Windows安全管理规范

13WINDOWS安全管理规范目录上线前阶段31)组策略设置32)账号安全设置43)防火墙安全设置44)禁用服务45)修改注册表,默认远程端口以及放SYN_FLOOD56)禁用IPv657)禁用NetBIOS68)监控安装69)站点文件Hash以及文件目录的审计设置610)杀毒安装611)安全扫描712)Windows更新713)站点备份714)安装日志收集器715)服务器SSL配置716)IPS和WAF加入防护717)修改主机名818)IIS权限设置8日常维护阶段101)监控查看102)杀毒103)安全扫描104)站点文件一致性检查115)站点备份116)Windows更新117)日志的查看11被入侵后111)站点文件一致性检查112)系统文件一致性检查113)无法找到原因的处理12上线前阶段1) 组策略设置l 计算机配置-windows设置-安全设置-高级审核策略配置-账户登录-审核凭据验证-成功,失败l 计算机配置-windows设置-安全设置-高级审核策略配置-账户登录-审核Kerberos 身份验证服务-成功,失败l 计算机配置-windows设置-安全设置-高级审核策略配置-账户登录-审核Kerberos 服务票证操作-成功,失败l 计算机配置-windows设置-安全设置-高级审核策略配置-账户登录-审核其他帐户登录事件-成功,失败ll 计算机配置-windows设置-安全设置-高级审核策略配置-账号管理-审核计算机帐户管理-成功,失败l 计算机配置-windows设置-安全设置-高级审核策略配置-账号管理-审核其他帐户管理事件-成功,失败l 计算机配置-windows设置-安全设置-高级审核策略配置-账号管理-审核用户帐户管理-成功,失败l 计算机配置-windows设置-安全设置-高级审核策略配置-账号管理-审核应用程序组管理-成功,失败l 计算机配置-windows设置-安全设置-高级审核策略配置-账号管理-审核通讯组管理-成功,失败l 计算机配置-windows设置-安全设置-高级审核策略配置-账号管理-审核安全组管理-成功,失败l 计算机配置-windows设置-安全设置-高级审核策略配置-详细跟踪-审核进程创建-成功,失败l 计算机配置-windows设置-安全设置-高级审核策略配置-详细跟踪-审核进程终止-成功,失败l 计算机配置-windows设置-安全设置-高级审核策略配置-登录/注销-审核帐户锁定-成功,失败l 计算机配置-windows设置-安全设置-高级审核策略配置-登录/注销-审核注销-成功,失败l 计算机配置-windows设置-安全设置-高级审核策略配置-登录/注销-审核登录-成功,失败l 计算机配置-windows设置-安全设置-高级审核策略配置-登录/注销-审核特殊登录-成功,失败l 计算机配置-windows设置-安全设置-高级审核策略配置-登录/注销-审核其他登录/注销事件-成功,失败l 计算机配置-windows设置-安全设置-高级审核策略配置-对象访问-审核已生成应用程序-成功,失败l 计算机配置-windows设置-安全设置-高级审核策略配置-对象访问-审核详细的文件共享-成功,失败l 计算机配置-windows设置-安全设置-高级审核策略配置-对象访问-审核文件系统-成功,失败l 计算机配置-windows设置-安全设置-高级审核策略配置-对象访问-审核注册表-成功,失败l 计算机配置-windows设置-安全设置-高级审核策略配置-对象访问-审核SAM-成功,失败l 计算机配置-windows设置-安全设置-高级审核策略配置-对象访问-审核证书服务-成功,失败ll 计算机配置-windows设置-安全设置-高级审核策略配置-策略更改-审核审核策略更改-成功,失败l 计算机配置-windows设置-安全设置-高级审核策略配置-策略更改-审核身份验证策略更改-成功,失败l 计算机配置-windows设置-安全设置-高级审核策略配置-策略更改-审核授权策略更改-成功,失败l 计算机配置-windows设置-安全设置-高级审核策略配置-策略更改-审核MPSSVC规则级别策略更改-成功,失败l 计算机配置-windows设置-安全设置-高级审核策略配置-策略更改-审核其他策略更改事件-成功,失败l 计算机配置-windows设置-安全设置-高级审核策略配置-策略更改-审核筛选平台策略更改-成功,失败l 计算机配置-windows设置-安全设置-高级审核策略配置-特权使用-审核敏感权限使用-成功,失败l 计算机配置-windows设置-安全设置-高级审核策略配置-系统-审核其他系统事件-成功,失败l 计算机配置-windows设置-安全设置-高级审核策略配置-系统-审核安全状态更改-成功,失败l 计算机配置-windows设置-安全设置-高级审核策略配置-系统-审核安全系统扩展-成功,失败l 计算机配置-windows设置-安全设置-高级审核策略配置-系统-审核系统完整性-成功,失败l 计算机配置-windows设置-安全设置-本地策略-安全选项-网络访问:不允许SAM账户的匿名枚举-启用l 计算机配置-windows设置-安全设置-本地策略-安全选项-网络访问:不允许SAM账户和共享的匿名枚举-启用l 计算机配置-windows设置-安全设置-本地策略-用户权限分配-从网络访问此计算机-删除除管理员以外其他账号l 计算机配置-管理模板-网络-DNS客户端-关闭多播名称解析-启用l 计算机配置-Windows组件-远程桌面服务-远程桌面会话主机-会话时间限制-设置活动但空闲的远程桌面服务会话时间限制-30分钟l 计算机配置-Windows组件-远程桌面服务-远程桌面会话主机-连接-限制连接的数量-2l 计算机配置-Windows组件-事件日志服务-安全-指定日志文件大小 500Ml 计算机配置-Windows组件-事件日志服务-安装程序-指定日志文件大小 500Ml 计算机配置-Windows组件-事件日志服务-系统-指定日志文件大小 500Ml 计算机配置-Windows组件-事件日志服务-应用程序-指定日志文件大小 500Ml 计算机配置-Windows组件-Windows登录选项-在用户登录期间显示有关以前的登录信息l 计算机配置-Windows组件-Windows更新-对已有用户登录的计算机,计划的自动安装更新不执行重新启动2) 账号安全设置l 