Windows Server 2012-等保三级基线
一、身份鉴别
1.1、应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换
描述
检查是否创建了除默认管理员之外的普通用户账户;是否启用密码复杂性配置,密码最小长度设置为8以上;以及是否设置密码使用期限策略,最长使用期限设置为30-180之间,最短使用期限设置为1-14之间;是否将强制密码历史设置为5-24之间;启用自动登陆策略为已禁用;无克隆帐户。
检查提示
--
加固建议
1、检查是否创建了除默认管理员之外的普通用户账户。2、在管理工具打开本地安全策略,打开路径:安全设置\帐户策略\密码策略,将密码必须符合复杂性要求设置为已启用;3、将密码最小长度设置为8以上;4、将密码最长使用期限设置为30-180之间,建议值为905、将密码最短使用期限设置为1-14之间,建议值为7;6、将强制密码历史设置为5-24之间;7、打开cmd输入regedit,修改 HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\ CurrentVersion\Winlogon的AutoAdminLogon 类型:REG_DWORD 值:0(没有则新建);8、打开注册表HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\,删除具有相同F值的用户。
操作时建议做好记录或备份
1.2、应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施
描述
检测是否配置登陆失败锁定策略,是否设置空闲会话断开时间和启用登陆时间过期后断开与客户端的连接设置
检查提示
--
加固建议
1、在管理工具打开本地安全策略,打开路径:安全设置\帐户策略\账户锁定策略。将账户锁定阈值设置为3-8之间,建议值为5,输错5次密码锁定账户;然后将账户锁定时间和重置账户锁定计数器设置为10-30之间,建议值为15,账户锁定时间为15分钟。 2、在管理工具打开本地安全策略,打开路径:安全设置\本地策略\安全选项。将Microsoft网络服务器中的"暂停会话之前所需的空闲时间数量"设置为:5-30之间,建议值为15;将"登陆时间过期后断开与客户端的连接"设置为:已启用。
操作时建议做好记录或备份
1.3、当对服务器进行远程管理时,应采取必要措施,防止鉴别信息在网络传输过程中被窃听
描述
远程管理只启用安全的远程桌面服务,“请求的远程协助”和“提供远程协助”设置为“已禁用”
检查提示
--
加固建议
1、请使用运行,输入gpedit.msc,找到 本地计算机策略\计算机配置\管理模板\系统\远程协助\请求的远程协助,修改为:已禁用 2、在命令行输入“gpedit.msc”,弹出“本地组策略编辑器”窗口,查看“本地计算机 策略->计算机配置->管理模板->Windows组件->远程桌面服务->远程桌面会话主机->安全->远程(RDP)连接要求使用指定的安全层,选择已启用,安全层选择SSL(TLS 1.0)或RDP
操作时建议做好记录或备份
1.4、应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等
描述
关注“管理审核和安全日志”的权限用户,关注“安全”、“应用程序”和“系统”日志“属性”的存储大小和覆盖周期;限制Guest访问
检查提示
--
加固建议
1、管理工具->本地安全策略->安全设置->本地策略->用户权限分配,右键点击策略“管理审核和安全日志”点属性,查看是否只有系统管理员组在本地安全设置的用户列表中。2、管理工具->事件查看器;查看“安全”、“系统”和“应用程序”日志的属性,存储大小不小于2M;3、打开目录文件C:\Windows\System32\winevt右键logs选择安全->编辑,删除guests用户
操作时建议做好记录或备份
二、访问控制
2.1、应重命名或删除默认账户,修改默认账户的默认口令
描述
检查匿名/默认用户的访问权限是否已被禁用或者严格限制,主要检查:1、重命名默认的administrator账户;2、禁用guest账户
检查提示
--
加固建议
1、重命名默认的administrator账户,在管理工具打开本地安全策略,打开路径:安全设置\本地策略\安全选项。双击"账户:重命名系统管理员账户",进行重命名。2、禁用guest账户
操作时建议做好记录或备份
2.2、应对登录的用户分配账户和权限
描述
1、检查是否只有默认管理员账户,是否创建了除默认管理员之外的账户,使用域控账户可忽略;2、检查匿名账户访问控制权限
检查提示
--
加固建议
1、为登陆每个用户创建独立的账户,确保无多人共用同一个账号。2、在管理工具打开本地安全策略,打开路径:安全设置\本地策略\安全选项。将网络访问中“Everyone权限应用于匿名用户“设置为:已禁用;将“不允许SAM帐户的匿名枚举“设置为:已启用;将“不允许SAM帐户和共享的匿名枚举”设置为:已启用(或在注册表目录HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa目录下,创建一个QWORD,名称为:RestrictAnonymous 值为1);将”允许匿名SID/名称转换“设置为:已禁用。
操作时建议做好记录或备份
2.3、访问控制的粒度应达到主体为用户级或进程级,客体为文件、数据库表级
描述
1、检查system32文件夹、system32/config、system32/secpol文件访问权限 2、检查默认共享
检查提示
--
加固建议
找到目录%systemroot%\system32、%systemroot%\system32\config、%systemroot%\system32\secpol(如无可忽略),右键目录,依次选择点击属性->安全->编辑。使之符合以下规则: 1、%systemroot%\system32文件的用户不包括everyone 2、%systemroot%\system32\config文件的用户不包括
CREATOR OWNER
Power Users
users
Guests
everyone3、%systemroot%\system32\secpol的文件不包括
CREATOR OWNER
