文章目录

  • 前言
  • 一、安全基线概述
    • 1.操作系统安全基线
  • 二、系统账户安全
    • 1.控制密码安全
    • 2.密码策略
    • 3.账户锁定策略
    • 例:密码策略应用
    • 例:账户锁定策略应用
  • 三、本地策略
    • 1.审核策略
    • 2.用户权限分配
    • 3.安全选项配置
    • 例:审核策略应用
    • 例:用户权限配置应用
    • 例:安全选项配置应用
  • 四、系统账户安全加固
    • 1.Windows账户管理
    • 2.共享安全加固
    • 例:查看账户信息
    • 例:关闭默认共享
    • 例:系统服务加固

前言

系统安全基线


一、安全基线概述

1.操作系统安全基线

服务器安全基线是为了满足安全规范要求,服务器必须要达到的安全(最低)标准

  • 主要有以下作用
    1)设置口令复杂度策略,防止暴力破解密码;
    2)控制用户或文件权限,减少被攻击后的影响;
    3)最小化安装操作系统,防止不必要的服务带来的安全问题。
  • 安全基线在银行、证券、运营商、互联网行业等信息安全领域的应用范围非常广泛
  • 通常包含:操作系统、网络设备、数据库等
  • Windows系统安全配置
    1)用户管理
    2)密码策略管理
    3)共享管理
    4)文件权限管理
    5)用户权限管理
    6)日志审核管理
    7)远程管理
    8)其他安全选项

二、系统账户安全

1.控制密码安全

本地安全策略:指的是为保护本计算机资源而配置的规则
本地安全策略工具:开始→管理工具→本地安全策略

  • 账户策略:控制用户账户如何与计算机交互
    密码策略:确定密码的设置,如密码复杂性和密码长度等
    账户锁定策略:确定账户锁定的条件和时间
  • 本地策略:审核策略、用户权限分配、安全选项

2.密码策略

1)密码必须符合复杂性要求

  • 不能包含用户的账户名
  • 包含以下四类字符中的三类字符:大写字母(A到Z),小写字母(a到z),数字(0到9),非字母字符(例如!、$、#、%)等

2)密码长度最小值
3)密码最长使用期限(默认42天)
4)密码最短使用期限
5)强制密码历史

3.账户锁定策略

配置账户锁定策略,防止暴力破解攻击

  • 账户锁定时间(在自动解锁之前保持锁定的分钟数)
  • 账户锁定阈值(登陆尝试失败的次数)
  • 重置账户锁定计数器(多长时间内累加失败次数)

例:密码策略应用

本案例要求在WinSvr2016中设置密码策略,以实现账户安全的要求,相关说明如下:
1)以管理员登录,打开“本地安全策略”
2)设置账户策略中密码策略,密码必须符合复杂性要求:启用
3)设置密码长度最小值:8个
4)验证密码策略

  • 步骤一:以管理员登录,打开“本地安全策略”
    以administrator登录电脑,依次单击“开始”–>“Windows管理工具”–>“本地安全策略”

    打开“本地安全策略”窗口
  • 步骤二:设置账户策略中密码策略
    1)依次展开“账户策略”–>“密码策略”

    2)双击窗口右侧“密码必须符合复杂性要求”,设置为“开启”

    3)双击窗口右侧“密码长度最小值”,设置为“8个”

    4)最终“密码策略”设置结果
  • 步骤三:验证密码策略、
    1)验证密码策略,打开“本地用和组”管理窗口,修改用户“guojing”的密码

    输入简单的密码“123456”,弹出对话框显示“密码不满足密码策略的要求”

    输入复杂的密码“Aa123456”,弹出对话框显示“密码已设置”

例:账户锁定策略应用

本案例要求在WinSvr2016中设置账户锁定策略,以实现账户安全的要求,相关说明如下。
1)以管理员登录,打开“本地安全策略”
2)设置账户策略中账户锁定策略,账户锁定阈值:3
3)账户锁定时间:10分钟
4)验证账户锁定策略

  • 步骤一:设置账户策略中账户锁定策略
    1)依次展开“账户策略”–>“账户锁定策略”

    2)双击窗口右侧“账户锁定阈值”,修改为“3次无效登录”锁定账户

    3)双击窗口右侧“账户锁定时间”,修改为“10分钟“

    4)最终“账户锁定策略”设置结果
  • 步骤二:验证账户锁定策略
    1)验证“账户锁定策略”,切换账户使用“guojing”登录,先输入3次错误的密码,当输入第4次时,显示“引用的账户当前已锁定,且可能无法登录

