windows服务器安全基线配置指导
Windows服务器安全基线配置主要包括账户策略(密码策略、账户锁定策略)、本地策略(用户权限分配、审核策略、安全选项)、高级审核策略(账户登录、账户管理、登录/注销、对象访问)、管理模板(时间服务、日志服务、远程桌面服务、Windows更新、SMB)。
具体配置可参照以下操作指引:
2.1账户策略
2.1.1密码策略
编号:2.1.1-01 |
要求内容:强制密码历史 |
操作指南: 组策略->计算机配置->Windows设置->安全设置->账户策略->密码策略->强制密码历史。设置该值为5。 |
适用条件:所有Windows服务器 |
编号:2.1.1-02 |
要求内容:密码最长使用期限 |
操作指南: 组策略->计算机配置->Windows设置->安全设置->账户策略->密码策略->密码最长适用期限。设置该值为90。 |
适用条件:所有Windows服务器 |
编号:2.1.1-03 |
要求内容:最小密码长度 |
操作指南: 组策略->计算机配置->Windows设置->安全设置->账户策略->密码策略->密码长度最小值。设置该值为14。 |
适用条件:所有Windows服务器 |
编号:2.1.1-04 |
要求内容:密码复杂度要求(测试,与LDAP复杂度策略冲突) |
操作指南: 组策略->计算机配置->Windows设置->安全设置->账户策略->密码策略->密码必须符合复杂度要求。设置为已启用 |
适用条件: 所有Windows服务器,默认策略取消该策略,为windows服务器单独建立一个OU应用该策略 |
编号:2.1.1-05 |
要求内容:禁用“用可还原的加密来存储密码” |
操作指南: 组策略->计算机配置->Windows设置->安全设置->账户策略->密码策略->用可还原的加密来存储密码。设置为已禁用 |
适用条件: 所有Windows服务器 |
编号:2.1.1-06 |
要求内容:密码最长使用期限 |
操作指南: 组策略->计算机配置->Windows设置->安全设置->账户策略->密码策略->密码最短使用期限。设置为1天 |
适用条件: 所有Windows服务器 |
2.1.2账户锁定策略
编号:2.1.2-01 |
要求内容:设置账户锁定时间 |
操作指南: 组策略->计算机配置->Windows设置->安全设置->账户策略->账户锁定策略->账户锁定时间。设置为5分钟 |
适用条件: 所有Windows服务器 |
编号:2.1.2-02 |
要求内容:设置账户锁定阈值 |
操作指南: 组策略->计算机配置->Windows设置->安全设置->账户策略->账户锁定策略->账户锁定阈值。设置为7次无效登录 |
适用条件: 所有Windows服务器 |
编号:2.1.2-03 |
要求内容: 重置账户锁定计数器 |
操作指南: 组策略->计算机配置->Windows设置->安全设置->账户策略->账户锁定策略->重置账户锁定计数器。设置为4分钟之后 |
适用条件: 所有Windows服务器 |
2.2本地策略
2.2.1用户权限分配
编号:2.2.1-01 |
要求内容: 作为受信任的呼叫方访问凭据管理器设置为空 |
操作指南: 组策略->计算机配置->Windows设置->安全设置->本地策略->用户权限分配->作为受信任的呼叫方访问凭据管理器。设置为空 |
适用条件: 所有Windows服务器 |
编号:2.2.1-02 |
要求内容:将工作站添加到域设置为Add_PC_Domain |
操作指南: 组策略->计算机配置->Windows设置->安全设置->本地策略->用户权限分配->将工作站添加到域。设置为Add_PC_Domain |
适用条件: 域控制器服务器 |
编号:2.2.1-03(不启用)资金有部分机器使用普通用户(加入到远程登录组) |
要求内容: 允许本地登录设置为服务器本地Administrators |
操作指南: 组策略->计算机配置->Windows设置->安全设置->本地策略->用户权限分配->允许本地登录。设置为Administrators |
适用条件: 所有Windows服务器,在终端上启需要用户需要具有本地管理员权限,否则会无法登录 |
2.2.2审核策略
编号:2.2.2-01 |
要求内容:审核登录事件,成功和失败 |
操作指南: 组策略->计算机配置->Windows设置->安全设置->本地策略->审核策略->审核登录事件。设置审核成功和失败事件 |
适用条件: 所有Windows服务器 |
编号:2.2.2-02 |
要求内容:审核账户登录事件,成功和失败 |
操作指南: 组策略->计算机配置->Windows设置->安全设置->本地策略->审核策略->审核账户登录事件。设置审核成功和失败事件 |
