Windows Server 2008 安全基线-V0.1.doc-道客多多

资源描述

1、目录1 安全基线要求 .31.1 系统补丁 .31.2 帐户策略 .31.2.1 审核口令设置安全策略 .31.2.2 审核策略 .31.2.3 高级安全审核 .41.2.3.1 系统 .41.2.3.2 登录/注销 41.2.3.3 对象访问 .41.2.3.4 特权使用 .51.2.3.5 详细跟踪 .51.2.3.6 策略更改 .51.2.3.7 帐户管理 .51.2.3.8 DS 访问 .61.2.3.9 帐户登录 .61.3 安全选项设置 .61.3.1 Microsoft 网络服务器 61.3.2 审核 .61.3.3 用户帐户控制 .71.3.4 网络安全 .71.3.5 故障

2、恢复控制台 .71.3.6 关机 .81.3.7 系统对象 .81.3.8 系统加密 .81.3.9 系统设置 .81.3.10 网络访问 81.3.11 帐户 91.3.12 设备设置 91.3.13 交互式登录设置 91.4 用户权限分配 101.5 注册表设置 111.5.1 审核空连接设置 111.5.2 审核注册表开启型木马 111.5.3 SYN 攻击保护 .111.5.4 DDOS 攻击防御 121.6 其他安全防护 121.6.1 关闭自动播放功能 121.6.2 提升时枚举管理员帐户 121.6.3 审核网络共享安全 121.6.4 应用程序检查 13Windows 2008

3、 Server 安全基线第 2 页共 13 1.6.5 HOSTS 文件检查 .131.6.6 端口状态检查 131.6.7 进程状态检查 13Windows 2008 Server 安全基线第 3 页共 13 1 安全基线要求1.1 系统补丁配置项名称系统 Service Pack 和其他 Hotfix 的安装情况操作步骤查看 Windows Server 2008 安装的 SP 情况：点击开始（start）运行（run），输入命令“winver” ，回车；记录当前的 SP 版本号。查看 Windows Server 2008 安装的其他补丁的情况：安装所有 Critical/imp

4、ortant 级别补丁，建议使用 Windows Update 或建立内部 WSUS 系统对其他级别补丁进行检查安全建议Windows 2008 Server 应安装 SP2。并安装所有严重和重要级别的最新的补丁程序（hotfix）。建议：建议使用内部 WSUS 服务器升级所有关键补丁备注1.2 帐户策略1.2.1 审核口令设置安全策略配置项名称审核口令设置安全策略操作步骤开始控制面板管理工具本地安全策略帐户策略安全建议密码最长使用期限为 90 天；强制密码历史为 5 个；安全标准设置密码必须符合复杂性要求为已启用；密码长度最小值为 7；密码最短使用期限为 1 天；用可还原的加密来储存

5、密码为已禁用；复位帐户锁定计时器为 5 分钟；帐户锁定时间为 5 分钟；帐户锁定阈值 6 次无效登录。备注1.2.2 审核策略配置项名称审核策略操作步骤开始控制面板管理工具本地安全策略本地策略审核策略Windows 2008 Server 安全基线第 4 页共 13 安全建议安全标准设置如下：审核策略更改：成功和失败审核登录事件：成功和失败审核对象访问：成功和失败审计过程跟踪：无审核审计目录服务访问：无审核审核特权使用：无审核审核系统事件：成功和失败审核帐户登录事件：成功和失败审核帐户管理：成功和失败备注对于 DC 服务器，审核登录事件应只审核失败1.2.3 高级安全审核1.2.3.

6、1 系统配置项名称高级安全审核策略-系统操作步骤 “运行”输入 gpedit.msc 打开“本地组策略编辑器”计算机配置windows 设置安全设置高级安全审核策略配置系统审核策略-本地组策略对象系统安全建议安全标准设置如下：审核 IPsec 驱动程序成功和失败审核安全状态更改成功和失败审核安全系统扩展成功和失败系统完整性成功和失败备注1.2.3.2 登录/注销配置项名称高级安全审核策略-登录/注销操作步骤 “运行”输入 gpedit.msc 打开“本地组策略编辑器”计算机配置windows 设置安全设置高级安全审核策略配置系统审核策略-本地组策略对象登录/注销安全建议安全标准设置