Power Users
everyone关闭默认共享,注册表中HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\lanmanserver\parameters中新建DWORD,名称为AutoShareServer,键值为0
操作时建议做好记录或备份
2.4、应及时删除多余的、过期的帐户,避免共享帐户的存在
描述
1、检查是否有已停用用户guest除外 2、检查可疑隐藏账号
检查提示
--
加固建议
1、打开开始->运行输入compmgmt.msc,打开计算机管理,点击本地用户和组->用户,删除所有已$结尾的用户名 2、、打开开始->运行输入compmgmt.msc,打开计算机管理,点击本地用户和组->用户,删除所有已经停用的非guest账号
操作时建议做好记录或备份
2.5、应授予管理用户所需的最小权限,实现管理用户的权限分离
描述
1、获得文件或其他对象的所有权、 2、创建页面文件 3、调试程序权限分配
检查提示
--
加固建议
将本地计算机策略\计算机配置\Windows设置\安全设置\本地策略\用户权限分配下的“获得文件或其他对象的所有权”、“创建页面文件”、“调试程序”三项策略用户组配置为Administrators
操作时建议做好记录或备份
2.6、应由授权主体配置访问控制策略,访问控制策略规定主体对客体的访问规则
描述
检查部分系统重要文件目录的用户组权限
检查提示
--
加固建议
找到目录c:\programe files,右键目录,依次选择点击属性->安全->高级。去除users组的写入和修改权限
操作时建议做好记录或备份
三、安全审计
3.1、应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计
描述
开启审核策略,对重要的用户行为和重要安全事件进行审计
检查提示
--
加固建议
在管理工具打开本地安全策略,打开路径:安全设置\本地策略\审核策略,将全部审核策略配置为:成功,失败。包括审核策略更改、审核对象访问、审核进程跟踪、审核目录服务访问、审核账户登陆事件、审核特权使用、审核系统事件、审核账户管理、审核登陆事件共九项。
操作时建议做好记录或备份
3.2、审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息
描述
开启审核策略即满足此项
检查提示
--
加固建议
在管理工具打开本地安全策略,打开路径:安全设置\本地策略\审核策略,将全部审核策略配置为:成功,失败。包括审核策略更改、审核对象访问、审核进程跟踪、审核目录服务访问、审核账户登陆事件、审核特权使用、审核系统事件、审核账户管理、审核登陆事件共九项。
操作时建议做好记录或备份
3.3、应保护审计进程,避免受到未预期的中断
描述
用户权限分配“管理审核和安全日志”,查看是否只有系统审计员或系统审计员所在的用户组。
检查提示
--
加固建议
运行gpedit.msc,找到 本地计算机策略\计算机配置\Windows设置\安全设置\本地策略\用户权限分配\管理审核和安全日志 配置为:
Administrators操作时建议做好记录或备份
四、入侵防范
3.4、应关闭不需要的系统服务、默认共享和高危端口
描述
1)系统安装的组件和应用程序遵循了最小安装的原则;? 2)不必要的服务没有启动;?3)不必要的端口没有打开;4)关闭默认共享
检查提示
--
加固建议
1、查看已经启动的或者是手动的服务,一些不必要的服务如NetMeeting Remote Desktop Sharing|Alerter|Messenger|Remote Registry|Remote Desktop Help Session Manager是否已启动。2、关闭默认共享,注册表中HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\lanmanserver\parameters中新建DWORD,名称为AutoShareServer,键值为0,然后重启。3、关闭135、136、137、138、139、445(共享文件和打印机)、593、1025、2745、3127、6129等端口。
操作时建议做好记录或备份
3.5、应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制
描述
应根据网络环境需要限制终端接入的IP地址
检查提示
--
加固建议
在命令行输入gpedit.msc,打开本地组策略编辑器界面,点击左侧列表中的本地计算机策略-〉计算机配置-〉Windows设置-〉安全设置-〉IP安全策略,在本地计算机,根据网络安全需要进行配置
操作时建议做好记录或备份
3.6、应能发现可能存在的已知漏洞,并在经过充分测试评估后,及时修补漏洞
描述
云安全中心的漏洞检测和修复功能可以满足,如有其他方式,此项可忽略。
检查提示
--
加固建议
安装云安全中心客户端
操作时建议做好记录或备份
3.7、应遵循最小安装的原则,仅安装需要的组件和应用程序
描述
1、仅启用必需的系统服务,停止不必要的服务,如NetMeeting Remote Desktop Sharing|Alerter|Messenger|Remote Registry|Remote Desktop Help Session Manager。2、自查和卸载不必要的应用程序
检查提示
--
加固建议
1、查看已经启动的或者是手动的系统服务,停止一些不必要的服务如NetMeeting Remote Desktop Sharing|Alerter|Messenger|Remote Registry|Remote Desktop Help Session Manager。2、自查和卸载不必要的应用程序
操作时建议做好记录或备份
3.8、应能够检测到对重要节点进行入侵的行为,并在发生严重入侵事件时提供报警
描述
云安全中心有入侵检测和告警功能,如有其他方式,此项可忽略。
检查提示
--
加固建议
安装云安全中心客户端
操作时建议做好记录或备份
五、恶意代码防范
5.1、应安装防恶意代码软件,并及时更新防恶意代码软件版本和恶意代码库
描述
检测是否安装使用云安全中心,如安装了其他防恶意代码软件,此项可忽略。
检查提示
--
加固建议
安装云安全中心客户端
操作时建议做好记录或备份