mục lục
- Hardening cho Windows Server
- 1. HỆ THỐNG TỆP DỮ LIỆU/ FILE SYSTEM
- 2. DỊCH VỤ / SERVICES
- 3. CHÍNH SÁCH TÀI KHOẢN VÀ MẬT KHẨU
- 4. THIẾT LẬP FIREWALL HỆ THỐNG
- 5. KÍCH HOẠT VÀ GIỚI HẠN QUYỀN TRUY CẬP MÁY TÍNH TỪ XA
- 6. THIẾT LẬP CÁC THÔNG SỐ BẢO MẬT
- 7. GÁN QUYỀN USERS (USER RIGHTS ASSIGNMENTS)
- 8. THIẾT LẬP AUDIT LOG VÀ EVENT LOG
- 9. THIẾT LẬP NTP CLIENT
- 10. CÀI ĐẶT ANTIVIRUS SYMANTEC
- 11. CÀI ĐẶT HỆ ĐIỀU HÀNH VÀ CẬP NHẬT BẢN VÁ
Hardening cho Windows Server
1. HỆ THỐNG TỆP DỮ LIỆU/ FILE SYSTEM
Hệ thống tệp dữ liệu | FILE SYSTEM | ||||
|
1.1 KHUYẾN CÁO CHIA Ổ CỨNG/HDD PARTITION RECOMEND
Partion | Kích thước khuyến nghị | Định dạng | Lưu ý |
C:\ | 80 GB | NTFS | Chứa hệ điều hành, Profiles và các ứng dụng cài đặt |
D:\ | Kích cỡ còn lại của ổ đĩa | NTFS | Chứa dữ liệu ứng dụng, dữ liệu khác |
1.2 CÁC TIÊU CHUẨN CẤU HÌNH HỆ THỐNG FILE / STANDARD CONFIG FILE SYSTEM
Vô hiệu hóa các Share không cần thiết | |
Các thư mục share hệ thống và share phục vụ mục đích quản trị yêu cầu share ẩn (có dấu $ đằng sau tên thư mục share).
Danh mục các thư mục chia sẻ đối với máy chủ độc lập (stand alone) sau: |
|
Share name Resource Remark
——————————————————————————-
ADMIN$ C:\WINDOWS Remote Admin C$ C:\ Default share D$ D:\ Default share IPC$ Remote IPC |
|
Danh mục các thư mục chia sẻ đối với máy chủ Domain (Domain controller) sau: | |
Share name Resource Remark
——————————————————————————-
ADMIN$ C:\WINDOWS Remote Admin C$ C:\ Default share D$ D:\ Default share IPC$ Remote IPC NETLOGON C:\WINDOWS\… Logon server share SYSVOL C:\WINDOWS\… Logon server share |
|
Các thư mục share khác cần được bỏ đi trên các máy chủ. |
2. DỊCH VỤ / SERVICES
3. CHÍNH SÁCH TÀI KHOẢN VÀ MẬT KHẨU
5.2.1 Cấu hình chính sách Mật khẩu
Với máy chủ Standalone cấu hình ở: “Local Policy”, với máy chủ Domain cấu hình ở “Domain security Policy” Thiết lập các tham số theo chính sách an toàn thông tin: |
|||||||||||||||
|
|||||||||||||||
Cấu hình chính sách tài khoản
Với máy chủ Standalone cấu hình ở: “Local Policy”, với máy chủ Domain cấu hình ở “Domain security Policy” Thiết lập các tham số theo chính sách an toàn thông tin: |
|||||||||||||||
|
|||||||||||||||
Disable hoặc xóa các tài khoản không cần thiết | |||||||||||||||
Đối với máy chủ Standalone thì thực hiện với tài khoản Local và đối với máy chủ Domain thì thực hiện với tài khoản Domain
· Disable tài khoản Guest và tài khoản Help Assistant · Chỉ có 1 tài khoản admininstrator – người dùng sử dụng user thường. · Xóa các tài khoản “test” trên hệ thống · Move các tài khoản đã nghỉ việc vào OU disabled. Disable các tài khoản quá 120 days không truy cập hệ thống |
4. THIẾT LẬP FIREWALL HỆ THỐNG
Trên một server luôn có rất nhiều các dịch vụ đang chạy đồng thời, việc kiểm soát tất cả mọi truy cập vào ra trên hệ thống sẽ giúp hạn chế được các cuộc tấn công của attacker.
