Windows服务器安全加固
序号 | 加固项 | 加固子项 | 加固方式 | 加固操作 | 对象 | 系统运维 | 系统管理 | 最终 | 备注 | |
直接加固 | 安全建议 | |||||||||
1 | 身份鉴别 | 对操作系统用户口令进行设置; | √ | 用户口令已设置 管理工具à计算机管理->本地用户和组->用户à属性 可以对用户口令记性修改、可以禁止该用户、可以设置密码永不过期、隶属的组等。 | 操作系统 所有用户 | |||||
2 | 设置帐户密码策略主要包括: "密码必须符合复杂性要求"选择"已启动";"密码长度最小值"设置为"8位";"帐户锁定阀值"设置为" 6次"; | √ | 进入"控制面板"->管理工具->secpol.msc(本地安全设置)->在帐户策略->密码策略,设置相应策略。或者打开命令提示符,运行命令"gpedit.msc"打开组策略编辑器,浏览到路径"本地计算机策略 \ 计算机配置 \Windows设置 \ 安全设置 \ 帐户策略 \ 密码策略" "密码必须符合复杂性要求"选择"已启动" "密码长度最小值"设置为"8位" 在帐户策略->帐户锁定策略,设置相应策略。 "帐户锁定阀值"设置为" 6次"。 | 操作系统 所有用户 | ||||||
3 | 密码最长使用期限; | 打开命令提示符,运行命令"gpedit.msc"打开组策略编辑器,浏览到路径"本地计算机策略 \ 计算机配置 \Windows设置 \ 安全设置 \ 帐户策略 \ 密码策略",在右边窗格中找到"密码最长存留期(使用期限)",配置为90天。 | 操作系统 所有用户 | |||||||
4 | 系统的所有正在使用的帐户是否存在默认用户,管理员帐户默认名是否更改; | √ | 更改administrator名称 点击开始→运行→输入gpedit.msc,打开组策略编辑器。 浏览编辑器窗口左侧区域中,计算机配置→Windows设置→安全设置→本地策略→安全选项,在窗口右侧选择"帐户",重命名系统管理员帐户,双击点开修改,即可。 | Administrator账户 | ||||||
5 | 停用不必要的帐户; | √ | 停用Guest及其他不必要用户。 点击开始→运行→输入gpedit.msc,打开组策略编辑器。浏览编辑器窗口左侧区域中,计算机配置→Windows设置→安全设置→本地策略→安全选项,在窗口右侧选择"帐户",来宾帐户状态,双击点击"已禁用",即可。 | 操作系统 | ||||||
6 | 创建本地用户(非管理员账户); | 此项不适用于域环境。打开命令提示符,运行命令"compmgmt.msc"打开计算机管理面板,浏览到路径"计算机管理(本地)\系统工具 \ 本地用户和组 \ 用 户",新建一个用户并启用它。 | 操作系统管理员账户 | |||||||
7 | 访问控制 | 取得文件或其它对象的所有权" 设置为"只指派给Administrators组"; | √ | 进入"控制面板->管理工具->本地安全策略",在"本地策略->用户权利指派":"取得文件或其它对象的所有权"设置为"只指派给Administrators组"。 | 操作系统 | |||||
8 | "关闭系统"设置为"只指派给Administrators组"; | √ | 进入"控制面板->管理工具->本地安全策略",在"本地策略->用户权利指派":"关闭系统"设置为"只指派给Administrators组"。 | 操作系统 | ||||||
9 | "从远端系统强制关机"设置为 "只指派给Administrators组"; | √ | 进入"控制面板->管理工具->本地安全策略",在"本地策略->用户权利指派":"从远端系统强制关机"设置为"只指派给Administrators组"。 | 操作系统 | ||||||
10 | "从网络访问此计算机" 设置为"administrators组"; | √ | 进入"控制面板->管理工具->本地安全策略",在"本地策略->用户权利指派""从网络访问此计算机"只设置为"administrators组"。 | 操作系统 | ||||||
11 | 关闭windows自动登录功能; | √ | 方法1:点击开始→运行→输入Control userpasswords2在弹出的对话框中选中 "要使用本机,用户必须输入用户名和密码"。 方法2:打开命令提示符,运行命令"regedit"打开注册表编辑器, 浏览到路径"HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon", 将名称为"AutoAdminLogon"的数值修改为 0 。 | 操作系统 | ||||||
12 | 关闭windows自动登录功能;不允许SAM帐号和共享匿名枚举,1为启用; | √ | "控制面板" -- "管理工具"--"本地安全策略"--"本地策略" -- "安全选项", 修改"不允许SAM帐号和共享匿名枚举"为启用。 枚举: 简单的说也是一种数据类型 , 只不过是这种数据类型只包含自定义的特定数据 , 它是一组有共同特性的数据的集合 | 操作系统 | ||||||
13 | 关闭可匿名访问的共享、命名管道; | √ | "控制面板->管理工具->本地安全策略",在"本地策略->安全选项", 在右边窗格中找到"网络访问: 可匿名访问的共享"、"网络访问: 可匿名 访问的命名管道" 将其值设置为空。 | 操作系统 | ||||||
