈值：5次无效登录（密码错误5次，对该登录账户进行锁定）；

        重置账户锁定计数器：30分钟之后（<=账户锁定时间）；

2. 要求设置登录连接超时锁定策略，策略配置方法：

        方案1，配置屏幕保护程序

                控制面板 → 外观 → 显示 → 更改屏幕保护程序

                较新版本服务器 个性化 → 锁屏界面 → 更改屏幕保护程序

                启用屏幕保护程序，等待时间1-30分钟，并勾选“在恢复时显示登录屏幕”；

        方案2，配置终端登录超时时间

                 本地组策略编辑器（运行 → gpedit.msc） → 计算机配置 → 管理模板 → Windows组件         → 远程桌面服务 → 远程桌面会话主机 → 会话时间限制

                设置活动但空闲的远程桌面服务会话的时间限制：已启用，设置1-30分钟；

身份鉴别 c）当进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被窃听；

1. 要求使用加密的RDP协议进行远程管理，配置策略方法：

        本地组策略编辑器（运行 → gpedit.msc） → 计算机配置 → 管理模板 → Windows组件 → 远程桌面服务 → 远程桌面会话主机 → 安全

        远程（RDP）连接要求使用指定的安全层：已启用（安全层选择：SSL）；

身份鉴别 d）应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别，且其中一种鉴别技术至少应使用密码技术来实现。

1. 此项要求在服务器自身实现双因素鉴别，目前未见过比较理想的实现方式（如有实现方式请留言分享），此处高风险一般通过其他补偿措施进行调整；

        补偿措施：

        1. 服务器通过堡垒机进行远程管理，堡垒机具有独立的身份鉴别机制（可以不是双因素，对于调整和得分无影响），服务器通过堡垒机登录无旁路；

        2. 服务器防火墙上设置登录地址限制，仅能够通过开放的某个或者某几个IP进行登录；

        注意：服务器远程管理端口要避免直接对互联网开放，尽量采用VPN拨入内网或者通过堡垒机等方式进行安全管理；

访问控制 a）应对登录的用户分配账户和权限；

1. 要求为每个需要登录服务器的用户创建其对应的账户，并合理规划账户权限，避免出现普通运维人员使用超级管理员账户进行操作的情况；

2.禁用guest用户，如必须使用到则严格限制其访问权限；

访问控制 b）应重命名或删除默认账户，修改默认账户的默认口令；

1. adminsitrator用户进行重命名，建议使用不常见或难猜测的用户名（进行重命名前需进行测试，避免应用系统运行发生故障）；

2. 为系统内可登录的每一个账户均设置符合密码复杂度要求的复杂密码；

访问控制 c）应及时删除或停用多余的、过期的账户，避免共享账户的存在；

1. 检查目前系统中的用户账户，删除无人使用的账户；

2. 为每个管理员或运维使用人员创建独立的账户，账户对应到人，避免两个自然人使用同一个账户对服务器进行操作；

访问控制 d）应授予管理用户所需的最小权限，实现管理用户的权限分离；

由于操作系统特性，存在完整权限的超级管理员用户，进行限制较为困难，根据安全性提出以下建议：

1. 对服务器内用户账户进行合理权限划分；

2. 采用第三方措施对审计记录进行收集和保护，专人（审计管理员）管理；

3. 严格控制超级管理员用户，避免超级管理员用户的滥用，仅在必要的系统配置时使用；

访问控制 f）访问控制的粒度应达到主体为用户级或进程级，客体为文件、数据库表级；

1. 操作系统符合该要求；

访问控制 g）应对重要主体和客体设置安全标记，并控制主体对有安全标记信息资源的访问。

1. 需要采用强制访问控制模型，目前常见Windows类系统不支持；

安全审计 a）应启用安全审计功能，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计；

1. 需要启用安全审计功能；

        方法1：由Windows服务器自身审计功能实现：

                本地组策略编辑器（运行 → gpedit.msc） → 计算机配置 → 安全设置 （可通过 运行 →         secpol.msc 直达） → 本地策略 → 审核策略