适用条件: 所有Windows服务器 |
编号:2.2.2-03 |
要求内容: 审核账户管理,成功和失败 |
操作指南: 组策略->计算机配置->Windows设置->安全设置->本地策略->审核策略->审核账户管理。设置审核成功和失败事件 |
适用条件: 所有windows服务器 |
编号:2.2.2-04 |
要求内容:审核策略更改,成功和失败 |
操作指南: 组策略->计算机配置->Windows设置->安全设置->本地策略->审核策略->审核策略更改。设置审核成功和失败事件 |
适用条件: 所有Windows服务器 |
2.2.3安全选项
编号:2.2.3-01 |
要求内容:账户:本地管理员administrator账户状态设置为已禁用 |
操作指南: 组策略->计算机配置->Windows设置->安全设置->本地策略->安全选项->账户:管理员账户状态。设置为已禁用 |
适用条件: 域控制器不生效,在配置此项前请先添加本地管理员账户 |
编号:2.2.3-02 |
要求内容:账户:阻止Microsoft账户,设置用户不能添加Microsoft账户或使用该账户登录 |
操作指南: 组策略->计算机配置->Windows设置->安全设置->本地策略->安全选项->账户:阻止Microsoft账户,设置为用户不能添加Microsoft账户或使用该账户登录 |
适用条件: Windows 2012及以上服务器且没有使用Microsoft账户登录系统或启动服务 |
编号:2.2.3-03 |
要求内容:账户:来宾账户状态 |
操作指南: 组策略->计算机配置->Windows设置->安全设置->本地策略->安全选项->账户:来宾账户状态,设置为已禁用 |
适用条件: 所有Windows服务器 |
编号:2.2.3-04 |
要求内容: 账户:重命名本地系统管理员账户,设置为disabled_account |
操作指南: 组策略->计算机配置->Windows设置->安全设置->本地策略->安全选项->账户:重命名系统管理员账户,设置为disabled_account |
适用条件: 所有Windows服务器 |
编号:2.2.3-05 |
要求内容:交互式登录:不显示最后的用户名,设置为已启用 |
操作指南: 组策略->计算机配置->Windows设置->安全设置->本地策略->安全选项->交互式登录:不显示最后的用户名,设置为已启用 |
适用条件: 所有Windows服务器 |
编号:2.2.3-06 |
要求内容:交互式登录:无须按Ctrl+Alt+Del,设置为已禁用 |
操作指南: 组策略->计算机配置->Windows设置->安全设置->本地策略->安全选项->交互式登录:无须按Ctrl+Alt+Del,设置为已禁用 |
适用条件: 所有Windows服务器且未启用智能卡验证登录的。 |
编号:2.2.3-07 |
要求内容:交互式登录:计算机不活动限制,设置900秒 |
操作指南: 组策略->计算机配置->Windows设置->安全设置->本地策略->安全选项->交互式登录:计算机不活动限制,设置为900秒 |
适用条件: 所有Windows服务器 |
编号:2.2.3-08 |
要求内容:交互式登录:试图登录的用户的消息文本:设置为您正在登录华润集团服务器,您的所有操作都会被记录,请在授权范围内操作,避免信息安全违规。 |
操作指南: 组策略->计算机配置->Windows设置->安全设置->本地策略->安全选项->交互式登录:试图登录的用户的消息文本,设置为您正在登录华润集团服务器,您的所有操作都会被记录,请在授权范围内操作,避免信息安全违规。 |
适用条件: 所有Windows服务器 |
编号:2.2.3-9 |
要求内容:交互式登录:试图登录的用户的消息标题,设置为服务器登录告警 |
操作指南: 组策略->计算机配置->Windows设置->安全设置->本地策略->安全选项->交互式登录:试图登录的用户的消息标题,设置为服务器登录告警 |
适用条件: 所有Windows服务器 |
编号:2.2.3-10 |
要求内容:交互式登录:之前登录到缓存的次数(域控制器不可用时) |
操作指南: 组策略->计算机配置->Windows设置->安全设置->本地策略->安全选项->交互式登录:之前登录到缓存的次数(域控制器不可用时),设置为1 |
适用条件: 所有Windows服务器 |
编号:2.2.3-11 |
要求内容:网络访问:不允许SAM账户的匿名枚举,设置为已启用 |
操作指南: 组策略->计算机配置->Windows设置->安全设置->本地策略->安全选项->网络访问:不允许SAM账户的匿名枚举,设置为已启用 |
