Windows Server服务器安全加固基线配置

这篇具有很好参考价值的文章主要介绍了Windows Server服务器安全加固基线配置。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

一、账户管理、认证授权文章来源地址https://www.toymoban.com/news/detail-673261.html

一、账户
1、管理缺省账户
安全基线项说明:对于管理员账号,要求更改缺省账户名称;禁用Guest(来宾)账户。
操作步骤:进入控制面板-->管理工具-->计算机管理,在系统工具-->本地用户和组:缺省账户Administrator-->右键重命名为JFadmin;Guest账户-->属性-->停用;

2.按照用户来分配账户
安全基线项说明:根据系统要求,设定不同的账户和账户组、管理员用户、审计账户、数据库账户等。
操作步骤:进入控制面板-->管理工具-->计算机管理,在系统工具-->本地用户和组:
管理员用户admingroup,用户属性-->隶属于-->添加-->查找位置-->本机-->输入对象名称选择-->Administrators
数据库用户DBgroup,用户属性-->隶属于-->添加-->查找位置-->本机-->输入对象名称选择-->IIS_IUSRS、Power Users
审计用户auditgroup,用户属性-->隶属于-->添加-->查找位置-->本机-->输入对象名称选择-->Event log readers、Performance Log Users

3、删除与设备无关账户
操作步骤:进入控制面板-->管理工具-->计算机管理,在系统工具-->本地用户和组:删除或锁定与设备运行、维护无关的账户。

4、administrator账户绑定
操作步骤:系统中不得通过JFadmin(原administrator)与别的应用或服务器进行登录绑定,JFadmin密码可以随时进行更换,不影响业务正常使用。

二、口令
1、密码复杂度
安全基线项说明:密码不得少于8位,且需包含大小写字母、数字、特殊符号中的三种。
操作步骤:进入控制面板-->管理工具-->本地安全策略,在账户策略-->密码策略:查看是否“密码必须符合复杂度要求”选择"已启动"

2、密码最长留存期
安全基线项说明:对于采用静态口令认证技术的设备,账号口令的生存期不得长于90天。
操作步骤:进入控制面板-->管理工具-->本地安全策略,在账户策略-->密码策略:查看“密码最长留存期”。

3、账户锁定策略
安全基线项说明:对于采用静态口令认证技术的设备,应配置当用户连续认证失败次数超过5次,锁定该用户使用的账户。
操作步骤:进入控制面板-->管理工具-->本地安全策略,在账户策略-->账户锁定策略:查看账户锁定阈值设置,设置为小于或等于5次。

4、口令到期提示
安全基线项说明:对于采用静态口令认证技术的设备,账户口令到生存期前5天提示更换密码。
操作步骤:进入控制面板-->管理工具-->本地安全策略,在本地策略-->安全选项:查看交互式登录:提示用户在过期之前更改密码。密码最长存留期到期前设置等于5天

三、授权
1、远程关机
安全基线项说明:在本地安全设置中从远端系统强制关机只指派给Administrator组
操作步骤:进入控制面板-->管理工具-->本地安全策略,用户权力指派:查看“从远端系统强制关机”设置,改为只指派给Administrator组

2、本地关机
安全基线项说明:在本地安全设置中关闭系统只指派给Administrator组
操作步骤:进入控制面板-->管理工具-->本地安全策略,用户权力指派:查看“关闭系统”设置,改为只指派给Administrator组

3、用户权力指派
安全基线项说明:在本地安全设置中取得文件或其他对象的所有权仅指派给Administrators组
操作步骤:进入控制面板-->管理工具-->本地安全策略,用户权力指派:查看是否“取得文件或其他对象的所有权”设置,设置为仅指派给Administrators组

4、授权账户从网络访问
安全基线项说明:在组策略中只允许授权账号从网络访问(包括网络共享等,但不包括远程桌面)此服务器。
操作步骤:进入控制面板-->管理工具-->本地安全策略,在本地策略-->用户权力指派:从网络访问此计算机设置为指定授权用户

5、通过堡垒机登录系统
安全基线项说明:系统只能通过堡垒机使用rdp协议登录
操作步骤:堡垒机配合防火墙设置,通过防火墙限制用户可访问渠道


四、日志配置
1、审核登录
安全基线项说明:设备应配置日志功能,对用户登录进行记录,记录内容包括用户登录使用的账户,登录是否成功,登录时间,以及远程登录时用户使用的IP地址。
操作步骤:进入控制面板-->管理工具-->本地安全策略,审核策略-->审核登录事件,设置为成功和失败都审核

