文章目录
前言
系统安全基线
一、安全基线概述
1.操作系统安全基线
服务器安全基线是为了满足安全规范要求,服务器必须要达到的安全(最低)标准
- 主要有以下作用
1)设置口令复杂度策略,防止暴力破解密码;
2)控制用户或文件权限,减少被攻击后的影响;
3)最小化安装操作系统,防止不必要的服务带来的安全问题。 - 安全基线在银行、证券、运营商、互联网行业等信息安全领域的应用范围非常广泛
- 通常包含:操作系统、网络设备、数据库等
- Windows系统安全配置
1)用户管理
2)密码策略管理
3)共享管理
4)文件权限管理
5)用户权限管理
6)日志审核管理
7)远程管理
8)其他安全选项
二、系统账户安全
1.控制密码安全
本地安全策略:指的是为保护本计算机资源而配置的规则
本地安全策略工具:开始→管理工具→本地安全策略
- 账户策略:控制用户账户如何与计算机交互
密码策略:确定密码的设置,如密码复杂性和密码长度等
账户锁定策略:确定账户锁定的条件和时间
- 本地策略:审核策略、用户权限分配、安全选项
2.密码策略
1)密码必须符合复杂性要求
- 不能包含用户的账户名
- 包含以下四类字符中的三类字符:大写字母(A到Z),小写字母(a到z),数字(0到9),非字母字符(例如!、$、#、%)等
2)密码长度最小值
3)密码最长使用期限(默认42天)
4)密码最短使用期限
5)强制密码历史
3.账户锁定策略
配置账户锁定策略,防止暴力破解攻击
- 账户锁定时间(在自动解锁之前保持锁定的分钟数)
- 账户锁定阈值(登陆尝试失败的次数)
- 重置账户锁定计数器(多长时间内累加失败次数)
例:密码策略应用
本案例要求在WinSvr2016中设置密码策略,以实现账户安全的要求,相关说明如下:
1)以管理员登录,打开“本地安全策略”
2)设置账户策略中密码策略,密码必须符合复杂性要求:启用
3)设置密码长度最小值:8个
4)验证密码策略
- 步骤一:以管理员登录,打开“本地安全策略”
以administrator登录电脑,依次单击“开始”–>“Windows管理工具”–>“本地安全策略”
打开“本地安全策略”窗口
- 步骤二:设置账户策略中密码策略
1)依次展开“账户策略”–>“密码策略”
2)双击窗口右侧“密码必须符合复杂性要求”,设置为“开启”
3)双击窗口右侧“密码长度最小值”,设置为“8个”
4)最终“密码策略”设置结果
- 步骤三:验证密码策略、
1)验证密码策略,打开“本地用和组”管理窗口,修改用户“guojing”的密码
输入简单的密码“123456”,弹出对话框显示“密码不满足密码策略的要求”
输入复杂的密码“Aa123456”,弹出对话框显示“密码已设置”
例:账户锁定策略应用
本案例要求在WinSvr2016中设置账户锁定策略,以实现账户安全的要求,相关说明如下。
1)以管理员登录,打开“本地安全策略”
2)设置账户策略中账户锁定策略,账户锁定阈值:3
3)账户锁定时间:10分钟
4)验证账户锁定策略
- 步骤一:设置账户策略中账户锁定策略
1)依次展开“账户策略”–>“账户锁定策略”
2)双击窗口右侧“账户锁定阈值”,修改为“3次无效登录”锁定账户
3)双击窗口右侧“账户锁定时间”,修改为“10分钟“
4)最终“账户锁定策略”设置结果
- 步骤二:验证账户锁定策略
1)验证“账户锁定策略”,切换账户使用“guojing”登录,先输入3次错误的密码,当输入第4次时,显示“引用的账户当前已锁定,且可能无法登录
需要等待10分钟后账户“guojing”自动解锁,或使用管理员登录后到“本地用和组”管理窗口中“手动解锁”
三、本地策略
本地策略适用于计算机,包括以下策略:
- 审核策略:设置计算机上的安全日志中的日志记录
- 用户权限分配:设置用户和组的权限
- 安全选项:为计算机指定安全设置
1.审核策略
配置以安全日志的方式记录安全相关事件
- 审核策略更改,记录对策略的修改事件
- 审核登陆事件,记录用户登陆成功或失败事件
- 审核账户管理,记录用户添加/删除/重命名/禁用/启用等事件
- 审核对象访问,记录对非目录(Active Directory)访问的事件
- 审核进程跟踪,记录与进程相关的事件
- 审核目录服务访问,记录对目录(Active Directory)访问的事件
- 审核权限使用,记录用户权限使用的事件
- 审核系统事件,记录对OS进行以下设置的事件(更改系统事件、安全启动或关闭系统、加载可扩展身份验证组件、由于审核系统失败而导致已审核事件丢失、安全日志大小超过可配置的警告或阈值级别)
- 审核账户登陆事件,记录每次验证账户凭证时的事件
2.用户权限分配
设置用户和组的权限
- 允许通过远程桌面服务登陆
- 允许本地登陆
- 拒绝本地登陆
- 更改系统时间
- 备份文件和目录
3.安全选项配置
- 交互式登陆:无需按Ctrl+Alt+Del,默认禁用
- 交互式登陆:提示用户在密码过期之前更改密码,默认5天
- 交互式登陆:不显示最后的用户名,默认禁用
- 关机:允许系统在未登录的情况下关闭,默认禁用
- …
例:审核策略应用
本案例要求在WinSvr2016中设置审核策略,以实现本地计算机安全的要求,相关说明如下。
1)以管理员登录,打开“本地安全策略”
2)设置审核策略,设置审核账户管理:成功、失败
3)分别验证设置本地策略的效果
- 步骤一:设置审核策略
1)打开“本地安全策略”窗口,依次展开“本地策略”–>“审核策略”
2)在窗口右侧,双击“审核账户管理”,在“审核账户管理属性”对话框中,勾选“成功”和“失败”
3)验证审核策略效果,重命名guojing帐户名为jinggege,在控制面板中,双击“管理工具-事件查看器-Windows日志-安全”,双击“用户账户管理事件”在弹出的对话框中,查看账户管理事件
例:用户权限配置应用
本案例要求在WinSvr2016中设置用户权限策略,以实现本地计算机安全的要求,相关说明如下:
1)以管理员登录,打开“本地安全策略”设置用户权限分配
2)设置拒绝本地登录:huangrong
3)设置本地关机:只有管理员用户可以本地关系统操作系统
4)验证设用户权限分配效果
- 步骤一:设置用户权限分配
1)打开“本地安全策略”窗口,依次展开“本地策略”–>“用户权限分配”
2)在窗口右侧双击“拒绝本地登录”,在“拒绝本地登录属性”对话框,添加“huangrong”用户
3)在窗口右侧双击“关闭系统”,在“关闭系统属性”对话框,删除其他用户及组仅保留Administrators组
4)验证用户权限分配,注销登录系统输入用户名huangrong和正确的密码,显示“不允许使用你正在尝试的登录方式,……”
例:安全选项配置应用
本案例要求在WinSvr2016中设置安全选项策略,以实现本地计算机安全的要求,相关说明如下:
1)设置安全选项,交互式登录: 不显示最后的用户名:启用
2)设置安全选项, 交互式登录: 无需按 Ctrl+Alt+Del:启用
3)验证安全选项策略的效果
- 步骤一:设置安全选项
1)打开“本地安全策略”窗口,依次展开“本地策略”–>“安全选项”
2)在窗口右侧双击“交互式登录:不显示最后的用户名”,在其属性对话框,选中“已启用”
3)在窗口右侧双击“交互式登录: 无需按 Ctrl+Alt+Del”,在其属性对话框,选中“已启用”
4)最终“安全选项”设置结果
- 步骤二:验证设置本地策略的效果
1)验证“安全选项”,切换到用户登录界面,发现“无需按Ctrl+Alt+Del” ,而且不显示“最后的登录名”
2)输入用户名huangrong和正确的密码,显示“不允许使用你正在尝试的登录方式,……”
四、系统账户安全加固
1.Windows账户管理
- 多用户系统
Windows不应只有一个管理员用户,应根据业务需求,设定不同的用户和用户组,如管理员用户、web用户、数据库用户 - 定期检查用户,删除无用、过期的账户
应保证所有用户均为有效且在用 - 禁用Guest用户
系统应禁用Guest账户,Guest账户默认不开启 - 账户管理
更改默认管理员账户(应更改默认管理员administrator的名称,防止暴力破解等问题)
不显示最后得到用户名(用户登陆出后,下次登陆时,不应显示上次登陆用户的名称) - 检测方法
控制面板-系统和安全-管理工具-计算机管理
控制面板-系统和安全-管理工具-本地安全策略 - 查看当前系统账户
1)打开cmd查看当前系统账户
2)开始→控制面板→管理工具→计算机管理,进入本地用户和组,查看用户
3)打开注册表,查看用户和组HKEY_LOCAL_MACHINE/SAM/SAM/Domains/Account/Users/
2.共享安全加固
- 关闭默认共享
关闭Windows默认共享
例如:Admin$,C $,D $等 - 检测方法
