变种勒索病毒卷土重来，腾讯“御点”提供Windows Server 安全加固指南

查看系统版本

命令

查看SP版本

wmic os get ServicePackMajorVersion

查看Hotfix

wmic qfe get hotfixid,InstalledOn

查看主机名

hostname

查看网络配置

ipconfig /all

查看路由表

route print

查看开放端口

netstat -ano

操作目的

安装系统补丁，修补漏洞

检查方法

使用腾讯电脑管家企业版安装系统补丁，修补漏洞

加固方法

不能连接外网的内网主机手动安装补丁或在内网搭建WSUS服务器，外网主机使用腾讯电脑管家企业版安装系统补丁或设置自动更新从微软官方网站下载补丁安装

回退方法

打补丁前做好业务或系统备份，回退时恢复备份。

如果是手工安装补丁，在安装前测试补丁是否影响业务，回退时在“添加删除程序”中删除相关补丁

备注

补丁安装后可能影响系统的稳定性

操作目的

删除系统无用账号，降低风险

检查方法

开始->运行->compmgmt.msc（计算机管理）->本地用户和组，查看是否有不用的账号，系统账号所属组是否正确以及guest账号是否锁定

加固方法

使用“net user 用户名 /del”命令删除账号

使用“net user 用户名 /active:no”命令锁定账号

回退方法

使用“net user 用户名 密码 /add”命令添加账号

使用“net user 用户名 /active:yes”命令激活账号

操作目的

增强系统密码的复杂度及登录锁定策略等，防止被暴力破解

检查方法

开始->运行->secpol.msc （本地安全策略）->安全设置

加固方法

1，账户设置->密码策略

密码必须符合复杂性要求：启用

密码长度最小值：8个字符

密码最长存留期：90天

密码最短存留期：0天

密码最短存留期：30天

强制密码历史：1个记住密码

2，账户设置->账户锁定策略

复位帐户锁定计数器：30分钟

帐户锁定时间：30分钟

帐户锁定阀值：5次无效登录

3，本地策略->安全选项

交互式登录：不显示上次的用户名：启用

gpupdate /force立即生效

回退方法

回退到加固前的状态。

gpupdate /force 立即生效

备注

密码策略为：密码至少包含以下四种类别的字符中的2种：

    英语大写字母 A, B, C, … Z

    英语小写字母 a, b, c, … z

    西方阿拉伯数字 0, 1, 2, … 9

    非字母数字字符，如标点符号，@, #, $, %, &, *等

操作目的

只允许管理员组远程关机，降低风险

检查方法

进入“控制面板->管理工具->本地安全策略”，在“本地策略->用户权限分配”：

查看“从远程系统强制关机”设置是否为只指派给“Administrtors组”

加固方法

进入“控制面板->管理工具->本地安全策略”，在“本地策略->用户权限分配”：

设置“从远程系统强制关机”为只指派给“Administrtors组”

回退方法

回退到加固前的状态

操作目的

只允许管理员组本地关机，降低风险

检查方法

进入“控制面板->管理工具->本地安全策略”，在“本地策略->用户权限分配”:

查看“关闭系统”设置是否为只指派给“Administrtors组”

加固方法

进入“控制面板->管理工具->本地安全策略”，在“本地策略->用户权限分配”:

设置“关闭系统”为只指派给“Administrtors组”

回退方法

回退到加固前的状态

操作目的

只允许管理员组拥有取得文件或其它对象所有权的权限，降低风险

检查方法

进入“控制面板->管理工具->本地安全策略”，在“本地策略->用户权限分配”：

查看“取得文件或其它对象的所有权”设置是否为只指派给“Administrtors组”

加固方法

进入“控制面板->管理工具->本地安全策略”，在“本地策略->用户权限分配”:

设置“取得文件或其它对象的所有权”为只指派给“Administrtors组”

回退方法

回退到加固前的状态

操作目的

允许授权的账号本地登录系统，降低风险

检查方法

进入“控制面板->管理工具->本地安全策略”，在“本地策略->用户权限分配”：

查看“允许在本地登录”是否为授权的账号

加固方法

进入“控制面板->管理工具->本地安全策略”，在“本地策略->用户权限分配”:

设置“允许在本地登录”的账户都为授权账户

回退方法

回退到加固前的状态

操作目的

允许授权账号从网络登录系统，降低风险

检查方法

进入“控制面板->管理工具->本地安全策略”，在“本地策略->用户权限分配”：

查看“从网络访问此计算机” 是否为授权的账号

加固方法

进入“控制面板->管理工具->本地安全策略”，在“本地策略->用户权限分配”:

设置“从网络访问此计算机” 的账户都为授权账户

回退方法

回退到加固前的状态

操作目的

设置屏保，使本地攻击者无法直接恢复桌面控制

检查方法

进入“控制面板－>显示－>屏幕保护程序”：

查看是否启用屏幕保护程序，设置等待时间为“10分钟”，是否启用“在恢复时使用密码保护”

加固方法

进入“控制面板－>显示－>屏幕保护程序”：

启用屏幕保护程序，设置等待时间为“10分钟”，启用“在恢复时使用密码保护”

