セキュリティ設定のベースライン - クラスのオペレーティングシステム
マイクロソフトのWindows ServerオペレーティングシステムV1.0
サーバー動作するMicrosoft Windows Serverオペレーティングシステムをインストールするため、この文書に設定され、一般的な基本的な安全要件は、2008 R2 / 2012 R2 / 2016は、勧告はオペレーティングシステムのセキュリティ設定のコンプライアンス自己検査を設定するには、インストールプロセスのための参照を提供従ってください標準の基礎と取扱説明書を提供し、安全性評価や安全性の実装によって強化されました。
ディレクトリ
まず、アカウント管理... 2
1.1デフォルトのアカウント... 2
1.2パスワードの複雑... 2
1.3パスワードの生存... 2
1.4パスワードの歴史... 2
1.5アカウントロックアウトのポリシー... 3
1.6 Doが最後のログイン名が表示されない... 3
1.7リモートログインタイムアウトの設定... 3
第二に、権威... 3
リモートシャットダウン2.1認証... 3
2.2シャットダウンがローカル認可... 4
2.3ファイルのパーミッションが割り当てられて... 4
2.4ネットワークアクセスのユーザ認証... 4
レジストリのアクセス許可に2.5リモートアクセス... 4
第三に、監査ログ... 4
3.1監査ログログ... 4
3.2監査ログの完全... 5
3.3監査ログのサイズ... 5
第四に、セキュリティ要件... 6
4.1アンチウイルス... 6
4.2パッチ更新... 6
4.3ファイアウォール... 6
第五に、システムサービスと機能... 6
5.1システムサービス... 6
リモートデスクトップサービス5.2ポート管理... 7
5.3 SNMPのデフォルトのパスワード変更... 7
自動再生オフ5.4ターン... 7
5.5デフォルトの共有チェック... 7
5.6共有のアクセス許可を確認... 8
5.7データ実行防止... 8
5.8仮想メモリ管理... 8
まず、アカウント管理
1.1デフォルトのアカウント
番号 |
MS_WinSrv-V1-1-1 |
制御要件 |
管理者アカウントの名前を変更し、無効にゲスト(ゲスト)アカウント |
操作ガイド |
[スタート] - > [ファイル名を指定して実行 - > lusrmgr.msc、リネーム管理者、障害者ゲスト |
検出 |
[スタート] - > [ファイル名を指定して実行 - > lusrmgr.msc、ローカルユーザービュー |
基礎を決定します |
デフォルトの管理者アカウントの名前が変更された、ゲストは無効 |
1.2パスワードの複雑
番号 |
MS_WinSrv-V1-1-2 |
制御要件 |
1、12文字の最小パスワード長、パスワードは、文字の次の4つのカテゴリのうちの少なくとも3つがあります。 英大文字A、B、C、... Z 英語の文字に、B、C、... Zを小文字 西洋アラビア数字0、1、2、... 9 は、句読点などの英数字以外の文字、@、#、$、%、&、* |
操作ガイド |
1、[コントロールパネル] - > [管理ツール] - > [ローカルセキュリティポリシー] - > [アカウントポリシー] - > [パスワードポリシーのオプションは、「最小パスワード長は」12に設定されています 2、[コントロールパネル] - > [管理ツール] - > [ローカルセキュリティポリシー] - > [アカウントポリシー] - > [パスワードポリシーのオプションを有効にするには、set「パスワードは、複雑さの要件を満たす必要があります」 |
検出 |
1、最小チェックの設定 2、ラジオボタンの状態を確認 |
基礎を決定します |
1,8満たすために、最小値以上の要件 2、シングルボックスが遵守する「開始」を選択します |
1.3パスワードの生存
番号 |
MS_WinSrv-V1-1-3 |
制御要件 |
静的パスワード認証技術を使用するシステムで、アカウントのパスワードの有効期間は、有効期間を設定します |
操作ガイド |
[コントロールパネル] - > [管理ツール] - > [ローカルセキュリティポリシー] - > [アカウントポリシー - 90「最小パスワード時代」へ>パスワードポリシーのオプション「パスワードの有効期間は」1に設定されています |