2、审核策略更改
安全基线项说明:启用组策略中对Windows系统的审核策略更改,成功和失败都要审核
操作步骤:进入控制面板-->管理工具-->本地安全策略,审核策略-->审核策略更改设置,设置为成功和失败都要审核

3、审核对象访问
安全基线项说明:启用组策略中对Windows系统的审核对象访问,成功和失败都要审核
操作步骤:进入控制面板-->管理工具-->本地安全策略,审核策略-->审核对象访问,设置为成功和失败都要审核

4、审核目录服务访问
安全基线项说明:启用组策略中对Windows系统的审核目录服务访问,成功和失败都要审核
操作步骤:进入控制面板-->管理工具-->本地安全策略,审核策略-->审核目录服务访问,设置为成功和失败都要审核

5、审核特权使用
安全基线项说明:启用组策略中对Windows系统的审核特权使用,成功和失败都要审核
操作步骤:进入控制面板-->管理工具-->本地安全策略,审核策略-->审核特权使用,设置为成功和失败都要审核

6、审核系统事件
安全基线项说明:启用组策略中对Windows系统的审核系统事件,成功和失败都要审核
操作步骤:进入控制面板-->管理工具-->本地安全策略,审核策略-->审核系统事件,设置为成功和失败都要审核

7、审核账户管理
安全基线项说明:启用组策略中对Windows系统的审核账户管理,成功和失败都要审核
操作步骤:进入控制面板-->管理工具-->本地安全策略,审核策略-->审核账户管理,设置为成功和失败都要审核

8、审核过程追踪
安全基线项说明:启用组策略中对Windows系统的审核过程追踪,成功和失败都要审核
操作步骤:进入控制面板-->管理工具-->本地安全策略,审核策略-->审核过程追踪,设置为失败需要审核

9、日志文件大小
安全基线项说明:设置应用日志文件至少要大于20480KB,设置当达到最大的日志尺寸时,按需要覆盖事件(旧事件优先)
操作步骤:进入控制面板-->管理工具-->事件查看器,查看应用日志,系统日志,安全日志属性中的日志大小,以及设置当达到最大的日志尺寸时的相应策略。打开C:\windows\system32\winevt,再打开Logs文件夹

10、日志文件上传
安全基线项说明:日志保存时间为180天
操作步骤:日志文件转存日志服务器,通过日志服务器可查看到相关服务器的日志信息

11、防病毒管理
安全基线项说明:安装公司指定的360杀毒软件
操作步骤:netstat -ano或通过任务管理器查看。配置时防火墙需放开杀毒软件的端口

12、远程登录控制
安全基线项说明:对于远程登录的账号,设置不活动断连时间15分钟,再次登录时信息还在
检测操作步骤:进入控制面板-->管理工具-->本地安全策略,在本地策略-->安全选项-->Microsoft网络服务器设置为"在挂起会话之前所需的空闲时间"为15分钟

13、补丁管理
安全基线项说明:应安装漏扫里面的高危补丁,但如果此服务器不具备停机条件,延期安装但不能超过三个月。暂定两个月更新一次高危补丁,更新之前做好快照预防打补丁之后出现异常情况。突发高风险漏洞根据实际情况进行紧急预案并处理
操作步骤:根据漏扫报告,对高危补丁进行修复安装

五、端口管理
1、远程控制服务安全
安全基线项说明:修改rdp远程默认端口3389
操作步骤:进入注册表修改(省略),改完端口后更新防火墙规则

2、端口开放与关闭
安全基线项说明:关闭TCP与UDP135-139、445、5355端口,telnetTCP23,只开放需要开放的服务端口
操作步骤:控制面板-->Windows防火墙-->高级设置-->入站规则-->选择某条规则-->属性-->常规-->已启用(勾选或取消勾选)-->只允许安全连接

六、时间同步
1、时间同步
安全基线项说明:要求配置时间同步源,服务器定期执行时间同步操作(必要时)
操作步骤:1、加域服务器默认已指向时间服务器 2、虚拟服务器需在宿主机上指定时间服务器 3、物理服务器需手动设置gpedit.msc


到了这里,关于Windows Server服务器安全加固基线配置的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • Windows安全基线加固-无SMB配置-无NTP配置脚本

    详情见脚本内容,可自行修改 主要涉及如下安全加固内容: 1.账号安全 2.密码安全 3.系统日志 4.认证审核 5.网络安全 6.注册表安全 7.系统安全 8远程安全 SMB及NTP脚本在我另外一篇文章运维小脚本里面 https://blog.csdn.net/qq_35700085/article/details/128247802?spm=1001.2014.3001.5501