14 | 关闭可远程访问的注册表路径和子路径; | √ | "控制面板->管理工具->本地安全策略",在"本地策略->安全选项", 在右边窗格中找到"网络访问: 可远程访问的注册表路径和子路径", 修改其配置为空。 | 操作系统 | ||||||
15 | 安全审计 | 开启安全审计功能; | √ | 进入"控制面板"->管理工具->本地安全策略 在本地策略→审核策略下: 操作系统帐户应开启的审核策略包括以下内容: "审核策略更改"设置为"成功"和"失败" "审核登录事件"设置为"成功"和"失败" "审核对象访问"设置为"成功"和"失败" "审核过程跟踪"设置为"成功"和"失败" "审核目录服务访问"设置为"成功"和"失败" "审核特权使用"设置为"成功"和"失败" "审核系统事件"设置为"成功"和"失败" "审核对帐户登录事件"设置为"成功"和"失败" "审核帐户管理"设置为"成功"和"失败" | 操作系统 | |||||
16 | 审计记录保存月数应为6个月; | √ | Server03::进入"控制面板"->管理工具->事件查看器, "安全性"右键"属性", "日志大小上限"设置为"425984"KB。 Server08:进入"开始"->管理工具->事件查看器->windows日志, "安全"右键"属性", "日志大小上限"设置为"425984"KB。 | 操作系统 | ||||||
17 | 查看安全审计存储记满时, 有无采取防止安全审计数据丢失措施;。 | √ | Server03:进入"控制面板"->管理工具->事件查看器, "安全性"右键"属性","达到日志大小上限时"设置为"不覆盖事件"。 注意:系统管理员应定期将日志文件转移到其他地方,防止占用过多的磁盘空间。Server08: 进入"开始"->管理工具->事件查看器->windows日志,"安全" 右键"属性","达到日志大小上限时"设置为"不覆盖事件" | 操作系统 | ||||||
18 | 攻击防护 | 关闭操作系统不必要服务; | √ | 禁用下列服务: Automatic Updates、Messenger、Remote Registry、 Task Scheduler 、TCP/IP NetBIOS Helper、Telephony、 Telnet、Terminal Services 、 Terminal Services Session Directory 、 Wireless configuration 、Workstation、 Simple TCP/IP Services 、 DHCP Server 、Remote Access Connection Manager、DHCP Client、 Windows Internet Name Service (WINS) 、 Simple Mail Transport Protocol 、Message Queuing | 操作系统 | |||||
19 | 关闭不必要的端口 | √ | Windows 20081.关闭445端口 Regedit(打开注册表)"HKEY_LOCAL_MACHINE\System\Controlset\Services\NetBT\Parameters" 选择"Parameters"项,鼠标右键单击,选择"新建"--"DWORD值" DWORD值命名输入为"SMBDeviceEnabled"(十六进制)"值为 0 "(关闭445端口未报错) 2.关闭137、138、139端口 打开控制面板>>网络和共享中心>>管理网络连接>>本地连接右击>>属性>>单击Internet协议版本(TCP/IPv4)>>属性>>高级>>选择WINS>>勾选"禁用TCP/IP上的NetBIOS(S)" 重启生效 Windows 20031.关闭137、138、139端口 打开控制面板>>网络连接>>本地连接>>本地连接右击>>属性>>单击Internet协议(TCP/IP)>>属性>>高级>>选择WINS>>勾选"禁用TCP/IP上的NetBIOS(S)" 2.关闭445端口 Regedit(打开注册表)"HKEY_LOCAL_MACHINE\System\Controlset\Services\NetBT\Parameters" 选择"Parameters"项,鼠标右键单击,选择"新建"--"DWORD值" DWORD值命名输入为"SMBDeviceEnabled"(十六进制)"值为 0 "(关闭445端口未报错) 重启生效 查看端口(cmd)netstat -an|findstr 137查看端口(cmd)netstat -an|findstr 138查看端口(cmd)netstat -an|findstr 139查看端口(cmd)netstat -an|findstr 445 | 操作系统 | 0day漏洞445端口是侵入的端口,有了它我们可以在局域网中轻松访问各种共享文件夹或共享打印机,但也正是因为有了它,黑客们才有了可乘之机,他们能通过该端口偷偷共享你的硬盘,甚至会在悄无声息中将你的硬盘格式化掉! | |||||
20 | 关闭Windows自动播放功能; | Windows 2003: "本地计算机策略 \ 计算机配置 \ 管理模板 \ 系统",在右边窗格中找到"关闭/停用自动播放",配置为"启用",且选为对"所有驱动器"生效; Windows 2008:打开命令提示符,运行命令"gpedit.msc"打开组策略编辑器,浏览到路径"本地计算机策略 \ 计算机配置 \ 管理模板 \ Windows组件 \自动播放策略"; | 操作系统 | |||||||