· Kích hoạt Windows Firewall: Run => services.msc => Chọn Windows Firewall => Chọn Automatic => Start.
· Mặc định Windows Firewall cấm các kết nối vào và không cấm các kết nối ra đối với cả Domain Profile, Private Profile và Public Profile: – Domain Profile: Cấu hình tường lửa được áp dụng khi máy tính kết nối với các máy khác trong cùng một domain. – Private Profile: Cấu hình tường lửa được áp dụng khi máy tính kết nối với mạng riêng. – Public Profile: Cấu hình tường lửa được áp dụng khi máy tính kết nối với mạng công cộng. – Local IP: là địa chỉ trên máy chủ đang chấp nhận kết nối hoặc địa chỉ được sử dụng với tư cách là địa chỉ nguồn để gửi các kết nối gửi đi. – Remote IP: là địa chỉ IP của máy chủ điều khiển xa mà máy chủ này đang muốn kết nối đến (trong kịch bản truy cập gửi đi), hoặc địa chỉ IP nguồn của máy tính đang muốn kết nối với máy chủ (trong trường hợp kịch bản truy cập gửi đến). – Local Port: các cổng nội bộ trên máy chủ mà rule của tường lửa sử dụng. Nếu rule là Inbound Rules thì đây sẽ là cổng để máy chủ lắng nghe. Nếu rule là Outbound Rules thì đây sẽ là cổng nguồn để máy chủ sử dụng kết nối tới máy khác. – Remote Port: đây là cổng điều khiển từ xa để sử dụng cho rule. Trong trường hợp rule kết nối gửi đi thì đây sẽ là cổng mà máy chủ kết nối với một máy tính khác. Trong trường hợp rule kết nối đến thì đây chính là cổng nguồn của máy tính muốn kết nối với máy chủ. · Cấu hình block các kết nối ra ngoài: – Cấu hình Block Outbound Connection trong tab Domain Profile (làm tương tự đối với tab Private Profile và Public Profile). – Kiểm tra lại cấu hình xem đã được kích hoạt chưa: · Thiết lập kết nối chiều ra/vào theo đặc quyền: – Thiết lập chính sách kết nối từ ngoài vào máy chủ (Inbound Rule): Click chọn Inbound Rule => New Rule… – Chọn Custom và click Next: – Chọn chương trình kết nối => All Programs => Next. – Chọn giao thức và cổng tương ứng cần mở kết nối từ ngoài vào máy chủ. Ví dụ chọn giao thức TCP, cổng 20, 21 => Click Next. – Thiết lập IP được phép kết nối => Click Next: – Chọn Allow the connection => Click Next: – Để mặc định => Next => Đặt tên cho Rule => Click Finish: – Ta có được luật vừa tạo: – Thiết lập chính sách kết nối từ máy chủ ra ngoài (Outbound Rule): Cách thiết lập tương tự như trên. · Yêu cầu ghi log toàn bộ các gói tin vi phạm luật tường lửa. – Vào Start => Administrative Tools => Windows Firewall with Advanced Security. – Click Windows Firewall Properties => mở Customize… Logging của các tab Domain Profile, Private Profile và Public Profile => Click Yes cho Log dropped packets. |
5. KÍCH HOẠT VÀ GIỚI HẠN QUYỀN TRUY CẬP MÁY TÍNH TỪ XA
Remote Desktop là một tính năng cho phép người quản trị viên thực hiện một phiên làm việc từ xa và trực tiếp trên giao diện đồ họa giống như là đang ngồi trực tiếp trên máy chủ thông qua một máy tính client. Ngoài ra còn có bàn phím và chuột trên máy tính client sẽ được sử dụng trên máy chủ từ xa. Remote Desktop có thể được thực hiện trong một số mạng như mạng diện rộng (WAN), mạng cục bộ (LAN) hoặc qua internet.
