前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >Windows操作系统基线核查

Windows操作系统基线核查

作者头像
FB客服
发布2020-09-27 15:28:59
3.1K0
发布2020-09-27 15:28:59
举报
文章被收录于专栏:FreeBuf

一、身份鉴别

1.1应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换

对用户进行鉴别也就是登录时需要你输入用户名、口令的行为。

针对本地登录,使用Win+R组合键打开运行框,在里面内输入netplwiz,则会出现用户账户页面,如下所示:

打开控制面板->管理工具->本地安全策略->账户策略->密码策略

使用Win+R组合键打开运行框,在里面内输入 net user administrator,查看administrator账户更换密码的情况,加以证实。

对于口令更换策略而言,还有个地方需要先去看看,也就是在计算机管理-本地用户和组-用户中,如果这里勾选了“密码永不过期”,那么windows的密码策略中的“密码最长使用期限”也就失效了。需要先把“密码永不过期”去掉。

1.2应具有登录失败处理功能,应加固并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施

打开控制面板->管理工具->本地安全策略->账户策略->账户锁定策略

1.3当进行远程管理时,应采取必要措施防止鉴别信息再网络传输过程中被窃听

如果被测评服务器没有连接外部网络,仅处于内网之中(也没有wifi),管理服务器的方式就是跑去机房进行本地操作的话,也就不存在什么“远程管理”,不存在什么“数据保密性”,自然就符合了。

如果采用远程管理的方式,则分为使用远程桌面还是第三方软件。不可以直接使用远程桌面。同时也需要关闭telnet服务:

查看telnet服务是否开启,没有就合规。

建议采用vpn连接内网,然后通过堡垒机进行远程管理。

二、访问控制

2.1应对登录的用户分配账户与权限

如果windows系统中仅存在Administrator账户可用的话,就无所谓分配不分配了,无论谁来,都只能登录这一个账户,自然就不符合要求。建议建立几个普通用户,赋予在其正常工作范围内的操作权限。

2.2应重命名或删除默认账户,修改默认账户的默认口令

查看是否存在默认账户

同时查看“组”里面的用户和组的说明:

查看用户权限分配情况:

2.3应及时删除或停用多余的、过期的账户,避免共享账户的存在

若只存在一个administrator账户,需要新建适量的新用户,确保避免共享账户的存在。若有多余、过期的账户,需要及时清理删除。

2.4用授予管理用户所需的最小权限,实现管理用户的权限分离

限制普通用户所需的最小权限,控制其访问范围

三、安全审计

3.1应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计

查看windows日志功能是否开启,默认一般都是开启状态

3.2审计记录应包括事件的日期、用户、事件类型、事件是否成功及其它与审计相关的信息

查看审计策略,若不是下图这样,则不合规。

3.3应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等

这里首先应该是查看审计记录文件的权限,是否会被未授权用户删除。

windows中的日志一般我们比较关注应用程序日志、安全日志、系统日志(其中最重要的是安全日志),其存储文件分别是:

设置应用日志文件大小至少为 8192 KB,可根据磁盘空间配置日志文件大小,记录的日志越多越好。并设置当达到最大的日志尺寸时,按需要轮询记录日志:

以上日志内容需要进行定期备份,审计记录保留至少6个月以上。

四、入侵防范

4.1应遵循最小安装的原则,仅安装需要的组件和应用程序

遵循最小安装原则,禁止“夹带”现象,只安装需要的组件和应用程序;

4.2应关闭不需要的系统服务、默认共享和高危端口

使用netstat -an命令,查看开启了哪些端口:

查看所有的正在运行的服务

禁用TCP/IP上的NetBIOS协议,可以关闭监听的 UDP 137(netbios-ns)、UDP 138(netbios-dgm)以及 TCP 139(netbios-ssn)端口

停用不使用的服务

4.3启用SYN攻击保护

指定触发SYN洪水攻击保护所必须超过的TCP连接请求数阈值为5。

指定处于 SYN_RCVD 状态的 TCP 连接数的阈值为500。

指定处于至少已发送一次重传的 SYN_RCVD 状态中的 TCP 连接数的阈值为400。

操作步骤

打开 注册表编辑器,根据推荐值修改注册表键值。

Windows Server 2012

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\SynAttackProtect 推荐值:2

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\TcpMaxHalfOpen 推荐值:500

Windows Server 2008

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SynAttackProtect 推荐值:2

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMaxPortsExhausted 推荐值:5

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMaxHalfOpen 推荐值:500

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMaxHalfOpenRetried 推荐值:400

五、恶意代码防范

5.1应安装防恶意代码软件或加固具有相应功能的软件,并定期进行升级和更新防恶意代码库

查看有无杀毒软件,是否升级为最新版本

六、数据备份恢复

6.1应提供重要数据的本地数据备份与恢复功能

查看是否有备份文件,以及了解备份机制和恢复机制

若无,需要建立备份文件,进行每日增量、每周全量的备份策略。

6.2应提供异地数据备份功能,利用通信网络将重要数据定时批量传送至备用场地

将备份文件存放异地且确保其有效性,避免出现单点故障后不具备恢复的风险。

七、资源控制

7.1应确保系统磁盘根分区已使用空间维持在80%以下

如果磁盘动态分区空间不足,建议管理员扩充磁盘容量

7.2限制远程登录空闲断开时间

控制面板——管理工具——本地安全策略——安全选项:设置15分钟

7.3禁用未登陆前关机

控制面板——管理工具——本地安全策略——安全选项:将已启用改为禁用

本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2020-09-24,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 FreeBuf 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
目录
  • 一、身份鉴别
    • 1.1应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换
      • 1.2应具有登录失败处理功能,应加固并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施
        • 1.3当进行远程管理时,应采取必要措施防止鉴别信息再网络传输过程中被窃听
        • 二、访问控制
          • 2.1应对登录的用户分配账户与权限
            • 2.2应重命名或删除默认账户,修改默认账户的默认口令
              • 2.3应及时删除或停用多余的、过期的账户,避免共享账户的存在
                • 2.4用授予管理用户所需的最小权限,实现管理用户的权限分离
                • 三、安全审计
                  • 3.1应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计
                    • 3.2审计记录应包括事件的日期、用户、事件类型、事件是否成功及其它与审计相关的信息
                      • 3.3应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等
                      • 四、入侵防范
                        • 4.1应遵循最小安装的原则,仅安装需要的组件和应用程序
                          • 4.2应关闭不需要的系统服务、默认共享和高危端口
                            • 4.3启用SYN攻击保护
                            • 五、恶意代码防范
                              • 5.1应安装防恶意代码软件或加固具有相应功能的软件,并定期进行升级和更新防恶意代码库
                              • 六、数据备份恢复
                                • 6.1应提供重要数据的本地数据备份与恢复功能
                                  • 6.2应提供异地数据备份功能,利用通信网络将重要数据定时批量传送至备用场地
                                  • 七、资源控制
                                    • 7.1应确保系统磁盘根分区已使用空间维持在80%以下
                                      • 7.2限制远程登录空闲断开时间
                                        • 7.3禁用未登陆前关机
                                        相关产品与服务
                                        运维安全中心(堡垒机)
                                        腾讯云运维安全中心(堡垒机)(Operation and Maintenance Security Center (Bastion Host))可为您的 IT 资产提供代理访问以及智能操作审计服务,为客户构建一套完善的事前预防、事中监控、事后审计安全管理体系,助力企业顺利通过等保测评。
                                        领券
                                        问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档