服务器系统安全加固操作手册
目 录
服务器系统安全加固操作手册
一、 总则
二、 适用范围 安全加固操作手册
三、 主机安全加固
3.1. 帐户策略配置
3.2. 远程登录管理
3.3. 禁用文件共享
3.4. 本地安全策略
3.5. 安全审计
3.6. 入侵防御
3.7. 恶意代码防范
服务器系统安全加固操作手册
一、总则
制定《服务器系统安全加固操作手册》的目的是建立服务器系统安全配置基线,并以此为指导,配置和审视服务器系统的安全性,降低系统存在的安全风险,确保系统安全可靠的运行。
二、适用范围
该手册适用于操作系统为Windows Server 2008/2012 R2的服务器主机安全加固。
三、主机安全加固
主机安全加固也即对服务器操作系统进行安全加固,操作系统作为信息系统的核心,承担着管理硬件资源和软件资源的重任,是整个信息系统安全的基础。因此,需要对操作系统进行安全加固,构建动态、完整的安全体系
3.1. 帐户策略配置
(1)对登录的用户进行身份标识和鉴别,身份鉴别信息具有复杂度要求并定期更换,具体操作如下:
打开 控制面板 > 管理工具 > 本地安全策略,在 帐户策略 > 密码策略 中,设置如下:
注:密码最长使用期限按实际需求进行设置。
(2)设置登录失败处理功能,配置并启用结束会话、限制非法登录次数,当登录连接超时,自动退出,具体操作如下:
打开 控制面板 > 管理工具 > 本地安全策略,在 帐户策略 > 帐户锁定策略 中,设置如下:
(3)查看控制面板-管理工具-计算机管理-系统工具-本地用户和组-用户-右键-属性- 禁止勾选“密码永不过期”。
3.2. 远程登录管理
(1)修改远程桌面默认端口,设置如下:
快捷键“WIN+R”打开运行窗口:输入“regedit”,在注册表编辑器中找到[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds \rdpwd\Tds \tcp], PortNamber其默认值是3389,修改为自定义端口。
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Tenninal Server\WinStations\ RDP\Tcp],PortNumber的值默认是3389,修改成相同端口。
(2)设置远程桌面登录限制:
1)针对有VPN的现场,在防火墙入站规则中配置远程控制规则,限制远程登录端口只允许通过VPN或内网其他服务器相互访问;
2)针对无VPN的现场,在防火墙入站规则中配置远程控制规则,限制远程登录端口只允许通过公司网络或内网其他服务器相互访问;
(3)对于远程登陆的帐号,设置不活动超过时间10分钟自动断开连接,设置如下:
快捷键“WIN+R”打开运行窗口:输入“gpedit.msc”,找到计算机配置—管理模板—Windows组件—远程桌面服务—远程桌面会话主机—会话时间限制:设置活动但空闲的远程桌面服务会话的时间限制为10分钟。
3.3. 禁用文件共享
快捷键“WIN+R”打开运行窗口,输入“cmd”,在命令窗口输入“net share”,查看系统默认共享,并关闭所有默认共享,操作如下:
1)运行 regedit > HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
Services\Lanmanserver\Parameters,在该项的右边空白处,单击右键选择新建DWORD值,添加键“AutoShareServer” (类型为“REG_DWORD”,值为“0”),关闭c
、
d
、d
、d默认分区类型默认共享。
2)到“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
Lanmanserver\Parameters”注册表项,在该项的右边空白处,单击右键选择新建DWORD值,添加键“AutoShareWks” (类型为“REG_DWORD”,值为“0”),关闭ADMINKaTeX parse error: Undefined control sequence: \SYSTEM at position 31: …Y_LOCAL_MACHINE\̲S̲Y̲S̲T̲E̲M̲\CurrentControl…默认共享。
4)禁用文件共享功能:打开系统服务,关闭“server”服务并设置为禁用。
3.4. 本地安全策略
1)快捷键“WIN+R”打开运行窗口:输入“secpol.msc”,在 安全设置 > 本本地策略 > 用户权限分配 设置:
调试程序 (原内容:Administrator,删除)
2)在 安全设置 > 本本地策略 > 安全选项 设置如下:
交互式登陆:不显示最后的用户名 启用
交互式登陆:计算机不活动限制 600秒
交互式登陆:计算机帐户锁定阈值 5 无效登录尝试
网络访问:不允许SAM帐户的匿名枚举 启用
网络访问:不允许SAM帐户和共享的匿名枚举 启用
网络访问:不允许储存网络身份验证的凭据 启用
网络访问:可匿名访问的共享 (空)
网络访问:可匿名访问的命名管道 (空)
网络访问:可远程访问的注册表路径 (空)
网络访问:可远程访问的注册表路径和子路径 (空)
3.5. 安全审计
1)启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计,操作如下:
打开 控制面板 > 管理工具 > 本地安全策略,在 本地策略 > 审核策略 中,设置如下:
2)审计日志备份管理:
快捷键“WIN+R”打开运行窗口:输入“eventvwr.msc”,打开Windows日志,在各日志属性中设置“达到事件日志最大大小时:日志满时将其存档,不覆盖事件(A)”
3.6. 入侵防御
1)仅安装需要的组件和应用程序,关闭不需要的系统服务、默认共享和高危端口,操作如下:
查看系统当前实际监听的端口列表,快捷键“WIN+R”打开运行窗口输入“netstat -ano”命令,查看当前网络连接状况;打开任务管理器,根据PID来查看端口对应的进程或服务;
在 控制面板—>windows防火墙—>高级设置—>出/入站规则:禁用TCP/UDP135、137、138、139、443、445等端口。
2)查看系统服务,关闭Remote Registry服务,限制远程用户修改系统注册表。
3)及时更新系统补丁,仅安装官方补丁,严禁安装第三方补丁。对于实际业务环境服务器,建议使用通知并自动下载更新,但由管理员选择是否安装更新,而不是使用自动安装更新,防止自动更新补丁对实际业务环境产生影响。
4)及时发现可能存在的已知漏洞,并在经过充分测试评估后,及时修补漏洞;条件允许时,使用主机漏洞扫描工具对服务器系统进行漏洞扫描,并对发现的漏洞进行评估、修复。
3.7. 恶意代码防范
Windows服务器上安装360杀毒软件,可开启定时查毒并启用“自动升级病毒特征库及程序”,如果无法在线自动升级,可下载离线病毒库进行升级,网址:http://sd.360.cn/。
488
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
