基線定義
基線通常指配置和管理系統的詳細描述,或者說是最低的安全要求,它包括服務和應用程序設置、操作系統組件的配置、權限和權利分配、管理規則等。
基線檢查內容
主要包括賬號配置安全、口令配置安全、授權配置、日志配置、IP通信配置等方面內容,這些安全配置直接反映了系統自身的安全脆弱性。
目錄:
基線定義
基線檢查內容
基線檢查:Windows安全基線【手動 或 加固】
1.身份鑒別
2.訪問控制.
3.安全審計.
4.資源控制
5.剩余信息保護.
6.入侵防護.
7.惡意代碼防范
8.基線檢查--常用的命令
基線檢查:Windows安全基線--自動【腳本】
(1)下載 Windows 基線檢查的腳本.
(2)上傳 腳本到要檢測的 Windows 服務器上,點擊運行.
(3)下載出檢測完成的數據,把數據上傳到平臺上,分析生成出一個檢測完成的基線報告出來.
基線檢查:Windows安全基線【手動 或 加固】
1.身份鑒別
(1)更改缺省賬戶:
安全基線項說明:對于管理員帳號,要求更改缺省 Administrator 帳戶名稱.
配置方法:進入控制面板 -> 管理工具 -> 計算機管理 -> 系統工具 -> 本地用戶和組 -> 用戶 -> 重命名Administrator
(2)檢查 Guest 用戶是否禁用:
安全基線項說明:禁用 Guest(來賓) 帳號.
配置方法:進入控制面板 -> 管理工具 -> 計算機管理 -> 系統工具 -> 本地用戶和組 -> 用戶 -> Guest帳號 -> 屬性 -> 設置已停用
(3)密碼復雜度性要求:
安全基線項說明:啟用密碼必須符合復雜性要求
配置方法:進入控制面板 -> 管理工具 -> 本地安全策略 -> 帳戶策略 -> 密碼策略 -> 密碼必須符合復雜性要求 -> 屬性:啟用密碼必須符合復雜性要求
(4)密碼長度:
安全基線項說明:最小密碼長度不能小于8位.
配置方法:進入控制面板 -> 管理工具 -> 本地安全策略 -> 帳戶策略 -> 密碼策略 -> 密碼長度最小值 -> 屬性 -> 設置最小密碼長度
(5)賬戶口令的生存期:
安全基線項說明:靜態口令認證,賬戶口令的生存期不長于90天
配置方法:進入控制面板 -> 管理工具 -> 本地安全策略,在帳戶策略->密碼策略查看是否密碼最長存留期設置為90天
(6)口令重復次數:
安全基線項說明:靜態口令認證,不能重復使用最近5次內已使用的口令
配置方法:進入控制面板 -> 管理工具 -> 本地安全策略,在帳戶策略 -> 密碼策略查看是否強制密碼歷史設置為記住5個密碼
(7)口令認證失敗次數:
安全基線項說明:靜態口令認證失敗次數不超過6次.
配置方法:進入控制面板 -> 管理工具 -> 本地安全策略,在帳戶策略 -> 帳戶鎖定策略查看是否賬戶鎖定標閾值設置為小于等于6次。設置為0表示永遠不會被鎖定.
(8)賬號鎖定時間:
安全基線項說明:設置賬號鎖定時間不小于1分鐘
配置方法:進入控制面板 -> 管理工具 -> 本地安全策略 -> 帳戶策略 -> 賬號鎖定策略 -> 賬號鎖定時間 -> 屬性 -> 設置賬號鎖定時間為大于等于1分鐘.
設置為 0表示永遠不會被鎖定.
(9)賬號鎖定計數器:
安全基線項說明:確定登錄嘗試失敗之后和登錄嘗試失敗計數器被復位為0次失敗登錄嘗試之前經過的分鐘數,時間應小于或等于帳戶鎖定時間.
配置方法:進入控制面板 -> 管理工具 -> 本地安全策略 -> 帳戶策略 -> 賬號鎖定策略 -> 復位賬號鎖定計數器 -> 屬性 -> 重置賬號鎖定計數器為標準值.