适用条件: 所有域成员服务器 |
编号:2.2.3-12 |
要求内容:Microsoft网络服务器:登录时间过期后断开与客户端的连接,设置为已开启 |
操作指南: 组策略->计算机配置->Windows设置->安全设置->本地策略->安全选项-> Microsoft网络服务器:登录时间过期后断开与客户端的连接,设置为已启用 |
适用条件: 所有Windows服务器 |
编号:2.2.3-13 |
要求内容:网络安全:LAN管理器身份验证级别,设置为仅发送NTLMV2响应。拒绝LM和NTLM |
操作指南: 组策略->计算机配置->Windows设置->安全设置->本地策略->安全选项->网络安全:LAN管理器身份验证级别,设置为仅发送NTLMV2响应。拒绝LM和NTLM |
适用条件: 所有Windows服务器(Windows 2008及以上版本) |
编号:2.2.3-14 |
要求内容:用户账户控制:用于内置管理员账户的管理员批准模式,设置为已启用 |
操作指南: 组策略->计算机配置->Windows设置->安全设置->本地策略->安全选项->用户账户控制:用于内置管理员账户的管理员批准模式,设置为已启用 |
适用条件: 所有Windows服务器 |
编号:2.2.3-15 |
要求内容:用户账户:管理员批准模式中管理员的提升权限提示的行为,设置为在安全桌面上同意提示 |
操作指南: 组策略->计算机配置->Windows设置->安全设置->本地策略->安全选项->用户账户控制:管理员批准模式中管理员的提升权限提示的行为,设置为在安全桌面上同意提示 |
适用条件: 所有Windows服务器 |
编号:2.2.3-16 |
要求内容:用户账户控制:标准用户的提升提示行为,设置为自动拒绝提升请求 |
操作指南: 组策略->计算机配置->Windows设置->安全设置->本地策略->安全选项->用户账户控制:标准用户的提升提示行为,设置为自动拒绝提升请求 |
适用条件: 所有Windows服务器 |
2.3高级审核策略
2.3.1账户登录
编号:2.3.1-1 |
要求内容:审核凭据验证,设置为成功和失败 |
操作指南: 组策略->计算机配置->Windows设置->安全设置->高级审核策略->系统审核策略-本地组策略对象->账户登录->审核凭据验证,设置为成功和失败 |
适用条件: 所有域成员服务器 |
2.3.2账户管理
编号:2.3.2-1 |
要求内容:审核计算机账户管理,设置为成功和失败 |
操作指南: 组策略->计算机配置->Windows设置->安全设置->高级审核策略->系统审核策略-本地组策略对象->账户管理->审核计算机账户管理,设置为成功和失败 |
适用条件: 所有域成员服务器 |
编号:2.3.2-2 |
要求内容:审核其他账户管理事件,设置为成功和失败 |
操作指南: 组策略->计算机配置->Windows设置->安全设置->高级审核策略->系统审核策略-本地组策略对象->账户管理->审核其他账户管理事件,设置为成功和失败 |
适用条件: 所有域成员服务器 |
编号:2.3.2-3 |
要求内容:用户账户管理,设置为成功和失败 |
操作指南: 组策略->计算机配置->Windows设置->安全设置->高级审核策略->系统审核策略-本地组策略对象->账户管理->审核用户账户管理,设置为成功和失败 |
适用条件: 所有域成员服务器 |
2.3.3登录/注销
编号:2.3.3-1 |
要求内容:审核注销,设置为成功 |
操作指南: 组策略->计算机配置->Windows设置->安全设置->高级审核策略->系统审核策略-本地组策略对象->登录/注销->审核注销,设置为成功 |
适用条件: 所有Windows服务器 |
编号:2.3.3-2 |
要求内容:审核登录,设置成功和失败 |
操作指南: 组策略->计算机配置->Windows设置->安全设置->高级审核策略->系统审核策略-本地组策略对象->登录/注销->审核登录,设置为成功和失败 |
适用条件: 所有域成员服务器 |
2.3.4对象访问
编号:2.3.4-1 |
要求内容:审核其他对象访问事件,设置为成功和失败 |
操作指南: 组策略->计算机配置->Windows设置->安全设置->高级审核策略->系统审核策略-本地组策略对象->对象访问->审核其他对象访问事件,设置为成功和失败 |
适用条件: 所有域成员服务器 |
2.4管理模板
2.4.1时间服务
编号:2.4.1-1 |
要求内容:启用Windows NTP客户端 |
操作指南: 组策略->计算机配置->管理模板>系统->Windows时间服务->时间提供程序->启用Windows NTP客户端,设置为已启用 |
