安全服务之安全基线及加固（一）Windows篇

此文章为连载文章

0x01 前言

安全服务工程师大家应该都知道，对于他的岗位职责你可能会说不就是渗透测试啊、应急响应嘛.....实际上正式一点的企业对于安服的要求是包括了漏洞扫描、安全基线检查、渗透测试、安全加固、日志分析、恶意代码检查、应急响应、安全加固等差不多十个方面的内容的。内容多吗？我也觉得多！

对于基线加固说，不管是对于安服还是安全运营人员来说都是被要求的！文章以win server 2008为例，一起来看看呗！

0x02 身份鉴别

1、 更改缺省账户

安全基线项说明：对于管理员帐号，要求更改缺省 Administrator 帐户名称

配置方法：进入控制面板->管理工具->计算机管理->系统工具->本地用户和组->用户->重命名Administrator

2、检查Guest用户是否禁用

安全基线项说明：禁用guest（来宾）帐号

配置方法：进入控制面板->管理工具->计算机管理->系统工具->本地用户和组->用户->Guest帐号->属性->设置已停用

3、密码复杂性要求

安全基线项说明：启用密码必须符合复杂性要求

配置方法：进入控制面板->管理工具->本地安全策略->帐户策略->密码策略->密码必须符合复杂性要求->属性:启用启用密码必须符合复杂性要求

4、密码长度

安全基线项说明：最小密码长度不能小于8位

配置方法：进入控制面板->管理工具->本地安全策略->帐户策略->密码策略->密码长度最小值->属性->设置最小密码长度

5、账户口令的生存期

安全基线项说明：静态口令认证，账户口令的生存期不长于90天

配置方法：进入控制面板->管理工具->本地安全策略，在帐户策略->密码策略：查看是否密码最长存留期设置为90天

6、口令重复次数

安全基线项说明：静态口令认证,不能重复使用最近5次内已使用的口令

配置方法：进入控制面板->管理工具->本地安全策略，在帐户策略->密码策略：查看是否强制密码历史设置为记住5个密码

7、口令认证失败次数

安全基线项说明：静态口令认证失败次数不超过6次。

配置方法：进入控制面板->管理工具->本地安全策略，在帐户策略->帐户锁定策略：查看是否账户锁定标准值设置为小于等于6次。设置为 0 表示永远不会被锁定

8、账号锁定时间

安全基线项说明：设置账号锁定时间不小于1分钟

配置方法：进入控制面板->管理工具->本地安全策略->帐户策略->账号锁定策略->账号锁定时间->属性->设置账号锁定时间为大于等于1分钟

设置为 0 表示永远不会被锁定

9、账号锁定计数器

安全基线项说明：确定登录尝试失败之后和登录尝试失败计数器被复位为 0 次失败登录尝试之前经过的分钟数，时间应小于或等于帐户锁定时间

配置方法：进入控制面板->管理工具->本地安全策略->帐户策略->账号锁定策略->复位账号锁定计数器->属性->重置账号锁定计数器为标准值

10、 口令到期提示

安全基线项说明：密码到期前2个周提示更换密码

配置方法：进入控制面板->管理工具->本地安全策略->安全选项：

交互式登陆：提示用户密码到期前更改密码-> 14天

11、 域成员禁用更改机器账户密码

安全基线项说明：域成员禁用更改机器账户密码

配置方法：进入控制面板->管理工具->本地安全策略->本地策略->安全选项：开启域成员：禁用更改机器账户密码

12、限制匿名用户连接

安全基线项说明：检查是否限制匿名用户连接权限，防止用户远程枚举本地帐号和共享

配置方法：进入控制面板->管理工具->本地安全策略-> 本地策略->安全选项->网络访问：不允许枚举SAM帐号和共享的枚举

0x03 访问控制

1、 共享账户检查

安全基线项说明：检查是否存在共享账号

配置方法：进入控制面板->管理工具->服务器管理->配置->本地用户和组

2、远程关机授权

安全基线项说明：在本地安全设置中从远端系统强制关机只指派给Administrators组

配置方法：进入控制面板->管理工具->本地安全策->本地策略->用户权限分配： 从远程系统强制关机->设置为“只指派给 Administrators 组”【2008默认开启】

3、本地关机

安全基线项说明：在本地安全设置中关闭系统仅指派给Administrators组。

配置方法：进入“控制面板->管理工具->本地安全策略”，在“本地策略->用户权利分配”:查看“关闭系统”设置

%1、 文件权限指派

安全基线项说明：在本地安全设置中取得文件或其它对象的所有权仅指派给Administrators。

检测操作步骤：进入“控制面板->管理工具->本地安全策略”，在“本地策略->用户权利指派”：查看“取得文件或其它对象的所有权”设置为只指派给“Administrators”组。

