Windows 2008 Points à noter pour le renforcement de la sécurité du serveur

Vérifier la version du système

Windows Server 2008 r2 Enterprise

Usage

Serveur VPN

Vérifier le nom d'hôte

Vérifier la configuration réseau

Objectif de l'opération

Prévenir les chevaux de Troie, les virus et autres programmes malveillants

Méthode de vérification

Vérifier si le service de logiciel antivirus système est démarré.

Méthodes de renforcement

Installer un logiciel antivirus ; activer la surveillance en temps réel ; configurer un niveau de surveillance approprié ; définir un mot de passe pour le logiciel antivirus.

Si l'application est mise en œuvre

Remarque

Objectif de l'opération

Installer les correctifs système pour patcher les vulnérabilités

Méthode de vérification

Utiliser des outils de scan de failles pour scanner.

Méthodes de renforcement

Utiliser des outils pour automatiser l'application des correctifs.

Si l'application est mise en œuvre

Remarque

Objectif de l'opération

Réduire les comptes inutiles du système pour réduire le risque

Méthode de vérification

"Win+Touche "R" pour ouvrir "Exécuter"->compmgmt.msc (Gestion informatique)->Consulter les utilisateurs locaux et les groupes, vérifier s'il y a des comptes inutilisés, si le groupe de l'account système est correct et si le compte guest est verrouillé

Méthodes de renforcement

Utiliser la commande 'net user nom_d'utilisateur /del' pour supprimer le compte

Utiliser la commande 'net user nom_d'utilisateur /Commande 'active:no' pour verrouiller le compte

Si l'application est mise en œuvre

Remarque

Vérifier le registre pour prévenir les comptes d'ombre.

Objectif de l'opération

Augmenter la complexité des mots de passe et les stratégies de verrouillage pour réduire la probabilité de crackage par force brute

Méthode de vérification

"Win+Touche "R" pour ouvrir "Exécuter"-> secpol.msc (Politique de sécurité locale)}->Réglages de sécurité

Méthodes de renforcement

1, stratégie de compte-> Politique de mot de passe

Le mot de passe doit correspondre aux exigences de complexité : activé

Longueur minimale du mot de passe :8caractère

Durée minimale d'utilisation du mot de passe : 0 jour

Durée maximale d'utilisation du mot de passe :90 jour

Histoire de mot de passe obligatoire :1mot de passe mémorisé

Utiliser le chiffrement ré复原 pour stocker les mots de passe : désactivé

2, paramètres de compte-> Stratégie de verrouillage de compte

Durée de verrouillage de compte :30 minute

Seuil de verrouillage de compte :5essais de connexion invalides

Réinitialiser le compteur de verrouillage de compte :30 minute

3, stratégie locale-> Options de sécurité

Connexion interactive : ne pas afficher le dernier nom d'utilisateur : activé

Si l'application est mise en œuvre

Remarque

"Win+Touche "R" pour ouvrir "Exécuter"->gpupdate /force immédiatement applicable

Objectif de l'opération

Désactiver les services inutiles pour réduire le risque

Méthode de vérification

"Win+Touche "R" pour ouvrir "Exécuter"-> services.msc

Méthodes de renforcement

Changer les services suivants en mode manuel

COM+ Event System

DHCP Client

Diagnostic Policy Service

Distributed Transaction Coordinator

DNS Client

Distributed Link Tracking Client

Remote Registry

Print Spooler

Serveur (vous pouvez le fermer si vous n'utilisez pas le partage de fichiers)

Shell Hardware Detection

TCP/IP NetBIOS Helper

Windows Update

Si l'application est mise en œuvre

Remarque

Désactiver les services doit être fait avec prudence, en particulier sur les ordinateurs distants

Objectif de l'opération

Désactiver les partages par défaut

Méthode de vérification

"Win+Touche "R" pour ouvrir "Exécuter"-> cmd.exe-> net share, voir les partages

Méthodes de renforcement

Désactiver les partages par défaut comme C$, D$ et autres

"Win+Touche "R" pour ouvrir "Exécuter"-> regedit-> Trouver HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters , créer un AutoShareServer (REG_DWORD), valeur de clé 0