    需要等待10分钟后账户“guojing”自动解锁,或使用管理员登录后到“本地用和组”管理窗口中“手动解锁”

三、本地策略

本地策略适用于计算机,包括以下策略:

  • 审核策略:设置计算机上的安全日志中的日志记录
  • 用户权限分配:设置用户和组的权限
  • 安全选项:为计算机指定安全设置

1.审核策略

配置以安全日志的方式记录安全相关事件

  • 审核策略更改,记录对策略的修改事件
  • 审核登陆事件,记录用户登陆成功或失败事件
  • 审核账户管理,记录用户添加/删除/重命名/禁用/启用等事件
  • 审核对象访问,记录对非目录(Active Directory)访问的事件
  • 审核进程跟踪,记录与进程相关的事件
  • 审核目录服务访问,记录对目录(Active Directory)访问的事件
  • 审核权限使用,记录用户权限使用的事件
  • 审核系统事件,记录对OS进行以下设置的事件(更改系统事件、安全启动或关闭系统、加载可扩展身份验证组件、由于审核系统失败而导致已审核事件丢失、安全日志大小超过可配置的警告或阈值级别)
  • 审核账户登陆事件,记录每次验证账户凭证时的事件

2.用户权限分配

设置用户和组的权限

  • 允许通过远程桌面服务登陆
  • 允许本地登陆
  • 拒绝本地登陆
  • 更改系统时间
  • 备份文件和目录

3.安全选项配置

  • 交互式登陆:无需按Ctrl+Alt+Del,默认禁用
  • 交互式登陆:提示用户在密码过期之前更改密码,默认5天
  • 交互式登陆:不显示最后的用户名,默认禁用
  • 关机:允许系统在未登录的情况下关闭,默认禁用

例:审核策略应用

本案例要求在WinSvr2016中设置审核策略,以实现本地计算机安全的要求,相关说明如下。
1)以管理员登录,打开“本地安全策略”
2)设置审核策略,设置审核账户管理:成功、失败
3)分别验证设置本地策略的效果

  • 步骤一:设置审核策略
    1)打开“本地安全策略”窗口,依次展开“本地策略”–>“审核策略”

    2)在窗口右侧,双击“审核账户管理”,在“审核账户管理属性”对话框中,勾选“成功”和“失败”

    3)验证审核策略效果,重命名guojing帐户名为jinggege,在控制面板中,双击“管理工具-事件查看器-Windows日志-安全”,双击“用户账户管理事件”在弹出的对话框中,查看账户管理事件

例:用户权限配置应用

本案例要求在WinSvr2016中设置用户权限策略,以实现本地计算机安全的要求,相关说明如下:
1)以管理员登录,打开“本地安全策略”设置用户权限分配
2)设置拒绝本地登录:huangrong
3)设置本地关机:只有管理员用户可以本地关系统操作系统
4)验证设用户权限分配效果

  • 步骤一:设置用户权限分配
    1)打开“本地安全策略”窗口,依次展开“本地策略”–>“用户权限分配”

    2)在窗口右侧双击“拒绝本地登录”,在“拒绝本地登录属性”对话框,添加“huangrong”用户

    3)在窗口右侧双击“关闭系统”,在“关闭系统属性”对话框,删除其他用户及组仅保留Administrators组

    4)验证用户权限分配,注销登录系统输入用户名huangrong和正确的密码,显示“不允许使用你正在尝试的登录方式,……”

例:安全选项配置应用

本案例要求在WinSvr2016中设置安全选项策略,以实现本地计算机安全的要求,相关说明如下:
1)设置安全选项,交互式登录: 不显示最后的用户名:启用
2)设置安全选项, 交互式登录: 无需按 Ctrl+Alt+Del:启用
3)验证安全选项策略的效果

  • 步骤一:设置安全选项
    1)打开“本地安全策略”窗口,依次展开“本地策略”–>“安全选项”

    2)在窗口右侧双击“交互式登录:不显示最后的用户名”,在其属性对话框,选中“已启用”

3)在窗口右侧双击“交互式登录: 无需按 Ctrl+Alt+Del”,在其属性对话框,选中“已启用”

4)最终“安全选项”设置结果

  • 步骤二:验证设置本地策略的效果
    1)验证“安全选项”,切换到用户登录界面,发现“无需按Ctrl+Alt+Del” ,而且不显示“最后的登录名”

    2)输入用户名huangrong和正确的密码,显示“不允许使用你正在尝试的登录方式,……”