検出 |
オプションの値を確認してください |
基礎を決定します |
「パスワードの有効期間は、」「最小パスワード年齢」大きいに沿って、90未満であるか、1を適合さに等しいです |
1.4パスワードの履歴
番号 |
MS_WinSrv-V1-1-4 |
制御要件 |
静的パスワード認証技術を用いたシステムでは、履歴、パスワードの使用上の義務の制限は、古いパスワードは、セキュリティを強化するために継続的に再利用されていないことを確認します。 |
操作ガイド |
アカウントポリシー> - - [コントロールパネル] - > [管理ツール] - > [ローカルセキュリティポリシー]> [パスワードポリシーのオプション「パスワードの履歴を記録」5に設定されています |
検出 |
オプションの値を確認してください |
基礎を決定します |
より大きいまたは適合に等しい5 |
1.5アカウントロックアウトのポリシー
番号 |
MS_WinSrv-V1-1-5 |
制御要件 |
对于采用静态口令认证技术的系统,应配置当用户连续认证失败次数超过 5 次(不含 5 次)后,锁定该用户使用的账号 |
操作指南 |
控制面板->管理工具->本地安全策略->帐户策略->账户锁定策略,选项“账户锁定阈值”设置为5,“账户锁定时间”设置为30分钟 |
检测方法 |
检查“账户锁定阈值”和“账户锁定时间”值 |
判定依据 |
“账户锁定阈值”小于等于5为符合,“账户锁定时间”大于等于30分钟为符合 |
1.6 不显示上次登录名
编号 |
MS_WinSrv-V1-1-6 |
控制要求 |
启用“交互式登录:不显示最后的用户名” |
操作指南 |
控制面板->管理工具->本地安全策略->本地策略->安全选项,选项“交互式登录:不显示上次登录” |
检测方法 |
检查选项状态 |
判定依据 |
“已启用”为符合 |
1.7 远程登录超时配置
编号 |
MS_WinSrv-V1-1-7 |
控制要求 |
对于远程登陆的帐号,设置不活动断连时间,强制终结会话 |
操作指南 |
控制面板->管理工具->本地安全策略->本地策略->安全选项,打开选项“Microsoft 网络服务器: 暂停会话前所需的空闲时间量”的属性页,设置“中断连接如果空闲时间超过”15 |
检测方法 |
检查属性页参数值 |
判定依据 |
非0,小于15分钟为符合 |
二、 权限
2.1 远程关机授权
编号 |
MS_WinSrv-V1-2-1 |
控制要求 |
关机授权只指派给Administrators组 |
操作指南 |
控制面板->管理工具->本地安全策略->本地策略->用户权限指派,选项“从远程系统强制关机”设置为administrators |
检测方法 |
检查属性列表 |
判定依据 |
仅有“administrators”为符合 |
2.2 本地关机授权
编号 |
MS_WinSrv-V1-2-2 |
控制要求 |
关机授权只指派给Administrators组 |
操作指南 |
控制面板->管理工具->本地安全策略->本地策略->用户权限指派,选项 “关闭系统”设置为administrators |
检测方法 |
检查属性列表 |
判定依据 |
仅有“administrators”为符合 |
2.3 文件权限指派
编号 |
MS_WinSrv-V1-2-3 |
控制要求 |
操作系统文件或其它对象的所有权仅指派给Administrators |
操作指南 |
控制面板->管理工具->本地安全策略->本地策略->用户权限指派,选项 “取得文件或其他对象的所有权”设置为administrators |
检测方法 |
检查属性列表 |
判定依据 |
仅有“administrators”为符合 |
2.4 网络访问用户授权
编号 |
MS_WinSrv-V1-2-4 |
控制要求 |
只允许授权帐号从网络访问此计算机 |
操作指南 |
控制面板->管理工具->本地安全策略->本地策略->用户权限指派,选项 “从网络访问此计算机”去掉“User”和“Everyone” |
检测方法 |
检查属性列表 |
判定依据 |
不包括”Users”和”Everyone”组和其他无用组为符合要求 |
2.5 远程访问注册表权限
编号 |
MS_WinSrv-V1-2-5 |
控制要求 |
禁用可远程访问的注册表路径和子路径 |
操作指南 |
控制面板->管理工具->本地安全策略->本地策略->安全选项,选项 “网络访问: 可远程访问的注册表路径”和“网络访问: 可远程访问的注册表路径和子路径”列表全部删除 |