5、授权帐户登陆

安全基线项说明：在本地安全设置中配置指定授权用户允许本地登陆此计算机。

检测操作步骤：进入“控制面板->管理工具->本地安全策略”，在“本地策略->用户权利指派”-“从本地登陆此计算机”设置为“指定授权用户”。

6、授权帐户从网络访问

安全基线项说明：在组策略中只允许授权帐号从网络访问(包括网络共享等，但不包括终端服务)此计算机。

检测操作步骤：进入“控制面板->管理工具->本地安全策略”，在“本地策略->用户权利指派”-“从网络访问此计算机”设置为“指定授权用户”

7、关闭默认共享

安全基线项说明：非域环境中，关闭Windows硬盘默认共享，例如C$，D$。

检测操作步骤：进入“开始－>运行－>Regedit”，进入注册表编辑器，查看在HKEY_LOCAL_MACHINE SystemCurrentControlSetServicesLanmanServerParameters下，增加REG_DWORD类型的AutoShareServer 键，值为 0。

8、共享文件夹授权访问

安全基线项说明：查看每个共享文件夹的共享权限，只允许授权的帐户拥有权限共享此文件夹。

检测操作步骤：进入“控制面板->管理工具->计算机管理”，进入“系统工具－>共享文件夹”：查看每个共享文件夹的共享权限，只将权限授权于指定帐户。不设置成为“everyone”。

0x04 安全审计

1、NTP服务

安全基线项说明：windows time服务设为已启动

配置方法：控制面板->管理工具->服务->开启时间服务

2、 用户登录日志记录

安全基线项说明：设备应配置日志功能，对用户登录进行记录，记录内容包括用户登录使用的账号，登录是否成功，登录时间，以及远程登录时，用户使用的IP地

配置方法：开始->运行-> 执行“控制面板->管理工具->本地安全策略->审核策略”审核登录事件，双击，查看是否设置为成功和失败都审核

3、 系统日志完备性检查

配置操作：控制面板->管理工具->本地安全策略->本地策略->审核策略->每项都设置->“成功”和“失败”都要审核需要配置的策略：

4、 登录超时管理

安全基线项说明：启用登录时间用完时自动注销用户

配置方法：进入控制面板->管理工具->本地安全策略->安全选项->网络安全-检查是否启用登录时间用完时自动注销用户

5、远程登录超时配置

安全基线项说明：检查对于远程登陆的帐号，设置不活动断连时间15分钟

配置方法：进入“控制面板->管理工具->本地安全策略”，在“本地策略->安全选项”：“Microsoft网络服务器”设置为“在挂起会话之前所需的空闲时间”为15分钟

0x05 资源控制

1、登录超时管理

安全基线项说明：启用登录时间用完时自动注销用户

配置方法：进入控制面板->管理工具->本地安全策略->安全选项->网络安全-检查是否启用登录时间用完时自动注销用户

2、远程登录超时配置

安全基线项说明：检查对于远程登陆的帐号，设置不活动断连时间15分钟

配置方法：进入“控制面板->管理工具->本地安全策略”，在“本地策略->安全选项”：“Microsoft网络服务器”设置为“在挂起会话之前所需的空闲时间”为15分钟。

0x06 剩余信息保护

1、 不显示上次的用户名

安全基线项说明：检查是否启用不显示上次的用户名

配置方法：进入控制面板->管理工具->本地安全策略->安全选项->启用不显示上次的用户名

2、 关机前清除虚拟内存页面

安全基线项说明：关闭服务器前，应清除虚拟内存页面，保护暂存在在缓存中的数据。

检测操作步骤：进入“控制面板->管理工具->本地安全策略”，在“本地策略->安全选项”：选中“关机前清除虚拟内存页面”

3、 不启用可还原的加密来存储密码

安全基线项说明：不启用可还原的加密来存储密码，防止能够获取明文密码。

检测操作步骤：进入“控制面板->管理工具->本地安全策略”，在“账户策略”：不启用“用可还原的加密来存储密码”。

0x07 后记

内容有点多，不明白的地方百度一下，查查资料应该是不难。本来就是之前学习的的笔记，说实话，本来我的记性就差，让我记忆我也不能的完全记住！（哈哈哈哈哈）

看一看，点个收藏加个关注，有需要的时候还能拿出来翻翻！

公众号还有更多优质文章分享，可以持续关注公众号，我们会不间断发布优质文章。