Windows 服务器安全策略总纲
服务器安全是一个持续的过程,而非一次性任务,其核心目标是:CIA三要素,即 保密性、完整性 和 可用性。
(图片来源网络,侵删)
本策略将围绕以下几个核心原则展开:
- 纵深防御:部署多层安全控制,任何一层被攻破,都有其他层提供保护。
- 最小权限原则:用户、程序和进程只拥有完成其任务所必需的最小权限。
- 默认安全:系统默认配置应为最安全状态,然后根据业务需求逐步放宽。
- 深度防御:结合技术、管理和物理手段进行防护。
账户与身份安全
这是安全的第一道防线,也是最容易被攻击的环节。
| 安全措施 | 具体操作与说明 |
|---|---|
| 禁用或删除默认账户 | - 禁用 Administrator 和 Guest 账户:Guest 账户必须禁用。Administrator 账户应重命名并禁用,创建一个具有管理员权限的新账户用于日常管理。 |
| 强密码策略 | - 设置复杂密码:通过 本地安全策略 -> 账户策略 -> 密码策略,设置以下策略: - 密码必须符合复杂性要求:启用。 - 密码长度最小值:至少14个字符。 - 密码最长使用期限:30-90天。 - 密码最短使用期限:1-3天,防止用户频繁更改密码。 - 强制密码历史:记住至少5个以前的密码。 |
| 账户锁定策略 | - 防止暴力破解:在 密码策略 中设置: - 账户锁定阈值:例如5次无效登录尝试后锁定账户。 - 账户锁定时间:例如30分钟。 - 复位账户锁定计数器:例如30分钟后重置尝试次数。 |
| 使用强身份验证 | - 启用多因素认证:对于所有管理员账户和远程访问账户,强制使用 MFA,可以使用 Windows Hello for Business、Microsoft Authenticator 或第三方解决方案。 |
| 管理员权限控制 | - 使用标准用户账户:日常操作和运行非管理程序时,使用标准用户权限,只有在需要安装软件或进行系统配置时,才使用管理员权限。 - 使用用户账户控制:确保 UAC 处于 默认或更高 级别,防止恶意软件悄无声息地获取提升的权限。 |
| 定期审计账户 | - 定期审查用户账户:删除不再需要的员工账户或服务账户。 - 检查管理员组成员:确保只有授权用户在管理员组中。 |
系统与补丁管理
保持系统最新是抵御已知漏洞的关键。
| 安全措施 | 具体操作与说明 |
|---|---|
| 及时安装系统更新 | - 启用自动更新:对于非关键服务器,配置为 自动更新,对于关键业务服务器,配置为 自动下载并通知,以便在维护窗口进行安装。 - 定期检查更新:使用 sconfig (仅限服务器核心版) 或 服务器管理器 手动检查和安装更新。 |
| 配置 Windows Defender 防病毒 | - 确保实时保护开启:启用 实时保护、云交付保护 和 自动样本提交。 - 定期扫描:配置每日或每周的快速扫描和全面扫描。 - 保持更新:确保病毒定义库始终为最新版本。 |
| 启用 Windows 防火墙 | - 配置高级安全防火墙:为所有网络配置文件(域、专用、公用)启用防火墙。 - 遵循“默认拒绝”原则:只允许入站规则中明确需要的端口和协议,只开放 Web 服务的 80/443 端口,数据库服务的 1433 端口等。 |
| 禁用不必要的服务和功能 | - 通过服务器管理器移除角色:只安装服务器必需的角色(如 Active Directory, IIS, SQL Server),移除所有不必要的角色和功能。 - 通过服务管理器禁用服务:禁用所有非核心服务,如远程注册表、TCP/IP NetBIOS Helper 等。 |
| 安全的配置基线 | - 使用 Microsoft Security Baseline:微软为 Windows Server 提供了详细的安全配置基线(如 .inf 文件),可通过组策略或本地安全策略应用,自动配置大量安全设置。 |
**三、 网络与远程访问安全
保护服务器网络边界和访问通道。
(图片来源网络,侵删)
| 安全措施 | 具体操作与说明 |
|---|---|
| 禁用不必要的网络协议 | - 禁用 NetBIOS 和 SMBv1:这些旧协议存在安全风险,在 服务器管理器 -> 添加角色和功能 -> 功能 中,取消勾选 "SMB 1.0/CIFS 文件共享支持"。 |
| 配置 IPSec/VPN | - 使用安全的远程访问方式:如果需要远程管理,优先使用 VPN(如 SSTP 或 IKEv2),并强制结合 MFA。 - 限制 VPN 访问:只允许特定 IP 地址或用户组连接 VPN。 |
