一、账户管理、认证授权文章来源地址https://www.toymoban.com/news/detail-673261.html
一、账户
1、管理缺省账户
安全基线项说明:对于管理员账号,要求更改缺省账户名称;禁用Guest(来宾)账户。
操作步骤:进入控制面板-->管理工具-->计算机管理,在系统工具-->本地用户和组:缺省账户Administrator-->右键重命名为JFadmin;Guest账户-->属性-->停用;
2.按照用户来分配账户
安全基线项说明:根据系统要求,设定不同的账户和账户组、管理员用户、审计账户、数据库账户等。
操作步骤:进入控制面板-->管理工具-->计算机管理,在系统工具-->本地用户和组:
管理员用户admingroup,用户属性-->隶属于-->添加-->查找位置-->本机-->输入对象名称选择-->Administrators
数据库用户DBgroup,用户属性-->隶属于-->添加-->查找位置-->本机-->输入对象名称选择-->IIS_IUSRS、Power Users
审计用户auditgroup,用户属性-->隶属于-->添加-->查找位置-->本机-->输入对象名称选择-->Event log readers、Performance Log Users
3、删除与设备无关账户
操作步骤:进入控制面板-->管理工具-->计算机管理,在系统工具-->本地用户和组:删除或锁定与设备运行、维护无关的账户。
4、administrator账户绑定
操作步骤:系统中不得通过JFadmin(原administrator)与别的应用或服务器进行登录绑定,JFadmin密码可以随时进行更换,不影响业务正常使用。
二、口令
1、密码复杂度
安全基线项说明:密码不得少于8位,且需包含大小写字母、数字、特殊符号中的三种。
操作步骤:进入控制面板-->管理工具-->本地安全策略,在账户策略-->密码策略:查看是否“密码必须符合复杂度要求”选择"已启动"
2、密码最长留存期
安全基线项说明:对于采用静态口令认证技术的设备,账号口令的生存期不得长于90天。
操作步骤:进入控制面板-->管理工具-->本地安全策略,在账户策略-->密码策略:查看“密码最长留存期”。
3、账户锁定策略
安全基线项说明:对于采用静态口令认证技术的设备,应配置当用户连续认证失败次数超过5次,锁定该用户使用的账户。
操作步骤:进入控制面板-->管理工具-->本地安全策略,在账户策略-->账户锁定策略:查看账户锁定阈值设置,设置为小于或等于5次。
4、口令到期提示
安全基线项说明:对于采用静态口令认证技术的设备,账户口令到生存期前5天提示更换密码。
操作步骤:进入控制面板-->管理工具-->本地安全策略,在本地策略-->安全选项:查看交互式登录:提示用户在过期之前更改密码。密码最长存留期到期前设置等于5天
三、授权
1、远程关机
安全基线项说明:在本地安全设置中从远端系统强制关机只指派给Administrator组
操作步骤:进入控制面板-->管理工具-->本地安全策略,用户权力指派:查看“从远端系统强制关机”设置,改为只指派给Administrator组
2、本地关机
安全基线项说明:在本地安全设置中关闭系统只指派给Administrator组
操作步骤:进入控制面板-->管理工具-->本地安全策略,用户权力指派:查看“关闭系统”设置,改为只指派给Administrator组
3、用户权力指派
安全基线项说明:在本地安全设置中取得文件或其他对象的所有权仅指派给Administrators组
操作步骤:进入控制面板-->管理工具-->本地安全策略,用户权力指派:查看是否“取得文件或其他对象的所有权”设置,设置为仅指派给Administrators组
4、授权账户从网络访问
安全基线项说明:在组策略中只允许授权账号从网络访问(包括网络共享等,但不包括远程桌面)此服务器。
操作步骤:进入控制面板-->管理工具-->本地安全策略,在本地策略-->用户权力指派:从网络访问此计算机设置为指定授权用户
5、通过堡垒机登录系统
安全基线项说明:系统只能通过堡垒机使用rdp协议登录
操作步骤:堡垒机配合防火墙设置,通过防火墙限制用户可访问渠道
四、日志配置
1、审核登录
安全基线项说明:设备应配置日志功能,对用户登录进行记录,记录内容包括用户登录使用的账户,登录是否成功,登录时间,以及远程登录时用户使用的IP地址。