                全部审核策略：成功，失败；

        方法2：由第三方审计工具对远程人员的操作进行审计：

                通过堡垒机对管理员和运维人员的操作进行审计，使用此种方式需要注意服务器远程管理不可出现旁路，即仅能通过堡垒机对服务器进行远程管理，如果出现旁路情况（例如同网段内某终端直接可以管理服务器、内网某台服务器可充当跳板机绕开堡垒机对服务器进行管理等），则堡垒机无法提供完全的审计；

安全审计 b）审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息；

1. Windows服务器自身提供的审计内容可以满足要求；

2.第三方审计工具一般也可以满足要求，堡垒机可以对操作进行完整的记录和录像；

安全审计 c）应对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆盖等；

此项为网络安全法要求，也为各类检查的重点，审计记录应至少保存6个月！

1. Windows自身审计记录可以通过事件查看器（开始 → 管理工具 → 事件查看器 → Windows日志）进行查看，右击日志类型查看述行，默认日志存储20480KB，按需进行覆盖。此处设置不符合要求，勾选“不覆盖事件（手动清除日志）”仅能保证日志文件在服务器本地能够长期留存，但仍不能满足对日志文件进行保护、定期备份、避免删除等要求；

2. 通过审计系统/日志服务器实现：

        通过购买第三方审计设备或自建日志服务器，在服务器上安装对应agent或配置syslog协议发送日志，以实现日志的集中收集和保护（此方法收集的都是服务器自身产生的日志，）；

3. 通过专人专管，对堡垒机的审计记录进行保护：

        堡垒机的审计记录由专门的审计管理员进行管理和保护；

安全审计 d）应对审计进程进行保护，防止未经授权的中断。

1. 操作系统自身审计无法独立被中断（日志文件存储文件夹权限正常，日志大小正常，日志能够正常产生一般就没有问题）；

2. 对于第三方安全审计设备，注意不要被中断、绕过、旁路等；

入侵防范 a）应遵循最小安装的原则，仅安装需要的组件和应用程序；

1. 操作系统不要安装应用程序及必须组件外的任何组件和程序，例如不允许安装QQ、微信、网盘、音乐播放器、下载器、游戏等，特别强调要禁止安装如向日葵、Team-viewer等远程工具；

2. 对应服务器要尽量避免提供其他非必要服务和功能，例如域控、DHCP、DNS、FTP等；

入侵防范 b）应关闭不需要的系统服务、默认共享和高危端口；

1. 检查系统服务，可针对无用系统服务进行关闭或限制。部分可能无用服务展示，可根据实际情况进行测试后进行关闭：

        DHCP Client                                                        IP Helper

        Backgrund Intelligent Transfer Server                 Print Spooler

        Computer Browser                                              Remote Registry

        Diagnostic Policy Service                                    Server

        TCP/IP NetBIOS Helper                                      Windows Font Cache Service   

        Windows Remote Management (WS-Management)

        WinHTTP Web Proxy Auto-Discovery Service

        Windows Error Reporting Service

2. 检查是否开启高危端口，采用防火墙限制或者关闭对应服务的方式对高危端口进行限制，常见高危端口举例：

        TCP 135、139 、445、 593、1025

        UDP 135、137、 138、445

        勒索病毒就是利用445端口发起攻击；

入侵防范 c）应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制；

1. 通过服务器防火墙进行限制，仅允许特定IP（堡垒机或特定管理终端等，要做较为严格的限制），尤其要避免办公网IP可以对服务器进行管理的情况；

2. 通过网络层面进行限制，仅允许特定IP（堡垒机或特定管理终端等，要做较为严格的限制），尤其要避免办公网IP可以对服务器进行管理的情况；（不推荐此方法，容易产生旁路）

入侵防范 d）应提供数据有效性检验功能，保证通过人机接口输入或通过通信接口输入的内容符合系统设定要求；

1. 服务器无需提供此安全功能，此项为应用系统要求；

入侵防范 e）应能发现可能存在的已知漏洞，并在经过充分测试评估后，及时修补漏洞；

1. 对服务器进行漏洞扫描，对发现的漏洞进行修复；

入侵防范 f）应能够检测到对重要节点进行入侵的行为，并在发生严重入侵事件时提供报警。

        需要在服务器层面采取措施识别并阻止入侵主机的行为，实时检测主机内部的风险异变，检测并查杀主机中的恶意程序，识别主机中的网站后门等。需要对账户暴力破解、账户异常登录、恶意程序、进程异常行为、关键文件变更、后门、高危命令执行、自启动检测、风险账户、提权操作等进行检测和限制；

