我曾经跨过山和大海,也穿过人山人海
我曾经被挖过矿,也被勒过索
我曾经加固防火墙,也重装了系统
直到安全基线才是唯一的答案
一、什么是安全基线
字典上对“基线”的解释是:一种在测量、计算或定位中的基本参照。如海岸基线,是水位到达的水位线。
计算机中的安全基线是:系统最低安全要求的配置,常见的安全基线配置标准有ISO270001、等级保护2.0
二、安全基线配置
常用快捷启动记录
| 名称 | 快捷启动( win + r ) |
|---|---|
| 计算机管理 | compmgmt.msc |
| 本地安全策略 | secpol.msc |
| 事件查看器 | eventvwr |
| 本地组策略编辑器 | gpedit.msc |
| 系统配置实用程序 | msconfig |
1. 账号管理与授权
用户权限配置
计算机管理–>本地用户和组
删除不需要的用户和组,让用户权限最小化用户密码策略
本地安全策略–>账户策略–>密码策略
| 选项 | 值 |
|---|---|
| 密码必须符合复杂性要求 | 已启用 |
| 密码长度最小值 | 8个字符 |
| 密码最短使用期限 | 1天 |
| 密码最长使用期限 | 90天 |
| 强制密码历史 | 5个记住的密码 |
| 用可还原的加密来储存密码 | 已禁用 |
- 用户锁定策略
本地安全策略–>账户策略–>账户锁定策略
| 选项 | 值 |
|---|---|
| 账户锁定时间 | 5分钟 |
| 账户锁定阈值 | 6次无效登录 |
| 重置账户锁定计数器 | 5分钟后 |
- 权限分配
本地安全策略–>本地策略–>用户权限分配
| 选项 | 值 |
|---|---|
| 从远程系统强制关机 | 删除除 administrators 以外的选项 |
| 关闭系统 | 删除除 administrators 以外的选项 |
| 允许本地登录 | 只保留授权用户 |
| 从网络访问此计算机 | 只保留授权用户 |
2. 日志配置要求
- 审核策略设置中的成功失败都要审核
本地安全策略–>本地策略–>审核策略
| 选项 | 值 |
|---|---|
| 审核策略更改 | 成功和失败 |
| 审核登录时间 | 成功和失败 |
| 审核对象访问 | 成功和失败 |
| 审核过程跟踪 | 失败 |
| 审核目录服务访问 | 成功和失败 |
| 审核特权使用 | 成功和失败 |
| 审核系统事件 | 成功和失败 |
| 审核账户登录事件 | 成功和失败 |
| 审核账户管理 | 成功和失败 |
设置日志查看器大小
描述:将应用程序、系统、安全日志查看器大小设置为至少 20480KB
位置:管理工具–>事件查看器
设置:分别在应用程序、系统、安全上右键–>属性,设置日志容量为 20480KB
当达到最大日志大小时,“按需要覆盖事件”,并且用户有流程定期转存日志(备份日志)高级安全审核–账户登录
位置:本地组策略编辑器–>计算机配置–>windows设置–>安全设置–>高级安全审核策略配置–>系统审核策略-本地组策略对象–>账户登录
设置:将 “审核凭据验证” 设置为 “成功和失败”高级安全审核–账户管理
本地组策略编辑器–>计算机配置–>windows设置–>安全设置–>高级安全审核策略配置–>系统审核策略-本地组策略对象–>账户管理
| 选项 | 值 |
|---|---|
| 审核计算机账户管理 | 成功和失败 |
| 审核其它账户管理事件 | 成功和失败 |
| 审核安全组管理 | 成功和失败 |
| 审核用户账户管理 | 成功和失败 |
高级安全审核–详细跟踪
位置:本地组策略编辑器–>计算机配置–>windows设置–>安全设置–>高级安全审核策略配置–>系统审核策略-本地组策略对象–>详细跟踪
设置:将 “审核进程创建” 设置为 “成功”高级安全审核–DS访问