Từ phiên bản Windows Server 2008 dịch vụ này được cung cấp bởi dịch vụ đầu cuối (Terminal Services) đang chạy trên Windows Server 2008 và các kết nối client Remote Desktop Connection (RDC) trên máy tính local.
Terminal Services chạy trong hai chế độ khác nhau Administration và Virtual Session. RemoteDesktop của Administration cung cấp đầy đủ chức năng để quản trị từ xa (bao gồm cả việc truy cập vào bảng điều khiển và khả năng hiển thị tin nhắn thông báo). Trong chế độ Virtual Session thì người sử dụng có một số hạn chế như khả năng cài đặt các ứng dụng và xem bảng điều khiển tin nhắn.
Windows Server đặt ra một số hạn chế trong việc đăng nhập ở chế độ quản trị. Cụ thể là chỉ có thể là tối đa với hai quản trị viên có thể đăng nhập vào cùng một thời gian hoặc hai đăng nhập từ xa hoặc một địa phương và một quản trị viên từ xa. Tuy nhiên, các tài khoản khác nhau có thể được sử dụng để đăng nhập. Nói cách khác, cùng một người dùng không thể đăng nhập cục bộ và từ xa cùng một lúc. |
|
Kích hoạt tính năng Remote Desktop | |
Như đã đề cập trước đó, chức năng Remote Desktop trên máy chủ được cung cấp bởi dịch vụ Terminal Services. Tuy nhiên điều quan trọng cần lưu ý là dịch vụ đầu cuối không có được một cách rõ ràng để hỗ trợ Remote Desktop Administration. Trong thực tế, tất cả những gì cần làm là cho phép Remote Desktop Administration. Để cấu hình bạn mở Control Panel từ menu Start và chọn biểu tượng System. Trong phần Task ở góc trên bên trái của System, lựa chọn Remote Setting (hình phía dưới).
Hộp thoại thuộc tính của Remote Desktop có một vài tùy chọn. Mặc định thì Remote Desktop bị vô hiệu hóa. Lựa chọn thứ 2 là cho phép máy tính bất kỳ có thể kết nối. Tùy chọn thứ ba là tùy chọn an toàn nhất bởi vì nó chỉ cho phép kết nối từ máy tính từ xa có hỗ trợ “Network Level Authentication”. Điều này thường chỉ cho phép truy cập vào hệ thống cung cấp chứng thực an toàn mạng như Windows Vista và Windows Server 2008.
Cấu hình mặc định cho Remote Desktop là cho phép tất cả các thành viên của nhómAdministrator có kết nối từ xa. Trong Active Directory cũng có một nhóm “Remote DesktopUsers”. Nhóm này cho phép người dùng có thể được thêm vào để cung cấp quyền truy cậpRemote Desktop. Để cung cấp cho người dùng có quyền truy cập Remote Desktop, mở Control Panel -> System and Maintenance -> System -> Remote settings và nhấn vào nút “Select Users” gọi hộp thoại “Remote Desktop Users” như được minh họa trong hình sau đây:
Chú ý: người dùng với quyền Administrator không cần được thêm vào danh sách này vì theo mặc định họ đã có quyền truy cập máy tính từ xa. Để gắn thêm người dùng nhấp vào nút Add … để hiển thị hộp thoại “Select Users”. Nhập tên của người dùng trong hộp văn bản được nhập tên đối tượng để chọn và click vào tên “Check name” để kiểm tra tên có phù hợp với danh sách người dùng hay không. |
|
Thay đổi cổng Remote Desktop mặc định (3389) | |
Nếu Windows Firewall được kích hoạt, thì bạn phải cho phép kết nối Remote Desktop và bạn cần phải thêm phần Exception là: Remote Desktop Protocol (RDP) sẽ đi qua cổng TCP 3389. Cổng này mặc định có thể được thay đổi bằng cách thay đổi thiết lập này trong khóa Registry HKEY_LOCAL_MACHINE\System\CurrentControlSet\ Control\TerminalServer\WinStations\RDP-tcp\PortNumber. Cách dễ nhất để xác định vị trí giá trị Registry này chính là để thực thi lệnh regedit từ cửa sổ Run hay cửa sổ lệnh, chọn Edit -> Find và nhập RDP-tcp. | |
Sử dụng Firewall giới hạn IP được phép remote desktop vào server | |
Theo mặc định khi firewall mở port cho phép remote desktop trên server thì tất cả các máy tính đều có khả năng mở truy cập đến server, điều này không an toan cho server, việc giới hạn truy cập chỉ cho phép máy tính của Admin IT có thể mở kết nối remote desktop đến server nhằm tăng độ an toan cho server.
