Windows服务器安全策略

 

 

操作项 整改建议
操作系统和数 据库系统管理 用户身份标识 应具有不易被冒用的特点,口令应有复杂度 要求并定期更 换。  Windows 操作系统配 置“管理工具”—“本地 安全策略”—“帐户策略” --“密码策略”,启用“密 码必须符合复杂度要求”
, “密码长度最小值”设定 为 8。“密码最长使用期 限”设定为 90 天。“密 码最短使用期限”设定为 2 天。“强制密码历史” 设定为 5 个可记住的密 码;配置“管理工具”— “计算机管理”—“用户 和 组 ” — “ 用 户 ” , administrator 等帐户不 勾选“密码永不过期”。
应启用登录失败处理功能,可采取结束会 话、限制非法登 录次数和自动 退出等措施。  Windows 操作系统配 置“本地安全策略”—“帐 户策略”之下的“帐户锁 定策略”。“帐户锁定 阈值”设定为 5 次。“帐 户 锁 定 时 间 ” 设 定 为 30 分钟。“重置帐户 锁定计数器”设定为 30 分钟后。
当为服务器进 行远程管理时,应采取必要措 施,防止鉴别信 息在网络传输 过程中被窃听。  Windows 操作系统强 制启用 SSL:配置“组策 略”—“计算机配置”— “管理模板”—“windows 组件”—“远程桌面服务” —“远程桌面会话主机”, “安全”—“设置客户端 连接加密级别”—高级, “远程(RDP)连接要求 使用指定的安全层”— SSL。
应采用两种或 两种以上组合 的鉴别技术对 管理用户进行 身份鉴别 增加USB KEY或数字证书 等第二种身份鉴别方式
应根据管理 用户的角色分 配权限,实现管 理用户的权限 分离,仅授予管 理用户所需的 最小权限 按最小授权原则分配帐户,建立权限分离的管理员、审计员、操作员帐户
应严格限制 默认帐户的访 问权限,重命名 系统默认帐户, 修改这些帐户 的默认口令。
 
Windows 操作系统重 命 名 Administrator 帐 户。
审计范围应 覆盖到服务器 和重要客户端 上的每个操作 系统用户和数 据库用户。 在“本地安全策略”中开 启安全策略审计(相关项 参考下一项)。
审计内容应 包括重要用户 行为、系统资源 的异常使用和 重要系统命令 的使用等系统 内重要的安全 相关事件。 Windows 操作系统在 “本地安全策略”中开启 审计, 审计策略更改:成功、失 败; 审计登录事件:成功、失 败; 审计对象访问:成功、失 败; 审计进程跟踪:成功、失 败; 审计目录服务访问:成 功、失败;
审计特权使用:成功、失 败; 审计系统事件:成功、失 败; 审计帐户登录事件:成 功、失败; 审计帐户管理:成功、失 败。
审计记录应 包括事件的日 期、时间、类型、 主体标识、客体 标识和结果等 开启审计功能,默认符 合
应能够根据 记录数据进行 分析,并生成审 计报表。 定期查看操作系统日志 内容并制定日志记录表, 并生成相应的审计报表; 或配备第三方审计分析 工具。
应保护审计 进程,避免受到 未预期的中断。 开启审计功能,默认符 合。
应保护审计 记录,避免受到 未预期的删除、 修改或覆盖等。 撤销管理员账号之外帐 户的删除日志权限
应保证操作 系统和数据库 系统用户的鉴 别信息所在的 存储空间,被释 放或再分配给 其他用户前得 到完全清除,无 论这些信息是 存放在硬盘上 还是在内存中。
 
在“本地安全策略”中开 启“不显示上次登录名
应确保系统 内的文件、目录 和数据库记录 等资源所在的 存储空间,被释 放或重新分配 给其他用户前 得到完全清除。 在“本地安全策略”—“帐 户策略”—“密码策略 中”,禁用“用可还原的 加密来存储密码”。在“本 地安全策略”中开启“关 机前清除虚拟内存页面” 。 此项考虑是否整改,整改 后会严重影响系统开关 机速度视情况整改
应能够检测 到对重要服务 器进行入侵的 行为,能够记录 入侵的源 IP、攻 击的类型、攻击 的目的、攻击的 时间,并在发生 严重入侵事件 时提供报警; 在服务器上安装终端威 胁防御系统。
应能够对重 要程序的完整 性进行检测,并 在检测到完整 性受到破坏后 具有恢复的措 施。
 
在服务器上安装终端威 胁防御系统,对重要文件 进行保护。
操作系统应 遵循最小安装 的原则,仅安装 需要的组件和 应用程序,并通 过设置升级服 务器等方式保 持系统补丁及 时得到更新。
 
 Windows 操作系统禁 用 C/D/盘 E 默认共享,和 135/445 等危险端口;
应安装防恶 意代码软件,并 及时更新防恶 意代码软件版 本和恶意代码 库 安装 ClamAV 、Avast 、 360 杀毒软件等防恶意代 码软件并更新防恶意代 码软件版本和恶意代码 库。
主机防恶意 代码产品应具 有与网络防恶 意代码产品不 同的恶意代码 库。 更换主机或者网络的防恶意代码软件,保证两者防恶意代码软件的代码库不同。
应支持防恶 意代码的统一 管理 统一安装、管理防恶意代 码软件并统一升级恶意 代码库。
应通过设定 终端接入方式、 网络地址范围 等条件限制终 端登录。 (1)配 置 主 机 的 iptables 服 务 、 /etc/hosts.allow 和 /etc/hosts.deny 文件; 
(2)或者通过交换机的 ACL、网络防火墙、堡垒机等限制登录终端的接 入方式和网络地址范围。
应根据安全 策略设置登录 终端的操作超 时锁定。 Windows 操作系统配 置“组策略”—“计算机 配置”—“管理模板”— “windows 组件”—“远 程桌面服务”—“远程桌 面会话主机”,“会话时 间限制”—“设置活动但 空闲的远程桌面服务会 话的时间限制”; 或者设置网络防火墙的 最长闲置连接时间。建议 值为 15 分钟。
应对重要服 务器进行监视, 包括监视服务 器的 CPU、硬 盘、内存、网络 等资源的使用 情况。 通过第三方工具对操作 系统的资源使用状况进 行监视和报警。在业务高峰期,保证随时监视。
应能够对系 统的服务水平 降低到预先规 定的最小值进 行检测和报警。
 
安装第三方监视工具保 证提供界面、语音、短信等主动报警方式。

 

你可能感兴趣的:(分享)