服务器强化策略：示例和技巧

各种研究表明，所报告的违规行为中有高达 80% 涉及利用 IT 系统配置中的漏洞。为了主动阻止攻击，从而防止代价高昂的停机和数据泄露，专家建议实施服务器强化策略，这是一种特定类型的系统强化策略。

服务器强化策略是一组指导方针、程序和控制措施，旨在保护系统免受未经授权的访问和利用。事实上，部署在默认状态下的服务器面临着遭到破坏和恶意软件攻击的风险。但是，通过删除不必要的软件和功能、正确配置安全设置以及实施访问控制、审核和事件响应的最佳实践，您可以显着减少攻击面。

以下提示和示例可以作为您强化工作的起点。

用户帐户和密码

• 账户锁定时长和阈值是否设置？
• Kerberos 加密是否已激活？选择的类型是否足够强大？
• 默认本地帐户（例如 Windows 系统上的内置管理员帐户和来宾帐户）是否被禁用或重命名？
• 用户密码要求是否符合最佳实践，例如 NIST 指南？

示例：使用以下参数设置帐户密码策略：

• 最短密码期限：1 天或以上
• 最短密码长度：14 个或更多字符
• 帐户锁定阈值：10 次或更少尝试（但不是 0）
• 重置账户锁定计数器：15分钟或更长时间

操作系统

• 每个操作系统 (OS) 是否均得到供应商的全面支持并已修补至最新级别？每月至少审查一次吗？
• 是否已删除或禁用所有不必要的服务和守护程序？ Web、FTP、telnet 和远程桌面访问是否已删除？最好的提示是禁用您知道不需要的所有服务（例如主题服务），然后一次仔细地尝试一项您认为不需要的其他服务。如果禁用某项服务会影响业务运营，请保持其启用状态。
• 你知道哪些端口开放吗？它们是否有充分的理由保持开放或可以被删除？当新的开放端口出现时，您能检测到它们吗？
• 本地安全政策是否已得到充分利用？使用此策略可以减少可利用的漏洞，该策略提供数百个细粒度的安全配置控制来增强安全性。

示例文件：为 Windows 操作系统定义以下设置：

• 允许 UIAccess 应用程序在不使用安全桌面的情况下提示提升：已禁用
• 管理员批准模式下管理员的提升提示：在安全桌面上提示同意
• 标准用户的提升提示：自动拒绝提升请求
• 检测应用程序安装并提示提升：已启用
• 仅提升安装在安全位置的 UIAccess 应用程序：已启用
• 在管理员批准模式下运行所有管理员：已启用
• 将文件和注册表写入失败虚拟化到每个用户位置：已启用

文件系统

• 对于 Unix 和 Linux 服务器，关键安全文件（例如 /etc/password 和 /etc/shadow）的权限是否按照最佳实践建议设置？正在使用 sudo 吗？如果是的话，是不是只有根轮成员才可以使用？
• 对于 Windows 服务器，System32 和 SysWOW64 文件夹中的关键可执行文件、DLL 和驱动程序以及 Program Files/(x86) 是否受到保护？

示例：对以下文件和文件夹应用文件完整性监控：

• %PROGRAMFILES%：使用 SHA1 哈希、系统文件更改、排除日志文件、递归
• %PROGRAMFILES(x86)%：使用 SHA256 哈希、系统文件更改、排除日志文件、递归
• %SYSDIR%：使用SHA256哈希，系统文件更改，排除日志文件，递归
• %WINDIR%SysWOW64：使用 SHA256 哈希、系统文件更改、排除日志文件、递归

客户端/服务器网络

• 内置软件防火墙是否已启用并配置为“全部拒绝”？
• 在 Linux 上，TCP 包装器是否已配置为“全部拒绝”？
• 远程访问注册表路径和共享是否已针对您的环境进行了适当限制？这对于成员服务器和域控制器来说是不同的。

示例：在您的安全策略中，指定以下网络客户端和网络服务器设置：

• 对通信进行数字签名（如果服务器同意）：启用
• 将未加密的密码发送到第三方 SMB 服务器：已禁用
• 对通信进行数字签名（始终）：启用
• 对通信进行数字签名（如果客户同意）：启用
• 登录时间到期时断开客户端连接：已启用