检测方法 |
检查选项的属性列表 |
判定依据 |
列表为空即符合 |
三、 日志审核
3.1 审核登录日志
编号 |
MS_WinSrv-V1-3-1 |
控制要求 |
系统应启用日志功能,对用户登录进行记录,记录内容包括用户登录使用的账号,登录是否成功,登录时间,以及远程登录时,用户使用的IP地址 |
操作指南 |
控制面板->管理工具->本地安全策略->本地策略->审核策略,选项“审核登录事件”,同时勾选“成功”和“失败” |
检测方法 |
检查属性值 |
判定依据 |
“成功”和“失败”同时勾选为符合要求 |
3.2 审核日志完备性
编号 |
MS_WinSrv-V1-3-2 |
控制要求 |
系统应配置完整的审核策略,启用本地策略中审核策略中如下项,包括成功和失败日志: 审核策略更改 审核对象访问 审核进程跟踪 审核目录服务访问 审核特权使用 审核系统事件 审核账户管理 |
操作指南 |
控制面板->管理工具->本地安全策略->本地策略->审核策略,上述选项,同时勾选“成功”和“失败” |
检测方法 |
检查属性值 |
判定依据 |
“成功”和“失败”同时勾选为符合要求 |
3.3 审核日志大小
编号 |
MS_WinSrv-V1-3-3 |
控制要求 |
设置系统日志、应用日志、安全日志文件大小至少为51200KB,改写事件 |
操作指南 |
开始->运行-> eventvwr.msc,在Windows日志中的 “系统日志”属性页 “应用日志”属性页 “安全日志”属性页 设置“日志最大大小”为51200KB,“达到事件日志最大大小时”,选择“按需要覆盖日志” |
检测方法 |
检查“系统日志”属性页、“应用日志”属性页、“安全日志”属性页 |
判定依据 |
属性页设置如下状态为符合: 应用日志文件大小至少为50MB 当达到最大的应用日志尺寸时,按需要改写事件 系统日志文件大小至少为50MB 当达到最大的应用日志尺寸时,按需要改写事件 安全日志文件大小至少为50MB 当达到最大的安全日志尺寸时,按需要改写事件 |
四、 安全防护要求
4.1 防病毒
编号 |
MS_WinSrv-V1-4-1 |
控制要求 |
安装防病毒客户端软件,并及时更新。 |
操作指南 |
按照操作指引,安装防病毒软件 |
检测方法 |
检查系统进程和程序安装列表,确认是否已安装防病毒软件 打开防病毒软件客户端信息界面,查看上一次安全更新时间。 |
判定依据 |
已安装为符合,上次病毒库更新时间在一个月以内为符合 |
4.2 补丁更新
编号 |
MS_WinSrv-V1-4-2 |
控制要求 |
服务器操作系统补丁,由WSUS统一管理,需按计划测试、安装关键和重要系统补丁 |
操作指南 |
开始->运行->gpedit.msc, 打开“本地组策略编辑器”窗口中依次选择“计算机配置->管理模板->Windows组件->Windows更新”,设置“指定Intranet Microsoft更新服务位置”指向内网WSUS服务器,“配置自动更新”设置为启用,并选择“3- 允许自动下载并通知安装” |
检测方法 |
检查设置项值 |
判定依据 |
已指定更新源并配置自动更新启用为符合。 |
4.3 本机防火墙
编号 |
MS_WinSrv-V1-4-3 |
控制要求 |
启用Windows 自带防火墙。根据业务需要限定允许访问网络的应用程序,和允许远程登陆该设备的IP地址范围。 |
操作指南 |
开始->运行-> firewall.cpl,启用Windows Defender防火墙 |
检测方法 |
检查防火墙设置 |
判定依据 |
启用状态为符合 |
五、 系统服务与功能
5.1 系统服务
编号 |
MS_WinSrv-V1-5-1 |
控制要求 |
关闭不必要的系统服务 |
操作指南 |
开始->运行-> services.msc, 检查服务清单,不影响系统正常使用的前提下,建议关闭如下几项服务: Downloaded Maps Manager Print Spooler Routing and Remote Access Remote Registry SSDP Discovery Telnet Windows Error Reporting Service Windows Event Collector Xbox Accessory Management Service |
检测方法 |
