本文主要是介绍Windows Server2019安全基线等保参考要求,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!
| Windows Server的基线安全(等保要求) | ||||||||||||||||||
| 检查项类别 | 名称 | 方式 | 检查项预期 | 是否达标 | 加固建议 | 文档 | ||||||||||||
| IP协议 | 防火墙TCP/IP筛选配置 | 手动 | 业务所需的TCP,UDP端口和IP协议是否开放 | 0 | 开放业务所需的TCP,UDP端口和IP协议 | |||||||||||||
| 是否启用Windows系统自带的防火墙 | 自动 | 启用windows自带的防火墙 | 0 | 更改允许接入网络的地址范围 | ||||||||||||||
| 是否启用SYN攻击保护 | 自动 | 在注册表中存在SynAttackProtect,TcpMaxPortsExhausted,TcpMaxHalfOpen, TcpMaxHalfOpenRetried,四个注册表项,且四个注册表项均为推荐值 | 0 | 四种注册表项值均设置为推荐值 | ||||||||||||||
| 其他 | 是否开启屏幕保护 | 自动 | 启用屏幕保护程序,启用“在恢复时使用密码保护” | 0 | 启用屏幕保护程序,启用“在恢复时使用密码保护”,并设置等待时间“具体时间依照客户需求” | |||||||||||||
| 口令 | 查看注册表信息 | 自动 | 查看以下五种注册表项的值;自动登录;源路由欺骗保护;删除匿名用户空链接; 碎片攻击保护;syn flood攻击保护。五种注册表项值均为推荐值。 | 0 | 将五种注册表项值设置为推荐值 | |||||||||||||
| 是否关闭Windows自动播放功能 | 自动 | 注册表项值NoDriverTypeAutoRun REG_DWORD 0xff | 0 | 组策略所有设置中启用“关闭自动播放” | ||||||||||||||
| 匿名远程连接 | 自动 | 可匿名访问的共享 为空 可匿名访问的命名管道 为空 | 0 | 在组策略中,将“可匿名访问的共享”和“可匿名访问的命名管道”的值设置为空 | 【部署文档】Windows Server安全基线加固-组策略禁用匿名远程连接,禁用远程访问的注册表和子路径 | |||||||||||||
| 是否禁用远程访问的注册表和子路径 | 自动 | 可远程访问的注册表路径和子路径 为空 可远程访问的注册表路径 为空 | 0 | 在组策略中,修改“可远程访问的注册表路径和子路径”和“可远程访问的注册表路径”的配置为空 | ||||||||||||||
| 查看密码要求 | 自动 | MinimumPasswordLength >= 8 PasswordComplexity = 1 | 0 | 在组策略中,启用“密码必须符合复杂性要求”并将密码长度最小值“设置为至少8个字符 | 【部署文档】Windows Server安全基线加固-通过组策略设置密码安全策略 | |||||||||||||
| 查看密码最长保留期 | 自动 | 0 | 在组策略中,将”密码最长使用期限“设置为”不长于90天“ | |||||||||||||||
| 查看强制密码历史 | 自动 | PasswordHistorySize >= 5 | 0 | 在组策略中,将”强制密码历史“设置记住5个密码 | ||||||||||||||
| 查看账户锁定阈值 | 自动 | LockoutBadCount <= 6且LockoutBadCount > 0 | 0 | 在组策略中,将”账户锁定阈值“设置为10次 | ||||||||||||||
| 启动项 | 是否关闭无效启动项 | 手动 | 手动,显示Windows启动程序信息(msconfig) | 0 | 取消不必要的启动项 | |||||||||||||
| 授权 | 在本地安全设置中只允许授权账号本地、远程访问登陆此计算机 | 自动 | SeNetworkLogonRight = *S-1-5-32-544 | 0 | 在组策略中,进入"用户权利(权限)指派",将“从网络访问此计算机”只设置为“administrators组” | 【部署文档】Windows Server安全基线加固-通过组策略为用户权限指派进行授权 | ||||||||||||
| 关键权限指派安全 要求允许本地登录 | 自动 | 0 | 在组策略中,进入"用户权利(权限)指派",将“允许本地登录”设置为只有“Administrators” | |||||||||||||||
| 远端系统强制关机是否只指派给Administrator组 | 自动 | 0 | 在组策略中,进入"用户权利(权限)指派",将“从远端系统强制关机”设置为“只指派给Administrators组” | |||||||||||||||
| 取得文件或其他对象的所有权是否仅指派给Administrators | 自动 | 0 | 在组策略中,进入"用户权利(权限)指派",将“取得文件或其他对象的所有权”设置为“只指派给Administrators组” | |||||||||||||||
| 文件系统 | 是否关闭系统默认的共享文件夹 | 自动 | 使用net share命令时,没有描述为“默认共享”的文件夹 | 0 | 1. 进入“控制面板”->"管理工具"->"计算机管理"->"系统工具"->"共享文件夹“->"共享" 2. 将”默认共享“的共享名删除掉 3. 修改注册表值,HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters下 增加REG_DWORD类型的AutoShareServer键,值为0;REG_DWORD类型的AutoShareWKS键,值为0. | |||||||||||||
| 查看共享文件夹的访问权限 | 自动 | 不存在Everyone | 0 | 输入“compmgmt.msc”,进入“系统工具” ->"共享文件夹"->“共享”,查看每个共享文件夹的共享权限,直降权限授予指定账户 | ||||||||||||||
| 查看文件系统格式 | 自动 | 0 | 将FAT卷转换为NTFS分区:convert volume:/fs:ntfs 使用方法:convert C:/fs:ntfs | |||||||||||||||
| 日志 | 审核账户登录事件 | 自动 | 0 | 将“审核账户登录事件”设置为“成功”和“失败”都需要审核 | 【部署文档】Windows Server安全基线加固-通过组策略设置审核策略 | |||||||||||||
| 启用审核账户管理 | 自动 | 0 | 将“审核账户管理”设置为“成功和失败”都需要审核 | |||||||||||||||
| 启用审核过程追踪 | 自动 | 0 | 将“审核过程追踪”设置为“成功和失败”都需要审核 | |||||||||||||||
| 启用审核目录服务访问 | 自动 | 0 | 将“审核目录服务器访问”设置为“成功”和“失败”都要审核 | |||||||||||||||
| 启用审核策略更改 | 自动 | 0 | 将“审核策略更改‘设置为”成功“和”失败“都需要审核 | |||||||||||||||
| 启用审核对象访问 | 自动 | 0 | 将”审核对象访问“设置为”成功“和”失败“都需要审核 | |||||||||||||||
这篇关于Windows Server2019安全基线等保参考要求的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!