适用条件: 所有Windows服务器 |
编号:2.4.1-2 |
要求内容:配置Windows NTP客户端 |
操作指南: 组策略->计算机配置->管理模板>系统->Windows时间服务->时间提供程序->配置Windows NTP客户端,设置为已启用,配置NTP Server,配置类型等设置 |
适用条件: 所有Windows服务器 |
2.4.2日志服务
编号:2.4.2-1 |
要求内容:应用程序:指定日志文件的最大大小,设置为已启用,日志大小设置为20480KB |
操作指南: 组策略->计算机配置->管理模板>Windows组件->事件日志服务->应用程序->指定日志文件的最大大小(KB),设置为已启用并设置最大日志大小为20480KB |
适用条件: 所有Windows服务器 |
编号:2.4.2-2 |
要求内容:安全:指定日志文件的最大大小(KB),设置为已启用,DC配置为204800KB,域成员服务器配置为20480KB |
操作指南: 组策略->计算机配置->管理模板>Windows组件->事件日志服务->安全->指定日志文件的最大大小(KB),设置为已启用并设置最大日志大小为DC配置为204800KB,域成员服务器配置为20480KB |
适用条件: 所有Windows服务器 |
编号:2.4.2-3 |
要求内容:系统:指定日志文件的最大大小(KB),设置为已启用,大小为20480KB |
操作指南: 组策略->计算机配置->管理模板>Windows组件->事件日志服务->系统->指定日志文件的最大大小(KB),设置为已启用并设置最大日志大小为20480KB |
适用条件: 所有Windows服务器 |
2.4.3远程桌面服务
编号:2.4.3-1 |
要求内容:不允许保存密码,设置为已启用 |
操作指南: 组策略->计算机配置->管理模板>Windows组件->远程桌面服务->远程桌面连接客户端->不允许保存密码,设置为启用 |
检测方法: (1)组策略->计算机配置->管理模板>Windows组件->远程桌面服务->远程桌面连接客户端->不允许保存密码,设置为启用 (2)HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\DisablePasswordSaving |
适用条件: 所有Windows服务器 |
编号:2.4.3-2 |
要求内容:设置活动但空闲的远程桌面服务会话的时间限制,设置为已启用,30分钟(建议15分钟以下) |
操作指南: 组策略->计算机配置->管理模板>Windows组件->远程桌面服务->远程桌面会话主机->会话时间限制->设置活动但空闲的远程桌面服务会话的时间限制,设置为启用,30分钟 |
适用条件: 所有Windows服务器 |
2.4.4Windows更新
编号:2.4.4-1 |
要求内容:配置自动更新 |
操作指南: 组策略->计算机配置->管理模板>Windows组件->Windows更新->配置自动更新,设置为已启用,配置自动更新为:3-自动下载并通知安装 |
适用条件: 所有Windows服务器 |
编号:2.4.4-2 |
要求内容:指定Intranet Microsoft更新服务位置,设置为已启用,配置更新服务器和统计服务器为:http://WSUS IP |
操作指南: 组策略->计算机配置->管理模板>Windows组件->Windows更新->指定Intranet Microsoft更新服务位置,设置为已启用,配置更新服务器和统计服务器为:http://WSUS IP |
适用条件: 所有Windows服务器,配置自动更新策略必须开启 |
2.4.5SMB
编号:2.4.5-1 |
要求内容:关闭SMB V1协议 |
操作指南: 关闭SMB v1服务端: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters\SMB1设置值为0 关闭SMB v1客户端: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\mrxsmb10\start值设置为REG_DWORD格式4 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\DependOnservice的REG_MULTI_SZ格式的值为Bowser,MRxSmb20,NSI |
适用条件: 所有Windows服务器 |
2.4.6防病毒
编号:2.4.6-1 |
要求内容:应安装天擎防病毒客户端并更新病毒定义 |
操作指南: 安装天擎客户端,检查客户端病毒定义是否更新 |
适用条件: 所有Windows服务器 |