本地组策略编辑器–>计算机配置–>windows设置–>安全设置–>高级安全审核策略配置–>系统审核策略-本地组策略对象–>DS访问
| 选项 | 值 |
|---|---|
| 审核目录服务访问 | 成功和失败 |
| 审核目录服务更改 | 成功和失败 |
- 高级安全审核–登录/注销
本地组策略编辑器–>计算机配置–>windows设置–>安全设置–>高级安全审核策略配置–>系统审核策略-本地组策略对象–>登录/注销
| 选项 | 值 |
|---|---|
| 审核注销 | 成功 |
| 审核登录 | 成功和失败 |
| 审核特殊登录 | 成功 |
- 高级安全审核–对象访问
本地组策略编辑器–>计算机配置–>windows设置–>安全设置–>高级安全审核策略配置–>系统审核策略-本地组策略对象–>对象访问
| 选项 | 值 |
|---|---|
| 审核文件系统 | 成功 |
| 审核注册表 | 失败 |
- 高级安全审核–策略更改
本地组策略编辑器–>计算机配置–>windows设置–>安全设置–>高级安全审核策略配置–>系统审核策略-本地组策略对象–>策略更改
| 选项 | 值 |
|---|---|
| 审核审核策略更改 | 成功和失败 |
| 审核身份验证策略更改 | 成功 |
- 高级安全审核–系统
本地组策略编辑器–>计算机配置–>windows设置–>安全设置–>高级安全审核策略配置–>系统审核策略-本地组策略对象–>系统
| 选项 | 值 |
|---|---|
| 审核IPsec驱动程序 | 成功和失败 |
| 审核安全状态更改 | 成功和失败 |
| 审核安全系统扩展 | 成功和失败 |
| 审核系统完整性 | 成功和失败 |
3. 安全选项配置
本地安全策略–>本地策略–>安全选项
| 选项 | 值 |
|---|---|
| Microsoft 网络服务器: 登录时间过期后断开与客户端的连接 | 已启用 |
| Microsoft 网络服务器: 暂停会话前所需的空闲时间量 | 15分钟 |
| 关机: 清除虚拟内存页面文件 | 已禁用 |
| 关机: 允许系统在未登录的情况下关闭 | 已禁用 |
| 恢复控制台: 允许自动管理登录 | 已禁用 |
| 交互式登录: 不显示上次登录 | 已启用 |
| 交互式登录: 提示用户在密码过期之前更改密码 | 30天 |
| 交互式登录: 无需按 CTRL+ALT+DEL | 已禁用 |
| 交互式登录: 需要 Windows Hello 企业版或智能卡 | 已禁用 |
| 交互式登录: 之前登录到缓存的次数(域控制器不可用时) | 0次 |
| 交互式登录: 智能卡移除行为 | 锁定工作站 |
| 设备: 防止用户在连接共享打印机时安装打印机驱动程序 | 已启用 |
| 设备: 将 CD-ROM 的访问权限仅限于本地登录的用户 | 已启用 |
| 设备: 将软盘的访问权限仅限于本地登录的用户 | 已启用 |
| 设备: 允许对可移动媒体进行格式化并弹出 | 管理员 |
| 审核: 强制审核策略子类别设置(Windows Vista 或更高版本)可替代审核策略类别设置。 | 已启用 |
| 审核: 如果无法记录安全审核则立即关闭系统 | 已禁用 |
| 网络安全: LAN 管理器身份验证级别 | 仅发送NTLMv2响应,拒绝LM |
| 网络安全: LDAP 客户端签名要求 | 协商签名 |
| 网络安全: 基于 NTLM SSP 的(包括安全 RPC)服务器的最小会话安全 | 要求 NTLMv2会话安全,要求128位加密 |
| 网络安全: 基于 NTLM SSP 的(包括安全 RPC)客户端的最小会话安全 | 要求 NTLMv2会话安全,要求128位加密 |
| 网络安全: 在下一次更改密码时不存储 LAN 管理器哈希值 | 已启用 |