(10)口令到期提示:
安全基線項說明:密碼到期前2個周提示更換密碼.
配置方法:進入控制面板 -> 管理工具 -> 本地安全策略 -> 安全選項
交互式登陸:提示用戶密碼到期前更改密碼 -> 14天
(11)域成員禁用更改機器賬戶密碼:
安全基線項說明:域成員禁用更改機器賬戶密碼.
配置方法:進入控制面板 -> 管理工具 -> 本地安全策略 -> 本地策略 -> 安全選項.
開啟域成員:禁用更改機器賬戶密碼.
(12)限制匿名用戶連接.
安全基線項說明:檢查是否限制匿名用戶連接權限,防止用戶遠程枚舉【破解】本地帳號和共享.
配置方法:進入控制面板 -> 管理工具 -> 本地安全策略 -> 本地策略 -> 安全選項
網絡訪問:不允許枚舉 SAM 帳號和共享的枚舉.
2.訪問控制.
(1)共享賬戶檢查.
安全基線項說明:檢查是否存在共享賬號.【要求每個人一個用戶名,不能共用一個用戶名】
配置方法:進入控制面板 -> 管理工具 -> 服務器管理 -> 配置 -> 本地用戶和組.
(2)遠程關機授權.
安全基線項說明:在本地安全設置中從遠端系統強制關機只指派給Administrators組.
配置方法:進入控制面板 -> 管理工具 -> 本地安全策 -> 本地策略 -> 用戶權限分配從遠程系統強制關機 -> 設置為“只指派給 Administrators 組"【2008默認開啟】
(3)本地關機.
安全基線項說明:在本地安全設置中關閉系統僅指派給Administrators組.
配置方法:進入“控制面板->管理工具->本地安全策略",在“本地策略->用戶權利分配”:查看“關閉系統"設置
(4)文件權限指派.
安全基線項說明:在本地安全設置中取得文件或其它對象的所有權僅指派給Administrators.
檢測操作步驟:進入“控制面板 -> 管理工具 -> 本地安全策略",在“本地策略 -> 用戶權利指派":查看 “取得文件或其它對象的所有權" 設置為只指派給“Administrators"組.
(5)授權帳戶登陸.【本地登錄】
安全基線項說明:在本地安全設置中配置指定授權用戶允許本地登陸此計算機.
檢測操作步驟:進入“控制面板 -> 管理工具 -> 本地安全策略",在 “本地策略 -> 用戶權利指派 "-"?允許本地登錄" 設置為"指定授權用戶"。
(6)授權帳戶從網絡訪問.【遠程登錄】
安全基線項說明:在組策略中只允許授權帳號從網絡訪問(包括網絡共享等,但不包括終端服務)此計算機.
檢測操作步驟:進入“控制面板 -> 管理工具 -> 本地安全策略",在 “本地策略 -> 用戶權利指派 ” - “ 從網絡訪問此計算機 “ 設置為 “ 指定授權用戶 ”.
(7)關閉默認共享.
安全基線項說明:非域環境中,關閉Windows硬盤默認共享,例如C$,D$.
檢測操作步驟:進入“開始 -> 運行 -> Regedit ”,進入注冊表編輯器,查看在HKEY_LOCAL_MACHINE \System\CurrentControlSet\Services\LanmanServer\Parameters\下,增加 REG_DWORD 類型的 AutoShareServer 鍵,值為0。
(8)共享文件夾授權訪問
安全基線項說明:查看每個共享文件夾的共享權限,只允許授權的帳戶擁有權限共享此文件夾。
檢測操作步驟:進入“控制面板 -> 管理工具 -> 計算機管理",進入 “系統工具 -> 共享文件夾”:查看每個共享文件夾的共享權限,只將權限授權于指定帳戶。不設置成為“everyone" 。
3.安全審計.
(1)NTP服務.【時間確保一致】
安全基線項說明:Windowstime服務設為已啟動.
配置方法:控制面板 -> 管理工具 -> 組件服務 -> 服務本地 -> 開啟時間服務.