1. 服务器自身部署入侵检测软件，实现上述功能；

2. 发生严重入侵事件是需能够提供短信、邮件、或者声光等报警；

恶意代码防范 a）应采用免受恶意代码攻击的技术措施或主动免疫可信验证机制及时识别入侵和病毒行为，并将其有效阻断。

1. 部署杀毒，并及时更新，如有条件可进行定期查杀，对查杀结果进行综合分析；

可信验证 a）可基于可信根对计算设备的系统引导程序、系统程序、重要配置参数和应用程序等进行可信验证，并在应用程序的关键执行环节进行动态可信验证，在检测到其可信性受到破坏后进行报警，并将验证结果形成审计记录送至安全管理中心。

此标注使用“可”而不是“应”来要求，为前瞻性要求；

1. 无法实现，需要有硬件的可信根芯片支持；

数据完整性 a）应采用校验技术或密码技术保证重要数据在传输过程中的完整性，包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等；

1. 管理时采用加密的RDP协议（参考身份鉴别 c项）；

2. 与其他应用交互或发送日志时使用加密的通信协议（一般不同系统交互和发送日志都发生在内网，个人觉得要求做加密不是很合理，而且会影响效率）；

数据完整性 b）应采用校验技术或密码技术保证重要数据在存储过程中的完整性，包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等。

不建议对此条要求进行额外配置；

1. 如有条件可采取措施对数据完整性进行保障；

数据保密性 a）应采用密码技术保证重要数据在传输过程中的保密性，包括但不限于鉴别数据、重要业务数据和重要个人信息等；

1. 管理时采用加密的RDP协议（参考身份鉴别 c项）；

2. 与其他应用交互或发送日志时使用加密的通信协议（一般不同系统交互和发送日志都发生在内网，个人觉得要求做加密不是很合理，而且会影响效率）；

数据保密性 b）应采用密码技术保证重要数据在存储过程中的保密性，包括但不限于鉴别数据、重要业务数据和重要个人信息等。

不建议对此条要求进行额外配置；

1. 如有条件可采取措施对数据保密性进行保障；

数据备份恢复 a）应提供重要数据的本地数据备份与恢复功能；

1. 服务器配置变更后对配置文件或者配置基线进行备份留存；

2. 服务器内如有数据库需提供数据库备份；

数据备份恢复 b）应提供异地实时备份功能，利用通信网络将重要数据实时备份至备份场地；

非高可用性系统（可用性大于或等于99.9%，年度停机时间小于或等于8.8小时的系统），没必要做到实时的异地数据备份，需要的投入过高；

普通行业标准未对“异地”做出明确要求，此条标准设计的初衷是主数据机房被如严重自然灾害等不可抗力完全摧毁，用户单位还能够有一份异地的数据备份，所以建议“异地”备份要与数据中心尽量远离；注意不要把数据备份到如云盘、网盘等不可控存储上！

1. 可提供异地但不实时的数据备份，可部分满足标准要求；

2. 建立异地数据中心，实现实时异地数据备份；

数据备份恢复 c）应提供重要数据处理系统的热冗余，保证系统的高可用性。

非高可用系统，酌情进行投入建设；

1. 服务器采用负载/热备/集群模式提供服务；

剩余信息保护 a）应保证鉴别信息所在的存储空间被释放或重新分配前得到完全清除；

剩余信息保护 b）应保证存有敏感数据的存储空间被释放或重新分配前得到完全清除。

本地组策略编辑器（运行 → gpedit.msc） → 计算机配置 → 安全设置 （可通过 运行 →         secpol.msc 直达） → 本地策略 → 安全选项

        交互式登录：不显示最后的用户名        已启用（启用后登录不显示用户名，需记住！）

        关机：清除虚拟页面文件        已启用

---------------------------------------------------------------------------------------------------------------------------------

更新日志：

2021.8.7

1.使用堡垒机仅能提供对远程管理操作的审计，无法提供系统类审计，在堡垒机说明中进行了明确；

2.数据备份与回复 a）项，将可能引起歧义的表达更正；