本帖最后由 深信服认证 于 2022-11-25 15:02 编辑
本期引言:安全基线,是为了明确企业网络环境中相关设备与系统达到最基本的防护能力而制定的一系列安全配置基准。基线配置与核查,也是企业提高自身网络安全防护水平的一项重要工作。但具体到某个企业的安全基线工作中,技术人员应该怎么做,监督检查部门应该怎么查呢?本文将以Windows基线安全配置为例,来为大家解答这个疑惑。
#01 什么是安全基线
先来说说“基线”(Baseline)这个词的含义。比如在测量学中,“基线”指的是经过精确测定长度的直线段;在地理中,“基线”是指陆地和内水同领海的分界线;而在字母排印中,“基线”则是指多数字母排印的基准……综合以上的描述,“基线”即是一种在测量、计算或定位中的基本参照。
而“安全基线”,则是借用了“基线”的概念。在计算机领域中,安全基线是保持信息系统安全的机密性、完整性、可用性的最小安全控制,是系统的最小安全保证、最基本的安全要求。
安全基线传递的核心思想就是我们常说的“木桶原理”——一只木桶盛水的多少,并不取决于桶壁上最长的那块木块,而恰恰取决于桶壁上最短的那块。也就是说,一个组织的安全防御能力,并不取决于组织中最严密的安全防控,而是取决于组织中最薄弱的环节。在IT企业中,我们经常会听到“基线核查”这个词。基线核查,其实就是安全基线配置核查的简称,一般指的是根据配置基线要求,对IT设备的安全配置进行核实检查,已发现薄弱或未满足要求的配置。目前,各大厂商都提供基线核查的服务,核查内容包括但不限于: 主机安全检查(主要检查Windows、Linux等类型的操作系统) 数据库安全检查(包括Oracle、Redis、MySQL等) 中间件安全检查(包括Apache、Weblogic、Tomcat等) 网络与安全设备检查(包括堡垒机、防火墙、路由器、交换机等)
核查的对象既有硬件也有软件。无论对于硬件还是软件,基线核查都有通用的维度,主要包含以下几方面: 访问控制:如用户权限管理、口令管理、用户最小权限、访问控制颗粒度等。 授权管理:如各应用系统、设备的用户管理、登录失败处理、双因素验证等。 入侵防范:如端口服务默认关闭、系统和设备的漏洞管理等。 日志审计:如安全审计功能的开启、审计内容设定、审计记录定期备份、审计进程的保护等。 资源管理:如重要节点设备的冗余、重要节点的服务性能检测、单用户会话限制、进程所占用资源的限制等。
#02 Windows基线安全配置
1.基线安全配置通用方法
Windows基线安全配置的对象主要有两类: Windows Server系统:如Windows Server 2019、Windows Server 2016、Windows Server 2012、Windows Server 2008等服务器操作系统。
Windows Client系统:如Windows 11、Windows 10、Windows 8、Windows 7等客户端操作系统。
在企业中,尤其是一些大型企业,Windows Client系统的安全配置通常都是通过微软的活动目录来自动化实现的,而Windows Server系统的安全配置通常需要管理员来手动配置。
在Windows中,通常通过组策略来实现安全配置。以Windows Server 2012为例,启动组策略的方法是:
方法一:在开始菜单上单击鼠标右键,在弹出的对话框中选择“运行”,而后在“运行”的对话框中输入gpedit.msc并点击“确定”按钮,即可启动组策略。
![]() ![]()
方法二:同时按下键盘上的Win和R键,在弹出的“运行”对话框中输入gpedit.msc并点击“确定”按钮,启动组策略。
启动组策略后,在“本地组策略编辑器”窗口下的“计算机配置-”>“Windows设置”->“安全设置”里,即可进行大多数基线配置项要求的安全配置。
![]()
2.基线安全配置的维度 无论对于哪一个版本的Windows,进行安全配置时均包含以下几个维度: (1)账户策略:如密码策略、账户锁定策略等.(2)本地策略:如审计策略、用户权限策略、安全选项等。(3)防火墙策略:如域配置文件、私有网络配置文件等。(4)高级审计策略:如针对账户登录与管理、详细跟踪、登录与注销、对象访问等的审计。
