FineArt News

企業建置Windows Server應具備安全準則

從四月份起迄今,台灣不少企業或官方單位遭受到駭客入侵,尤其是勒索病毒的破壞,讓企業端營運資訊系統受到嚴種破壞,讓企業營運產生許多的衝擊。在營運資訊系統上都是核心主機群以及資料庫主機。相關受害主機中Microsoft Server更佔一大部份。IT或資安部們在面對這樣衝擊時,確實需要更細膩的手法,來有效降低壞的風險。因自身累積實務經驗,與大家分享一份細膩的Windows伺服器建置維運安全準則。讓資訊部門在Windows Server建置或維護時,有一個較為安全的設計準則,來達成主機安全運作。當面對攻擊入侵、內部破壞、系統故障時,都有相對應處置對策,降低後續除錯或重建的各類成本。

 

安全規劃設計

安全項目

Windows Server設定安全準則

帳戶

  1. 不同使用者使用不同帳號,不可共用
    (e.g. Local\Administrator 為:系統管理者v.s. 建立專用系統帳號提供給特定資訊系統,例如:CRM, ERP)
  2. 主機群中不同主機,有共通使用者或專案,也不使用相同帳號
  3. 定期檢視、維護主機帳號
    檢查 (啟動> run > compmgmt.msc > 本機使用者和群組 > 使用者)
  4. 最少每半年review主機帳號及使用目的,不再需要之帳號刪除或停用
  5. 刪除或停用不再使用或過期帳號
    • Net user account/del
    • Net user account/active:no
  6. 用戶端
    • 不使用預設Administrator名稱,可從系統工具下本機使用者與群組更改名稱
    • 停用Guest帳號
    • 不顯示上次登入帳號
    • 啟用CTRL+ALT+DEL登入機制

密碼

  1. 複雜性密碼長度8以上
  2. 90天或180天定期更換密碼
  3. 密碼輸入錯誤5次,鎖定30分鐘
  4. 輸入錯誤達7次,鎖定帳戶
  5. 密碼更換不再用近五期舊密碼
  6. 必要時得搭配OTP或多元安全驗證機制

權限

  1. 依業務需求限制帳號權限
  2. 以最小配置為原則
  3. 本機與遠端強制關機作業,限定指派給只有Administrator群組成員執行
  4. 非必要勿將主機加入AD,一旦AD管理者帳號權限被取得,將全面潰敗(方便與風險必須取得平衡)
  5. 本機安全設定(GPO用戶權利指派),在取得文件或其他對象,將所有權指派給系統管理者
  6. 只允許本地授權帳戶進行本地遠端Access:本地登入此電腦與網路訪問此電腦,設定為指定授權用戶

漏洞修補

  1. 補丁需再測試環境進行可靠驗證,驗證通過後方可進行升級,最為保險
  2. 重大漏洞須即時修補升級
  3. 更新至最新補丁

日誌

  1. 啟用全部日誌記錄
  2. 對用戶使用者進行日誌記錄
  3. 啟用審核策略,便於日後追蹤分析,包含失敗與成功
  4. 設定日誌覆蓋週期、規則與進行日誌備份,不得大於90天

服務

  1. 關閉非必須服務
  2. 關閉PowerShell 程序與服務(僅適用在GUI安裝模式下作業系統)
  3. 伺服器端在運作常態後禁止機碼變更
  4. 關閉伺服器端Office軟體巨集功能
  5. 關閉RDP服務
  6. 修改Windows Terminal Server RDP Port (e.g. 3389 > 2289)
  7. 因維運需要啟用SNMP服務,必須將SNMP安全選項,將預設(public)修改為SNMP Community String
  8. 透過Msconfig,關閉無效非啟動項目
  9. 透過gpedit.msc (計算機>管理模板>系統)關閉自動撥放功能
  10. 關閉預設共享(C$, D$)
    HKLM\System\CurrentControlSet\Service\LanmanServer\Parameters
    新增一個REG_DWORD AutoShareServer 鍵值為0
  11. 共享文件夾設置,必須指定具權限使用者方擁有此文件夾,非必要不啟用everyone
  12. 將FAT轉換成NTFS,最好在安裝Server OS時就改成NTFS
  13. 禁止匿名者Access命名管道及共享 (將匿名訪問的共享設置刪除)
  14. 禁止遠端access註冊表(Registry),刪除遠端訪問註冊表路徑以及子路徑

防護

  1. 啟用本機防火牆
  2. 依業務需要,允許放行特定「服務」通過防火牆Access主機
  3. 專案多部系統主機相互連線(e.g. Web server access DB server),應建立IP對鎖放行機制
  4. 安裝適用的Server防毒系統
  5. 更新防毒系統,檢查更新版本
  6. 註冊表定期備份
  7. 在磁碟空間允許情況下,建立快照備份
  8. 安裝應用程式,需經過掃毒後進行

維運

  1. 檢查開機磁碟使用量
  2. 定期備份與清理軌跡機記錄
  3. 定期備份或快照系統
  4. 監視CPU / RAM / HDD 用量
  5. 注意主機硬體相關燈號

檔案備份

  1. 離線備份機制必須建立,無法搭建閘道式實體隔離機制,也可以手動以人的方式建立,在面對大規模入侵破壞時,才有最後一根救命的稻草
  2. 透過備份程式以及批次排程來建立「連線與離線」備份儲存裝置

遠端桌面安全管控

資訊部門不會整天在機房內觀看每部主機運作狀態,往往透過監控系統來達成有效率的管理,但遠端桌面成為資訊部門重要中介服務渠道,往往也帶來危機。在遠端桌面管理上,有以下建議:

  1. 在實體主機上,建議將3389 Port進行變更成其他內控熟知通訊埠,例如:2289
  2. 畢竟實體伺服器主機,不會不斷變動機碼與安裝程式,建議修改完RDP通訊埠後,建議鎖定機碼變更,讓駭客入侵後相關處置複雜度變高
  3. 在ESXi虛擬機上的Windows Server,不建議開啟RDP 遠端桌面,改由ESXi管理介面來管控虛擬主機
  4. 透過其他遠端桌面工具要注意其他第三方軟體漏洞風險
  5. 在機房內通常網段互通,建議有充足財力公司,可以在各伺服器群依部門搭建起敵我識別的管控機制,讓主機不會互相跨連登入。只放行IT部門或是依服務使用群進行區隔管理

 

孫子兵法中「善攻者 敵不知其所守 善守者 敵不知其所攻」善用管控手段,自然可以降低駭客或是惡意程式運行的機會,讓企業損失大幅降低。