谈终端的安全基线,虽然是从终端层面开始,但涉及到的方面其实不少。
接来的一一阐述
今日主题 应用安全 - 操作系统
所有终端的命名应符合终端设备统一命名规范。
所有终端设备应部署统一的预定义操作系统和授权的标准软件,应遵循最小安装的原则,仅安装需要的组件和应用程序,且不得私自安装盗版软件和与业务无关的软件,不得私自安装扫描软件或黑客攻击工具。
应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制,需入网终端,应服从单位要求,安装准入入网客户端或采取其它准入入网措施。
终端应正确安装防病毒系统,确保及时更新病毒库。
原则上终端需修复所有已知漏洞包括已安装部署软件应用的漏洞,系统高危漏洞的补丁属于必须安装范畴。未安装则隔离入网,并进行消息提示,隔离后仅允许连接补丁下载服务器(WSUS服务器/第三方工具),进行补丁文件的下载与安装。补丁修复目录应与单位要求的一致。
所有终端设备使用前应进行安全策略配置,关闭不需要的系统服务、默认共享和高危端口,包括但不限于禁用以下服务,部分终端若存在相关需求可按需开放。
Ø 禁用Alerter服务,终端用户不需要接受来自计算机系统管理级警报;
Ø 禁用FTP Publishing Service,禁止开启FTP服务;
Ø 禁用IIS Admin Service,禁用IIS管理;
Ø 禁用Messenger,禁用信使服务;
Ø 禁用NetMeeting Remote Desktop Sharing,禁用远程桌面共享(按需解禁);
Ø 禁用Remote Desktop Help Session Manager,禁用远程协助功能(按需解禁);
Ø 禁用ClipBook服务,禁止与远程电脑共享剪贴板内容;
Ø 禁用Network DDE、NetworkDDE DSDM服务,禁止网络共享(仅XP系统有此服务项);
Ø 禁用SSDP Discovery Service 服务,禁止在局域网进行UPnP设备的搜索(XP默认为手动开启);
Ø 禁用Routing and Remote Access,禁用软件路由器功能;
Ø 禁用SSDP Discovery Service,禁用简易服务发现协议SSDP的服务,该服务用于家庭网络中的UPnP设备的发现;
Ø 禁用Telnet服务(运维终端按需开放);
Ø 禁用World Wide Web Publishing Service,即WWW服务;
Ø 禁用Update服务,即禁止操作系统版本自动升级(酌情,会影响WSUS打补丁);
Ø 禁用硬盘共享(net share C$ /del);
Ø 禁用DHCP服务,禁止计算机自动获取IP地址(适用于手动配置IP地址终端类型);
Ø 禁用Remote Registry,禁止远程用户修改注册表;
Ø 禁用IP Helper,禁止计算机使用ipv6服务;
Ø 禁用Lanmanserver,无打印需求的终端禁用此服务;
Ø 禁用Performance Logs andAlerts,禁止本地或远程收集性能日志(若与桌管软件关联可按需开放);
Ø 禁用Wlan Autoconfig(win7)、Wireless ZeroConfiguration(XP)服务,禁止台式机启用该服务;
Ø 禁用 Telephony服务,禁止计算机拨号上网或其它电话服务功能(可按需开放)。
终端使用浏览器安全配置:
Ø 配置统一的浏览器主页,禁止更换
Ø 禁止Internet Explorer自动安装组件。
Ø 禁止Internet Explorer检查是否有新版本。
Ø 禁止用户启用或禁用加载项。
Ø 禁用程序启动时的软件更新通知。如果启用该策略,则在使用软件分发频道更新程序时,用户将不会被通知而程序自动进行更新操作。如果禁用该策略或不对其进行配置,则在更新程序之前用户将收到通知。
开启日志记录策略:
Ø 日志需包括操作系统登录/退出、软件安装、程序调用、网络资源访问、通信资源使用和外设使用等。
Ø 设置系统日志、安全日志和应用日志的最大字节分别不小于16384 KB、81920KB和16384KB;(字节数按需调整)
Ø 禁止本地Guests组访问系统日志、安全日志和应用日志;
Ø 设置系统日志、安全日志和应用日志的保留方法为按需要覆盖事件,且不能定义日志的保留天数。
设置屏幕保护
Ø 定时锁屏(5至15分钟);
Ø 为屏幕保护程序设置密码。