| 网络访问: 本地帐户的共享和安全模型 | 经典 |
| 网络访问: 不允许匿名枚举 SAM 帐户 | 已启用 |
| 网络访问: 不允许 SAM 帐户和共享的匿名枚举 | 已启用 |
| 网络访问: 不允许存储网络身份验证的密码和凭据 | 已启用 |
| 网络访问: 将 Everyone 权限应用于匿名用户 | 已禁用 |
| 网络访问: 可匿名访问的共享 | 无定义 |
| 网络访问: 可匿名访问的命名管道 | 无定义 |
| 网络访问: 可远程访问的注册表路径 | 无 |
| 网络访问: 可远程访问的注册表路径和子路径 | 无 |
| 网络访问: 限制对命名管道和共享的匿名访问 | 已启用 |
| 网络访问: 允许匿名 SID/名称转换 | 已禁用 |
| 系统对象: 非 Windows 子系统不要求区分大小写 | 已启用 |
| 系统对象: 增强内部系统对象的默认权限(例如,符号链接) | 已启用 |
| 系统加密: 为计算机上存储的用户密钥强制进行强密钥保护 | 用户每次使用密钥时必须输入密码 |
| 系统设置: 可选子系统 | 无 |
| 用户帐户控制: 标准用户的提升提示行为 | 自动拒绝提升请求 |
| 用户帐户控制: 在管理审批模式下管理员的提升提示行为 | 提示凭据 |
| 用户帐户控制: 检测应用程序安装和提示提升 | 已启用 |
| 用户帐户控制: 将文件及注册表写入失败虚拟化到每用户位置 | 已启用 |
| 用户帐户控制: 仅提升安装在安全位置的 UIAccess 应用程序 | 已启用 |
| 用户帐户控制: 提示提升时切换到安全桌面 | 已启用 |
| 用户帐户控制: 启用管理审批模式 | 已启用 |
| 用户帐户控制: 对内置管理员帐户使用管理审批模式 | 已启用 |
| 帐户: 来宾帐户状态 | 已禁用 |
| 帐户: 使用空密码的本地帐户只允许进行控制台登录 | 已启用 |
4. 服务配置要求
启动 NTP 服务
描述:启用 NTP 服务,配置统一服务器时钟,开启 NTP 服务向网络内指定的 NTP server 同步时钟
对于已加入域的服务器:系统将自动与域控服务器同步时钟
对于未加入域的服务器:控制面板–>日期和时间–>Internet时间,开启 “自动与Internet时间服务器同步”,填写 NTP 服务器IP,点击立即更新禁用无用的服务
运行–>services.msc,检查以下服务是否关闭
| 服务名称 | 描述 |
|---|---|
| server | 共享 |
| Remote Registry | 远程管理注册表 |
| Print Spooler | 打印 |
| Distributed Link Tracking Client | 局域网更新连接信息 |
| TCP/IP NetBIOS Helper | |
| Workstation | |
| IP Helper | IPv6 |
| Windows Remote Management (WS-Management) | 远程管理 |
关闭不需要的启动项
运行–>msconfig–>启动,查看启动项,关闭不需要的启动项
关闭自动播放
描述:关闭自动播放功能,防止插入U盘时,自动启动恶意程序
位置:控制面板–>自动播放
设置:取消 “为所有媒体和设备使用自动播放”审查 host 文件
描述:系统首先从Hosts文件中寻找对应的IP地址
位置:C:\Windows\System32\drivers\etc\hosts
设置:审查该文件是否有可疑的 域名-IP 对应关系,如有可疑配置,最好进行溯源操作
5. 其它配置要求
- 升级杀毒软件,更新病毒库
- 安装最新 service pack 补丁包
- 设置屏幕保护,等待时间5分钟,恢复时使用密码
- 开启 windows 防火墙,查看入站/出站规则,正确设置网络访问控制策略
- 关闭远程桌面