Trên server mở RUN -> CMD Gõ lệnh sau: netsh advfirewall firewall add rule name=”Name_Rule” dir=in action=allow protocol=port_remote_desktop remoteip=IP_client_allow_remote Trong đó: Name_Rule: Tên đặt cho rule port_remote_desktop remoteip: port remote desktop trên server IP_client_allow_remote: IP máy tính được phép mở kết nối đến server |
6. THIẾT LẬP CÁC THÔNG SỐ BẢO MẬT
No. | Policy | Recommended Setting |
Major Security Settings | ||
1 | Network Access: Allow Anonymous SID/Name Translation: | Disabled |
2 | Network Access: Do not allow Anonymous Enumeration of SAM Accounts | Disabled
|
3 | Network Access: Do not allow Anonymous Enumeration of SAM Accounts and Shares | Disabled
|
Minor Security Settings | ||
1 | Accounts: Administrator Account Status | Not Defined |
2 | Accounts: Guest Account Status | Disabled |
4 | Accounts: Limit local account use of blank passwords to console logon only | Enabled |
5 | Accounts: Rename Administrator Account | SEAB: mcradminlocal |
6 | Accounts: Rename Guest Account | Non-Standard |
7 | Audit: Audit the access of global system objects | <Not Defined> |
8 | Audit: Audit the use of backup and restore privilege | <Not Defined> |
Audit: Force audit policy subcategory
settings (Windows Vista or later) to override audit policy category settings. |
Enabled | |
9 | Audit: Shut Down system immediately if unable to log security alerts | <Not Defined> |
10 | DCOM: Machine Access Restrictions in Security Descriptor Definition Language (SDDL) syntax | <Not Defined> |
11 | DCOM: Machine Launch Restrictions in Security Descriptor Definition Language (SDDL) syntax | <Not Defined> |
12 | Devices: Allow undock without having to log on | <Not Defined> |
13 | Devices: Allowed to format and eject removable media | Administrator |
14 | Devices: Prevent users from installing printer drivers | Enabled |
15 | Devices: Restrict CD-ROM Access to Locally Logged-On User Only | <Not Defined> |
16 | Devices: Restrict Floppy Access to Locally Logged-On User Only | <Not Defined> |
17 | Devices: Unsigned Driver Installation Behavior | Warn But Allow installation
|
18 | Domain Controller: Allow Server Operators to Schedule Tasks | <Not Defined> |
19 | Domain Controller: LDAP Server Signing Requirements | Require Signing
|
20 | Domain Controller: Refuse machine account password changes | <Not Defined> |
21 | Domain Member: Digitally Encrypt or Sign Secure Channel Data (Always) | <Not Defined>
|
22 | Domain Member: Digitally Encrypt Secure Channel Data (When Possible) | Enabled |
23 | Domain Member: Digitally Sign Secure Channel Data (When Possible) | Enabled |
24 | Domain Member: Disable Machine Account Password Changes | Disabled |
25 | Domain Member: Maximum Machine Account Password Age | 30 Days |
26 | Domain Member: Require Strong (Windows or later) Session Key | Enabled |
27 | Interactive logon: Display user information when the session is locked | <Not Defined> |
28 | Interactive Logon: Do Not Display Last User Name | Enabled |
29 | Interactive Logon: Do not require CTRL+ALT+DEL | Disabled |
30 | Interactive Logon: Message Text for Users Attempting to Log On | Đề nghị toàn thể cán bộ, nhân viên 123334 nghiêm chỉnh chấp hành chính sách an toàn & bảo mật thông tin:
– Không cho mượn tài khoản, tiết lộ mật khẩu cá nhân cho người khác dưới bất kỳ hình thức nào. – Không tiết lộ các thông tin nội bộ của Công ty ra bên ngoài. – Mọi vấn đề liên quan đến hỗ trợ về lĩnh vực CNTT xin vui lòng liên hệ ITHelpdesk – Khối CNTT: Số máy: 0911 Địa chỉ mail : [email protected] |
31 | Interactive Logon: Message Title for Users Attempting to Log On | Khối CNTT xin trân trọng thông báo |
32 | Interactive Logon: Number of Previous Logons to Cache | 0 logons |
33 | Interactive Logon: Prompt User to Change Password Before Expiration | 14 |
34 | Interactive Logon: Require Domain Controller authentication to unlock workstation | Enabled |
35 | Interactive Logon: Require Smart Card | <Not Defined> |
36 | Interactive Logon: Smart Card Removal Behavior | Lock Workstation |