打开cmd,输入net share查看目前的共享
控制面板→系统和安全→管理工具→计算机管理→共享文件夹→共享 - 删除本机默认共享
1)利用net命令删除(本方法停止共享,立即生效,但是重启系统后,默认共享会自动恢复)
net share ipc$ /delete
net share admin$ /delete
net share c$ /delete
net share c$ /delete
net share c$ /delete
2)关闭磁盘与Admin默认共享
①在注册表编辑器,找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
②双击右侧窗口的“AutoShareServer”项将键值由1改为0,“AutoShareSks”项将键值由1改为0
③如果没有“AutoShareServer”项或“AutoShareSks”项,可新建一个再改键值
④重启后生效,以后重启也不会再出现共享
- 停止共享服务
1)打开服务管理器
2)共享服务对应的名称时“Server”(在进程中的名称为services)
3)双击“Server”,在“常规”标签中把“启动类型”更改为“已禁用”
4)单击下面“服务状态”的“停止”按钮,再确认就可以
例:查看账户信息
本案例要求在Windows系统中查看用户信息,相关说明如下。
1)以管理员登录,进入命令提示环境查看用户
2)打开注册表查看用户
- 步骤一:以管理员登录,运行“命令提示环境”,查看用户信息
以administrator登录电脑,运行–>“cmd”–>“打开命令提示环境”,输入net user命令查看系统用户信息
- 步骤二:打开注册表查看用户信息
1)运行“regedit”打开注册表
2)依次展开“HKEY_LOCAL_MACHINE\SAM\SAM”右击SAM选择权限,添加Administrator用户勾选完全控制权限
3)查看HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names下的键值为用户名
4)用户名键值下的值,对应的Users下的键
5)Users下的F键值,为权限设置信息
例:关闭默认共享
本案例要求在Windows系统中关闭默认共享,提高系统安全,相关说明如下。
1)在注册表编辑器,找到"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters"项
2)“ AutoShareSks”项关闭磁盘默认共享
3)“AutoShareServer”项关闭Admin默认共享
- 步骤一:打开注册表找到parameters"项,编辑注册表关闭默认共享
1)进入Windows命令提示环境,输入net share已查看默认共享有C $、Admin $
2)以管理员登录,打开“注册表”,查
找"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters"项
3)“parameter”项右侧窗口中查找“AutoShareSks”项,如果没有 “AutoShareSks”项,可自己新建一个键值DWORD(32位)值(D),双击“AutoShareSks”项将键值由1改为0
4)“parameter”项右侧窗口中查找"AutoShareServer"项,如果没有 “AutoShareServer”项,可自己新建一个键值DWORD(32位)值(D),双击“AutoShareServer”项将键值由1改为0
5)重启系统运行命令提示环境,输入net share已查看不到磁盘与Admin共享
例:系统服务加固
本例要求为Windows系统服务加固,禁用以下服务:
1)IP Helper、Base Filtering Engine、Print Spooler
2)Security Center、Server、SSDP Discovery
Top
3)TCP/IP NetBIOS Helper
4)Windows Defender Service
- 步骤一:打开服务管理器
1)右击“此电脑”–>“管理”–>“服务”,或者,运行 services.msc 都可以打开服务控制台
2)双击需要关闭的系统服务(比如IP Helper),将启动类型设为“禁用”,如果需要立即禁用此服务,可以单击“停止”按钮,其他需要停止的有务参照此方法完成。
