Windows Server 安全实践

Windows Server 强化涉及识别和修复安全漏洞。

以下是可以立即实施的主要 Windows Server 强化实践，以降低攻击者危害关键系统和数据的风险。

组织安全

• 维护每台服务器的库存记录，清楚地记录其基线配置并记录对服务器的每次更改。

• 在对生产环境进行更改之前，彻底测试和验证对服务器硬件或软件的每个建议更改。

• 定期进行风险评估。使用结果更新风险管理计划并维护所有服务器的优先列表，以确保及时修复安全漏洞。

• 将所有服务器保持在相同的修订级别

Windows 服务器准备

• 在安装和加固操作系统之前，保护新安装的机器免受恶意网络流量的影响。加固未向 Internet 开放的 DMZ 网络中的每台新服务器。

• 设置 BIOS/固件密码以防止未经授权更改服务器启动设置。

• 禁用到故障恢复控制台的自动管理登录。

• 配置设备引导顺序以防止未经授权从备用媒体引导。

Windows 服务器安装

• 确保系统在安装过程中不会关闭。

• 使用安全配置向导根据所需的特定角色创建系统配置。

• 确保及时应用所有适当的补丁、修补程序和服务包。安全补丁解决了已知的漏洞，攻击者可能会利用这些漏洞破坏系统。安装 Windows Server 后，立即通过 WSUS 或 SCCM 使用最新补丁对其进行更新。

• 启用补丁可用性的自动通知。无论何时发布补丁，都应使用 WSUS 或 SCCM 及时对其进行分析、测试和应用。

用户账号安全加固

• 确保管理密码和系统密码符合密码最佳做法。特别是，验证特权账户密码不是基于字典单词，并且长度至少为 15 个字符，其中包含字母、数字、特殊字符和不可见 (CTRL ^ ) 字符。确保所有密码每 90 天更改一次。

