Windows Server服务器安全加固基线配置

一、账户管理、认证授权

一、账户
1、管理缺省账户
安全基线项说明:对于管理员账号,要求更改缺省账户名称;禁用Guest(来宾)账户。
操作步骤:进入控制面板-->管理工具-->计算机管理,在系统工具-->本地用户和组:缺省账户Administrator-->右键重命名为JFadmin;Guest账户-->属性-->停用;

2.按照用户来分配账户
安全基线项说明:根据系统要求,设定不同的账户和账户组、管理员用户、审计账户、数据库账户等。
操作步骤:进入控制面板-->管理工具-->计算机管理,在系统工具-->本地用户和组:
管理员用户admingroup,用户属性-->隶属于-->添加-->查找位置-->本机-->输入对象名称选择-->Administrators
数据库用户DBgroup,用户属性-->隶属于-->添加-->查找位置-->本机-->输入对象名称选择-->IIS_IUSRS、Power Users
审计用户auditgroup,用户属性-->隶属于-->添加-->查找位置-->本机-->输入对象名称选择-->Event log readers、Performance Log Users

3、删除与设备无关账户
操作步骤:进入控制面板-->管理工具-->计算机管理,在系统工具-->本地用户和组:删除或锁定与设备运行、维护无关的账户。

4、administrator账户绑定
操作步骤:系统中不得通过JFadmin(原administrator)与别的应用或服务器进行登录绑定,JFadmin密码可以随时进行更换,不影响业务正常使用。

二、口令
1、密码复杂度
安全基线项说明:密码不得少于8位,且需包含大小写字母、数字、特殊符号中的三种。
操作步骤:进入控制面板-->管理工具-->本地安全策略,在账户策略-->密码策略:查看是否“密码必须符合复杂度要求”选择"已启动"

2、密码最长留存期
安全基线项说明:对于采用静态口令认证技术的设备,账号口令的生存期不得长于90天。
操作步骤:进入控制面板-->管理工具-->本地安全策略,在账户策略-->密码策略:查看“密码最长留存期”。

3、账户锁定策略
安全基线项说明:对于采用静态口令认证技术的设备,应配置当用户连续认证失败次数超过5次,锁定该用户使用的账户。
操作步骤:进入控制面板-->管理工具-->本地安全策略,在账户策略-->账户锁定策略:查看账户锁定阈值设置,设置为小于或等于5次。

4、口令到期提示
安全基线项说明:对于采用静态口令认证技术的设备,账户口令到生存期前5天提示更换密码。
操作步骤:进入控制面板-->管理工具-->本地安全策略,在本地策略-->安全选项:查看交互式登录:提示用户在过期之前更改密码。密码最长存留期到期前设置等于5天

三、授权
1、远程关机
安全基线项说明:在本地安全设置中从远端系统强制关机只指派给Administrator组
操作步骤:进入控制面板-->管理工具-->本地安全策略,用户权力指派:查看“从远端系统强制关机”设置,改为只指派给Administrator组

2、本地关机
安全基线项说明:在本地安全设置中关闭系统只指派给Administrator组
操作步骤:进入控制面板-->管理工具-->本地安全策略,用户权力指派:查看“关闭系统”设置,改为只指派给Administrator组

3、用户权力指派
安全基线项说明:在本地安全设置中取得文件或其他对象的所有权仅指派给Administrators组
操作步骤:进入控制面板-->管理工具-->本地安全策略,用户权力指派:查看是否“取得文件或其他对象的所有权”设置,设置为仅指派给Administrators组

4、授权账户从网络访问
安全基线项说明:在组策略中只允许授权账号从网络访问(包括网络共享等,但不包括远程桌面)此服务器。
操作步骤:进入控制面板-->管理工具-->本地安全策略,在本地策略-->用户权力指派:从网络访问此计算机设置为指定授权用户

5、通过堡垒机登录系统
安全基线项说明:系统只能通过堡垒机使用rdp协议登录
操作步骤:堡垒机配合防火墙设置,通过防火墙限制用户可访问渠道


四、日志配置
1、审核登录
安全基线项说明:设备应配置日志功能,对用户登录进行记录,记录内容包括用户登录使用的账户,登录是否成功,登录时间,以及远程登录时用户使用的IP地址。
操作步骤:进入控制面板-->管理工具-->本地安全策略,审核策略-->审核登录事件,设置为成功和失败都审核

