English | 简体中文 | 繁體中文 | Русский язык | Français | Español | Português | Deutsch | 日本語 | 한국어 | Italiano | بالعربية
Primeiro, informações do sistema
|
Verificar a versão do sistema |
Windows Server 2008 r2 Enterprise |
|
Uso |
Servidor VPN |
|
Verificar o nome da máquina |
|
|
Verificar a configuração da rede |
Segundo, gerenciamento de software antivírus
|
Objetivo da operação |
Prevenir malware e programas maliciosos como vírus |
|
Métodos de verificação |
Verificar se o serviço de antivírus do sistema está iniciado. |
|
Métodos de fortificação |
Instalar software antivírus; ativar monitoramento em tempo real; configurar o nível apropriado de monitoramento; definir uma senha para o antivírus. |
|
Se deve ser implementado |
|
|
Observações |
|
Objetivo da operação |
Instalar patches do sistema, corrigir vulnerabilidades |
|
Métodos de verificação |
Usar ferramentas de varredura de vulnerabilidades para scanner. |
|
Métodos de fortificação |
Usar ferramentas para automatizar a aplicação de patches. |
|
Se deve ser implementado |
|
|
Observações |
|
Objetivo da operação |
Reduzir contas inúteis do sistema, reduzir riscos |
|
Métodos de verificação |
“Win+Tecla 'R' para chamar 'Executar'->compmgmt.msc (Gerenciamento de Computador)->Verificar os usuários locais e grupos, verificar se há contas inutilizadas, se o grupo de contas do sistema está correto e se a conta guest está bloqueada |
|
Métodos de fortificação |
Usar 'net user nome_de_usuario /del' para excluir a conta Usar 'net user nome_de_usuario /Comando 'active:no' para bloquear a conta |
|
Se deve ser implementado |
|
|
Observações |
Verificar o registro, prevenir contas de sombra. |
|
Objetivo da operação |
Aumentar a complexidade das senhas e as estratégias de bloqueio, reduzindo a possibilidade de quebra de senha por força bruta |
|
Métodos de verificação |
“Win+Tecla 'R' para chamar 'Executar'->secpol.msc (Política de segurança local)}->Configurações de segurança |
|
Métodos de fortificação |
1, Política de Conta->Política de senha As senhas devem atender aos requisitos de complexidade: Habilitado Mínimo de comprimento de senha:8caracteres Mínimo de uso de senha: 0 dias Máximo de uso de senha:90 dias Histórico de senha obrigatório:1senhas lembradas Usar criptografia reversível para armazenar senhas: Desabilitado 2, Configurações de Conta->Política de bloqueio de conta Tempo de bloqueio de conta:30 minutos Limiar de bloqueio de conta:5logins inválidos Reiniciar contador de bloqueio de conta:30 minutos 3, Política Local->Opções de segurança Login Interativo: Não exibir o último nome de usuário: Habilitado |
|
Se deve ser implementado |
|
|
Observações |
“Win+Tecla 'R' para chamar 'Executar'->gpupdate /force imediato |
|
Objetivo da operação |
Desativar serviços desnecessários para reduzir riscos |
|
Métodos de verificação |
“Win+Tecla 'R' para chamar 'Executar'->services.msc |
|
Métodos de fortificação |
Os seguintes serviços devem ser alterados para manual COM+ Sistema de Eventos DHCP Client Diagnostic Policy Service Distributed Transaction Coordinator DNS Client Distributed Link Tracking Client Remote Registry Print Spooler Server (pode ser desativado se não usar compartilhamento de arquivos) Shell Hardware Detection TCP/IP NetBIOS Helper Windows Update |
|
Se deve ser implementado |
|
|
Observações |
Desativar serviços deve ser feito com cautela, especialmente em computadores remotos |
|
Objetivo da operação |
Desativar compartilhamentos padrão |
|
Métodos de verificação |
“Win+Tecla 'R' para chamar 'Executar'->cmd.exe->net share, ver compartilhamentos |
|
Métodos de fortificação |
Desativar compartilhamentos padrão como C$, D$ e outros “Win+Tecla 'R' para chamar 'Executar'->regedit->Encontrar HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters , criar AutoShareServer (REG_DWORD), valor da chave 0 |