四、系统账户安全加固

1.Windows账户管理

  • 多用户系统
    Windows不应只有一个管理员用户,应根据业务需求,设定不同的用户和用户组,如管理员用户、web用户、数据库用户
  • 定期检查用户,删除无用、过期的账户
    应保证所有用户均为有效且在用
  • 禁用Guest用户
    系统应禁用Guest账户,Guest账户默认不开启
  • 账户管理
    更改默认管理员账户(应更改默认管理员administrator的名称,防止暴力破解等问题)
    不显示最后得到用户名(用户登陆出后,下次登陆时,不应显示上次登陆用户的名称)
  • 检测方法
    控制面板-系统和安全-管理工具-计算机管理
    控制面板-系统和安全-管理工具-本地安全策略
  • 查看当前系统账户
    1)打开cmd查看当前系统账户
    2)开始→控制面板→管理工具→计算机管理,进入本地用户和组,查看用户
    3)打开注册表,查看用户和组HKEY_LOCAL_MACHINE/SAM/SAM/Domains/Account/Users/

2.共享安全加固

  • 关闭默认共享
    关闭Windows默认共享
    例如:Admin$,C $,D $等
  • 检测方法
    打开cmd,输入net share查看目前的共享
    控制面板→系统和安全→管理工具→计算机管理→共享文件夹→共享
  • 删除本机默认共享
    1)利用net命令删除(本方法停止共享,立即生效,但是重启系统后,默认共享会自动恢复)
    net share ipc$ /delete
    net share admin$ /delete
    net share c$ /delete
    net share c$ /delete
    net share c$ /delete
    2)关闭磁盘与Admin默认共享
    ①在注册表编辑器,找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
    ②双击右侧窗口的“AutoShareServer”项将键值由1改为0,“AutoShareSks”项将键值由1改为0
    ③如果没有“AutoShareServer”项或“AutoShareSks”项,可新建一个再改键值
    ④重启后生效,以后重启也不会再出现共享
  • 停止共享服务
    1)打开服务管理器
    2)共享服务对应的名称时“Server”(在进程中的名称为services)
    3)双击“Server”,在“常规”标签中把“启动类型”更改为“已禁用”
    4)单击下面“服务状态”的“停止”按钮,再确认就可以

例:查看账户信息

本案例要求在Windows系统中查看用户信息,相关说明如下。
1)以管理员登录,进入命令提示环境查看用户
2)打开注册表查看用户

  • 步骤一:以管理员登录,运行“命令提示环境”,查看用户信息
    以administrator登录电脑,运行–>“cmd”–>“打开命令提示环境”,输入net user命令查看系统用户信息
  • 步骤二:打开注册表查看用户信息
    1)运行“regedit”打开注册表

    2)依次展开“HKEY_LOCAL_MACHINE\SAM\SAM”右击SAM选择权限,添加Administrator用户勾选完全控制权限

    3)查看HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names下的键值为用户名

    4)用户名键值下的值,对应的Users下的键

    5)Users下的F键值,为权限设置信息

例:关闭默认共享

本案例要求在Windows系统中关闭默认共享,提高系统安全,相关说明如下。
1)在注册表编辑器,找到”HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters”项
2)“ AutoShareSks”项关闭磁盘默认共享
3)“AutoShareServer”项关闭Admin默认共享

  • 步骤一:打开注册表找到parameters”项,编辑注册表关闭默认共享
    1)进入Windows命令提示环境,输入net share已查看默认共享有C $、Admin $

    2)以管理员登录,打开“注册表”,查
    找”HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters”项

    3)“parameter”项右侧窗口中查找“AutoShareSks”项,如果没有 “AutoShareSks”项,可自己新建一个键值DWORD(32位)值(D),双击“AutoShareSks”项将键值由1改为0

    4)“parameter”项右侧窗口中查找”AutoShareServer”项,如果没有 “AutoShareServer”项,可自己新建一个键值DWORD(32位)值(D),双击“AutoShareServer”项将键值由1改为0

    5)重启系统运行命令提示环境,输入net share已查看不到磁盘与Admin共享

例:系统服务加固

本例要求为Windows系统服务加固,禁用以下服务:
1)IP Helper、Base Filtering Engine、Print Spooler
2)Security Center、Server、SSDP Discovery
Top
3)TCP/IP NetBIOS Helper
4)Windows Defender Service

  • 步骤一:打开服务管理器
    1)右击“此电脑”–>“管理”–>“服务”,或者,运行 services.msc 都可以打开服务控制台

    2)双击需要关闭的系统服务(比如IP Helper),将启动类型设为“禁用”,如果需要立即禁用此服务,可以单击“停止”按钮,其他需要停止的有务参照此方法完成。