针对windows server 2019 安全基线核查实践项目
(一共分为五个步骤:用户身份鉴别、访问控制、安全审计、入侵防范、信息保护与清除)
用户身份鉴别
- 对于账户权限分配和操作应进行鉴权
通过Win+R输入netplwiz命令、查看对话框的勾选用户必须输入账号密码
通过Win+R输入lusrmgr.msc查看用户和组、默认administrator和Guest
默认为Guest禁用、再次检查administrator不存在弱口令
或通过(控制面板-程序与系统-管理工具-计算机管理-用户和用户组查看administrator用户查看勾选密码永不过期和用户不能更改的选项
在lusrmgr还能看到黑客写入的隐藏用户
Win+R输入secpol.msc命令查看账户策略中密码策略的密码复杂度是否开启
- 防止频繁登录、暴力破解的危害
Win+R输入secpol.msc中账户策略-账户锁定策略中进行配置
通过 控制面板-外观-显示-屏幕保护设置查看有无屏保
- 应当防止在远程控制时、传输信息被监听
Win+R输入gpedit.msc-管理模板-Windows组件-远程桌面服务-远程桌面会话主机-会话时间限制
访问控制
- 对登录账户分配账户和权限
如重要的磁盘或者目录、右击属性-安全 查看分配权限是否合理
- 删除重名和默认账户、更改默认口令
Win+R输入lusrmgr.msc命令、查看是否存在隐藏或多余用户、进行禁用或删除对于存在默认口令的密码,进行更改密码增加强度
- 授权管理用户的最小权限、实现权限分离
Win+R输入secpol.msc命令、在本地策略-用户权限分配中查看策略
- 设定的访问策略、主体和客体之间的访问规则
尝试使用非管理用户访问管理策略是否成功
安全审计
- 启用安全审计功能、记录每个用户行为和事件作为审计
Win+R输入secpol.msc命令-本地策略-审核策略查看相关安全策略设置
- 审计记录(包含日期、用户、时间、事件类型等信息)
Win+R输入eventvwr.msc命令、点击Windows日志进行审计相关事件日志
- 应用审计定期备份、防止被删除、覆盖
Win+R输入eventvwr.msc-Windows日志-应用程序-右击属性
- 对审计进程进行保护,防止中断
Win+R输入secpol.msc-本地策略-用户权限分配、在管理审核和安全日志中查看是否有除administrators外其他组
入侵防范
- 在使用和测评过程中、应遵循最小化安装原则
仅安装需要的组件和系统程序,Win+R输入dcomcnfg命令-组件服务-计算机-我的电脑中查看是否存在多余组件
Win+R输入appwiz.cpl查看是否安装多余服务
- 关闭不需要的系统服务、共享及高危端口
Win+R输入services.msc查看系统服务及其他服务,查看运行状态,关闭不必要的服务
通过cmd输入net share命令查看共享情况
通过cmd输入netstat -an查看端口开放情况
- 对于远程管理进行限制指定用户访问进行配置
使用自带主机防火墙查看
Win+R输入firewall.cpl命令-高级设置-入站规则-远程桌面用户模式(TCP-IN)-作用域
- 及时发现漏洞并确认,及时打补丁修复
Win+R输入appwiz.cpl查看已安装更新、是否有最新版补丁
- 针对存在入侵、攻击的情况进行告警
安装杀毒软件
信息保护与清除
- 在用户的鉴别信息存储空间被释放或重新分配前完全清除
Win+R输入secpol.msc-本地策略-安全选项,是否启用‘不显示最后的用户名’
- 应保证敏感数据信息存储空间在完全释放或重新分配前完全清除
Win+R输入secpol.msc-本地策略-安全策略,查看是否开启"清除虚拟内存页面文件"