7、如下：审核注销成功审核登录成功和失败审核特殊登录成功备注1.2.3.3 对象访问配置项名称高级安全审核策略-对象访问操作步骤 “运行”输入 gpedit.msc 打开“本地组策略编辑器”计算机配置windows 设置安全设置高级安全审核策略配置系统审核策略-本地组策略对象对象访问Windows 2008 Server 安全基线第 5 页共 13 安全建议安全标准设置如下：审核文件系统失败审核注册表失败备注1.2.3.4 特权使用配置项名称高级安全审核策略-特权使用操作步骤 “运行”输入 gpedit.msc 打开“本地组策略编辑器”计算机配置windows 设置安全设置高级安全

8、审核策略配置系统审核策略-本地组策略对象特权使用安全建议安全标准设置如下：审核敏感特权使用成功和失败备注1.2.3.5 详细跟踪配置项名称高级安全审核策略-详细跟踪操作步骤 “运行”输入 gpedit.msc 打开“本地组策略编辑器”计算机配置windows 设置安全设置高级安全审核策略配置系统审核策略-本地组策略对象详细跟踪安全建议安全标准设置如下：审核敏进程创建成功备注1.2.3.6 策略更改配置项名称高级安全审核策略-策略更改操作步骤 “运行”输入 gpedit.msc 打开“本地组策略编辑器”计算机配置windows 设置安全设置高级安全审核策略配置系统审核策略-本地组策略

9、对象策略更改安全建议安全标准设置如下：审核审核策略更改成功和失败审核身份验证策略更改成功备注1.2.3.7 帐户管理配置项名称高级安全审核策略-帐户管理操作步骤 “运行”输入 gpedit.msc 打开“本地组策略编辑器”计算机配置windows 设置安全设置高级安全审核策略配置系统审核策略-本地组策略对象帐户管理安全建议安全标准设置如下：审核计算机帐户管理成功和失败审核其他帐户管理事件成功和失败审核安全组管理成功和失败Windows 2008 Server 安全基线第 6 页共 13 审核用户账户管理成功和失败备注1.2.3.8 DS 访问配置项名称高级安全审核策略-DS

10、访问操作步骤 “运行”输入 gpedit.msc 打开“本地组策略编辑器”计算机配置windows 设置安全设置高级安全审核策略配置系统审核策略-本地组策略对象DS 访问安全建议安全标准设置如下：审核目录服务访问成功和失败审核目录服务更改成功和失败备注1.2.3.9 帐户登录配置项名称高级安全审核策略-帐户登录操作步骤 “运行”输入 gpedit.msc 打开“本地组策略编辑器”计算机配置windows 设置安全设置高级安全审核策略配置系统审核策略-本地组策略对象帐户登录安全建议安全标准设置如下：审核凭据验证成功和失败备注1.3 安全选项设置1.3.1 Microsoft 网络服务器

11、配置项名称安全选项- Microsoft 网络服务端操作步骤开始控制面板管理工具本地安全策略本地策略安全选项安全建议登录时间过期后断开与客户端的连接已启用；暂停会话前所需的空闲时间数量 15 分钟；登录时间过期后断开与客户端的连接已启用；备注1.3.2 审核配置项名称安全选项- 审核操作步骤开始控制面板管理工具本地安全策略本地策略安全选项安全建议如果无法记录安全审核则立即关闭系统已禁用；强制审核策略子类别设置（Windows Vista 或更高版本）替代审核策略类别设置 Windows 2008 Server 安全基线第 7 页共 13 已启用；备注1.3.3 用户帐户控制配

12、置项名称安全选项- 用户帐户控制操作步骤开始控制面板管理工具本地安全策略本地策略安全选项安全建议用户内置管理员账户的管理员批准模式已启用；管理员批准模式中管理员的提升权限提示的行为提示凭据；标准用户的提升提示行为自动拒绝提升请求；检测应用程序安装并提示提升已启用；仅提升安装在安全位置的 UIAccess 应用程序已启用；以管理员批准模式运行所有管理员已启用；提示提升时切换到安全桌面已启用；将文件和注册表写入错误虚拟化到每用户位置已启用；备注1.3.4 网络安全配置项名称安全选项- 网络安全操作步骤开始控制面板管理工具本地安全策略本地策略安全选项安全建议基于 NTLM S

