原创： kid 合天智汇

Windowsserver 2008 将于2020年1月14日停止支持服务，所以在许多zf机构在入云的时候，云服务商都会建议，比如首信云，就会建议安装或者默认安装Windowsserver 2012.

在工作内，基于云安全的工作内容，抽空也整理了下Windows安全加固文档，加固的目的其实最主要的目的是为了过等保测评。

所以基于等保三级的标准，在技术类，下面的加固项包含的大部分必须的内容。小部分，比如增加运维普通用户，权限分离，关闭不必要的服务，关闭一些共享等等，是可能影响业务的，所以需要与客户沟通再决定。

主要基于Windowsserver 2012写的，其实也同样适用于2008

基于等保三级，大致分为身份鉴别、访问控制、安全审计、资源控制、入侵防范、恶意代码防范、剩余信息保护这7个方面。

01身份鉴别

分别是口令的策略，包括密码的长度，密码生存周期等。和一些锁定策略。

2008中较为直观，在“开始->管理工具->本地安全策略“中即可找到，2012中左下角的管理界面打开后，在右上角的工具中可以看到。

计算机管理可以看账户

本地安全策略中设置绝大部分的策略

按图中更改。

《信息安全等级保护基本要求》

主机安全---身份鉴别

c)操作系统和数据库系统管理用户身份标识应具有不易被冒用的

特点，系统的静态口令应在7 位以上并由字母、数字、符号等混合组成并每三个月更换口令。

配置：“密码必须符合复杂性要求”选择“已启动”；

“密码长度最小值”设置为“8个字符”。

“强制密码历史”设置为“5个记住的密码”。

“密码最长存留期”设置为“90天”。

“密码最短使用期限”是否是设置为“2天”。

《信息安全等级保护基本要求》

主机安全---身份鉴别

d) 应启用登录失败处理功能，可采取结束会话、限制登录间隔、限制非法登录次数和自动退出等措施

配置：“账户锁定阀值”设置为10次无效登录;

  “账户锁定时间”设置为 3分钟;

  “复位帐户锁定计数器”设置为“3分钟之后”

《信息安全等级保护基本要求》

主机安全---身份鉴别

b)应对登录操作系统和数据库系统的用户进行身份标识和鉴别

配置“网络访问：不允许SAM 帐户的匿名枚举”设置为“已启用”

       “交互式登录：提示用户在密码过期之前进行更改”设置为“15天”

       “域成员：”禁用计算机帐户密码更改”设置为“已禁用”（没有就不设置）

02访问控制

《信息系统等级保护基本要求》

主机安全---访问控制

a)应启用访问控制功能，依据安全策略控制用户对资源的访问

b)应根据管理用户的角色分配权限，实现管理用户的权限分离，仅授予管理用户所需的最小权限

配置：“允许本地登录”右击“属性”请根据系统和业务的需要添加用户或组本地登录此计算机

“从远端系统强制关机”设置为“只指派给Administrators 组”

“关闭系统”设置为“只指派给Administrators 组”修改为需要

“取得文件或其它对象的所有权”设置为“只指派给Administrators 组”

“交互式登录：不需要按 ctrl +alt + del”，在“属性”中设置为“已禁用”。

“交互式登录:需要域控制器身份验证以对工作站进行解锁”设置为“已启用”

按需设置：

如需启用 SNMP 服务，则修改默认的SNMP Community String 设

置。

查看每个共享文件夹的共享权限，只允许授权的账户拥有权限共享

此文件夹，禁止使用共享权限为“everyone”

此外还有防火墙的需求，云上主机一般都会有统一的ids，ips，firewall等安全设备管理和审计。

03安全审计

《信息安全等级保护基本要求》

主机安全---安全审计

a)审计范围应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户；

c)审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等，并定期备份审计记录，涉及敏感数据的记录保存时间

不少于半年；

主要是日志的一些审核。

配置：设置为成功和失败都审核

“开始->管理工具->服务”：

启动“Windows Time服务”，并设置为自动。

系统、安全、应用程序的日志策略

日志大小设置不小于“8192KB

最大的日志尺寸时，“按需要改写事件”。

04资源控制

《信息安全等级保护基本要求》

主机安全---资源控制

b)应根据安全策略设置登录终端的操作超时锁定

配置：“网络安全:在超过登录时间后强制注销”设置为“已启用”录时间后强制注销

“Microsoft 网络服务器”设置为“在挂起会话之前所需的空闲时间”为 15 分钟

《信息安全等级保护基本要求》

主机安全---资源控制

a)应通过设定终端接入方式、网络地址范围等条件限制终端登录

配置：进入“开始->控制面板->自动播放”：去掉“所有的媒体和设备使用自动播放”前面的勾号，并保存。

《信息安全等级保护基本要求》

主机安全---资源控制

d) 应限制单个用户对系统资源的最大或最小使用限度

主要是磁盘分区：最好采用较为安全的NTFS 格式划分磁盘。

操作系统应安装在磁盘的第一个逻辑分区

服务器应至少建立两个或以上磁盘分区

此外 还有些服务的审核，需要沟通确认关闭不必要的服务。

05入侵防范

《《信息安全等级保护基本要求》

主机安全---入侵防范

c) 操作系统应遵循最小安装的原则，仅安装需要的组件和应用程序，并通过设置升级服务器、系统软件预防性维护服务等方式保持系统补丁及时得到更新

就是补丁的更新问题，但不一定最新的都是最适合的，所以还是谨慎选择。

06恶意代码防护

《信息安全等级保护基本要求》

主机安全---恶意代码防范

a) 应安装国家安全部门认证的正版防恶意代码软件，对于依附于病毒库进行恶意代码查杀的软件应及时更新防恶意代码软件版本和恶意代码库，对于非依赖于病毒库进行恶意代码防御的软件，如主动防御类软件，应保证软件所采用的特征库有效性与实时性，对于某些不能安装相应软件的系统可以采取其他安全防护措施来保证系统不被恶意代码攻击。

杀毒软件的安全和更新，现在业务服务器大部分用的还是瑞星正版杀毒。

07剩余信息保护

《信息安全等级保护基本要求》

主机安全---剩余信息保护

a)应保证操作系统和数据库系统用户的鉴别信息所在的存储空间，被释放或再分配给其他使用人员前得到完全清除，无论这些信息是存放在硬盘上还是在内存中。

【不支持外链图片，请上传图片或单独粘贴图片】

配置：“交互登录：不显示上次的用户名”配置为“已启用”。

“关机：清除虚拟内存页面文件”配置为“已启用”。

“交互式登录：设置可被缓存的前次登录个数为5”

“交互式登陆标题设置为警告”

”交互式登陆文本设置请勿非法登陆本系统。”

后续也会有Linux的方案。

都是些简单的加固，欢迎指正批评，谢谢阅读。

相关操作学习：

Windows系统安全配置：学习Windows操作系统的安全加固方法

http://www.hetianlab.com/cour.do?w=1&c=C9d6c0ca797abec2017041916560700001

本文为合天原创，未经允许，严禁转载。