企业在发布服务器到公网前都应该对服务器进行安全测试,包括漏洞扫描,基线检查,业务流程测试等等,本期介绍Windows基线检查的部分内容和一些操作系统策略设置方法。
旨在为即将发布到公网的Windows服务器提供一套基线检查清单,以确保服务器配置符合安全要求,保障网络安全。
2.1用户访问和身份验证
| 要求 | 操作方法 |
|---|---|
| 使用复杂的密码策略,并强制密码定期(至少90天)更改。应包含大小写字母,数字和特殊字符(如!@#¥&*),避免使用连续字符(如abcd)或重复字符(如1111),密码长度应不小于8个字符。对于应用系统,在系统开发时就应写入该规则 | 运行“gpedit.msc”在计算机配置->Windows设置->安全设置->账户策略->密码策略,中启用“密码必须符合复杂性要求”、“密码长度最小值”设置为8个字符、“密码最长使用期限”设置为90天。 |
| 应对Administrator账户重命名,并禁用Guest(来宾)账户。 | 打开控制面板->计算机管理->本地用户和组->单击Administrator账户->重命名 、打开控制面板->计算机管理->本地用户和组->单机Guest账户->属性->勾选“账户已禁用” |
| 应配置当用户连续认证失败次数为5次时,锁定账户30分钟。 | 运行“gpedit.msc”在计算机配置->Windows设置->安全设置->账户策略->账户锁定策略,中“账户锁定阈值”设置为5次无效登录、“账户锁定时间”设置为30分钟、“重置账户锁定计数器”设置为30分钟之后。 |
| 操作系统用户的鉴别信息在分配给其他用户前提前释放。 | 运行“gpedit.msc”在计算机配置->Windows设置->安全设置->本地策略->安全选项,中检查系统是否启用“不显示上次登录”、“登录时不显示用户名”、“允许自动管理登录”。“不显示上次登录”设置为启用;“登录时不显示用户名”设置为启用;“允许自动管理登录”设置为禁用 |
2.2应用系统身份验证
(1)应用系统在系统开发时应写入复杂的密码策略,强制使用强密码并定期(至少90天)修改密码。
(2)禁止用户身份验证信息明文传输,应采用数据加密的方式传输数据。
(3)应设置当用户连续认证失败次数为5次时,锁定账户30分钟。
2.3安全防护软件
(1)服务器必须安装天擎、火绒、360等杀毒软件,发布前应进行全盘杀毒、清空隔离区文件。
(2)防病毒软件设置自动更新病毒库。
2.4操作系统安全配置
| 要求 | 操作步骤 |
|---|---|
| 所有Windows补丁更新至最新版本,且自动更新补丁。 | |
| 禁用或限制远程桌面协议 (RDP) 访问权限,仅允许授权用户使用。实施虚拟专用网络 (VPN) 或其他安全通道来保护远程访问连接。 | 打开系统设置->系统->远程桌面->”启用远程桌面“为关->用户账户(可选择允许远程登录的账户)->高级设置->选择“仅允许运行使用网络级别身份验证的远程桌面” |
| 设置远程登陆账户的登录超时时间为30分钟,应禁止匿名访问共享。 | 运行“gpedit.msc”在计算机配置/用户配置->管理模板->windows组件->远程桌面服务->远程桌面会话主机->会话时间限制,中启用“设置活动但空闲的远程桌面服务会话的时间限制”并设置空闲会话限制为30分钟。 |
| 启用系统Windows防火墙,并配置仅打开需要开放的端口和访问ACL。 | 打开“控制面板”->windows防火墙->高级设置->入站规则->检查现有规则,可禁用不必要端口的入站规则->右侧新建规则(限制端口开放) |
| 应关闭Windows自动播放功能。 | 运行“gpedit.msc”在计算机配置/用户配置->管理模板->windows组件->自动播放策略,中启用“关闭自动播放”并设置关闭自动播放为所有驱动器。 |
| 禁止保存账号密码(包括但不限于:控制面板保存、网页文件、网页缓存等各类文件) | 打开“控制面板”->用户账户->管理你的凭据-删除已保存的web凭据和windows凭据 |
2.5文件和目录权限
| 要求 | 操作步骤 |
|---|---|
| 为每个用户和用户组分配适当的权限,并避免过度授权。 | 按照实际需求由管理员分配账号和权限 |
| 限制对系统文件和目录的访问权限,仅授予管理员所需的最低权限。 | 按照实际需求由管理员分配账号和权限 |
| Web等应用应设置站点文件访问权限,避免目录遍历。 | 打开服务器管理器->web服务器->网站->目录浏览->禁用 |
| 站点配置文件仅限管理员查阅、修改。 | 右键配置文件->属性->安全->编辑->仅保留管理员具有访问该文件的权限 |
| 关闭windows本地默认共享。 | 右键计算机->管理->服务->右侧server服务->禁用 |
| 禁止文件共享协议。 | 右键计算机->管理->服务->右侧server服务->禁用 |
2.6开放端口限制
应严格限制开放的端口及服务,仅开放必要的端口。包括但不限于以下风险端口,不应对外开放。内部远程使用ssh(22)、远程桌面的端口(3389)更换其他端口。
| 风险端口清单 | 协议 |
|---|---|
| 20/21 | ftp |
| 22 | ssh |
| 23 | telnet |
| 25 | smtp |
| 53 | dns |
| 135/139/445 | rpc,文件共享 |
| 3389 | 远程桌面 |
| 1433 | sqlserver |
| 3306 | mysql |
| 5900 | 虚拟网络(vnc) |
| 137/138 | udp netbios |
| 161/162 | snmp |
| 1900 | upnp |
| 2049 | 网络文件系统(nfs) |
| 5060/5061 | 会话初始协议(sip) |
| 6666/6667 | 实时聊天协议(irc) |
2.7安全审计和日志
启用日志安全审计功能,监控并记录关键事件和活动,日志至少保存180天。
建议:
(1)windows查看安全审计配置,运行“gpedit.msc”在计算机配置->Windows设置->安全设置->本地策略->审核策略,建议至少配置为:
审核帐号登录事件 (成功,失败)
审核帐号管理 (成功,失败)
审核目录服务访问 (没有定义)
审核登录事件 (成功,失败)
审核对象访问 (成功,失败)
审核策略更改 (成功)
审核特权使用 (成功,失败)
审核过程跟踪 (成功,失败)
审核系统事件 (成功)
(2)确保日志文件的保留和定期备份,以便后续调查和审计。
2.8应用程序和服务安全
(1)定期更新和维护服务器上的应用程序和服务,确保最新的安全补丁和更新已安装。
(2)禁用或移除不需要的服务和功能,以减少攻击面。
(3)Web页面等文件,不得有内部IP、内部域名、账号、账号/密码、邮箱等信息。确需公开邮箱的,必须在申请单补充说明需求。
2.9网络结构安全
(1)实施网络隔离措施,将服务器放置在DMZ区域,与内网隔离。
(2)应配置系统DNS指向企业内部DNS服务器。
(3)应用系统应将应用服务和数据库、文件服务器分开,仅限应用服务器发布外网,且不得存放数据库、内部文件等资料。
2.10加密和数据保护
(1)一般不得在发布服务器存放内部文件,确需上传内部文件的,必须启用文件和文件夹的加密,以保护敏感数据的机密性。
(2)定期备份关键数据,并将备份存储在安全的离线或加密介质上。
2.11漏洞扫描
使用Nessus和AWVS等漏扫工具对服务器进行漏洞扫描,确认没有高危漏洞。
列出了Windows基线检查包含的部分内容,还有待更新。