新手入门
最佳实践
API中心
自助服务1. 概述
本文档提供了有关为Microsoft Windows Server建立安全配置状态的说明性指导。
2. 密码策略
本节包含密码策略的建议。
(1)设置最小密码长度
密码攻击的类型包括字典攻击(试图使用常用词语和短语)和暴力攻击(试图使用每种可能的字符组合)。此外,攻击者有时会尝试获取帐户数据库,以便他们可以使用工具来发现帐户和密码。此策略设置确定组成用户帐户密码的最少字符数。关于如何确定组织的最佳密码长度有许多不同的理论,但也许“密码短语”是比“密码”更好的术语。在Microsoft Windows 2000或更高版本中,密码短语可能很长并且可以包含空格。因此,诸如“我想喝5元奶昔”之类的短语是有效的密码短语; 它是一个比8或12个字符的随机数字和字母更强的密码,但更容易记住。在企业环境中,“最小密码长度”设置的理想值为8-12个字符,但您应调整此值以满足组织的业务要求。
此设置的建议状态为:8或更多字符。
修复:
要通过GPEDIT.MSC建立建议的配置,请将以下UI路径设置为8个或更多字符:
|
Computer Configuration\Policies\Windows Settings\Security Settings\Account Policies\Password Policy\Minimum password length |
默认值:0个字符。
(2)启用“密码必须符合复杂性要求”
描述:
使用几种公开可用的工具可以非常容易地发现仅包含字母数字字符的密码。此策略设置检查所有新密码,以将它们符合强密码的基本要求。
启用此策略后,密码必须满足以下最低要求:
- 不包含用户的帐户名称或超过两个连续字符的用户全名部分
- 长度至少为六个字符
包含以下四个字符中的三个字符类别:
- 英文大写字母(A到Z)
- 英文小写字母(a到z)
- 基数10位数(0到9)
- 非字母字符(例如,!,$,#,%)
密码中的每个附加字符都会以指数方式增加其复杂性。例如,七个字符的全小写字母密码将具有267(大约8 x 109或80亿)个可能的组合。在每秒1,000,000次尝试(许多密码破解实用程序的功能),它只需要133分钟才能破解。带有区分大小写的七字符字母密码有527种组合。没有标点符号的七个字符区分大小写的字母数字密码有627种组合。八个字符的密码有268(或2 x 1011)种可能的组合。虽然这可能看起来很大,但每秒尝试1,000,000次,尝试所有可能的密码只需要59个小时。请记住,对于使用ALT字符和其他特殊键盘字符(如“!”)的密码,这些时间会显着增加。要么 ”@”。正确使用密码设置可能有助于安装暴力攻击。
此设置的建议状态为:启用。
修复:
要通过GPEDIT.MSC建立建议的配置,请将以下UI路径设置为“已启用”:
|
Computer Configuration\Policies\Windows Settings\Security Settings\Account Policies\Password Policy\Password must meet complexity requirements |
默认值:禁用。
3. 用户权限分配
本节包含有关用户权限分配的建议。
(1)配置“从网络访问此计算机”
可以从其计算机连接到网络的用户可以访问他们有权访问的目标计算机上的资源。此策略设置允许网络上的其他用户连接到计算机。
此设置的建议状态为:管理员,经过身份验证的用户。
修复:
要通过GPEDIT.MSC建立建议的配置,请配置以下UI路径:
|
Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\User Rights Assignment\Access this computer from the network |
默认值:管理员,备份操作员,用户,所有人。
(2) 配置“允许本地登录”
此策略设置确定哪些用户可以以交互方式登录环境中的计算机。通过按客户端计算机键盘上的CTRL + ALT + DEL键序列启动的登录需要此用户权限。尝试通过终端服务或IIS登录的用户也需要此用户权限。
此设置的建议状态为:管理员。
修复:
要通过GPEDIT.MSC建立建议的配置,请配置以下UI路径:
|
Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\User Rights Assignment\Allow log on locally |
默认值:管理员,备份操作员,高级用户,用户,访客。
4. 登录安全选项
(1)启用“不显示上次用户名”
可以访问控制台的攻击者(例如,具有物理访问权限的人或能够通过终端服务连接到服务器的人)可以查看登录到服务器的最后一个用户的名称。然后,攻击者可以尝试猜测密码,使用字典或使用暴力攻击来尝试登录。
此策略设置确定登录到组织中的客户端计算机的最后一个用户的帐户名是否将显示在每台计算机的相应Windows登录屏幕中。启用此策略设置可防止入侵者从组织中的台式机或笔记本电脑的屏幕上直观地收集帐户名称。
此设置的建议状态为:启用。
检测:
可前往“修复”部分中阐明的UI路径确认其按照规定设置,此组策略设置由以下注册表位置支持:
|
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System: DontDisplayLastUserName |
修复:
要通过GPEDIT.MSC建立建议的配置,请将以下UI路径设置为启用:
|
Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Security Options\Interactive logon: Do not display last user name |
影响:成功登录的最后一个用户的名称不会显示在Windows登录屏幕中。
默认值:禁用。(登录的最后一个用户的名称显示在Windows登录屏幕中。)
(2)启用“不显示密码显示按钮”
输入长而复杂的密码时,这是一项非常有用的功能,尤其是在使用触摸屏时。潜在的风险是,其他人可能会在偷偷观察您的屏幕时看到您的密码。
此策略设置允许您在密码输入用户体验中配置密码显示按钮的显示。
此设置的建议状态为:已启用。
检测:
前往“修复”部分中明确指出的UI路径,并确认其按照规定设置。此组策略设置由以下注册表位置支持:
|
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredUI:DisablePassword Reveal |
修复:
要通过GPEDIT.MSC建立建议的配置,请将以下UI路径设置为启用:
|
Computer Configuration\Policies\Administrative Templates\Windows Components\Credential User Interface\Do not display the password reveal button |
影响:用户在密码输入文本框中键入密码后,将不会显示密码显示按钮。
默认值: 禁用。(用户在密码输入文本框中输入密码后显示密码显示按钮。如果用户点击该按钮,则输入的密码将以明文形式显示在屏幕上。)
(3)禁用“不要求CTRL + ALT + DEL”
此策略设置确定用户在登录前是否必须按CTRL + ALT + DEL。
此设置的建议状态为:禁用。
检测:
可前往“修复”部分中阐明的UI路径确认其按照规定设置,此组策略设置由以下注册表位置支持:
|
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System: DisableCAD |
修复:
要通过GPEDIT.MSC建立建议的配置,请将以下UI路径设置为禁用:
|
Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Security Options\Interactive logon: Do not require CTRL+ALT+DEL |
影响:用户必须在登录到Windows之前按CTRL + ALT + DEL。
默认值:在Server 2012或更高版本上:启用。 在Server 2008 R2或更早版本上:禁用。
5. 日志服务
如果未记录应用日志,则可能难以或不可能确定系统问题的根本原因或恶意用户的未授权活动。建议“应用程序:指定最大日志文件大小(KB)”设置为“已启用:81,920或更高。可根据磁盘空间配置日志文件大小,记录的日志越多越好。建议同时也设置安全事件日志、安装事件日志、系统事件日志空间。
检测:
前往“修复”部分中明确指出的UI路径,并确认其按照规定设置。此组策略设置由以下注册表位置支持:
|
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\EventLog\Application:MaxSize |
修复:
要通过GPEDIT.MSC建立建议的配置,请将以下组策略设置为“已启用”: 81,920或更高版本:
|
Computer Configuration\Policies\Administrative Templates\Windows Components\Event Log Service\Application\Specify the maximum log file size(KB) |
影响:
当事件日志填满容量时,它们将停止记录信息,除非设置了每个的保留方法,以便计算机将覆盖最旧的条目和最新的条目。为了降低丢失最新数据的风险,您可以配置保留方法,以便根据需要覆盖旧事件。
此配置的结果是将从日志中删除旧事件。攻击者可以利用这样的配置,因为他们可以生成大量无关事件来覆盖其攻击的任何证据。如果自动化事件日志数据的归档和备份,则可以稍微降低这些风险。
理想情况下,应将所有特定监视的事件发送到使用Microsoft System Center Operations Manager(SCOM)或其他一些自动监视工具的服务器。这样的配置特别重要,因为成功破坏服务器的攻击者可以清除安全日志。如果所有事件都发送到监视服务器,那么您将能够收集有关攻击者活动的取证信息。
默认值:禁用。(默认日志大小为20,480 KB - 本地管理员可以使用“日志属性”对话框更改此值。)
页面更新不及时
