Windows操作系统安全加固实施细则.docx
- 文档编号:27988724
- 上传时间:2023-07-07
- 格式:DOCX
- 页数:147
- 大小:213.53KB
Windows操作系统安全加固实施细则.docx
《Windows操作系统安全加固实施细则.docx》由会员分享,可在线阅读,更多相关《Windows操作系统安全加固实施细则.docx(147页珍藏版)》请在冰豆网上搜索。
Windows操作系统安全加固实施细则
本页仅作为文档封面,使用时可以删除
Thisdocumentisforreferenceonly-rar21year.March
Windows操作系统安全加固实施细则(总109页)
Windows操作系统安全加固作业指导书
前言
为进一步规范XXX省电力公司Windows操作系统安全加固作业,提高作业质量,促进操作系统安全加固标准化作业,确保业务系统的安全、可靠运行,特制订《XXX省电力公司Windows操作系统安全加固作业指导书》。
本作业指导书可作为XXX省电力公司信息专业岗位培训内容和Windows操作系统加固工作要求。
本作业指导书由XXX省电力公司科技信息部归口。
本作业指导书由XXX省电力公司信息技术中心、长兴县供电局提出并起草。
本作业指导书主要起草人:
吕斌斌。
本作业指导书由XXX省电力公司信息技术中心负责解释。
Windows操作系统安全加固作业指导书
1.适用范围
本作业指导书适用于XXX省电力公司Windows操作系统加固工作。
2.引用标准
下列标准及技术资料所包含的条文,通过在本作业指导书中的引用,而构成为本作业指导书的条文。
本作业指导书出版时,所有版本均为有效。
所有标准及技术资料都会被修订,使用本作业指导书的各方应探讨使用下列标准及技术资料最新版本的可能性。
《国家电网公司电力安全工作规程》2009版
国家电网生[2004]503号《国家电网公司现场标准化作业指导书编制导则(试行)》
信息运安〔2008〕60号《国家电网公司信息安全加固实施指南(试行)》
信息运安〔2009〕44号《国家电网公司SG186工程信息系统安全等级保护验收标准(试行)》
浙电科信字[2009]65号《XXX省电力公司信息系统工作票、操作票使用管理办法(试行)》
3.作业准备
3.1准备工作
序号
内容
标准
责任人
1
查看《信息安全加固工作计划》中有关Windows操作系统相关部分,明确系统安全加固工作的范围与职责,准备安全加固所需的资料。
确定安全加固系统的范围,明确加固的Windows操作系统的资产;
确定加固各相关单位的职责,确定加固实施时间以及加固实施过程控制方式;
准备加固所需的资料,如资产列表、风险评估报告、安全建议报告等。
2
核实《Windows操作系统信息安全加固方案》、《Windows操作系统安全加固实施确认单》、《Windows操作系统安全加固后运行情况核查操作单》等加固方案实施相关资料。
根据加固范围内的信息系统存在的脆弱性和风险,设计信息安全加固实施方法;
组织安全加固相关单位对加固方案的可行性进行论证,对于可能影响信息系统正常运行的加固项需在测试环境中测试后进行,无法加固的脆弱性需提出详细说明,并形成可替代的加固方案;
安全加固实施前,根据业务系统运行使用的实际情况,设计加固后系统运行状态核查操作的步骤(命令、参数、脚本等),加固实施完成后依据该步骤对系统的运行状态进行核查。
3
加固前根据业务系统恢复的难易程度采取有效的备份恢复措施,应确保在安全加固造成系统异常时能够使用备份数据使系统恢复到加固前的状态。
安全加固实施前根据业务系统恢复的难易程度采取系统级别备份、应用程序级别备份或数据级别备份;
安全加固过程中需修改的配置文件应在加固前进行备份。
4
填写、核实工作票、操作票。
根据《XXX省电力公司信息系统工作票、操作票使用管理办法(试行)》要求,填写工作票、操作票,并经相关责任人、签发人书面认可。
5
拥有拟加固的Windows操作系统临时管理员权限。
加固实施过程中启用系统管理员帐号和权限。
3.2工器具
序号
名称
规格/编号
单位
数量
备注
1
安装Nessus扫描软件计算机