| 禁用 IPv6(如果不需要) | - 如果网络环境不使用 IPv6,可以在网络适配器属性中禁用它,以减少攻击面。 |
| 使用网络隔离 | - 将服务器置于独立 VLAN:将关键服务器与普通办公网络隔离,限制其只能与必要的网络设备通信。 - 使用 NAC(网络访问控制):确保只有合规的设备才能访问服务器网络。 |
数据与文件系统安全
保护服务器上存储的核心资产。
| 安全措施 | 具体操作与说明 |
|---|---|
| 使用 NTFS 权限 | - 遵循最小权限原则:为文件夹和文件设置最严格的 NTFS 权限,避免使用 Everyone 或 Users 组。- 特殊权限:谨慎使用 完全控制、修改 和 写入 权限。- 继承与阻止继承:合理使用权限继承,简化管理或对特定文件夹设置特殊权限。 |
| 启用 BitLocker 驱动器加密 | - 加密系统盘和数据盘:对于包含敏感数据或移动的服务器,启用 BitLocker 可以在物理丢失或被盗时保护数据。 |
| 配置审核策略 | - 记录关键事件:通过 本地安全策略 -> 高级审核策略 -> 审核策略,启用对以下事件的审核: - 审核账户登录:成功和失败。 - 审核对象访问:对关键文件和文件夹启用成功和失败的访问审核。 - 审核特权使用:成功和失败。 - 审核系统事件:成功和失败(如启动/关闭)。 - 审核策略更改:成功和失败。 |
| 定期备份 | - 实施 3-2-1 备份策略:至少 3 份数据副本,存储在 2 种不同类型的介质上,其中至少有 1 份是离线或异地备份。 - 测试恢复:定期测试备份的可用性,确保能够成功恢复数据。 |
日志监控与事件响应
安全事件发生后,能够及时发现、调查和响应。
| 安全措施 | 具体操作与说明 |
|---|---|
| 集中日志管理 | - 使用 SIEM 系统:将所有服务器的 Windows 事件日志(安全、系统、应用程序)发送到集中的 SIEM(安全信息和事件管理) 系统,如 Microsoft Sentinel, Splunk, ELK Stack 等。 - 配置日志转发:在 Windows 中使用 事件查看器 的“将日志另存为”功能,或配置组策略中的 事件日志转发。 |
| 创建关键警报 | - 在 SIEM 或日志分析工具中创建警报:针对高风险事件设置自动警报, - 多次失败的登录尝试。 - 在非工作时间的管理员登录。 - 对关键系统文件的修改。 - 新的管理员账户被创建。 |
| 制定事件响应计划 | - 明确流程:制定书面的安全事件响应计划,定义从发现、遏制、根除到恢复的各个步骤和负责人。 - 定期演练:定期进行事件响应演练,确保团队熟悉流程。 |
物理安全
服务器机房或机柜的物理安全同样重要。
| 安全措施 | 具体操作与说明 |
|---|---|
| 限制物理访问 | - 机房门禁:使用刷卡、指纹或密码等门禁系统,确保只有授权人员可以进入。 - 视频监控:在机房入口和内部安装 24/7 视频监控。 |
| 安全的启动和关闭 | - 设置 BIOS/UEFI 密码:防止未授权人员更改启动顺序或从 USB 设备启动。 - 移除不必要的驱动器:如果不需要光驱,请移除它。 |
高级与专项安全
针对特定场景或高级威胁的防护。
(图片来源网络,侵删)
| 安全措施 | 具体操作与说明 |
|---|---|
| 启用 Windows Defender Exploit Guard | - 控制文件夹访问:保护关键文件夹(如 Program Files)不被未经授权的应用程序写入,可以有效抵御勒索软件。- 网络保护:阻止设备连接到已知的恶意或钓鱼 IP 地址。 |
| 配置 PowerShell 脚块日志记录 | - 启用脚本块日志:通过组策略启用,可以记录所有 PowerShell 脚本的执行内容,对于调查恶意活动非常有用。 |
| 端点检测与响应 | - 部署 EDR 解决方案:对于关键服务器,部署 EDR 解决程序(如 Microsoft Defender for Endpoint),提供更高级的威胁检测、调查和响应能力。 |
总结与持续改进
- 自动化:尽可能使用组策略、自动化脚本(如 PowerShell)来部署和检查安全配置,减少人为错误。
- 定期审计:定期(如每季度)执行安全审计,检查上述策略的执行情况,并进行漏洞扫描和渗透测试。
- 保持更新:安全威胁在不断变化,持续关注微软安全公告和行业最佳实践,动态调整你的安全策略。
通过实施这套多层次的安全策略,你可以显著提高 Windows 服务器的安全性,有效抵御绝大多数常见的安全威胁。
