windows安全加固:如何提高在工作中的基本能力

avatar shenyifan 2023-09-27 09:50 424次浏览 评论已关闭

在工作中,基于云安全的工作内容,我们花时间整理了Windows安全加固文件。事实上,加固的主要目的是等待保证评估。

因此,基于等保三级标准,以下加固项目在技术上包含了大部分必要的内容。一小部分,如增加普通用户的运维、权限分离、关闭不必要的服务、关闭一些共享等,可能会影响业务,因此在决定之前需要与客户沟通。

主要基于Windowserver 其实2023年写的也适用于2022年

基于等保三级,大致分为身份识别、访问控制、安全审计、资源控制、入侵预防、恶意代码预防和剩余信息保护七个方面。

01身份鉴别
密码策略,包括密码长度、密码生存周期等。以及一些锁定策略。

2022年比较直观,可以在“开始->管理工具->本地安全策略”中找到。2023年左下角的管理界面打开后,可以在右上角的工具中看到。

计算机管理可以看到账户

绝大多数的策略都是在当地的安全策略中设置的

根据图中的变化。

《信息安全等级保护基本要求》

主机安全-身份识别

c)管理用户身份识别的操作系统和数据库系统应具有不易冒用的功能

特点:系统的静态密码应为7 它由字母、数字、符号等组成,每三个月更换一次密码。

配置:“密码必须符合复杂性要求”选择“已启动”;

“最小密码长度值”设置为“八个字符”。

“强制密码历史”设置为“五个记忆密码”。

“密码最长存留期”设置为“90天”。

“密码最短使用寿命”是否设置为“2天”?

 

《信息安全等级保护基本要求》

主机安全-身份鉴定

d) 应用登录失败处理功能,可采取结束会话、限制登录间隔、限制非法登录次数和自动退出等措施

配置:“账户锁定阀值”设置为10次无效登录;

设置为“账户锁定时间” 3分钟;

“复位账户锁定计数器”设置为“3分钟后”

 

《信息安全等级保护基本要求》

主机安全-身份鉴定

b)识别和识别登录操作系统和数据库系统的用户

配置“网络访问:SAM不允许 匿名枚举账户设置为“已启用”

“交互式登录:提示用户在密码过期前更改”设置为“15天”

“域成员:”“禁用计算机账户密码变更”设置为“禁用”(不设置)

02访问控制
《信息系统等级保护基本要求》

主机安全-访问控制

a)应启用访问控制功能,并根据安全策略控制用户访问资源

b)根据管理用户的角色分配权限,实现管理用户的权限分离,只授予管理用户所需的最小权限

配置:“允许本地登录”右击“属性”

“从远端系统强制关机”设置为“只指派Administrators” 组”

“关闭系统”设置为“只指派Administrators” 组”修改为需要

“获取文件或其他对象的所有权”设置为“只指派Administrators” 组”

“交互式登录:无需按压 ctrl alt del在“属性”中设置为“已禁用”。

“交互式登录:域控制器身份验证需要解锁工作站”设置为“已启用”

按需设置:
如需启用 SNMP 然后修改默认的SNMP服务 Community String 设

置。
查看每个共享文件夹的共享权限,只允许授权账户共享权限

本文件夹禁止使用共享权限为“everyone”

此外,还需要防火墙,云主机一般都有统一的ids,ips,管理和审计firewall等安全设备。

03安全审计
《信息安全等级保护基本要求》

主机安全-安全审计

a)审计范围应覆盖服务器和重要客户端的每个操作系统用户和数据库用户;

c)审计记录应包括事件的日期、时间、类型、主要标志、对象标志和结果,并定期备份审计记录,记录敏感数据的保存时间

不少于半年;

主要是对日志的一些审查。

配置:设置为成功和失败的审计

“开始->管理工具->服务”:

启动“Windows 并将Time服务设置为自动。

日志策略的系统、安全和应用程序

日志的大小不小于“8192KB”

“根据需要重写事件”是日志最大尺寸。

04资源控制
《信息安全等级保护基本要求》

主机安全-资源控制

b)登录终端的操作应按照安全策略加时锁定

配置:“网络安全:超过登录时间后强制注销”设置为“已启用”

“Microsoft 网络服务器设置为“挂会话前所需的空闲时间” 15 分钟

《信息安全等级保护基本要求》

主机安全-资源控制

a)终端登录应限制设置终端接入模式、网络地址范围等条件

配置:进入“开始->控制面板->自动播放”:清除“所有媒体和设备自动播放”前的勾号并保存。

《信息安全等级保护基本要求》

主机安全-资源控制

d) 限制单个用户对系统资源的最大或最小使用

主要是磁盘分区:最好使用更安全的NTFS 磁盘的格式划分。

操作系统应安装在磁盘的第一个逻辑分区

服务器应至少建立两个或两个以上的磁盘分区

此外 对于一些服务的审核,需要沟通确认不必要的服务关闭。

 

05入侵防范
《信息安全等级保护基本要求》

主机安全-入侵防范

c) 操作系统应遵循最小安装的原则,只安装所需的组件和应用程序,并通过设置升级服务器和系统软件预防性维护服务及时更新系统补丁

这是补丁的更新,但不一定是最新的是最合适的,所以要慎重选择。

06恶意代码保护

《信息安全等级保护基本要求》

主机安全-恶意代码预防

a) 国家安全部门认证的正版防恶意代码软件应安装。对于依附于病毒库进行恶意代码检查的软件,应及时更新防恶意代码软件版本和恶意代码库。对于非依赖病毒库进行恶意代码防御的软件,如主动防御软件,应确保软件使用的特征库的有效性和实时性,对于一些无法安装相应软件的系统,可采取其他安全防护措施,确保系统不受恶意代码攻击。

杀毒软件的安全性和更新,现在大部分业务服务器都是瑞星正版杀毒。

07保护剩余信息

《信息安全等级保护基本要求》

主机安全-剩余信息保护-剩余信息保护

a)无论是存储在硬盘上还是存储在内存中,都应确保操作系统和数据库系统用户识别信息的存储空间在被释放或重新分配给其他用户之前完全清除。

配置:“交互登录:不显示上次用户名”配置为“已启用”。

“关机:清除虚拟内存页面文件”配置为“已启用”。

“交互式登录:设置可缓存的前次登录数为5”

“交互式登录标题设置为警告”

“交互式登录文本设置请勿非法登录本系统。”

 

Linux计划也将在后续进行。

都是简单的加固,欢迎指正批评,谢谢阅读。

 

相关操作学习:

Windows系统安全配置:学习Windows操作系统的安全加固方法,详细使用教程请参考:易惠购单透软件,开始操作!

发表评论
请先登录后再评论~
0