2、审核策略更改
安全基线项说明:启用组策略中对Windows系统的审核策略更改,成功和失败都要审核
操作步骤:进入控制面板-->管理工具-->本地安全策略,审核策略-->审核策略更改设置,设置为成功和失败都要审核

3、审核对象访问
安全基线项说明:启用组策略中对Windows系统的审核对象访问,成功和失败都要审核
操作步骤:进入控制面板-->管理工具-->本地安全策略,审核策略-->审核对象访问,设置为成功和失败都要审核

4、审核目录服务访问
安全基线项说明:启用组策略中对Windows系统的审核目录服务访问,成功和失败都要审核
操作步骤:进入控制面板-->管理工具-->本地安全策略,审核策略-->审核目录服务访问,设置为成功和失败都要审核

5、审核特权使用
安全基线项说明:启用组策略中对Windows系统的审核特权使用,成功和失败都要审核
操作步骤:进入控制面板-->管理工具-->本地安全策略,审核策略-->审核特权使用,设置为成功和失败都要审核

6、审核系统事件
安全基线项说明:启用组策略中对Windows系统的审核系统事件,成功和失败都要审核
操作步骤:进入控制面板-->管理工具-->本地安全策略,审核策略-->审核系统事件,设置为成功和失败都要审核

7、审核账户管理
安全基线项说明:启用组策略中对Windows系统的审核账户管理,成功和失败都要审核
操作步骤:进入控制面板-->管理工具-->本地安全策略,审核策略-->审核账户管理,设置为成功和失败都要审核

8、审核过程追踪
安全基线项说明:启用组策略中对Windows系统的审核过程追踪,成功和失败都要审核
操作步骤:进入控制面板-->管理工具-->本地安全策略,审核策略-->审核过程追踪,设置为失败需要审核

9、日志文件大小
安全基线项说明:设置应用日志文件至少要大于20480KB,设置当达到最大的日志尺寸时,按需要覆盖事件(旧事件优先)
操作步骤:进入控制面板-->管理工具-->事件查看器,查看应用日志,系统日志,安全日志属性中的日志大小,以及设置当达到最大的日志尺寸时的相应策略。打开C:\windows\system32\winevt,再打开Logs文件夹

10、日志文件上传
安全基线项说明:日志保存时间为180天
操作步骤:日志文件转存日志服务器,通过日志服务器可查看到相关服务器的日志信息

11、防病毒管理
安全基线项说明:安装公司指定的360杀毒软件
操作步骤:netstat -ano或通过任务管理器查看。配置时防火墙需放开杀毒软件的端口

12、远程登录控制
安全基线项说明:对于远程登录的账号,设置不活动断连时间15分钟,再次登录时信息还在
检测操作步骤:进入控制面板-->管理工具-->本地安全策略,在本地策略-->安全选项-->Microsoft网络服务器设置为"在挂起会话之前所需的空闲时间"为15分钟

13、补丁管理
安全基线项说明:应安装漏扫里面的高危补丁,但如果此服务器不具备停机条件,延期安装但不能超过三个月。暂定两个月更新一次高危补丁,更新之前做好快照预防打补丁之后出现异常情况。突发高风险漏洞根据实际情况进行紧急预案并处理
操作步骤:根据漏扫报告,对高危补丁进行修复安装

五、端口管理
1、远程控制服务安全
安全基线项说明:修改rdp远程默认端口3389
操作步骤:进入注册表修改(省略),改完端口后更新防火墙规则

2、端口开放与关闭
安全基线项说明:关闭TCP与UDP135-139、445、5355端口,telnetTCP23,只开放需要开放的服务端口
操作步骤:控制面板-->Windows防火墙-->高级设置-->入站规则-->选择某条规则-->属性-->常规-->已启用(勾选或取消勾选)-->只允许安全连接

六、时间同步
1、时间同步
安全基线项说明:要求配置时间同步源,服务器定期执行时间同步操作(必要时)
操作步骤:1、加域服务器默认已指向时间服务器 2、虚拟服务器需在宿主机上指定时间服务器 3、物理服务器需手动设置gpedit.msc