|
Se deve ser implementado |
|
|
Observações |
|
Objetivo da operação |
Restrições de acesso de rede |
|
Métodos de verificação |
“Win+Tecla 'R' para chamar 'Executar'->secpol.msc ->Configurações de segurança->Política local->Opções de segurança |
|
Métodos de fortificação |
Acesso de rede: Não permitir enumeração anônima de contas SAM: Habilitado Acesso de rede: Não permitir enumeração anônima de contas SAM e compartilhamentos: Habilitado Acesso de rede: Aplicar permissões de Everyone para usuários anônimos: Desabilitado Conta: As contas locais com senha em branco permitem apenas login na consola: Habilitado |
|
Se deve ser implementado |
|
|
Observações |
“Win+Tecla 'R' para chamar 'Executar'->gpupdate /force imediato |
|
Objetivo da operação |
Aumentar a segurança do sistema de arquivos |
|
Métodos de verificação |
Verificar se cada drive do sistema está usando o sistema de arquivos NTFS |
|
Métodos de fortificação |
Recomenda-se usar o sistema de arquivos NTFS, comando de conversão: convert <letra_do_dispositivo:>: /fs:ntfs |
|
Se deve ser implementado |
|
|
Observações |
|
Objetivo da operação |
Aumentar as permissões do Everyone |
|
Métodos de verificação |
Clique com o botão direito do mouse no drive do sistema (disco)->“Propriedades”->“Segurança”, verifique se a raiz de cada drive do sistema foi configurada para que o Everyone tenha todas as permissões |
|
Métodos de fortificação |
Remover as permissões do Everyone ou cancelar a permissão de escrita do Everyone |
|
Se deve ser implementado |
|
|
Observações |
|
Objetivo da operação |
Limitar as permissões de alguns comandos |
|
Métodos de verificação |
Use o comando cacls ou o Gerenciador de Arquivos para verificar as permissões dos seguintes arquivos |
|
Métodos de fortificação |
Recomenda-se limitar os seguintes comandos, permitindo apenas o acesso do grupo system, Administrator %systemroot%\system32\cmd.exe %systemroot%\system32\regsvr32.exe %systemroot%\system32\tftp.exe %systemroot%\system32\ftp.exe %systemroot%\system32\telnet.exe %systemroot%\system32\net.exe %systemroot%\system32\net1.exe %systemroot%\system32\cscript.exe %systemroot%\system32\wscript.exe %systemroot%\system32\regedit.exe %systemroot%\system32\regedt32.exe %systemroot%\system32\cacls.exe %systemroot%\system32\command.com %systemroot%\system32\at.exe |
|
Se deve ser implementado |
|
|
Observações |
Pode afetar o funcionamento normal do sistema de negócios |
|
Aumentar o tamanho do log para evitar que o registro de logs não seja completo devido ao tamanho pequeno do arquivo de log |
|
|
Métodos de verificação |
“Win+Tecla 'R' para chamar 'Executar'->eventvwr.msc ->“Logs do Windows”->Ver as propriedades de “Aplicativo”, “Segurança”, “Sistema” |
|
Métodos de fortificação |
Recomendações de configuração: Tamanho máximo do limite de log:20480 KB |
|
Se deve ser implementado |
|
|
Observações |
|
Objetivo da operação |
Aprovar os eventos do sistema para uso posterior no rastreamento de falhas |
|
Métodos de verificação |
“Win+Tecla 'R' para chamar 'Executar'->secpol.msc ->Configurações de segurança->Política local->Aprovação da política |
|
Métodos de fortificação |
Recomendações de configuração: Aprovação da mudança da política: Sucesso Aprovação do evento de login: Sucesso, Falha Aprovação do acesso ao objeto: Sucesso Aprovação do rastreamento do processo: Sucesso, Falha Aprovação do acesso ao serviço de diretório: Sucesso, Falha Aprovação dos eventos do sistema: Sucesso, Falha Aprovação dos eventos de login de contas: Sucesso, Falha Aprovação da gestão de contas: Sucesso, Falha |
|
Se deve ser implementado |
|
|
Observações |
“Win+Tecla 'R' para chamar 'Executar'->gpupdate /force imediato |
Nota: Este modelo foi baixado do Baidu e foi feito algumas modificações apropriadas.