從四月份起迄今,台灣不少企業或官方單位遭受到駭客入侵,尤其是勒索病毒的破壞,讓企業端營運資訊系統受到嚴種破壞,讓企業營運產生許多的衝擊。在營運資訊系統上都是核心主機群以及資料庫主機。相關受害主機中Microsoft Server更佔一大部份。IT或資安部們在面對這樣衝擊時,確實需要更細膩的手法,來有效降低壞的風險。因自身累積實務經驗,與大家分享一份細膩的Windows伺服器建置維運安全準則。讓資訊部門在Windows Server建置或維護時,有一個較為安全的設計準則,來達成主機安全運作。當面對攻擊入侵、內部破壞、系統故障時,都有相對應處置對策,降低後續除錯或重建的各類成本。
安全規劃設計
安全項目
|
Windows Server設定安全準則
|
帳戶
|
- 不同使用者使用不同帳號,不可共用
(e.g. Local\Administrator 為:系統管理者v.s. 建立專用系統帳號提供給特定資訊系統,例如:CRM, ERP)
- 主機群中不同主機,有共通使用者或專案,也不使用相同帳號
- 定期檢視、維護主機帳號
檢查 (啟動> run > compmgmt.msc > 本機使用者和群組 > 使用者)
- 最少每半年review主機帳號及使用目的,不再需要之帳號刪除或停用
- 刪除或停用不再使用或過期帳號
- Net user account/del
- Net user account/active:no
- 用戶端
- 不使用預設Administrator名稱,可從系統工具下本機使用者與群組更改名稱
- 停用Guest帳號
- 不顯示上次登入帳號
- 啟用CTRL+ALT+DEL登入機制
|
密碼
|
- 複雜性密碼長度8以上
- 90天或180天定期更換密碼
- 密碼輸入錯誤5次,鎖定30分鐘
- 輸入錯誤達7次,鎖定帳戶
- 密碼更換不再用近五期舊密碼
- 必要時得搭配OTP或多元安全驗證機制
|
權限
|
- 依業務需求限制帳號權限
- 以最小配置為原則
- 本機與遠端強制關機作業,限定指派給只有Administrator群組成員執行
- 非必要勿將主機加入AD,一旦AD管理者帳號權限被取得,將全面潰敗(方便與風險必須取得平衡)
- 本機安全設定(GPO用戶權利指派),在取得文件或其他對象,將所有權指派給系統管理者
- 只允許本地授權帳戶進行本地遠端Access:本地登入此電腦與網路訪問此電腦,設定為指定授權用戶
|
漏洞修補
|
- 補丁需再測試環境進行可靠驗證,驗證通過後方可進行升級,最為保險
- 重大漏洞須即時修補升級
- 更新至最新補丁
|
日誌
|
- 啟用全部日誌記錄
- 對用戶使用者進行日誌記錄
- 啟用審核策略,便於日後追蹤分析,包含失敗與成功
- 設定日誌覆蓋週期、規則與進行日誌備份,不得大於90天
|
服務
|
- 關閉非必須服務
- 關閉PowerShell 程序與服務(僅適用在GUI安裝模式下作業系統)
- 伺服器端在運作常態後禁止機碼變更
- 關閉伺服器端Office軟體巨集功能
- 關閉RDP服務
- 修改Windows Terminal Server RDP Port (e.g. 3389 > 2289)
- 因維運需要啟用SNMP服務,必須將SNMP安全選項,將預設(public)修改為SNMP Community String
- 透過Msconfig,關閉無效非啟動項目
- 透過gpedit.msc (計算機>管理模板>系統)關閉自動撥放功能
- 關閉預設共享(C$, D$)
HKLM\System\CurrentControlSet\Service\LanmanServer\Parameters 新增一個REG_DWORD AutoShareServer 鍵值為0
- 共享文件夾設置,必須指定具權限使用者方擁有此文件夾,非必要不啟用everyone
- 將FAT轉換成NTFS,最好在安裝Server OS時就改成NTFS
- 禁止匿名者Access命名管道及共享 (將匿名訪問的共享設置刪除)
- 禁止遠端access註冊表(Registry),刪除遠端訪問註冊表路徑以及子路徑
|
防護
|
- 啟用本機防火牆
- 依業務需要,允許放行特定「服務」通過防火牆Access主機
- 專案多部系統主機相互連線(e.g. Web server access DB server),應建立IP對鎖放行機制
- 安裝適用的Server防毒系統
- 更新防毒系統,檢查更新版本
- 註冊表定期備份
- 在磁碟空間允許情況下,建立快照備份
- 安裝應用程式,需經過掃毒後進行
|
維運
|
- 檢查開機磁碟使用量
- 定期備份與清理軌跡機記錄
- 定期備份或快照系統
- 監視CPU / RAM / HDD 用量
- 注意主機硬體相關燈號
|
檔案備份
|
- 離線備份機制必須建立,無法搭建閘道式實體隔離機制,也可以手動以人的方式建立,在面對大規模入侵破壞時,才有最後一根救命的稻草
- 透過備份程式以及批次排程來建立「連線與離線」備份儲存裝置
|
遠端桌面安全管控
|
資訊部門不會整天在機房內觀看每部主機運作狀態,往往透過監控系統來達成有效率的管理,但遠端桌面成為資訊部門重要中介服務渠道,往往也帶來危機。在遠端桌面管理上,有以下建議:
- 在實體主機上,建議將3389 Port進行變更成其他內控熟知通訊埠,例如:2289
- 畢竟實體伺服器主機,不會不斷變動機碼與安裝程式,建議修改完RDP通訊埠後,建議鎖定機碼變更,讓駭客入侵後相關處置複雜度變高
- 在ESXi虛擬機上的Windows Server,不建議開啟RDP 遠端桌面,改由ESXi管理介面來管控虛擬主機
- 透過其他遠端桌面工具要注意其他第三方軟體漏洞風險
- 在機房內通常網段互通,建議有充足財力公司,可以在各伺服器群依部門搭建起敵我識別的管控機制,讓主機不會互相跨連登入。只放行IT部門或是依服務使用群進行區隔管理
|
孫子兵法中「善攻者 敵不知其所守 善守者 敵不知其所攻」善用管控手段,自然可以降低駭客或是惡意程式運行的機會,讓企業損失大幅降低。