  • 2
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
IIS服务器安全配置基线 中国移动通信有限公司 管理信息系统部 2012年 04月 "版本 "版本控制信息 "更新日期 "更新人 "审批人 " "V1.0 "创建 "2009年1月 " " " "V2.0 "更新 "2012年4月 " " " " " " " " " " " " " " " " " " " " " 备注: 1. 若此文档需要日后更新,请创建人填写版本控制表格,否则删除版本控制表格。 目 录 第1章 概述 5 1.1 目的 5 1.2 适用范围 5 1.3 适用版本 5 1.4 实施 5 1.5 例外条款 5 第2章 帐号管理、认证授权 6 2.1 帐号 6 2.1.1 避免帐号共享* 6 2.1.2 删除或锁定无关帐号* 7 2.2 口令 7 2.2.1 密码复杂度 7 2.2.2 密码生存期 8 2.2.3 密码更改 9 2.3 授权 9 2.3.1 用户权利指派* 9 第3章 日志要求 11 3.1 日志配置 11 3.1.1 启用日志功能 11 3.1.2 更改日志存放路径 11 3.1.3 记录安全事件 12 3.1.4 日志访问权限 13 第4章 IP协议安全配置操作 14 4.1 IP协议 14 4.1.1 IP访问限制* 14 4.1.2 IP转发安全性 15 4.1.3 SSL身份认证* 15 第5章 设备其他安全功能要求 17 5.1 屏幕保护 17 5.1.1 屏幕保护配置 17 5.2 文件系统及访问权限 17 5.2.1 更改IIS安装路径 17 5.2.2 删除风险文件* 19 5.2.3 删除非必要脚本映射* 19 5.2.4 按帐户分配日志访问权限* 22 5.3 补丁管理 23 5.3.1 升级补丁* 23 5.4 IIS服务组件 24 5.4.1 组件安装管理* 24 5.4.2 服务扩展管理* 24 第6章 评审与修订 26 第1章 概述 1.1 目的 本文档规定了中国移动通信有限公司管理信息系统部门所维护管理的IIS服务器应当 遵循的安全性设置标准,本文档旨在指导系统管理人员进行IIS服务器安全配置。 1.2 适用范围 本配置标准的使用者包括:服务器系统管理员、应用管理员、网络安全管理员。 本配置标准适用的范围包括:中国移动总部和各省公司信息化部门维护管理的IIS服 务器系统。 1.3 适用版本 5.0、6.0、7.0、2003等版本。 1.4 实施 本标准的解释权和修改权属于中国移动集团管理信息系统部,在本标准的执行过程 中若有任何疑问或建议,应及时反馈。 本标准发布之日起生效。 1.5 例外条款 欲申请本标准的例外条款,申请人必须准备书面申请文件,说明业务需求和原因, 送交中国移动通信有限公司管理信息系统部进行审批备案。 第2章 帐号管理、认证授权 2.1 帐号 2.1.1 避免帐号共享* "安全 "IIS帐号共享安全基线要求项 " "基线 " " "项目 " " "名称 " " "安全 "SBL-IIS-02-01-01 " "基线 " " "编号 " " "安全 "应按照用户分配帐号。避免不同用户间共享帐号。避免用户帐号和设备" "基线 "间通信使用的帐号共享(对于IIS用户定义分为两个层次:一、IIS自身" "项说 "操作用户,二、IIS发布应用访问用户) " "明 " " "检测 "1、参考配置操作 " "操作 "进入"控制面板->管理工具->计算机管理",在"系统工具->本地用户和 " "步骤 "组":根据系统的要求,设定不同的帐户和帐户组.对应设置IIS系统管 " " "理员的权限。 " " "进入IIS管理器->相应网站"属性"->"目录安全性"->"身份访问及访问控" " "制":其中分为"匿名访问身份"及"基本(Basic)验证"。"基本(Basic" " ")验证"包含:"集成windows身份验证"、"Windows服务器的摘要身份" " "验证"、"基本身份验证"、".NET " " "Passport身份验证";可依据业务应用安全特性,相应配置。 " "基线 "1、判定条件 " "符合 "结合要求和实际业务情况判断符合要求,根据系统的要求,设定不同的" "性判 "帐户和帐户组。 " "定依 "2、检测操作 " "据 "进入"控制面板->管理工具->计算机管理",在"系统工具->本地用户和 " " "组":查看根据系统的要求,设定不同的帐户和帐户组。 " " "进入IIS管理器->相应网站"属性"->"目录安全性"->"身份访问及访问控" " "制"查看相应配置。 " "备注 "手工判断 " " " " 2.1.2 删除或锁定无关帐号* "安全基"IIS无关帐号安全基线要求项 " "线项目" " "名称 " " "安全基"SBL-IIS-02

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值