00 关注官方安全更新公告

合规要求

在不影响业务正常运行的情况下,及时更新系统,打补丁。

加固指南

根据自己的需要进行筛选,即按日期范围、产品、严重性和影响搜索。也可以按 KB 或 CVE 编号搜索。

关于怎么打补丁这里就不介绍了(重要系统一定要先对补丁进行测试,打补丁可能会破坏系统的稳定性或出现bug等情况则会影响系统的正常运行),以及什么补丁是必需要打上的。

比如内网实现定期自动化批量更新补丁、云服务器又怎么打补丁、缺少重要补丁给出警告、定期进行主机层面的漏洞扫描 等等。

https://portal.msrc.microsoft.com/zh-cn/security-guidance

1596075038441

加固作用

修复历史漏洞、在互联网披露的漏洞等,提高安全性。

01 配置密码策略

合规要求

1.启用密码必须符合复杂性要求,密码必须符合由数字、大写字母、小写字母、特殊字符,其中任意三种的组合。密码长度8位以上(包含8位)。密码不能包含用户名。密码有效期在1-180天的范围。至少不允许使用前5次的历史密码。
2.用户无“密码永不过期”属性。

加固指南

像密码复杂度,这个一定是要开启的。同样在新建账户时,口令需要符合密码策略。

另外,当某一个设置项存在冲突时,计算机管理与本地组策略相左时,以计算机管理中的配置为准。

1、打开 本地组策略 定位到密码策略,参照合规要求进行配置。

1596077192994

2、打开 计算机管理 定位到用户,检查所有用户的属性,应不勾选“密码永不过期”选项。

1596078054875

加固作用

增强密码复杂度,并设置密码有效期,可防止攻击者猜解账户口令。

参考阅读

密码策略 - 微软文档

关于密码永不过期和密码策略中密码最常使用期限的问题讨论

Windows密码策略

02 配置登录失败处理功能

合规要求

在5分钟之内,连续错误登录次数15次后,至少锁定该账号5分钟。

加固指南

打开 本地组策略 定位到密码策略,参照合规要求进行配置。

1596087413689

加固作用

防止账户被暴力破解。

03 禁止账户自动登录

合规要求

系统不存在自动登录的账户。

加固指南

有些人为了方便,喜欢开启自动登录,这样电脑一开机就自动登录了一个账户(一般为管理员账户),这样是存在安全隐患的。

打开“运行”窗口,输入 netplwiz ,所有用户都必须勾选“要使用本计算机,用户必须输入用户名和密码”。

0o0_2020-07-29_16-05-54

加固作用

防止近源渗透攻击、物理攻击。

04 禁止出现空口令账户

合规要求

系统不存在空口令的账户。

加固指南

先使用管理员账户进入系统,查询系统可登录的账户,记下用户名,按Ctrl+Alt+Del去操作系统登录界面,一一测试(只输入用户名,不输入口令),看是否存在空口令账户。

然后查看组策略中安全选项中的账户策略,把“帐户: 使用空密码的本地帐户只允许进行控制台登录”这条策略改为已禁用,代表不允许存在空口令账户。

0o0_2020-07-29_16-40-56

加固作用

防止出现空口令账户。

05 关闭多余的文件共享

合规要求

1.只允许存在有业务需要的共享文件夹。
2.共享权限中不应存在Everyone组,具体权限根据业务需要来定。

加固指南

打开计算机管理找到共享或使用cmd输入net share命令,可查看当前的共享文件夹。

1597110287804

加固作用

减少攻击面,避免一些已披露的漏洞。

06 关闭多余的端口

合规要求

遵循最小开放原则,根据业务判定,非必要端口禁止对外开放。

加固指南

思路(不限于下面三种方法)

  1. 直接关闭或卸载占用非必要端口的程序;
  2. 利用windows自带防火墙进行访问控制;
  3. 在安全设备上设置ACL策略;

1597111907031

加固作用

减少攻击面,避免一些已披露的漏洞。

参考阅读

https://blog.51cto.com/taihaikj/1925355

135、137、138、139、445等端口解释和关闭方法

https://blog.csdn.net/qq1124794084/article/details/51690981

netstat端口状态查看命令详解 - 黑面狐

07 关闭多余的服务

合规要求

遵循最小开放原则,根据业务判定,非必要服务禁止运行。

加固指南

思路(不限于下面三种方法)

  1. 直接禁用非必要服务对应的程序;
  2. 把非必要服务设置为手动启动;
  3. 检查服务器开机自启的一些程序,看是否有非必要服务;

1597113830489

加固作用

减少攻击面,避免一些已披露的漏洞。

08 卸载非必要组件和应用程序

合规要求

遵循最小开放原则,根据业务判定,非必要程序禁止安装使用。

加固指南

思路:直接卸载非必要的程序和功能组件。

1597115439449

1597115490986

加固作用

减少攻击面,避免一些已披露的漏洞。

09 启用安全审计功能

合规要求

对重要事件开启成功和失败的审核策略。

加固指南

运行“gpedit.msc”在计算机配置->Windows设置->安全设置->本地策略->审核策略,启用相关策略。

1
2
3
4
5
1. 审计帐户登录事件: 成功,失败;    		 6. 审计策略更改: 成功,失败 ;
2. 审计帐户管理: 成功,失败 ;			  7. 审计特权使用: 成功,失败 ;
3. 审计目录服务访问: 成功,失败; 	     8. 审计系统事件: 成功,失败;
4. 审计登录事件: 成功,失败 ;			  9. 审计过程追踪: 失败;
5. 审计对象访问: 成功,失败 ;

1597051105926

加固作用

  1. 用于溯源。

  2. 网络安全法规定:采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;

其它建议

  1. 做好重要数据的备份工作(异地、冗余、热备等)
  2. 定期对服务器进行漏洞扫描和渗透测试,并修复所发现的漏洞
  3. 开启Windows防火墙
  4. 配置固定IP地址
  5. 站库分离
  6. 部署安全设备(防火墙、防毒墙、网关、态势感知 等等)

一些小知识

注意:

文章的合规要求中具体的标准,参照了等保测评中的要求和其它国标文档等,也就是可以算是基线要求。实际配置的时候,应在满足基线要求的前提下,结合业务需求去配置具体的值,而不是仅仅配置为基线要求最低的值。

配置冲突问题

当服务器配置有冲突时,优先级关系如下:

1
2
3
域策略 > 本地策略
计算机管理 > 组策略
用户设置 > 计算机设置

如果一个是域策略、一个是本地策略,设置相左时,以域策略为准;

如果一个是域策略、一个是本地策略,设置相左时,以域策略为准;

如果一个是计算机设置、一个是用户设置,设置相左时,以用户设置为准;

如果是同一个用户的两个相左的设置,以其中影响面比较小的那个为准。

扩展阅读

Windows操作系统安全加固

https://help.aliyun.com/knowledge_detail/49781.html

安全基线-Microsoft Security Compliance Toolkit 1.0
https://docs.microsoft.com/zh-cn/windows/security/threat-protection/security-compliance-toolkit-10

Windows Server CIS 基准

https://www.cisecurity.org/benchmark/microsoft_windows_server/