Windows Server 安全加固指南

新年刚过,就有多起勒索病毒攻击事件发生,经分析发现,此次出现的勒索病毒正是GlobeImposter家族的变种,该勒索病毒将加密后的文件重命名为.TRUE、.TECHNO等扩展名,并通过邮件来告知受害者付款方式,使其获利更加容易方便。 为防止遭勒索病毒攻击,腾讯“御点”提供Windows Server安全加固指南,用户可通过该指南进行安全加固,以免遭到勒索病毒破坏。

Windows Server  安全加固

       本文档适用于Windows Server安全加固时参考。

一.     一、系统信息

查看系统版本

命令

查看SP版本

wmic os get ServicePackMajorVersion

查看Hotfix

wmic qfe get hotfixid,InstalledOn

查看主机名

hostname

查看网络配置

ipconfig /all

查看路由表

route print

查看开放端口

netstat -ano

二.     二、补丁管理

2.1    2.1 安装补丁

操作目的

安装系统补丁,修补漏洞

检查方法

使用腾讯电脑管家企业版安装系统补丁,修补漏洞

加固方法

不能连接外网的内网主机手动安装补丁或在内网搭建WSUS服务器,外网主机使用腾讯电脑管家企业版安装系统补丁或设置自动更新从微软官方网站下载补丁安装

回退方法

打补丁前做好业务或系统备份,回退时恢复备份。

如果是手工安装补丁,在安装前测试补丁是否影响业务,回退时在添加删除程序中删除相关补丁

备注

补丁安装后可能影响系统的稳定性

三.     三、账号口令

3.1  3.1 优化账号

操作目的

删除系统无用账号,降低风险

检查方法

开始->运行->compmgmt.msc(计算机管理)->本地用户和组,查看是否有不用的账号,系统账号所属组是否正确以及guest账号是否锁定

加固方法

使用net user 用户名 /del命令删除账号

使用net user 用户名 /active:no命令锁定账号

回退方法

使用net user 用户名 密码 /add命令添加账号

使用net user 用户名 /active:yes命令激活账号

3.2  3.2系统密码策略

操作目的

增强系统密码的复杂度及登录锁定策略等,防止被暴力破解

检查方法

开始->运行->secpol.msc (本地安全策略)->安全设置

加固方法

1,账户设置->密码策略

密码必须符合复杂性要求:启用

密码长度最小值:8个字符

密码最长存留期:90

密码最短存留期:0

密码最短存留期:30

强制密码历史:1个记住密码

2,账户设置->账户锁定策略

复位帐户锁定计数器:30分钟

帐户锁定时间:30分钟

帐户锁定阀值:5次无效登录

3,本地策略->安全选项

交互式登录:不显示上次的用户名:启用

gpupdate /force立即生效

回退方法

回退到加固前的状态。

gpupdate /force 立即生效

备注

密码策略为:密码至少包含以下四种类别的字符中的2种:

    英语大写字母 A, B, C, … Z

    英语小写字母 a, b, c, … z

    西方阿拉伯数字 0, 1, 2, … 9

    非字母数字字符,如标点符号,@, #, $, %, &, *

四.     四、授权

4.1  4.1远程关机

操作目的

只允许管理员组远程关机,降低风险

检查方法

进入控制面板->管理工具->本地安全策略,在本地策略->用户权限分配

查看从远程系统强制关机设置是否为只指派给Administrtors

加固方法

进入控制面板->管理工具->本地安全策略,在本地策略->用户权限分配

设置从远程系统强制关机为只指派给Administrtors

回退方法

回退到加固前的状态

4.2  4.2 本地关机

操作目的

只允许管理员组本地关机,降低风险

检查方法

进入控制面板->管理工具->本地安全策略,在本地策略->用户权限分配:

查看关闭系统设置是否为只指派给Administrtors

加固方法

进入控制面板->管理工具->本地安全策略,在本地策略->用户权限分配:

设置关闭系统为只指派给Administrtors

回退方法

回退到加固前的状态

4.3   4.3用户权限分配

操作目的

只允许管理员组拥有取得文件或其它对象所有权的权限,降低风险

检查方法

进入控制面板->管理工具->本地安全策略,在本地策略->用户权限分配

查看取得文件或其它对象的所有权设置是否为只指派给Administrtors

加固方法

进入控制面板->管理工具->本地安全策略,在本地策略->用户权限分配:

设置取得文件或其它对象的所有权为只指派给Administrtors

回退方法

回退到加固前的状态

4.4   4.4授权登录帐户

操作目的

允许授权的账号本地登录系统,降低风险

检查方法

进入控制面板->管理工具->本地安全策略,在本地策略->用户权限分配

查看允许在本地登录是否为授权的账号

加固方法

进入控制面板->管理工具->本地安全策略,在本地策略->用户权限分配:

设置允许在本地登录的账户都为授权账户

回退方法

回退到加固前的状态

4.5    4.5授权帐户远程访问

操作目的

允许授权账号从网络登录系统,降低风险

检查方法

进入控制面板->管理工具->本地安全策略,在本地策略->用户权限分配

查看从网络访问此计算机” 是否为授权的账号

加固方法

进入控制面板->管理工具->本地安全策略,在本地策略->用户权限分配:

设置从网络访问此计算机” 的账户都为授权账户

回退方法

回退到加固前的状态

五.     五、 系统安全设置

5.1  5.1屏幕保护

操作目的

设置屏保,使本地攻击者无法直接恢复桌面控制

检查方法

进入控制面板->显示->屏幕保护程序

查看是否启用屏幕保护程序,设置等待时间为10分钟,是否启用在恢复时使用密码保护

加固方法

进入控制面板->显示->屏幕保护程序

启用屏幕保护程序,设置等待时间为10分钟,启用在恢复时使用密码保护

回退方法

回退到加固前的状态

5.2    5.2 远程连接挂起

操作目的

设置远程连接挂起时间,使远程攻击者无法直接恢复桌面控制

检查方法

进入控制面板->管理工具->本地安全策略,在本地策略->安全选项

查看Microsoft网络服务器:在挂起会话之前所需的空闲时间是否设置为15分钟

加固方法

进入控制面板->管理工具->本地安全策略,在本地策略->安全选项

Microsoft网络服务器: 在挂起会话之前所需的空闲时间 设置为15分钟

回退方法

回退到加固前的状态

5.3  5.3禁止系统自动登录

操作目的

系统休眠后重新激活,需要密码才能使用系统

检查方法

进入开始->运行->control userpasswords2

查看是否启用要是用本机,用户必须输入用户名和密码选项

加固方法

进入开始->运行->control userpasswords2

启用要是用本机,用户必须输入用户名和密码的选项

回退方法

进入开始->运行->control userpasswords2

取消要是用本机,用户必须输入用户名和密码的选项

5.4    5.4隐藏最后登录名

操作目的

注销后再次登录,不显示上次登录的用户名

检查方法

进入控制面板->管理工具->本地安全策略,在本地策略->安全选项 查看交互式登录:不显示上次登录的用户名是否设置为已启用

加固方法

进入控制面板->管理工具->本地安全策略,在本地策略->安全选项查看交互式登录:不显示上次登录的用户名设置为已启用

回退方法

进入控制面板->管理工具->本地安全策略,在本地策略->安全选项查看交互式登录:不显示上次登录的用户名 设置为已禁用

5.5   5.5关闭Windows自动播放功能

操作目的

注销后再次登录,不显示上次登录的用户名

检查方法

打开开始运行,在对话框中输入gpedit.msc命令,在出现组策略窗口中依次选择在计算机配置管理模板系统,双击关闭自动播放查看是否设置已启用

加固方法

打开开始运行,在对话框中输入gpedit.msc命令,在出现组策略窗口中依次选择在计算机配置管理模板系统,双击关闭自动播放并设置已启用

回退方法

打开开始运行,在对话框中输入gpedit.msc命令,在出现组策略窗口中依次选择在计算机配置管理模板系统,双击关闭自动播放并设置未配置

六.     六、网络服务

6.1   6.1优化服务

操作目的

关闭不需要的服务,减小风险

检查方法

开始->运行->services.msc

加固方法

建议将以下服务停止,并将启动方式修改为手动:

Automatic Updates(不使用自动更新可以关闭)

Background Intelligent Transfer Service

DHCP Client

Messenger

Remote Registry

Print Spooler

Server(不使用文件共享可以关闭)

Simple TCP/IP Service

Simple Mail Transport Protocol (SMTP)

SNMP Service

Task Schedule

TCP/IP NetBIOS Helper

回退方法

回退到加固前的状态

备注

其他不需要的服务也应该关闭

6.2    6.2关闭共享

操作目的

关闭默认共享

检查方法

开始->运行->cmd.exe->net share,查看共享

加固方法

关闭C$D$等默认共享

开始->运行->regedit->找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\

lanmanserver\parameters ,新建AutoShareServerREG_DWORD),键值为0

回退方法

开始->运行->regedit->找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\

lanmanserver\parameters,删除AutoShareServer(REG_DWORD)

6.3  6.3网络访问限制

操作目的

网络访问限制

检查方法

开始->运行->secpol.msc ->安全设置->本地策略->安全选项

加固方法

网络访问不允许 SAM 帐户的匿名枚举:已启用

网络访问不允许 SAM 帐户和共享的匿名枚举:已启用

网络访问 每个人权限应用于匿名用户:已禁用

帐户使用空白密码的本地帐户只允许进行控制台登录:已启用

回退方法

回退到加固前的状态

备注

gpupdate /force立即生效

七.     七、文件系统

7.1  7.1检查Everyone权限

操作目的

增强Everyone权限

检查方法

查看每个系统驱动器根目录是否设置为Everyone有所有权限

加固方法

删除Everyone的权限或者取消Everyone的写权限

回退方法

回退到加固前的状态

7.2   7.2限制命令权限

操作目的

限制部分命令的权限

检查方法

使用cacls命令或资源管理器查看以下文件权限

加固方法

建议对以下命令做限制,只允许systemAdministrator组访问

%systemroot%\system32\cmd.exe

%systemroot%\system32\regsvr32.exe

%systemroot%\system32\tftp.exe

%systemroot%\system32\ftp.exe

%systemroot%\system32\telnet.exe

%systemroot%\system32\net.exe

%systemroot%\system32\net1.exe

%systemroot%\system32\cscript.exe

%systemroot%\system32\wscript.exe

%systemroot%\system32\regedit.exe

%systemroot%\system32\regedt32.exe

%systemroot%\system32\cacls.exe

%systemroot%\system32\command.com

%systemroot%\system32\at.exe

回退方法

回退到加固前的状态

备注

可能会影响业务系统正常运行

八.     八、日志审计

8.1   8.1日志记录

操作目的

增大日志量大小,避免由于日志文件容量过小导致日志记录不全

检查方法

开始->运行->eventvwr.msc ->查看应用程序”“安全性”“系统的属性

加固方法

建议设置:

日志上限大小:10240 KB

达到日志上限大小时:改写久于180天的事件

回退方法

回退到加固前的状态

8.2    8.2增强审计

操作目的

对系统事件进行记录,在日后出现故障时用于排查审计

检查方法

开始->运行->secpol.msc ->安全设置->本地策略->审核策略

加固方法

建议设置:

审核策略更改:成功,失败

审核对象访问:成功,失败

审核系统事件:成功,失败

审核帐户登录事件:成功,失败

审核帐户管理:成功,失败

审核登录事件:成功,失败

审核过程跟踪:成功,失败

审核目录服务访问:成功,失败

审核特权使用:成功,失败

回退方法

回退到加固前的状态

备注

gpupdate /force立即生效

未经允许不得转载:运维大虾 » Windows Server 安全加固指南

赞 (0)

评论 0

CAPTCHAis initialing...

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址