审计和变更控制

• 是否对所有访问、特权使用、配置更改以及对象访问、创建和删除启用审计跟踪？
• 审计跟踪是否已安全备份并保留至少 12 个月？
• 是否配置并使用了受保护的中央 NTP 源？
• 文件完整性监控 (FIM) 是否用于维护您的安全构建标准？
• 是否有明确的变更管理流程，包括变更提案（涵盖影响分析和回滚规定）、变更批准、质量保证测试和实施后审核？
• 记录的事件是否安全地备份到中央服务器？这需要一种将事件从受监控服务器转发到日志服务器的方法（通常是 Syslog 转发代理或更全面的解决方案，如 Netwrix Change Tracker）以及结构化审核策略。

示例：在高级审核策略中定义以下设置：

• 审核注销：成功
• 审核登录：成功与失败
• 审核其他登录/注销事件：成功和失败
• 审核特殊登录：成功

软件和应用程序

• 您的安全构建标准定义了哪些软件包和应用程序？例如，您的防病毒、数据泄露防护、防火墙和 FIM 工具是否有标准？使用任何批准的更改定期更新基线的流程是什么？
• 是否有流程确保您拥有最新版本并且补丁已经过测试和应用？
• 是否禁用了软件包的自动更新以支持计划的更新部署？

选择服务器强化策略并根据您的组织进行定制

获取强化清单或服务器强化策略非常容易。例如，互联网安全中心（CIS）提供强化检查表； Microsoft 提供 Windows 设备清单；思科为其路由器提供清单；由 NIST 托管的国家漏洞数据库提供了各种 Linux、Unix、Windows 和防火墙设备的清单。 NIST 还提供基于 SCAP 和 OVAL 标准的国家检查清单程序存储库。

这些都是很好的起点，但您需要根据服务器的操作和角色定制任何清单。例如，面向互联网的服务器需要比防火墙后面的数据库服务器更强的访问控制。

一旦您建立了服务器强化策略并将最佳实践检查表应用于您的标准构建，您就需要持续审核所有设备是否存在任何配置偏差。您的变更管理流程应定义如何评估变更，然后修复或提升到配置基线。 Netwrix Change Tracker 提供智能变更控制，因此一台服务器的变更只需批准一次，然后任何其他发生的相同变更都将自动获得批准。这消除了大多数 FIM 和 SIEM 系统的最大问题，即变化噪音很容易变得难以承受。

概括

任何数据安全策略中最有效的第一步是防止安全漏洞。通过强化主动解决配置漏洞，可以使服务器更加安全并抵御攻击。然后，更改管理和文件完整性监控解决方案，观察与基准的任何偏差，以确保所有服务器保持安全配置。

常见问题解答

什么是服务器强化？

服务器强化是禁用未使用的程序和功能、加强服务器安全设置以及实施审核和事件响应最佳实践的主动过程，以使服务器不易受到攻击。

什么是强化政策？

强化策略是一组为减少系统攻击面而实施的指南和程序。该策略应基于访问控制、日志记录和事件响应。策略可以特定于特定系统，如 Linux 或 Windows Server，也可以通用，如数据库强化策略。

什么是系统强化策略模板？

系统强化策略模板是一份文档，概述了保护系统安全所需遵循的准则和程序。它通常包括要针对特定资产实施的最佳实践和安全控制的列表。该模板可用作为各种系统创建自定义强化策略的起点。

如何强化服务器安全性？

关键步骤通常包括：

• 删除不必要的软件和服务以减少攻击面
• 配置防火墙和入侵检测/预防系统以阻止未经授权的访问
• 启用加密和安全启动等安全功能
• 实施访问控制的最佳实践，例如多因素身份验证和最小权限
• 定期更新软件并应用安全补丁
• 实施强大的事件记录和流量监控，以检测和响应可能的安全事件
• 定期测试和审查服务器强化策略，以识别和解决任何漏洞。