• 根据账户锁定最佳实践配置账户锁定组策略。

• 禁止用户使用 Microsoft 账户创建和登录。

• 禁用来宾账户。

• 不允许“所有人”权限应用于匿名用户。

• 不允许匿名枚举 SAM 账户和共享。

• 禁用匿名 SID/名称转换。

• 立即禁用或删除未使用的用户账户。

网络安全配置

• 在所有配置文件（域、私有、公共）中启用 Windows 防火墙，并将其配置为默认阻止入站流量。

• 在网络设置级别执行端口阻塞。执行分析以确定需要打开哪些端口并限制对所有其他端口的访问。

• 将通过网络访问每台计算机的能力限制为仅限经过身份验证的用户。

• 不要授予任何用户“作为操作系统的一部分”的权利。

• 拒绝来宾账户作为服务、批处理作业、本地或通过 RDP 登录的能力。

• 如果使用 RDP，请将 RDP 连接加密级别设置为高。

• 删除启用 LMhosts 查找。

• 禁用 TCP/IP 上的 NetBIOS。

• 删除 ncacn_ip_tcp。

• 将 Microsoft 网络客户端和 Microsoft 网络服务器都配置为始终对通信进行数字签名。

• 禁用向第三方 SMB 服务器发送未加密的密码。

• 不允许匿名访问任何共享。

• 允许本地系统将计算机标识用于 NTLM。

• 禁用本地系统 NULL 会话回退。

• 为 Kerberos 配置允许的加密类型。

• 不要存储 LAN Manager 哈希值。

• 将 LAN Manager 身份验证级别设置为仅允许 NTLMv2 并拒绝 LM 和 NTLM。

• 从网络设置中删除文件和打印共享。文件和打印共享可以允许任何人连接到服务器并访问关键数据，而无需用户 ID 或密码。

注册表安全配置

• 确保所有管理员都花时间彻底了解注册表的功能及其各个键的用途。Windows 操作系统中的许多漏洞可以通过更改特定密钥来修复，如下所述。

• 配置注册表权限。保护注册表免受匿名访问。如果不需要，禁止远程注册表访问。

• 将 MaxCachedSockets (REG_DWORD) 设置为 0。

• 将 SmbDeviceEnabled (REG_DWORD) 设置为 0。

• 将 AutoShareServer 设置为 0。

• 将 AutoShareWks 设置为 0。

• 删除 NullSessionPipes 键内的所有值数据。

• 删除 NullSessionShares 键内的所有值数据。

常规安全设置

• 禁用不需要的服务。大多数服务器都有操作系统的默认安装，它通常包含系统运行不需要的无关服务，并且代表安全漏洞。因此，从系统中删除所有不必要的服务至关重要。

• 删除不需要的 Windows 组件。应从关键系统中删除任何不必要的 Windows 组件，以使服务器保持安全状态。

• 在 Windows Server 上使用 NTFS 或 BitLocker 启用内置加密文件系统 (EFS)。

• 如果工作站有大量随机存取内存 (RAM)，请禁用 Windows 交换文件。这将提高性能和安全性，因为不能将敏感数据写入硬盘驱动器。

• 不要使用自动运行。否则，不受信任的代码可以在用户不直接知道的情况下运行；例如，攻击者可能会将一张 CD 放入机器中并导致他们自己的脚本运行。

• 在用户登录之前显示如下法律声明：“禁止未经授权使用此计算机和网络资源……”

• 交互式登录需要 Ctrl+Alt+Del。

• 配置机器不活动限制以保护空闲的交互式会话。

• 确保所有卷都使用 NTFS 文件系统。

• 配置本地文件/文件夹权限。另一个重要但经常被忽视的安全过程是锁定服务器的文件级权限。默认情况下，Windows 不对任何本地文件或文件夹应用特定限制；每个人组被授予对大部分机器的完全权限。删除此组，改为使用基于最小权限原则的基于角色的组来授予对文件和文件夹的访问权限。应尽一切努力从用户权限列表中删除 Guest、Everyone 和 ANONYMOUS LOGON。使用此配置 Windows 将更加安全。

• 设置系统日期/时间并将其配置为与域时间服务器同步。

• 配置屏幕保护程序以在无人看管的情况下自动锁定控制台的屏幕。

审核策略设置

• 根据审计策略最佳实践启用审计策略。Windows 审核策略定义了在 Windows 服务器的安全日志中写入的事件类型。

• 将事件日志保留方法配置为根据需要覆盖，最大为 4GB。

• 配置日志传送到 SIEM 以进行监控。

软件安全指南

• 安装并启用防病毒软件。将其配置为每天更新。

• 安装并启用反间谍软件。将其配置为每天更新。

• 安装软件以检查关键操作系统文件的完整性。Windows 有一项称为 Windows 资源保护的功能，它会自动检查某些关键文件并在它们损坏时替换它们。

固定快照（状态）

• 使用 GHOST 或 Clonezilla 制作每个操作系统的映像，以简化 Windows Server 的进一步安装和强化。

• 输入Windows Server 2016/2012/2008/2003 许可证密钥。

• 将服务器输入域并应用域组策略。

 

这些安全实践，我们看一看到很多与等级保护安全计算环境里要求很相似，对于安全的要求都是相通的，也可以说大家思考或借鉴都是朝着统一方向努力的。所以，在看到极为相似的地方，如同洪水要疏导，无论在哪个国家其方法论都是一致的，不同的是谁先遇到这个问题罢了。一方面需要我们勇于借鉴，一方面又不需要太妄自菲薄。自信不自负，勇于面对问题解决问题。

• 信息安全手册之网络安全角色指南
• 信息安全手册之网络安全事件指南
• 信息安全手册之外包指南
• 信息安全手册之安全文档指南
• 信息安全手册之网络安全原则
• 信息安全手册之物理安全指南
• 信息安全手册之人员安全指南
• 信息安全手册之通信系统指南
• 信息安全手册之企业移动性指南
• 信息安全手册之系统加固指南
• 信息安全手册之系统管理指南
• 信息安全手册之系统监视指南
• 信息安全手册之软件开发指南
• 信息安全手册之数据库系统指南
• 信息安全手册之电子邮件指南

• 信息安全手册之网络指南

• 信息安全手册之加密指南

• 信息安全手册之网关指南

• 信息安全手册之数据传输指南

原文始发于微信公众号（祺印说信安）：Windows Server 安全实践