Si l'application est mise en œuvre

Remarque

Objectif de l'opération

Limiter l'accès réseau

Méthode de vérification

"Win+Touche "R" pour ouvrir "Exécuter"->secpol.msc ->Réglages de sécurité->Politique locale-> Options de sécurité

Méthodes de renforcement

Accès réseau : ne pas permettre l'enumeration anonyme des comptes SAM : activé

Accès réseau : ne pas permettre l'enumeration anonyme des comptes SAM et des ressources partagées : activé

Accès réseau : appliquer les permissions de Everyone aux utilisateurs anonymes : désactivé

Compte : les comptes locaux utilisant un mot de passe vide ne permettent que la connexion à la console : activé

Si l'application est mise en œuvre

Remarque

"Win+Touche "R" pour ouvrir "Exécuter"->gpupdate /force immédiatement applicable

Objectif de l'opération

Améliorer la sécurité du système de fichiers

Méthode de vérification

Vérifier si chaque lecteur système utilise le système de fichiers NTFS

Méthodes de renforcement

Il est recommandé d'utiliser le système de fichiers NTFS, la commande de conversion : convert <lettre_de_disque> : /fs:ntfs

Si l'application est mise en œuvre

Remarque

Objectif de l'opération

Renforcement des permissions de Everyone

Méthode de vérification

Cliquez avec le bouton droit sur le lecteur système (disque)->"Propriétés"->"Sécurité", vérifiez si le répertoire racine de chaque lecteur système est configuré pour que Everyone ait tous les droits

Méthodes de renforcement

Supprimer les permissions de Everyone ou annuler les permissions d'écriture de Everyone

Si l'application est mise en œuvre

Remarque

Objectif de l'opération

Limiter les permissions des commandes部分

Méthode de vérification

Utilisez la commande cacls ou l'Explorateur de fichiers pour vérifier les permissions des fichiers suivants

Méthodes de renforcement

Recommandez de limiter les commandes suivantes, n'autoriser que les groupes systeme, Administrateur à accéder

%systemroot%\system32\cmd.exe

%systemroot%\system32\regsvr32.exe

%systemroot%\system32\tftp.exe

%systemroot%\system32\ftp.exe

%systemroot%\system32\telnet.exe

%systemroot%\system32\net.exe

%systemroot%\system32\net1.exe

%systemroot%\system32\cscript.exe

%systemroot%\system32\wscript.exe

%systemroot%\system32\regedit.exe

%systemroot%\system32\regedt32.exe

%systemroot%\system32\cacls.exe

%systemroot%\system32\command.com

%systemroot%\system32\at.exe

Si l'application est mise en œuvre

Remarque

Peut affecter le fonctionnement normal du système d'entreprise

Objectif de l'opération

Augmenter la taille du journal pour éviter que les journaux ne soient enregistrés en raison de la capacité insuffisante du fichier journal

Méthode de vérification

"Win+Touche "R" pour ouvrir "Exécuter"->eventvwr.msc ->"Journal windows"->Voir les propriétés de "Application", "Sécurité", "Système"

Méthodes de renforcement

Configuration recommandée :

Taille maximale du journal :20480 Ko

Si l'application est mise en œuvre

Remarque

Objectif de l'opération

Auditer les événements système pour utiliser à l'avenir pour le dépannage en cas de panne

Méthode de vérification

"Win+Touche "R" pour ouvrir "Exécuter"->secpol.msc ->Réglages de sécurité->Politique locale->Stratégie d'examen

Méthodes de renforcement

Configuration recommandée :

Changement de stratégie d'examen : succès

Événements de connexion d'examen : succès, échec

Accès aux objets d'examen : succès

Suivi des processus d'examen : succès, échec

Accès aux services de répertoire d'examen : succès, échec

Événements système d'examen : succès, échec

Événements de connexion des comptes d'examen : succès, échec

Examen des comptes : succès, échec

Si l'application est mise en œuvre

Remarque

"Win+Touche "R" pour ouvrir "Exécuter"->gpupdate /force immédiatement applicable