21 | 禁用Windows硬盘默认共享; | 此项仅适用于非域环境。首先,打开命令提示符,运行命令"compmgmt.msc"打开 计算机管理面板,浏览到路径"计算机管理(本地)\系统工具 \ 共享文件夹 \ 共享", 删除所有硬盘默认共享;然后,在命令提示符中运行命令"regedit"打开注册表编 辑器,浏览到路径"HKEY_LOCAL_MACHINE\System\CurrentControlSet\ Services\LanmanServer\Parameters\",添加名称为 "AutoShareServer"和"AutoShareWks"、类型为DWORD、数据为 0 的两个数值,若已存在则修改其数据。注意:若关闭C盘默认共享(C$),将不能使用BVS的SMB扫描。 | 操作系统 | |||||||
22 | 设置操作系统超时登录; | 进入"控制面板->管理工具->本地安全策略",在"本地策略->安全选项": "Microsoft网络服务器"设置为"在挂起会话之前所需的空闲时间"为15分钟 | 操作系统所有用户 | |||||||
23 | 对用户占用系统CPU、内存、 磁盘等资源进行限制; | √ | 建议采用第三方设备(软件或硬件)实现 | 操作系统 | ||||||
24 | 安全传输 | 使用ssh加密传输; | √ | 安装并启用sshd服务,通过ssh对windows服务器进行管理。 例如: 1、安装cygwin(包括openssh和crgrunsrv); 2、选中openssh安装包进行安装; 3、选中cygrun安装包并完成crgwin的安装。启动crgwin,运行ssh-host-config来设置ssh; 4、运行cygrunsrv -S sshd启动sshd服务,自动作为Windows的服务。 5、使用常用的ssh客户端就能登录到windows系统进行各种操作。 | 操作系统 | |||||
25 | 更改远程桌面连接3389端口号; | √ | 一、Windows sever 2003加固前配置:远程桌面连接端口号3389加固实施内容:远程桌面连接端口号更改为用户授权 1、[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp],修改右边的PortNumber为所希望的端口。值为用户授权。 2、[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp],修改右边的PortNumber为所希望的端口。值为用户授权。 二、Windows sever 20081、[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp],修改右边的PortNumber为所希望的端口。值为用户授权。 2、[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp],修改右边的PortNumber为所希望的端口。值为用户授权。 3、[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\sharedaccess\defaults\firewallpolicy\firewallrules修改包含3389的数值为用户授权。(右击firewallrules查找3389,将3389改为用户授权端口) 4、[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\sharedaccess\parameters\firewallpolicy\firewallrules修改包含3389的数值为用户授权。(右击firewallrules查找3389,将3389改为用户授权端口)。 注:修改后需要重启才能生效,注意防火墙的问题。 要注意的是:当你的计算机修改完端口号后要想继续使用远程桌面,并且计算机有启用防火墙,则必须在防火墙例外中添加所修改的端口号。否则用3389与修改后的端口号都将连不上远程桌面。 | 操作系统 | 可做修改 | |||||
26 | 安全管理 | 删除SNMP服务的默认public团体; | 打开命令提示符,运行命令"services.msc"打开服务管理器,在右边窗格中找 到名称为"SNMP Service"的服务(若未找到则表示未安装SNMP服务,即合规), 停止此服务,或打开其属性对话框,切换到"安全"选项卡,删除public团体, 或修改其名字。 | 操作系统 | ||||||
27 | 启用"不显示最后的用户名"策略; | 打开命令提示符,运行命令"gpedit.msc"打开组策略编辑器, 浏览到路径"本地计算机策略 \ 计算机配置 \Windows设置 \ 安全 设置 \ 本地策略 \ 安全选项",在右边窗格中找到"登录屏幕上 不要显示上次登录的用户名"(适用于Windows2000)或"交互 式登录: 不显示最后的用户名",配置为"已启用" | 操作系统 | |||||||
28 | 配置屏幕保护程序; | 在桌面空白处点击右键,打开属性(个性化)对话框(面板), 切换到"屏幕保护程序"选项卡(面板),选择一个屏保程序, 将等待时间配置为不大于标准值(注意:标准值是以秒为单位的)的值,且勾选"在恢复时需要密码保护(显示登录屏幕)"。 | 操作系统 | 前端工作站不做 |