Directorio de artículos
prefacio
Las empresas deben realizar pruebas de seguridad en los servidores antes de lanzarlos a la red pública, incluido el análisis de vulnerabilidades, las comprobaciones de línea de base, las pruebas de procesos comerciales, etc.
Primero, el propósito
El propósito es proporcionar un conjunto de listas de verificación de referencia para servidores Windows que se publicarán en la red pública para garantizar que la configuración del servidor cumpla con los requisitos de seguridad y garantice la seguridad de la red.
Dos, requisitos
2.1 Acceso y autenticación de usuarios
| Requerir | Método de operación |
|---|---|
| Use políticas de contraseñas complejas y aplique cambios de contraseña regulares (al menos 90 días). Debe contener letras mayúsculas y minúsculas, números y caracteres especiales (como !@#¥&*), evite el uso de caracteres continuos (como abcd) o repetidos (como 1111), y la longitud de la contraseña no debe ser inferior a 8 caracteres Para los sistemas de aplicación, las reglas deben escribirse durante el desarrollo del sistema. | Ejecute "gpedit.msc" en Configuración de la computadora->Configuración de Windows->Configuración de seguridad->Políticas de cuenta->Política de contraseña, habilite "La contraseña debe cumplir con los requisitos de complejidad", "La longitud mínima de la contraseña" se establece en 8 caracteres, "Vigencia máxima de la contraseña " está establecido en 90 días. |
| Se debe cambiar el nombre de la cuenta de administrador y se debe deshabilitar la cuenta de invitado. | Abra el Panel de control -> Administración de equipos -> Usuarios y grupos locales -> Haga clic en Cuenta de administrador -> Renombrar, abra Panel de control -> Administración de equipos -> Usuarios y grupos locales -> Cuenta de invitado independiente -> Propiedades -> Verificar " Cuenta desactivado" |
| Se debe configurar que cuando el número de fallas de autenticación consecutivas del usuario llegue a 5 veces, la cuenta se bloqueará por 30 minutos. | Ejecute "gpedit.msc" en Configuración de la computadora->Configuración de Windows->Configuración de seguridad->Políticas de cuenta->Política de bloqueo de cuenta, establezca "Umbral de bloqueo de cuenta" en 5 inicios de sesión no válidos, "Tiempo de bloqueo de cuenta" en 30 minutos, "Restablecer cuenta Contador de bloqueo" se establece en después de 30 minutos. |
| La información de autenticación del usuario del sistema operativo se publica por adelantado antes de distribuirse a otros usuarios. | Ejecute "gpedit.msc" en Configuración de la computadora->Configuración de Windows->Configuración de seguridad->Políticas locales->Opciones de seguridad, verifique si el sistema está habilitado "No mostrar el último inicio de sesión", "No mostrar el nombre de usuario al iniciar sesión in", "Permitir administrar automáticamente el inicio de sesión". "No mostrar el último inicio de sesión" está habilitado; "No mostrar el nombre de usuario al iniciar sesión" está habilitado; "Permitir inicio de sesión administrativo automático" está deshabilitado |
2.2 Autenticación del sistema de aplicaciones
(1) El sistema de aplicaciones debe escribir políticas de contraseñas complejas durante el desarrollo del sistema, forzar el uso de contraseñas seguras y cambiar las contraseñas regularmente (al menos 90 días).
(2) Está prohibido transmitir información de verificación de identidad del usuario en texto sin formato, y los datos deben transmitirse en forma de cifrado de datos.
(3) Debe configurarse que cuando el número de fallas de autenticación consecutivas del usuario llegue a 5 veces, la cuenta se bloqueará durante 30 minutos.
2.3 Software de protección de seguridad
(1) El software antivirus como Tianqing, Huorong y 360 debe instalarse en el servidor, y el antivirus de disco completo y los archivos en el área de cuarentena deben borrarse antes del lanzamiento.
(2) El software antivirus está configurado para actualizar automáticamente la base de datos de virus.
2.4 Configuración de seguridad del sistema operativo
| Requerir | Pasos |
|---|---|
| Todos los parches de Windows se actualizan a la última versión y los parches se actualizan automáticamente. | |
| Deshabilite o restrinja el acceso del Protocolo de escritorio remoto (RDP) solo a usuarios autorizados. Implemente una red privada virtual (VPN) u otro túnel seguro para proteger las conexiones de acceso remoto. | Abra Configuración del sistema->Sistema->Escritorio remoto->"Habilitar escritorio remoto" está desactivado->Cuenta de usuario (puede elegir una cuenta que permita el inicio de sesión remoto)->Configuración avanzada->Seleccione "Permitir solo escritorio remoto" |
| Establezca el período de tiempo de espera de inicio de sesión de la cuenta de inicio de sesión remoto en 30 minutos y se debe prohibir el acceso anónimo a los recursos compartidos. | Ejecute "gpedit.msc" en Configuración del equipo/Configuración de usuario->Plantillas administrativas->Componentes de Windows->Servicios de escritorio remoto->Host de sesión de escritorio remoto->Límites de tiempo de sesión, habilite "Establecer límite de tiempo de sesiones de Servicios de escritorio remoto activo pero inactivo" y establezca el límite de sesión inactiva en 30 minutos. |
| Habilite el firewall de Windows del sistema y configure solo los puertos y las ACL de acceso que deben abrirse. | Abra el "Panel de control"->firewall de Windows->Configuración avanzada->Reglas de entrada->Verifique las reglas existentes, puede deshabilitar las reglas de entrada para puertos innecesarios->Nuevas reglas a la derecha (restringir la apertura de puertos) |