37 | Microsoft Network Client: Digitally sign communications (always) | <Not Defined> |
38 | Microsoft Network Client: Digitally sign communications (if server agrees) | Enable |
39 | Microsoft Network Client: Send Unencrypted Password to Connect to Third-Part SMB Server | Disable |
40 | Microsoft Network Server: Amount of Idle Time Required Before Disconnecting Session | 15 Minutes |
41 | Microsoft Network Server: Digitally sign communications (always) | <Not Defined>
|
42 | Microsoft Network Server: Digitally sign communications (if client agrees) | Enable |
43 | Microsoft Network Server: Disconnect clients when logon hours expire | Enable |
44 | Network access: Allow anonymous SID/Name translation | Disabled |
45 | Network access: Do not allow anonymous enumeration of SAM accounts | Enabled |
46 | Network access: Do not allow anonymous enumeration of SAM accounts and shares | Enabled |
47 | Network Access: Do not allow storage of credentials or .NET passports for network authentication | <Not Defined> |
48 | Network Access: Let Everyone permissions apply to anonymous users | Disabled |
49 | Network Access: Named pipes that can be accessed anonymously | <Not Defined> |
50 | Network Access: Remotely accessible registry paths | <Not Defined> |
51 | Network Access: Remotely accessible registry paths and subpaths | <Not Defined> |
52 | Network Access: Restrict anonymous access to Named Pipes and Shares | Enabled |
53 | Network Access: Shares that can be accessed anonymously | <None> |
54 | Network Access: Sharing and security model for local accounts | Classic |
55 | Network Security: Do not store LAN Manager password hash Rule on next password change | Eanbled |
56 | Network Security: Force logoff when logon hours expire | <Not Defined> |
57 | Network Security: LAN Manager Authentication Level | Send NTLMv2, refuse LM |
58 | Network Security: LDAP client signing requirements | Negotiate Signing or Require Signing
|
59 | Network Security: Minimum session security for NTLM SSP based (including secure RPC) clients | Require Message Integrity, Message Confidentiality, NTLMv2 Session Security, 128-bit Encryption |
60 | Network Security: Minimum session security for NTLM SSP based (including secure RPC) servers | Require Message Integrity, Message Confidentiality, NTLMv2 Session Security, 128-bit Encryption
|
61 | Recovery Console: Allow Automatic Administrative Logon | Require Message Integrity, Message Confidentiality, NTLMv2 Session Security, 128-bit Encryption
|
62 | Recovery Console: Allow Floppy Copy and Access to All Drives and All Folders | <Not Defined> |
63 | Shutdown: Allow System to be Shut Down Without Having to Log On | Disabled |
64 | Shutdown: Clear Virtual Memory Pagefile | <Not Defined> |
65 | System cryptography: Force strong key protection for user keys stored on the computer | User must enter a password each time they use a key
|
66 | System Cryptography: Use FIPS compliant algorithms for encryption, hashing, and signing | <Not Defined> |
67 | System objects: Default owner for objects created by members of the Administrators group | Object Creator |
68 | System objects: Require case insensitivity for non-Windows subsystems | <Not Defined> |
69 | System objects: Strengthen default permissions of internal system objects | Enabled |
70 | System settings: Optional subsystems | <Not Defined> |
71 | System settings: Use Certificate Rules on Windows Executables for Software Restriction Policies | <Not Defined> |
71 | System settings: Use Certificate Rules on Windows Executables for Software Restriction Policies | <Not Defined> |
71 | System settings: Use Certificate Rules on Windows Executables for Software Restriction Policies | <Not Defined> |
71 | MSS: (AFD DynamicBacklogGrowthDelta) Number of connections to create when additional connections are necessary for Winsock applications |
7. GÁN QUYỀN USERS (USER RIGHTS ASSIGNMENTS)
Đối với máy chủ Standalone thực hiện ở Local Policy, đối với máy chủ Domain thực hiện ở Domain security Policy.