3.基线安全配置实例 以下通过一个实例,介绍Windows Server 2012基线安全配置的常用配置项:
3.1账户策略 (1)密码策略配置路径:“本地组策略编辑器”窗口下的“计算机配置-”>“Windows设置”->“安全设置”->“账户策略”->“密码策略”。配置项:密码必须符合复杂性要求:启用;密码长度最小值:建议设置成14字符;密码最短使用期限:建议设置成1天或以上;密码最长使用期限:建议设置成60天;强制密码历史:建议设置成24;用可还原的加密来储存密码:禁用。 ![]()
(2)账户锁定策略配置路径:“本地组策略编辑器”窗口下的“计算机配置-”>“Windows设置”->“安全设置”->“账户策略”->“账户锁定策略”。配置项:账户锁定阈值:建议配置成10次或更少;账户锁定时间:建议配置成15分钟或更长;重置账户锁定计数器:建议配置成15分钟或更长。
![]()
3.2本地策略-安全选项 配置路径:“本地组策略编辑器”窗口下的“计算机配置-”>“Windows设置”->“安全设置”->“本地策略”->“安全选项”。配置项:“账户:管理员账户状态”:建议禁用;“账户:来宾账户状态”:建议禁用;“账户:使用空密码的本地账户只允许进行控制台登录”:建议启用;“账户:重命名来宾账户”:建议配置成非Guest;“账户:重命名系统管理员账户”:建议配置成非Administrator;“账户:组织Microsoft账户”:建议配置成用户不能添加Microsoft账户或使用该账户登录。 ![]()
“交互式登录:不显示最后的用户名”:建议启用;“交互式登录:计算机不活动限制”:建议配置成900秒;“交互式登录:锁定会话时显示用户信息”:配置成“仅用户显示名称”。
![]()
“用户账户控制:用于内置管理员账户的管理员批准模式”:建议启用;“用户账户控制:管理员批准模式中管理员的提升权限提示的行为”:建议配置成在安全桌面上提示凭据;“用户账户控制:标准用户的提升提示行为”:建议配置成自动拒绝提升请求;“用户账户控制:允许UIAccess应用程序在不使用安全桌面的情况下提升权限”:建议启用。
![]()
3.3高级审核策略配置 配置路径:“本地组策略编辑器”窗口下的“计算机配置-”>“Windows设置”->“安全设置”->“高级审核策略配置”->“系统审核策略-本地组策略对象”。配置项:账户登录-审核凭据验证:建议配置成“成功和失败”。
![]()
账户管理-审核应用程序组管理:建议配置成“成功和失败”。账户管理-审核安全组管理:建议配置成“成功和失败”。账户管理-审核用户账户管理:建议配置成“成功和失败”。
![]()
详细跟踪-审核进程创建:建议配置成“成功”。
![]()
登录/注销-审核账户锁定:建议配置成“失败”;登录/注销-审核注销:建议配置成“成功”;登录/注销-审核登录:建议配置成“成功和失败”;登录/注销-审核其他登录/注销事件:建议配置成“成功和失败”;登录/注销-审核特殊登录:建议配置成“成功”。
![]()
总结 本文介绍了安全基线的基本概念,以及Windows基线安全配置的通用方法、维度及常用配置项。这部分知识本身难度不高,建议大家结合教育云平台及网上的资料进行巩固学习。
练习题 自行搭建Windows Server 2012环境,对照Windows Server 2012 R2安全基线标准进行安全配置,并验证组策略的有效性。
文章作者:袁泉,深信服安全服务认证专家(SCSE-S)、产业教育中心资深讲师,暨南大学网络空间学院校外实践指导老师;曾任职于*科技大学信息通信学院,从事计算机网络、信息安全专业教学和科研工作十余年,持有HCNA(SECURITY)和HCNA (R&S)证书;熟悉 TCP/IP 协议及网络安全防护体系架构,具有丰富的计算机网络管理、运维与安防实践经验。 | 
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
发表于 2023-3-23 14:04
