Windows Server 強化涉及識別和修復安全漏洞。
以下是可以立即實施的主要 Windows Server 強化實踐,以降低攻擊者危害關鍵系統和數據的風險。
組織安全
- 維護每台伺服器的庫存記錄,清楚地記錄其基線配置並記錄對伺服器的每次更改。
- 在對生產環境進行更改之前,徹底測試和驗證對伺服器硬體或軟體的每個建議更改。
- 定期進行風險評估。使用結果更新風險管理計劃並維護所有伺服器的優先列表,以確保及時修復安全漏洞。
- 將所有伺服器保持在相同的修訂級別
Windows 伺服器準備
- 在安裝和加固作業系統之前,保護新安裝的機器免受惡意網絡流量的影響。加固未向 Internet 開放的 DMZ 網絡中的每台新伺服器。
- 設置 BIOS/固件密碼以防止未經授權更改伺服器啟動設置。
- 禁用到故障恢復控制台的自動管理登錄。
- 配置設備引導順序以防止未經授權從備用媒體引導。
Windows 伺服器安裝
- 確保系統在安裝過程中不會關閉。
- 使用安全配置嚮導根據所需的特定角色創建系統配置。
- 確保及時應用所有適當的補丁、修補程序和服務包。安全補丁解決了已知的漏洞,攻擊者可能會利用這些漏洞破壞系統。安裝 Windows Server 後,立即通過 WSUS 或 SCCM 使用最新補丁對其進行更新。
- 啟用補丁可用性的自動通知。無論何時發布補丁,都應使用 WSUS 或 SCCM 及時對其進行分析、測試和應用。
用戶帳號安全加固
- 確保管理密碼和系統密碼符合密碼最佳做法。特別是,驗證特權帳戶密碼不是基於字典單詞,並且長度至少為 15 個字符,其中包含字母、數字、特殊字符和不可見 (CTRL ^ ) 字符。確保所有密碼每 90 天更改一次。
- 根據帳戶鎖定最佳實踐配置帳戶鎖定組策略。
- 禁止用戶使用 Microsoft 帳戶創建和登錄。
- 禁用來賓帳戶。
- 不允許「所有人」權限應用於匿名用戶。
- 不允許匿名枚舉 SAM 帳戶和共享。
- 禁用匿名 SID/名稱轉換。
- 立即禁用或刪除未使用的用戶帳戶。
網絡安全配置
- 在所有配置文件(域、私有、公共)中啟用 Windows 防火牆,並將其配置為默認阻止入站流量。
- 在網絡設置級別執行埠阻塞。執行分析以確定需要打開哪些埠並限制對所有其他埠的訪問。
- 將通過網絡訪問每台計算機的能力限制為僅限經過身份驗證的用戶。
- 不要授予任何用戶「作為作業系統的一部分」的權利。
- 拒絕來賓帳戶作為服務、批處理作業、本地或通過 RDP 登錄的能力。
- 如果使用 RDP,請將 RDP 連接加密級別設置為高。
- 刪除啟用 LMhosts 查找。
- 禁用 TCP/IP 上的 NetBIOS。
- 刪除 ncacn_ip_tcp。
- 將 Microsoft 網絡客戶端和 Microsoft 網絡伺服器都配置為始終對通信進行數字簽名。
- 禁用向第三方 SMB 伺服器發送未加密的密碼。
- 不允許匿名訪問任何共享。
- 允許本地系統將計算機標識用於 NTLM。
- 禁用本地系統 NULL 會話回退。
- 為 Kerberos 配置允許的加密類型。
- 不要存儲 LAN Manager 哈希值。
- 將 LAN Manager 身份驗證級別設置為僅允許 NTLMv2 並拒絕 LM 和 NTLM。
- 從網絡設置中刪除文件和列印共享。文件和列印共享可以允許任何人連接到伺服器並訪問關鍵數據,而無需用戶 ID 或密碼。
註冊表安全配置
- 確保所有管理員都花時間徹底了解註冊表的功能及其各個鍵的用途。Windows 作業系統中的許多漏洞可以通過更改特定密鑰來修復,如下所述。