13、SP（包括安全 RPC）服务器的最小会话安全 Require NTLMv2 session security，Require 128-bit encryption ；不要在下次更改密码时存储 LAN manager 的哈希值已启用；LAN manager 身份验证级别仅发送 NTLMv2 响应拒绝 LM；LDAP 客户端签名要求协商签名；基于 NTLM SSP（包括安全 RPC）客户端的最小会话安全要求 NTLMv2 会话安全，要求 128 位加密备注1.3.5 故障恢复控制台配置项名称安全选项-故障恢复控制台操作步骤开始控制面板管理工具本地安全策略本地策略安全选项安全建议允许自

14、动管理登录已禁用。备注Windows 2008 Server 安全基线第 8 页共 13 1.3.6 关机配置项名称安全选项-关机操作步骤开始控制面板管理工具本地安全策略本地策略安全选项安全建议清除虚拟内存页面文件已禁用；允许系统在未登录的情况下关机已禁用。备注1.3.7 系统对象配置项名称安全选项-系统对象操作步骤开始控制面板管理工具本地安全策略本地策略安全选项安全建议非 windows 子系统不要求区分大小写已启用；加强内部系统对象的默认权限（例如，符号链接）已启用；备注1.3.8 系统加密配置项名称安全选项-系统加密操作步骤开始控制面板管理工具本地安全策略本地

15、策略安全选项安全建议为计算机上存储的用户密钥强制使用强密钥保护用户每次使用密钥时必须键入密码。备注1.3.9 系统设置配置项名称安全选项-系统设置操作步骤开始控制面板管理工具本地安全策略本地策略安全选项安全建议可选子系统无；备注1.3.10 网络访问配置项名称安全选项- 网络访问操作步骤开始控制面板管理工具本地安全策略本地策略安全选项Windows 2008 Server 安全基线第 9 页共 13 安全建议可远程访问的注册表路径和子路无允许匿名 SID/名称转换已禁用；不允许 SAM 帐户的匿名枚举已启用；不允许 SAM 帐户和共享的匿名枚举已启用；不允许为网络身

16、份验证储存凭证或.net passports 已启用；让每个人（Everyone）权限应用于匿名用户已禁用；可匿名访问命名管道和共享无定义；可远程访问的注册表路径无定义；限制对命名管道和共享的匿名访问已启用；可匿名访问的命名管道无；本地帐户的共享和安全模式经典；备注1.3.11 帐户配置项名称安全选项- 安全选项操作步骤开始控制面板管理工具本地安全策略本地策略安全选项安全建议如果来宾帐号为非禁用状态，则也应该重命名来宾帐户不包含“guets”字段；来宾帐户状态已禁用；使用空白密码的本地帐户只允许进行控制台登录已启用；备注1.3.12 设备设置配置项名称安全选项-设备操

17、作步骤开始控制面板管理工具本地安全策略本地策略安全选项安全建议允许格式化与弹出可移动媒体 administrators；防止用户安装打印机驱动程序已启用将 CD-ROM 的访问权限仅限于本地登录的用户已启用；将软盘驱动器的访问权限仅限于本地登录的用户已启用；备注1.3.13 交互式登录设置配置项名称安全选项-交互式登录操作步骤开始控制面板管理工具本地安全策略本地策略安全选项安全建议不显示上次登录的用户名已启用；不需要按 Ctrl+Alt+Del 已禁用；Windows 2008 Server 安全基线第 10 页共 13 之前登录到缓存的次数（域控制器不可用时） 0 次；提示

18、用户在过期之前更改密码 30 天；智能卡移除操作锁定工作站；试图登录的用户的消息文本 “可设定一些祝福本组织的文字” ；试图登录的用户的消息标题 “可设定一些祝福本组织的文字” ；需要智能卡已禁用；备注1.4 用户权限分配配置项名称用户权限分配操作步骤开始控制面板管理工具本地安全策略本地策略用户权限分配安全建议调整进程的内存配额 NETWORK SERVICE，LOCAL SERVICE，Administrators；备份文件和目录 Administrators；绕过遍历检查 Administrators, Authenticated Users, Backup Operators,