操作步骤:进入控制面板-->管理工具-->本地安全策略,审核策略-->审核登录事件,设置为成功和失败都审核
2、审核策略更改
安全基线项说明:启用组策略中对Windows系统的审核策略更改,成功和失败都要审核
操作步骤:进入控制面板-->管理工具-->本地安全策略,审核策略-->审核策略更改设置,设置为成功和失败都要审核
3、审核对象访问
安全基线项说明:启用组策略中对Windows系统的审核对象访问,成功和失败都要审核
操作步骤:进入控制面板-->管理工具-->本地安全策略,审核策略-->审核对象访问,设置为成功和失败都要审核
4、审核目录服务访问
安全基线项说明:启用组策略中对Windows系统的审核目录服务访问,成功和失败都要审核
操作步骤:进入控制面板-->管理工具-->本地安全策略,审核策略-->审核目录服务访问,设置为成功和失败都要审核
5、审核特权使用
安全基线项说明:启用组策略中对Windows系统的审核特权使用,成功和失败都要审核
操作步骤:进入控制面板-->管理工具-->本地安全策略,审核策略-->审核特权使用,设置为成功和失败都要审核
6、审核系统事件
安全基线项说明:启用组策略中对Windows系统的审核系统事件,成功和失败都要审核
操作步骤:进入控制面板-->管理工具-->本地安全策略,审核策略-->审核系统事件,设置为成功和失败都要审核
7、审核账户管理
安全基线项说明:启用组策略中对Windows系统的审核账户管理,成功和失败都要审核
操作步骤:进入控制面板-->管理工具-->本地安全策略,审核策略-->审核账户管理,设置为成功和失败都要审核
8、审核过程追踪
安全基线项说明:启用组策略中对Windows系统的审核过程追踪,成功和失败都要审核
操作步骤:进入控制面板-->管理工具-->本地安全策略,审核策略-->审核过程追踪,设置为失败需要审核
9、日志文件大小
安全基线项说明:设置应用日志文件至少要大于20480KB,设置当达到最大的日志尺寸时,按需要覆盖事件(旧事件优先)
操作步骤:进入控制面板-->管理工具-->事件查看器,查看应用日志,系统日志,安全日志属性中的日志大小,以及设置当达到最大的日志尺寸时的相应策略。打开C:\windows\system32\winevt,再打开Logs文件夹
10、日志文件上传
安全基线项说明:日志保存时间为180天
操作步骤:日志文件转存日志服务器,通过日志服务器可查看到相关服务器的日志信息
11、防病毒管理
安全基线项说明:安装公司指定的360杀毒软件
操作步骤:netstat -ano或通过任务管理器查看。配置时防火墙需放开杀毒软件的端口
12、远程登录控制
安全基线项说明:对于远程登录的账号,设置不活动断连时间15分钟,再次登录时信息还在
检测操作步骤:进入控制面板-->管理工具-->本地安全策略,在本地策略-->安全选项-->Microsoft网络服务器设置为"在挂起会话之前所需的空闲时间"为15分钟
13、补丁管理
安全基线项说明:应安装漏扫里面的高危补丁,但如果此服务器不具备停机条件,延期安装但不能超过三个月。暂定两个月更新一次高危补丁,更新之前做好快照预防打补丁之后出现异常情况。突发高风险漏洞根据实际情况进行紧急预案并处理
操作步骤:根据漏扫报告,对高危补丁进行修复安装
五、端口管理
1、远程控制服务安全
安全基线项说明:修改rdp远程默认端口3389
操作步骤:进入注册表修改(省略),改完端口后更新防火墙规则
2、端口开放与关闭
安全基线项说明:关闭TCP与UDP135-139、445、5355端口,telnetTCP23,只开放需要开放的服务端口
操作步骤:控制面板-->Windows防火墙-->高级设置-->入站规则-->选择某条规则-->属性-->常规-->已启用(勾选或取消勾选)-->只允许安全连接
六、时间同步
1、时间同步
安全基线项说明:要求配置时间同步源,服务器定期执行时间同步操作(必要时)
操作步骤:1、加域服务器默认已指向时间服务器 2、虚拟服务器需在宿主机上指定时间服务器 3、物理服务器需手动设置gpedit.msc
文章来源:https://www.toymoban.com/news/detail-673261.html
到了这里,关于Windows Server服务器安全加固基线配置的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!