查看所有服务,输出所有服务列表,查看是否有异常服务。 |
判定依据 |
确认可以关闭的服务,已设置为禁用状态为符合 |
5.2 远程桌面服务端口管理
编号 |
MS_WinSrv-V1-5-2 |
控制要求 |
修改远程桌面服务默认端口 |
操作指南 |
开 始->运 行->Regedit, 查 找 注 册 表 项 : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\T erminal Server\WinStations\RDP-Tcp HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\T erminal Server\Wds\rdpwd\Tds\tcp 找到“PortNumber”子项,默认值 00000D3D,是 3389 的十六进制表示形式。切换到十进制,修改成除 3389 外的其他任何 值,并保存新值,重新启动系统。 |
检测方法 |
查看注册表“PortNumber”值 |
判定依据 |
非默认3389为符合。 |
5.3 SNMP默认口令修改
编号 |
MS_WinSrv-V1-5-3 |
控制要求 |
如需启用SNMP服务,则修改默认的SNMP Community String设置 |
操作指南 |
开始->运行-> services.msc,找到”SNMP Service”,单击右键打开”属性”面板中的”安全”选项卡。配置界面中,修改community strings,避免使用默认密码 |
检测方法 |
检查Community String |
判定依据 |
非默认“public”和“private”为符合 |
5.4 关闭自动播放功能
编号 |
MS_WinSrv-V1-5-4 |
控制要求 |
关闭Windows自动播放功能 |
操作指南 |
开始->运行->gpedit.msc, 打开“本地组策略编辑器”窗口中依次选择“计算机配置->管理模板->Windows组件->自动播放策略”,选择“关闭自动播放”选项,选择“已启用”,并设置关闭“所有驱动器” |
检测方法 |
检查策略选项设置 |
判定依据 |
“已启用”,并设置关闭“所有驱动器”为符合 |
5.5 默认共享检查
编号 |
MS_WinSrv-V1-5-5 |
控制要求 |
非域环境中,关闭Windows硬盘默认共享,例如C$,D$。 |
操作指南 |
开始->运行->regedit,进入注册表编辑器,定位到HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters\下,增加REG_DWORD类型的AutoShareServer 键,值为 0。 |
检测方法 |
开始->运行->cmd,进入命令提示符,输入net share |
判定依据 |
确认已无C$、D$等默认共享为符合 |
5.6 共享权限检查
编号 |
MS_WinSrv-V1-5-6 |
控制要求 |
查看每个共享文件夹的共享权限,只允许授权的账户拥有权限共享此文件夹,禁止使用共享权限为”everyone”。 |
操作指南 |
开始->运行->fsmgmt.msc,打开“共享”,查看当前已共享的路径,右键属性,查看“共享权限”,将everyone从已共享用户和组删掉。 |
检测方法 |
查看“共享权限”用户和组清单 |
判定依据 |
无everyone,只保留需要的账户为符合 |
5.7 数据执行保护
编号 |
MS_WinSrv-V1-5-7 |
控制要求 |
在操作系统程序和服务启用系统自带DEP功能(数据执行保护),防止在受保护内存位置运行有害代码。 |
操作指南 |
参考配置操作(适用2003、2008 x64) 控制面板->系统,在“高级”选项卡的“性能”下的“设置”。进入 “数据执行保护”选项卡,设置为“仅为基本 Windows 操作系统程序和服务启用DEP”。 |
检测方法 |
检查选项设置 |
判定依据 |
设置为“仅为基本 Windows 操作系统程序和服务启用DEP”为符合 |
5.8 虚拟内存管理
编号 |
MS_WinSrv-V1-5-8 |
控制要求 |
操作系统启用“关机:清除虚拟内存页面文件”,防止非法用户从虚拟内存中获取数据。 |
操作指南 |
控制面板->管理工具->本地安全策略->本地策略->安全选项,设置选项“关机: 清除虚拟内存页面文件”为“已启用”。 |
检测方法 |
检查属性值 |
判定依据 |
“已启用”为符合 |