| La reproducción automática de Windows debe estar desactivada. | Ejecute "gpedit.msc" en Configuración del equipo/Configuración de usuario->Plantillas administrativas->Componentes de Windows->Política de reproducción automática, habilite "Desactivar reproducción automática" y configure Desactivar reproducción automática para todas las unidades. |
| Está prohibido guardar las contraseñas de las cuentas (lo que incluye, entre otros, guardar en el panel de control, archivos de páginas web, caché de páginas web y otros archivos) | Abra el "Panel de control" -> Cuentas de usuario -> Administre sus credenciales: elimine las credenciales web guardadas y las credenciales de Windows |
2.5 Permisos de archivos y directorios
| Requerir | Pasos |
|---|---|
| Asigne los permisos apropiados a cada usuario y grupo de usuarios y evite la sobreautorización. | Los administradores asignan las cuentas y los permisos de acuerdo con las necesidades reales |
| Restrinja el acceso a los archivos y directorios del sistema solo a los permisos mínimos requeridos por los administradores. | Los administradores asignan las cuentas y los permisos de acuerdo con las necesidades reales |
| La web y otras aplicaciones deben establecer permisos de acceso a los archivos del sitio para evitar el cruce de directorios. | Abra el Administrador del servidor -> Servidor web -> Sitio web -> Exploración de directorios -> Deshabilitar |
| Los archivos de configuración del sitio están limitados a los administradores para ver y modificar. | Haga clic con el botón derecho en el archivo de configuración->Propiedades->Seguridad->Editar->Retener solo los administradores con acceso al archivo |
| Desactive el uso compartido predeterminado local de Windows. | Haga clic con el botón derecho en Equipo->Administración->Servicio->Servicio de servidor derecho->Desactivar |
| Los protocolos de intercambio de archivos están prohibidos. | Haga clic con el botón derecho en Equipo->Administración->Servicio->Servicio de servidor derecho->Desactivar |
2.6 Restricciones a los puertos abiertos
Los puertos y servicios abiertos deben estar estrictamente limitados y solo deben abrirse los puertos necesarios. Incluidos, entre otros, los siguientes puertos de riesgo no deben abrirse al mundo exterior. El control remoto interno usa ssh (22) y el puerto de escritorio remoto (3389) para reemplazar otros puertos.
| Lista de puertos de riesgo | protocolo |
|---|---|
| 20/21 | ftp |
| 22 | ssh |
| 23 | telnet |
| 25 | SMTP |
| 53 | DNS |
| 135/139/445 | rpc, intercambio de archivos |
| 3389 | Escritorio remoto |
| 1433 | servidor SQL |
| 3306 | mysql |
| 5900 | red virtual (vnc) |
| 137/138 | UDP netbios |
| 161/162 | snmp |
| 1900 | upnp |
| 2049 | Sistema de archivos de red (nfs) |
| 5060/5061 | Protocolo de inicio de sesión (sip) |
| 6666/6667 | protocolo de chat en tiempo real (irc) |
2.7 Registro y auditoría de seguridad
Habilite la función de registro de auditoría de seguridad, controle y registre eventos y actividades clave, y mantenga el registro durante al menos 180 días.
Sugerencias:
(1) Vista de configuración de auditoría de seguridad de Windows, ejecute "gpedit.msc" en Configuración de la computadora -> Configuración de Windows -> Configuración de seguridad -> Políticas locales -> Política de auditoría, se recomienda configurar al menos:
审核帐号登录事件 (成功,失败)
审核帐号管理 (成功,失败)
审核目录服务访问 (没有定义)
审核登录事件 (成功,失败)
审核对象访问 (成功,失败)
审核策略更改 (成功)
审核特权使用 (成功,失败)
审核过程跟踪 (成功,失败)
审核系统事件 (成功)
(2) Garantizar la retención y la copia de seguridad periódica de los archivos de registro para su posterior investigación y auditoría.
2.8 Seguridad de la aplicación y el servicio
(1) Actualice y mantenga periódicamente la aplicación y el servicio en el servidor para asegurarse de que se hayan instalado los últimos parches y actualizaciones de seguridad.
(2) Deshabilitar o eliminar funciones y servicios innecesarios para reducir la superficie de ataque.
(3) Los documentos como las páginas web no deben contener información como IP interna, nombre de dominio interno, número de cuenta, número de cuenta/contraseña, dirección de correo electrónico, etc. Si realmente es necesario revelar la dirección de correo electrónico, el requisito debe completarse en el formulario de solicitud.
2.9 Seguridad de la estructura de la red
(1) Implemente medidas de aislamiento de la red, coloque el servidor en el área DMZ y aíslelo de la intranet.
(2) El DNS del sistema debe configurarse para apuntar al servidor DNS interno de la empresa.
(3) El sistema de aplicaciones debe separar el servicio de aplicaciones de la base de datos y el servidor de archivos, y solo el servidor de aplicaciones puede publicar la red externa, y la base de datos, los documentos internos y otros materiales no se pueden almacenar.
2.10 Cifrado y protección de datos
(1) Por lo general, no se permite almacenar archivos internos en el servidor de publicación. Si realmente es necesario cargar archivos internos, se debe habilitar el cifrado de archivos y carpetas para proteger la confidencialidad de los datos confidenciales.
(2) Realice copias de seguridad de los datos críticos con regularidad y almacene las copias de seguridad en medios cifrados o fuera de línea seguros.
2.11 Escaneo de vulnerabilidades
Use Nessus y AWVS y otras herramientas de escaneo de fugas para escanear el servidor en busca de vulnerabilidades y confirmar que no hay vulnerabilidades de alto riesgo.
Resumir
Enumera parte del contenido incluido en la verificación de referencia de Windows y aún no se ha actualizado.