Thiết lập tham số chuẩn như sau: |
No. | Policy | Recommended Setting |
1 | Access this computer from the network | Administrators, Authenticated Users, ENTERPRISE DOMAIN CONTROLLERS |
2 | Act as part of the operating system | <None> |
3 | Add workstations to domain | <Not Defined> |
4 | Adjust memory quotas for a process | NETWORK SERVICE, LOCAL SERVICE, Administrators |
5 | Log on locally | Administrators, Authenticated Users |
6 | Allow logon through terminal services | Administrators
|
7 | Back up files and directories | <Not Defined> |
8 | Bypass traverse checking | <Not Defined> |
9 | Change the system time | Administrators
|
10 | Create a pagefile | Administrators |
11 | Create a token object | <None> |
12 | Create a global object | <Not Defined> |
13 | Create permanent shared objects | <None> |
14 | Debug Programs | <None>
|
15 | Deny access to this computer from the network | ANONOYMOUS LOGON, Guests |
16 | Deny logon as a batch job | <Not Defined> |
17 | Deny logon as a service | <Not Defined> |
18 | Deny logon locally | Guest |
19 | Deny logon through Terminal Service | Guest |
20 | Enable computer and user accounts to be trusted for delegation | <Not Defined> |
21 | Force shutdown from a remote system | Administrators |
22 | Generate security audits | Local Service, Network Service |
23 | Impersonate a client after authentication | Administrators, NETWORK
SERVICE, LOCAL SERVICE, SERVICE |
24 | Increase scheduling priority | <Not Defined> |
25 | Load and unload device drivers | Administrators |
26 | Lock pages in memory | <Not Defined> |
27 | Log on as a batch job | <Not Defined> |
28 | Log on as a service | <Not Defined> |
29 | Manage auditing and security log | Administrators |
30 | Modify firmware environment values | Administrators |
31 | Perform volume maintenance tasks | Administrators |
32 | Profile single process | Administrators |
33 | Profile system performance | Administrators |
34 | Remove computer from docking station | <Not Defined> |
35 | Replace a process level token | NETWORK SERVICE, LOCAL SERVICE |
36 | Restore files and directories | Administrators, Backup Operators |
37 | Shut down the system | Administrators
|
38 | Synchronize directory service data | <None> |
39 | Take ownership of file or other objects | Administrators |
8. THIẾT LẬP AUDIT LOG VÀ EVENT LOG
Thiết lập Audit log | ||||||||||||||||||||||
Thiết lập kiểm soát và log lại các sự kiện sau:
• Kiểm soát sự kiện Account logon • Kiểm soát quản lý Account • Kiểm soát truy cập dịch vụ thư mục • Kiểm soát sự kiện Logon • Kiểm soát truy cập đối tượng • Kiểm soát thay đổi chính sách • Kiểm soát sử dụng đặc quyền • Kiểm soát giám sát tiến trình • Kiểm soát sự kiện hệ thống Cấu hình: Đối với máy chủ Standalone thực hiện ở Local Policy, đối với máy chủ Domain thực hiện ở Domain security Policy Thiết lập các tham số theo chuẩn: |
||||||||||||||||||||||
|
||||||||||||||||||||||
Thiết lập Event log | ||||||||||||||||||||||
Đối với máy chủ Standalone thực hiện ở Local Policy, đối với máy chủ Domain thực hiện ở Domain security Policy
Thiết lập các tham số theo bảng sau: |
||||||||||||||||||||||
|
||||||||||||||||||||||
|
||||||||||||||||||||||
|
||||||||||||||||||||||
9. THIẾT LẬP NTP CLIENT
10. CÀI ĐẶT ANTIVIRUS SYMANTEC