19、Local Service, Network Service；创建全局对象 Administrators, SERVICE, Local Service, Network Service；拒绝从网络访问这台计算机 Guests；从远程系统强制关机 Administrators装载和卸载设备驱动程序 Administrators；管理审核和安全日志 Administrators；执行卷维护任务 Administrators；关闭系统 Administrators；允许在本地登录 Administrators；通过终端服务允许登录 Administrators；创建符号链接 Administrat

20、ors；拒绝本地登录 Guests；通过终端服务拒绝登录 Guests；生成安全审核 Local Service，Network Service增加进程工作集 Administrators, Local Service；还原文件和目录 Administrators, Backup Operators；取得文件或其他对象的所有权 Administrators.；作为受信任的呼叫方访问凭据管理器无；备注Windows 2008 Server 安全基线第 11 页共 13 1.5 注册表设置1.5.1 审核空连接设置配置项名称审核空连接设置操作步骤检查注册表设置：HKEY_LOCAL_MACH

21、INESYSTEMCurrentControlSetControlLsarestrictanonymous REG_DWORD 0x0 缺省0x1 匿名用户无法列举本机用户列表0x2 匿名用户无法连接本机 IPC$共享安全建议安全标准设置为 1不建议使用 2，否则可能会造成一些服务无法启动，如 SQL Server。备注1.5.2 审核注册表开启型木马配置项名称审核注册表开启型木马操作步骤运行-regedit，查看以下注册项：HKEY_LOCAL_MACHINESOFTWAR|EMicrosoftWindowsCurrentVersionRun HKEY_LOCAL_MACHINESOFT

22、WAREMicrosoftWindowsCurrentVersionRunOnce HKEY_LOCAL_MACHINESOFTWARE|MicrosoftWindowsCurrentVersionRunOnceEx把结果分别导出为 run.reg、runonce.reg、runonceex.reg安全建议删除这些注册项下的可疑键值。备注一些木马与后门程序通过改写注册表来自动装载入系统。=1.6 其他安全防护1.6.1 关闭自动播放功能配置项名称关闭 Windows 自动播放功能操作步骤点击开始运行输入 gpedit.msc，打开组策略编辑器，浏览到计算机配置管理模板windows 组

23、件自动播放策略，在右边窗格中双击“关闭自动播放”安全建议建议“关闭自动播放”配置已启用，启用范围：所有驱动器。备注Windows 2008 Server 安全基线第 12 页共 13 1.6.2 提升时枚举管理员帐户配置项名称提升时枚举管理员帐户操作步骤点击开始运行输入 gpedit.msc，打开组策略编辑器，浏览到计算机配置管理模板windows 组件凭据用户界面，在右边窗格中双击“提升时枚举管理员帐户”安全建议提升时枚举管理员帐户无定义备注1.6.3 审核网络共享安全配置项名称审核网络共享安全操作步骤在 cmd 窗口中运行：net share C:netshare.txt

24、并另存为 netshare.txt 检查本地网络共享路径安全建议关闭或删除不必要的网络共享，删除各驱动器根目录的默认共享、远程管理。如本机不用共享文件给其他人使用，则在本地连接属性中，禁用“Microsoft 网络的文件和打印共享” 。备注1.6.4 应用程序检查配置项名称应用程序检查操作步骤检查“添加或删除程序”面板中的列表安全建议不要安装不必要的应用程序，向管理员确认可卸载的应用软件项。备注1.6.5 HOSTS 文件检查配置项名称 HOSTS 文件检查操作步骤检查 C:windowssystem32driversetc 目录下的用于静态 DNS 解析的 HOSTS 文件内容是否正

25、常。安全建议确保 C:windowssystem32driversetc 目录下的用于静态 DNS 解析的 HOSTS 文件内容正常，对于未知条目可以与管理员追查。备注1.6.6 端口状态检查配置项名称审核系统内活动的端口是否正常Windows 2008 Server 安全基线第 13 页共 13 操作步骤在命令行模式下，输入 netstat an C:portlist.txt。即可导出当前活动端口列表到指定文件。安全建议注意异常端口，与管理员追查异常端口相关项。备注1.6.7 进程状态检查配置项名称审核系统内活动的进程是否正常操作步骤使用任务管理器，可获得当前活动进程列表。导出进程列表，定期检查是否出现异常和未知的进程。安全建议注意异常和未知进程，与管理员追查进程相关项。备注

展开阅读全文