重命名administratorl 新建用户Administratorl 去除新建Administrator所有用户组,设置超长密码l 创建开发用账号l 创建用于IIS匿名访问账号l 停用guest账号l 密码长度设置10位,必须含有大小写字母数字和特殊字符l 登录锁定,3次连续失败的话,锁定30分钟3) 防火墙安全设置l 流出与流入方向本地到远程的TCP 443,80端口,UDP 53端口l 流出与流入方向本地到172.19.47.183,172.19.47.86,172.19.47.24,172.19.47.87任何流量l 设置默认流出流量规则为禁止4) 禁用服务l Computer Browserl print spoolerl Internet Connection Sharing (ICS)l Serverl Workstationl RemoteRegistryl TCP/IP NetBIOS Helperl Netlogonl Remote Procedure Call (RPC)5) 修改注册表,默认远程端口以及放SYN_FLOODWindows Registry Editor Version 5.00HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParametersDefaultTTL=dword:ffSynAttackProtect=dword:Windows Registry Editor Version 5.00HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWinStationsRDP-TcpPortNumber=dword:0000cabaHKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWdsrdpwdTdstcpPortNumber=dword:0000caba6) 禁用IPv67) 禁用NetBIOSl 打开“本地连接”界面，选择“属性”l 在弹出的“属性”框中双击“Internet协议版本（TCP/IPV4）”l 点击“属性”l 再点击“高级”“WINS”l 选择“禁用TCP/IP上的NETBIOS”8) 监控安装l 安装Zabbixl 安装ELK9) 站点文件Hash以及文件目录的审计设置l 站点部署完后,使用FileIntergrityCheck.py -i对站点目录文件进行hash。（用于日后对比）l 右键站点目录-属性-安全-高级-审核-添加l 选择主体-启动站点的用户l 点击显示高级权限-选择以下权限l 创建文件/写入数据,创建文件夹/附加数据,写入属性,更改权限,取得所有权,写入扩展属性,删除子文件夹及文件,删除l10) 杀毒安装l 安装Mcafee杀毒软件l 到Mcafee管理平台设置定时杀毒l11) 安全扫描l 站点上线前，应该使用nessus扫描服务器l 站点上线前，应该使用WVS扫描对应站点l 对于能修复的系统漏洞，应该修复后才上线12) Windows更新l 实例创建后，应该使用WindowsUpdate进行系统更新l 打开自动安装更新(有特殊要求的系统除外)l 禁用更新自动重启Gpedit.msc-计算机配置-Windows组件-Windows更新-对已有用户登录的计算机,计划的自动安装更新不执行重新启动13) 站点备份l 站点文件应该复制多一份（不包含上传目录）,以备在遭遇非法篡改时还原l 当站点更新的时候，请记得更新备份的站点14) 安装日志收集器l 安装Winlogbeat日志搜集工具15) 服务器SSL配置l 只允许TLS1.0 TLS1.1和TLS1.2l16) IPS和WAF加入防护l 防火墙对外开服务器的时候,ips与waf请加入对其的防护l 记得告知开发17) 修改主机名18) IIS权限设置1. 全局站点权限设置a) IIS-处理程序映射-编辑功能权限读取脚本2. 静态文件目录权限对于不包含*.php,*.aspx,*.asp,*.jsp等动态网页文件的目录,即可定义为静态文件目录a) 选择对应目录-处理映射程序-编辑功能权限读取19) TOMCAT安全设置1. 创建TOMCAT运行用户a) 创建用于运行TOMCAT的用户TOMCAT_GUESTb) 设置用户所属组为Guests2. 文件夹权限设置全局文件夹权限设置(假设站点在D:web)a) 中断D:web的权限继承右键点击D:web-属性-安全-高级-禁用继承-从对象中删除所有已继承的权限b) 设置权限,右键点击D:web-属性-安全-编辑用户或用户组名称允许权限拒绝的权限CREATOR OWNER完全控制SYSTEM完全控制Administrators完全控制TrustedInstaller完全控制TOMCAT_GUEST读取写入 需要上传的文件夹权限设置(假设目录为D:webUpload)a) 中断D:webUpload的权限继承右键点击D:webUpload -属性-安全-高级-禁用继承-从对象中删除所有已继承的权限b) 设置权限,右键点击D:web-属性-安全-编辑用户或用户组名称允许权限拒绝的权限CREATOR OWNER完全控制SYSTEM完全控制Administrators完全控制TrustedInstaller完全控制TOMCAT_GUEST读取,写入3. 禁止上传目录的jsp访问设tomcat根目录为C:apache-tomcat-7.0.76设站点目录为:D:webl 把文件urlrewritefilter-4.0.3.jar放入C:apache-tomcat-7.0.76libl 修改D:webWEB-INFweb.xml,在与加入以下内容: UrlRewriteFilter org.tuckey.web.filters.urlrewrite.UrlRewriteFilter UrlRewriteFilter /* REQUEST FORWARDl 创建文件D:webWEB-INFurlrewrite.xml/inc/(w+).jsp$/index.jsp/test/(w+).jsp$/index.jsp此处例子为把/inc/,以及/test/目录下的所有.jsp访问重定向到/index.jsp,把红字处修改为对应路径即可日常维护阶段1) 监控查看l 运维人员每天最少查看一次自身管理服务器的监控l 查看监控时应该留意以下位置,发现该数