Windows Server安全规则4:减少攻击面(ASR)

2020年12月31日19:43:37 发表评论 103 次浏览
ms_logo_grey
ms_logo_grey
你可以从这份文件中得到什么:

本文档介绍了一些基本的安全性最佳实践, 这些最佳实践如果与其他安全性措施结合使用, 将有助于提高系统的整体安全性。

有什么威胁?

所有IT系统都暴露出所谓的"攻击面"。顾名思义, 这些是对手可能攻击的系统的组成部分。

如何减少攻击面

减少攻击面的基本策略是减少代码运行量, 不信任用户可用的入口点, 并消除少数用户请求的服务。一种提高信息安全性的方法是减少系统或软件的攻击面。通过关闭不必要的功能, 可以减少安全风险。通过使较少的代码可用于未授权的参与者, 将倾向于减少故障。尽管减少攻击面有助于防止安全性失败, 但是它并不能减轻发现漏洞后攻击者可能造成的损失。

典型任务和建议任务
  • 不要运行不必要的应用程序和服务
  • 禁用不使用的Windows Server 2012R2功能。例如, 如果你不需要FTP访问, 请禁用它。
  • 识别对网络管理不是至关重要的那些服务和任务, 然后禁用关联的系统策略规则。
  • 将系统策略规则的适用性仅限制于所需的网络实体。
  • 激活窗口防火墙, 并仅允许必要的入站和出站连接。

一种常见的方法是所谓的"强化"。 Microsoft为此提供了一些工具和资源。

在本文中, 我们利用Windows Server 2012平台的一部分安全配置向导提供了简单的分步说明:

纵深防御是从尽可能多的角度防御潜在威胁的做法, 这是你很熟悉的概念。关于服务器安全性, 深度防御尤其涉及为网络的每一层创建不同的安全策略。服务器是潜在威胁和贵公司有价值数据之间的倒数第二层安全保护, 因此专门针对每个服务器配置文件应用安全策略既重要又必要。

流行的建议是"停止不必要的服务"或"关闭不使用的功能"。幸运的是, 默认情况下, 每个新版本的Windows Server都构建得更加安全。也就是说, 通常在网络服务器上具有多个(有时甚至数百个)不同的角色, 以及多组文件服务器, Web服务器, 数据库服务器等。因此, 我们如何确保这些服务器中的每一个, 具有不同的特征, 并配置了最佳安全实践?

自Windows Server 2003 Service Pack 1(SP1)发行以来, Windows Server包含了一个称为"安全配置向导"的工具, 该工具旨在分析服务器配置文件并建议更改以提高服务器的安全性。在Windows Server 2012中, 安全配置向导位于新的服务器管理器仪表板中, 非常方便。

server_manager
server_manager

使用"安全配置向导"时, 第一步是定义要执行的操作。你不仅可以创建新策略, 还可以从现有服务器配置中编辑, 应用甚至删除已应用的策略。

security_configurator

然后, 选择要对其应用策略的服务器。

security_configurator_1

然后, 在Windows Server 2012中, "安全配置向导"将解析选定的服务器和收集的信息, 并将其与Microsoft针对该服务器配置文件(文件, 数据库, Web等)的安全建议进行比较。

security_configurator_2

以下是"安全配置向导"分析结果及其修正建议的示例, 可以根据特定需要进行更改和调整。

security_configurator_example
security_configurator_example

选择管理选项和其他服务:

security_configurator_example_2
security_configurator_example_2

选择如何处理未指定的服务:

security_configurator_3
security_configurator_3

安全配置向导完成其分析和建议后, 即可保存或应用该策略。

其他建议:

安全配置向导仅涵盖Microsoft Windows Server 2012上的基本设置。

请点击这里有关保护Windows Server 2012和Windows Server 2012 R2的详细信息。

提供了有关安全基准的更多信息这里.

更多的信息:
  • 什么是攻击面分析及其重要性?:https://www.owasp.org/index.php/Attack_Surface_Analysis_Cheat_Sheet#What_is_Attack_Surface_Analysis_and_Why_is_it_Important.3F
  • 保护Windows Server 2012R2:https://technet.microsoft.com/en-us/library/hh831360.aspx
  • 安全配置向导:https://technet.microsoft.com/en-us/library/cc754997.aspx
  • 安全合规经理:https://technet.microsoft.com/en-us/solutionaccelerators/cc835245.aspx
  • Windows Server 2012R2安全基准:http://blogs.technet.com/b/secguide/archive/2014/08/13/security-baselines-for-windows-8-1-windows-server-2012-r2-and-internet-explorer-11-final.aspx
  • OWASP:https://www.owasp.org/index.php/Password_length_%26_complexity
  • OWASP攻击面分析表:https://www.owasp.org/index.php/Attack_Surface_Analysis_Cheat_Sheet
  • 德克萨斯大学强化检查清单:https://wikis.utexas.edu/display/ISO/Windows+Server+2012+R2+Hardening+Checklist

Microsoft提供的内容旨在用于一般信息目的, 内容按原样提供, 对准确性, 正确性或可靠性不作任何明示或暗示的保证。所提供的信息不保证适用于特定目的。信息经过精心整理, 但是在此方面不承担任何责任, 特别是对于没有错误, 关于特定知识状态的时事性或用作用户负责任决策的基础。

一盏木

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: