English | 简体中文 | 繁體中文 | Русский язык | Français | Español | Português | Deutsch | 日本語 | 한국어 | Italiano | بالعربية
Uno, información del sistema
|
Ver la versión del sistema |
Windows Server 2008 r2 Enterprise |
|
Uso |
Servidor VPN |
|
Ver el nombre de la máquina |
|
|
Ver la configuración de red |
Dos, gestión de software antivirus
|
Objetivo de la operación |
Prevenir malware y virus y otros programas perjudiciales |
|
Métodos de verificación |
Verificar si el servicio de software antivirus del sistema está iniciado. |
|
Métodos de fortalecimiento |
Instalar software antivirus; activar la monitorización en tiempo real; configurar un nivel de monitorización adecuado; establecer una contraseña para el software antivirus. |
|
¿Implementar? |
|
|
Notas |
|
Objetivo de la operación |
Instalar parches del sistema para reparar vulnerabilidades |
|
Métodos de verificación |
Usar herramientas de escaneo de vulnerabilidades para escanear. |
|
Métodos de fortalecimiento |
Usar herramientas automatizadas para aplicar parches. |
|
¿Implementar? |
|
|
Notas |
Cuatro, contraseñas de cuentas
|
Objetivo de la operación |
Reducir las cuentas inútiles del sistema, reduciendo el riesgo |
|
Métodos de verificación |
“Win+Presione la tecla 'R' para llamar a 'Ejecutar'->compmgmt.msc (Administración de computadoras)->Ver usuarios locales y grupos, verificar si hay cuentas no utilizadas, si el grupo al que pertenece la cuenta del sistema es correcto y si la cuenta guest está bloqueada |
|
Métodos de fortalecimiento |
Usar 'net user nombre_de_usuario /comando 'del' para eliminar la cuenta Usar 'net user nombre_de_usuario /Comando 'active:no' para bloquear la cuenta |
|
¿Implementar? |
|
|
Notas |
Revisar el registro para prevenir cuentas de sombra. |
|
Objetivo de la operación |
Aumentar la complejidad de las contraseñas y las estrategias de bloqueo, reduciendo la posibilidad de que sean descifradas por fuerza bruta |
|
Métodos de verificación |
“Win+Presione la tecla 'R' para llamar a 'Ejecutar'->secpol.msc (Política de seguridad local)->Configuración de seguridad |
|
Métodos de fortalecimiento |
1,política de cuenta->Política de contraseñas La contraseña debe cumplir con los requisitos de complejidad: Habilitado Longitud mínima de la contraseña:8caracteres Período mínimo de uso de la contraseña: 0 días Período máximo de uso de la contraseña:90 días Historial de contraseñas obligatorio:1contraseñas recordadas Usar encriptación reversible para almacenar contraseñas: Deshabilitado 2,configuración de cuenta->Política de bloqueo de cuenta Tiempo de bloqueo de cuenta:30 minutos Umbral de bloqueo de cuenta:5intentos de inicio de sesión no válidos Restablecer el contador de bloqueo de cuenta:30 minutos 3,política local->Opciones de seguridad Inicio de sesión interactivo: No mostrar el nombre de usuario último: Habilitado |
|
¿Implementar? |
|
|
Notas |
“Win+Presione la tecla 'R' para llamar a 'Ejecutar'->gpupdate /force se aplica inmediatamente |
|
Objetivo de la operación |
Deshabilitar servicios no necesarios, reducir el riesgo |
|
Métodos de verificación |
“Win+Presione la tecla 'R' para llamar a 'Ejecutar'->services.msc |
|
Métodos de fortalecimiento |
Cambiar los siguientes servicios a manual COM+ Event System DHCP Client Diagnostic Policy Service Distributed Transaction Coordinator DNS Client Distributed Link Tracking Client Remote Registry Print Spooler Server (puede cerrarse si no se utiliza el intercambio de archivos) Shell Hardware Detection TCP/IP NetBIOS Helper Windows Update |
|
¿Implementar? |
|
|
Notas |
Desactivar servicios con precaución, especialmente en computadoras remotas |
|
Objetivo de la operación |
Deshabilitar las comparticiones predeterminadas |
|
Métodos de verificación |
“Win+Presione la tecla 'R' para llamar a 'Ejecutar'->cmd.exe->net share, ver las comparticiones |
|
Métodos de fortalecimiento |
Deshabilitar las comparticiones predeterminadas como C$, D$ y otras “Win+Presione la tecla 'R' para llamar a 'Ejecutar'->regedit->Encontrar HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters, crear AutoShareServer (REG_DWORD), valor de clave 0 |
|
¿Implementar? |
|
|
Notas |
|
Objetivo de la operación |
Restricciones de acceso a la red |
|
Métodos de verificación |
“Win+Presione la tecla 'R' para llamar a 'Ejecutar'->secpol.msc ->Configuración de seguridad->Política local->Opciones de seguridad |
|
Métodos de fortalecimiento |
Acceso a la red: No permitir la enumeración anónima de cuentas SAM: Habilitado Acceso a la red: No permitir la enumeración anónima de cuentas SAM y recursos compartidos: Habilitado Acceso a la red: Aplicar los permisos de Everyone a los usuarios anónimos: Deshabilitado Cuenta: Las cuentas locales con contraseña en blanco solo permiten el inicio de sesión en la consola: Habilitado |
|
¿Implementar? |
|
|
Notas |
“Win+Presione la tecla 'R' para llamar a 'Ejecutar'->gpupdate /force se aplica inmediatamente |
|
Objetivo de la operación |
Mejorar la seguridad del sistema de archivos |
|
Métodos de verificación |
Verifique si cada unidad de sistema utiliza el sistema de archivos NTFS |
|
Métodos de fortalecimiento |
Se recomienda utilizar el sistema de archivos NTFS, comando de conversión: convert <letra_de_unidad>: /fs:ntfs |
|
¿Implementar? |
|
|
Notas |
|
Objetivo de la operación |
Mejora de permisos de Everyone |
|
Métodos de verificación |
Haga clic derecho en el sistema de unidad de archivos (disco)->“Propiedades”->“Seguridad”, verifique si la raíz de cada unidad de sistema de archivos está configurada con permisos de todos los permisos de Everyone |
|
Métodos de fortalecimiento |
Elimine los permisos de Everyone o quite los permisos de escritura de Everyone |
|
¿Implementar? |
|
|
Notas |
|
Objetivo de la operación |
Restricción de permisos de comandos parciales |
|
Métodos de verificación |
Use el comando cacls o el Explorador de archivos para ver los permisos de los siguientes archivos |
|
Métodos de fortalecimiento |
Sugerencia: restrinja los siguientes comandos, permitiendo solo acceso al grupo system y Administrator %systemroot%\system32\cmd.exe %systemroot%\system32\regsvr32.exe %systemroot%\system32\tftp.exe %systemroot%\system32\ftp.exe %systemroot%\system32\telnet.exe %systemroot%\system32\net.exe %systemroot%\system32\net1.exe %systemroot%\system32\cscript.exe %systemroot%\system32\wscript.exe %systemroot%\system32\regedit.exe %systemroot%\system32\regedt32.exe %systemroot%\system32\cacls.exe %systemroot%\system32\command.com %systemroot%\system32\at.exe |
|
¿Implementar? |
|
|
Notas |
Puede afectar el funcionamiento normal del sistema de negocio |
|
Aumentar el tamaño del registro, para evitar que el registro no se complete debido a la capacidad insuficiente del archivo de registro |
|
|
Métodos de verificación |
“Win+Presione la tecla 'R' para llamar a 'Ejecutar'->eventvwr.msc ->“Registro de Windows”->Ver las propiedades de “Aplicaciones”, “Seguridad”, “Sistema” |
|
Métodos de fortalecimiento |
Configuración sugerida: Tamaño máximo del límite de registro:20480 KB |
|
¿Implementar? |
|
|
Notas |
|
Objetivo de la operación |
Realizar auditoría de eventos del sistema, para depuración de errores en el futuro |
|
Métodos de verificación |
“Win+Presione la tecla 'R' para llamar a 'Ejecutar'->secpol.msc ->Configuración de seguridad->Política local->Política de auditoría |
|
Métodos de fortalecimiento |
Configuración sugerida: Cambio de política de auditoría: éxito Eventos de inicio de sesión de auditoría: éxito, fracaso Acceso de objeto de auditoría: éxito Seguimiento de procesos de auditoría: éxito, fracaso Acceso de servicio de directorio de auditoría: éxito, fracaso Eventos del sistema de auditoría: éxito, fracaso Eventos de inicio de sesión de auditoría de cuentas: éxito, fracaso Auditoría de gestión de cuentas: éxito, fracaso |
|
¿Implementar? |
|
|
Notas |
“Win+Presione la tecla 'R' para llamar a 'Ejecutar'->gpupdate /force se aplica inmediatamente |
Nota: Este modelo de texto fue descargado de Baidu, y he hecho modificaciones adecuadas.