- 配置註冊表權限。保護註冊表免受匿名訪問。如果不需要,禁止遠程註冊表訪問。
- 將 MaxCachedSockets (REG_DWORD) 設置為 0。
- 將 SmbDeviceEnabled (REG_DWORD) 設置為 0。
- 將 AutoShareServer 設置為 0。
- 將 AutoShareWks 設置為 0。
- 刪除 NullSessionPipes 鍵內的所有值數據。
- 刪除 NullSessionShares 鍵內的所有值數據。
常規安全設置
- 禁用不需要的服務。大多數伺服器都有作業系統的默認安裝,它通常包含系統運行不需要的無關服務,並且代表安全漏洞。因此,從系統中刪除所有不必要的服務至關重要。
- 刪除不需要的 Windows 組件。應從關鍵系統中刪除任何不必要的 Windows 組件,以使伺服器保持安全狀態。
- 在 Windows Server 上使用 NTFS 或 BitLocker 啟用內置加密文件系統 (EFS)。
- 如果工作站有大量隨機存取內存 (RAM),請禁用 Windows 交換文件。這將提高性能和安全性,因為不能將敏感數據寫入硬碟驅動器。
- 不要使用自動運行。否則,不受信任的代碼可以在用戶不直接知道的情況下運行;例如,攻擊者可能會將一張 CD 放入機器中並導致他們自己的腳本運行。
- 在用戶登錄之前顯示如下法律聲明:「禁止未經授權使用此計算機和網絡資源……」
- 交互式登錄需要 Ctrl+Alt+Del。
- 配置機器不活動限制以保護空閒的交互式會話。
- 確保所有卷都使用 NTFS 文件系統。
- 配置本地文件/文件夾權限。另一個重要但經常被忽視的安全過程是鎖定伺服器的文件級權限。默認情況下,Windows 不對任何本地文件或文件夾應用特定限制;每個人組被授予對大部分機器的完全權限。刪除此組,改為使用基於最小權限原則的基於角色的組來授予對文件和文件夾的訪問權限。應盡一切努力從用戶權限列表中刪除 Guest、Everyone 和 ANONYMOUS LOGON。使用此配置 Windows 將更加安全。
- 設置系統日期/時間並將其配置為與域時間伺服器同步。
- 配置屏幕保護程序以在無人看管的情況下自動鎖定控制台的屏幕。
審核策略設置
- 根據審計策略最佳實踐啟用審計策略。Windows 審核策略定義了在 Windows 伺服器的安全日誌中寫入的事件類型。
- 將事件日誌保留方法配置為根據需要覆蓋,最大為 4GB。
- 配置日誌傳送到 SIEM 以進行監控。
軟體安全指南
- 安裝並啟用防病毒軟體。將其配置為每天更新。
- 安裝並啟用反間諜軟體。將其配置為每天更新。
- 安裝軟體以檢查關鍵作業系統文件的完整性。Windows 有一項稱為 Windows 資源保護的功能,它會自動檢查某些關鍵文件並在它們損壞時替換它們。
固定快照(狀態)
- 使用 GHOST 或 Clonezilla 製作每個作業系統的映像,以簡化 Windows Server 的進一步安裝和強化。
- 輸入Windows Server 2016/2012/2008/2003 許可證密鑰。
- 將伺服器輸入域並應用域組策略。
這些安全實踐,我們看一看到很多與等級保護安全計算環境裡要求很相似,對於安全的要求都是相通的,也可以說大家思考或借鑑都是朝著統一方向努力的。所以,在看到極為相似的地方,如同洪水要疏導,無論在哪個國家其方法論都是一致的,不同的是誰先遇到這個問題罷了。一方面需要我們勇於借鑑,一方面又不需要太妄自菲薄。自信不自負,勇於面對問題解決問題。