回退方法

回退到加固前的状态

操作目的

设置远程连接挂起时间，使远程攻击者无法直接恢复桌面控制

检查方法

进入“控制面板->管理工具->本地安全策略”，在“本地策略->安全选项”：

查看“Microsoft网络服务器：在挂起会话之前所需的空闲时间”是否设置为15分钟

加固方法

进入“控制面板->管理工具->本地安全策略”，在“本地策略->安全选项”：

“Microsoft网络服务器： 在挂起会话之前所需的空闲时间” 设置为15分钟

回退方法

回退到加固前的状态

操作目的

系统休眠后重新激活，需要密码才能使用系统

检查方法

进入“开始－>运行－>control userpasswords2”：

查看是否启用“要是用本机，用户必须输入用户名和密码”选项

加固方法

进入“开始－>运行－>control userpasswords2”：

启用“要是用本机，用户必须输入用户名和密码”的选项

回退方法

进入“开始－>运行－>control userpasswords2”：

取消“要是用本机，用户必须输入用户名和密码”的选项

操作目的

注销后再次登录，不显示上次登录的用户名

检查方法

进入“控制面板->管理工具->本地安全策略”，在“本地策略->安全选项” 查看“交互式登录：不显示上次登录的用户名”是否设置为“已启用”

加固方法

进入“控制面板->管理工具->本地安全策略”，在“本地策略->安全选项”查看“交互式登录：不显示上次登录的用户名”设置为“已启用”

回退方法

进入“控制面板->管理工具->本地安全策略”，在“本地策略->安全选项”查看“交互式登录：不显示上次登录的用户名” 设置为“已禁用”

操作目的

注销后再次登录，不显示上次登录的用户名

检查方法

打开“开始→运行”，在对话框中输入“gpedit.msc”命令，在出现“组策略”窗口中依次选择“在计算机配置→管理模板→系统”，双击“关闭自动播放”查看是否设置“已启用”

加固方法

打开“开始→运行”，在对话框中输入“gpedit.msc”命令，在出现“组策略”窗口中依次选择“在计算机配置→管理模板→系统”，双击“关闭自动播放”并设置“已启用”

回退方法

打开“开始→运行”，在对话框中输入“gpedit.msc”命令，在出现“组策略”窗口中依次选择“在计算机配置→管理模板→系统”，双击“关闭自动播放”并设置“未配置”

操作目的

关闭不需要的服务，减小风险

检查方法

开始->运行->services.msc

加固方法

建议将以下服务停止，并将启动方式修改为手动：

Automatic Updates（不使用自动更新可以关闭）

Background Intelligent Transfer Service

DHCP Client

Messenger

Remote Registry

Print Spooler

Server（不使用文件共享可以关闭）

Simple TCP/IP Service

Simple Mail Transport Protocol (SMTP)

SNMP Service

Task Schedule

TCP/IP NetBIOS Helper

回退方法

回退到加固前的状态

备注

其他不需要的服务也应该关闭

操作目的

关闭默认共享

检查方法

开始->运行->cmd.exe->net share，查看共享

加固方法

关闭C$，D$等默认共享

开始->运行->regedit->找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\

lanmanserver\parameters ，新建AutoShareServer（REG_DWORD），键值为0

回退方法

开始->运行->regedit->找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\

lanmanserver\parameters，删除AutoShareServer(REG_DWORD)

操作目的

网络访问限制

检查方法

开始->运行->secpol.msc ->安全设置->本地策略->安全选项

加固方法

网络访问: 不允许 SAM 帐户的匿名枚举：已启用

网络访问: 不允许 SAM 帐户和共享的匿名枚举：已启用

网络访问: 将 “每个人”权限应用于匿名用户：已禁用

帐户: 使用空白密码的本地帐户只允许进行控制台登录：已启用

回退方法

回退到加固前的状态

备注

gpupdate /force立即生效

操作目的

增强Everyone权限

检查方法

查看每个系统驱动器根目录是否设置为Everyone有所有权限

加固方法

删除Everyone的权限或者取消Everyone的写权限

回退方法

回退到加固前的状态

操作目的

限制部分命令的权限

检查方法

使用cacls命令或资源管理器查看以下文件权限

加固方法

建议对以下命令做限制，只允许system、Administrator组访问

%systemroot%\system32\cmd.exe

%systemroot%\system32\regsvr32.exe

%systemroot%\system32\tftp.exe

%systemroot%\system32\ftp.exe

%systemroot%\system32\telnet.exe

%systemroot%\system32\net.exe

%systemroot%\system32\net1.exe

%systemroot%\system32\cscript.exe

%systemroot%\system32\wscript.exe

%systemroot%\system32\regedit.exe

%systemroot%\system32\regedt32.exe

%systemroot%\system32\cacls.exe

%systemroot%\system32\command.com

%systemroot%\system32\at.exe

回退方法

回退到加固前的状态

备注

可能会影响业务系统正常运行

操作目的

增大日志量大小，避免由于日志文件容量过小导致日志记录不全

检查方法

开始->运行->eventvwr.msc ->查看“应用程序”“安全性”“系统”的属性

加固方法

建议设置：

日志上限大小：10240 KB

达到日志上限大小时：改写久于180天的事件

回退方法

回退到加固前的状态

操作目的

对系统事件进行记录，在日后出现故障时用于排查审计

检查方法

开始->运行->secpol.msc ->安全设置->本地策略->审核策略

加固方法

建议设置：

审核策略更改：成功，失败

审核对象访问：成功，失败

审核系统事件：成功，失败

审核帐户登录事件：成功，失败

审核帐户管理：成功，失败

审核登录事件：成功，失败

审核过程跟踪：成功，失败

审核目录服务访问：成功，失败

审核特权使用：成功，失败

回退方法

回退到加固前的状态

备注

gpupdate /force立即生效