    2024年02月11日
    浏览(70)
  • 安全加固服务器

    根据以下的内容来加固一台Linux服务器的安全。 首先是限制连续密码错误的登录次数,由于RHEL8之后都不再使用pam_tally.so和pam_tally2.so,而是pam_faillock.so 首先进入/usr/lib64/security/中查看有什么模块,确认有pam_faillock.so 因为只限制ssh登录次数(一般本地登录不会有问题,故此只做

    2024年02月14日
    浏览(47)
  • 服务器的安全包括哪些方面-服务器安全该如何去加固处理-

    服务器安全包括如下几个方面: 系统安全:包括操作系统的安全性、系统的漏洞和补丁管理、用户管理、文件权限和访问控制等。 网络安全:包括网络拓扑结构、网络设备的安全性、网络协议的安全性、防火墙和入侵检测等。 数据安全:包括数据备份和恢复、数据加密、数

    2024年04月17日
    浏览(59)
  • ubuntu 服务器安全加固的20条方案_ubuntu 安全加固

    4. 非 wheel 组用户禁用 su | 身份鉴别 普通用户禁用 su,仅特殊的用户组 wheel 下用户才可以使用 su 切换到 root 用户 加固建议 在 /etc/login.defs 中将 SU_WHEEL_ONLY 注释放开,并添加参数 yes : 修改默认配置文件 /etc/pam.d/su ,去掉如下这行注释,并在尾部添加 use_uid : 添加 wheel 组用户

    2024年04月16日
    浏览(50)
  • 一份关于windows server服务器的安全漏洞处理建议(来自绿盟安全评估)

    文章来由,友商服务器最近做了一次安全评估,领导让协助处理下漏洞修复。根据这份绿盟安全评估中的服务器漏洞扫描分析结果,做了下面的修复过程和总结,希望对看到小伙伴有帮助。 提问:为什么要做安全漏洞修补? 据市场研究公司Gartner研究报告称“实施漏洞管理的

    2024年02月06日
    浏览(40)
  • 等保2.0 测评 linux服务器加固 基本安全配置手册

    禁止所有默认的被操作系统本身启动的且不需要的帐号,当你第一次装上系统时就应该做此检查,Linux提供了各种帐号,你可能不需要,如果你不需要这个帐号,就移走它,你有的帐号越多,就越容易受到攻击。 #为删除你系统上的用户,用下面的命令: [root@c1gstudio]# userdel

    2024年03月14日
    浏览(63)
  • 一份关于windows server服务器的安全漏洞处理建议(来自绿盟安全评估)_允许traceroute探测漏洞

    前言 一、服务器主机存在漏洞应该怎么修复? 二、报告中的高危漏洞(部分展示) 1.Microsoft Windows CredSSP 远程执行代码漏洞(CVE-2018-0886) 2.SSL/TLS协议信息泄露漏洞(CVE-2016-2183) 3.SSL/TLS RC4 信息泄露漏洞(CVE-2013-2566) 4.SSL/TLS 受诫礼(BAR-MITZVAH)攻击漏洞(CVE-2015-2808) 5.SSL/TLS 服务器瞬时

    2024年04月28日
    浏览(40)
  • 附件1.服务器操作系统安全加固要求及配置建议【下】

    链接如下 附件1.服务器操作系统安全加固要求及配置建议【上】 我们没有公告资源,下面了解即可 系统管理员可以使用文件系统中的 DAC(Discretionary Access Control,自主访问控制)对公共资源进行保护。DAC 提供了基于用户标识符(UID)和权限位的控制,使得管理员可以对文件

    2024年02月11日
    浏览(44)
  • 一份关于windows server服务器的安全漏洞处理建议(来自绿盟安全评估)_允许traceroute探测漏洞(1)

    漏洞名称: SSL/TLS 受诫礼(BAR-MITZVAH)攻击漏洞(CVE-2015-2808)【原理扫描】【可验证】 详细描述: SSL/TLS协议是一个被广泛使用的加密协议,Bar Mitzvah攻击实际上是利用了\\\"不变性漏洞\\\",这是RC4算法中的一个缺陷,它能够在某些情况下泄露SSL/TLS加密流量中的密文,从而将账户用户名密

    2024年04月14日
    浏览(56)
  • 等保三级安全加固,服务器三权分立设置,mysql密码策略登录策略

    1、安全计算环境 1)数据库、服务器未配置口令复杂度策略。 建议强制配置口令的复杂度策略(复杂度包含字母大小写,数字,特殊字符,密码长度八位以上),防止口令被轻易破解。 2)数据库、服务器未配置口令有效期策略。 建议配置数据库口令有效期策略,最短更改时间

    2024年02月08日
    浏览(70)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包