Windows服务器安全基线排查与加固
引言:本文章是基于Windows Server 2016 服务器进行演示
一、帐户与认证
1.检查登录操作系统用户有那些
方法
步骤一:按键盘的win+R 键 输入cmd命令
注:权限不够可以管理员身份运行cmd
步骤二:输入命令 net localgroup administratros,确认除Administrator之外是否还存在重命名管理员账户。比如:user_01就是客户创建的正常用户;hack01就是hack创建的用户。
删除用户命令:方法一:net user hack01 /delete 把整个用户都删了
方法二:net localgroup administrators hack01 /delete 只删权限
2.检查口令配置策略
方法:输入gpedit.msc 本地组策略编辑器->点击windosw设置->安全设置->账号策略->密码策略
要求:双击密码必须符号复杂性要,设置已启用并点确定;(其他的设置同理)
密码长度最小值:最少要设置8个字符以上 (按需设置)
密码最短使用期限:可以根据自己的要求设置
密码使用最长使用期限:设置为90天(按需设置)
补充:不懂每个策略的意思可以点击说明,进行查看
3.检查登录失败处理策略
方法:输入gpedit.msc 本地组策略编辑器->点击windosw设置->安全设置->账号策略->
账号锁定策略
要求:帐户锁定时间:设置30分钟(按需设置)
帐户锁定阈值:设置6次无效登录(按需设置)
重置帐户锁定计数器:30分钟之后(按需设置)
4.检查是否只有Administrators组才能远程关机
方法:输入gpedit.msc 本地组策略编辑器->点击windosw设置->安全设置->本地策略->用户权限分配->点击关闭系统/从远程系统强制关机
要求:查看是否只有Administrators组,如果有其他组建议删除
5.检查应配置日志功能是否开启策略
方法:输入gpedit.msc 本地组策略编辑器->点击windosw设置->安全设置->本地策略->审核策略
要求:按照图片里面的内容进行配置
补充:不懂每个策略的意思可以点击说明,进行查看
6.检查配置日志文件大小
方法:控制面板(选择小图标)->管理工具->事件查看器->Windows日志
要求:应用程序、安全、设置、系统的属性中最大大小设置要不小于8192kb(8mb)
二、入侵防范与访问控制
1.检查共享文件夹的权限
方法:控制面板->管理工具->计算机管理->共享文件夹->共享
要求:若其中包含Everyone(任何人),则需要将其删除
2.检查远程桌面服务默认端口是否修改
方法:regedit->HKEY_LOCAL_MACHINE->SYSTEM->CurrentControlSet->Control->Terminal
Server->WinStations->RDP-Tcp 找到PortNumber双击打开 选择十进制便于查看
要求:将默认的端口改为其他的端口
3.检查远程访问操作系统注册表路径和子路径
方法:输入gpedit.msc 本地组策略编辑器->点击windosw设置->安全设置->本地策略->安全
选项
要求:网络访问:可远程访问的注册表路径和子路径,配置为空。
4.检查是否安装终端防护软件
比如:卡巴斯基、Norton诺顿、RISING瑞星、McAfee迈克菲、小红伞、360、火绒等;
三、系统服务
1.检查是否关闭不必要的系统服务
方法:控制面板->服务
要求:Error Reporting Service、错误报告服务
Computer browser 浏览局域网计算机列表
Print Spooler 打印队列服务
Remote Registry 远程注册表操作
Routing and Remote Access 路由与远程访问
Shell Hardware Detection 为自动播放硬件事件提供通知Telnet 远程管理
TCP/IP NetBIOS Helper 允许客户端共享文件,打印机和登录到网络
以上这些都可以按需关闭不必要的服务,提高系统安全性
四、基线排查脚本
注:下一章写有关Windows服务器基线脚本的使用!!!