(2)用戶登錄日志記錄
安全基線項說明:設備應配置日志功能,對用戶登錄進行記錄,記錄內容包括用戶登錄使用的賬號,登錄是否成功,登錄時間,以及遠程登錄時,用戶使用的IP地.
配置方法:?“ 控制面板 -> 管理工具 -> 本地安全策略 -> 本地策略 -> 審核策略 ” 審核登錄事件,雙擊,查看是否設置為成功和失敗都審核.
(3)系統日志完備性檢查
配置操作:控制面板 -> 管理工具 -> 本地安全策略 -> 本地策略 -> 審核策略 -> 每項都設置 ->“成功”和“失敗" 都要審核需要配置的策略.
4.資源控制
(1)登錄超時管理
安全基線項說明:啟用登錄時間用完時自動注銷用戶.【登錄中 長時間沒有操作,則需要重新登錄.】【如果不注銷會占用服務器資源.】
配置方法:進入控制面板 -> 管理工具 -> 本地安全策略 -> 安全選項 -> 網絡安全-檢查是否啟用登錄時間用完時自動注銷用戶.
(2)遠程登錄超時配置.
安全基線項說明:檢查對于遠程登陸的帳號,設置不活動斷連時間15分鐘.
配置方法:進入 “控制面板 -> 管理工具 -> 本地安全策略 ",在 “本地策略 -> 安全選項” “Microsoft網絡服務器“ 設置為 “ 在掛起會話之前所需的空閑時間 " 為15分鐘.
5.剩余信息保護.
(1)不顯示上次的用戶名
安全基線項說明:檢查是否啟用不顯示上次的用戶名.【存在信息泄露的風險】
配置方法:進入控制面板 -> 管理工具 -> 本地安全策略?-> 本地策略 ->?安全選項 ->? 啟用 交互式登錄?不顯示上次的用戶名.
(2)關機前清除虛擬內存頁面
安全基線項說明:關閉服務器前,應清除虛擬內存頁面,一保護暫存在在緩存中的數據.
檢測操作步驟:進入“控制面板 -> 管理工具 -> 本地安全策略",在 "本地策略 -> 安全選項",選中“關機前清除虛擬內存頁面".
(3)不啟用可還原的加密來存儲密碼
安全基線項說明:不啟用可還原的加密來存儲密碼,防止能夠獲取明文密碼.
檢測操作步驟:進入“控制面板->管理工具->本地安全策略",在“賬戶策略 -> 密碼策略",不啟用“用可還原的加密來存儲密碼”
6.入侵防護.
(1)可以安裝?修復漏洞 - WSUS【補丁服務器】
(2)數據執行保護.
安全基線項說明:對于Windows XP SP2及 Windows 2003 Server對Windows操作系統程序和服務啟用系統自帶DEP功能(數據執行保護),防止在受保護內存位置運行有害代碼.【比如內網滲透時的,防止溢出漏洞的執行】
檢測操作步驟:進入“控制面板->系統”,在“高級”選項卡的“性能"下的“設置”。進入“數據執行保護”選項卡。查看"僅為基本 Windows 操作系統程序和服務啟用DEP" .
(3)啟用 SYN 攻擊保護.
安全基線項說明:啟用SYN攻擊保護;指定觸發SYN洪水攻擊保護所必須超過的TCP連接請求數閥值為5;指定處于 SYN_RCVD 狀態的TCP 連接數的閾值為500;指定處于至少已發送一次重傳的SYN_RCVD狀態中的TCP連接數的值為400.
7.惡意代碼防范
安裝防病毒軟件,并及時更新.
8.基線檢查--常用的命令
基線檢查:Windows安全基線--自動【腳本】
(1)下載 Windows 基線檢查的腳本.
點擊 核查 -> 離線工具 -> 點擊下載需要測試的腳本.?
(2)上傳 腳本到要檢測的 Windows 服務器上,點擊運行.
(3)下載出檢測完成的數據,把數據上傳到平臺上,分析生成出一個檢測完成的基線報告出來.
? ?
??
? ?
學習鏈接:07-基線檢查-Windows安全基線_嗶哩嗶哩_bilibili
)
——CSS 徑向漸變(13.1.3)+ CSS 錐形漸變(13.1.4))