Nessus扫描软件更新至最新版本
台
1
3.3危险点分析及预控措施
序号
危险点
防范措施
1
违反信息安全加固规范性原则。
Windows系统安全加固的方案设计、加固实施应依据国家或公司的相关标准进行。
2
违反信息安全加固可控性原则。
Windows系统安全加固工作应该做到人员可控、工具可控、项目过程可控,严格执行“两票”制,严禁执行两票规定范围以外的操作;加固工作中涉及的笔记本、扫描器等工具在加固实施前应遵照设备接入的有关规定进行设备核查、补丁升级、病毒查杀、残余信息清除等操作,加固过程中产生的数据在分析完成后及时删除。
3
违反信息安全加固最小影响原则。
Windows系统安全加固工作应尽可能小地影响系统的正常运行,不得对运行中的业务系统产生较大影响。
关键业务系统的信息安全加固应搭建模拟环境做加固测试,同时,加固操作应尽量安排在系统资源空闲和业务访问量少的时段,降低可能发生的风险。
4
违反信息安全加固保密原则。
对加固的过程数据和结果数据严格保密,不得泄露给任何第三方单位或个人,不得利用此数据进行任何侵害国家电网公司信息系统的行为,应通过工作票、保密协议等方式确保数据保密。
工作流程图
3.4总图
加固操作流程
4.作业程序及作业标准
序号
工作内容
操作方法及标准
安全措施及注意事项
实施风险
帐号权限加固
1
合理配置应用帐号或用户自建帐号权限
1、列出应用帐号或用户自建帐号所对应的相关应用程序;
2、根据应用程序实际系统资源、对象的使用情况配置应用帐号或用户自建帐号的权限,具体操作如下;
3、单击“开始”和“控制面板”,双击“管理工具”,再双击“本地安全策略”,打开“本地安全设置”控制台;
4、进入控制台树中的“安全设置”、“本地策略”、“用户权限分配”;
5、在右边窗格中右键相应的用户权限策略,然后单击“属性”;
6、通过添加或删除相应的用户帐号分配或收回相应的用户权限。
先明确帐号需要的合理权限,再进行分配或收回权限操作。
应用帐号或用户自建帐号权限配置不合理可能导致相关应用程序使用异常。
2
删除系统中多余的自建帐号
1、列出系统中所有自建帐号,对于测试帐号、过期帐号、与系统应用不相关的帐号等执行下面的删除操作;
2、单击“开始”和“控制面板”,双击“管理工具”,再双击“计算机管理”,打开“计算机管理”控制台;
3、单击控制台树中的“用户”;
4、右键单击要删除的用户帐户,然后单击“删除”;
5、关闭“计算机管理”控制台。
删除帐号前,确保该帐号与所有应用程序无关,如不能确认,可先禁用该帐号。
不能恢复已删除的用户帐户。
误删帐号导致帐号相关应用程序运行异常。
3
修改帐号口令,确保系统帐号口令长度和复杂度满足安全要求
1、单击“开始”和“控制面板”,双击“管理工具”,再双击“计算机管理”,打开“计算机管理”控制台;
2、单击控制台树中的“用户”;
3、右键单击要更改的帐户,然后单击“设置密码”;
4、设置强密码,按“确定”;
5、完成口令更改。
设置口令长度,重要系统的用户口令长度>8位;一般系统的用户口令长度>6位。
修改帐号口令可能导致部分预定口令应用程序运行异常。
4
更改系统管理员帐户
1、单击“开始”和“控制面板”,双击“管理工具”,再双击“计算机管理”,打开“计算机管理”控制台;
2、单击控制台树中的“组”;
3、双击右边列表中的“Administrator”组,查看并记录“Administrator”组中管理员帐号然后关闭该窗口;
4、单击控制台树中的“用户”;
5、右键单击右边列表中的“Administrator”组中的管理员帐号,然后单击“重命名”;
6、键入新的用户名,然后按Enter;
7、右键单击右边列表中的“Administrator”组中的管理员帐号,然后单击“属性”;
8、更改管理员的描述信息,确定退出。
用户名不能与被管理的计算机的其他用户或组名称相同。
用户名最多可以包含20个大写或小写字符,但不能包含下列字符:
"/\[]:
;|=,+*<>
用户名不能只由句点(.)和空格组成。
一些应用系统可能需要Administrator等管理员帐号名称,如一些数据库连接需要默认帐号。
5
停用Guest帐户
1、单击“开始”和“控制面板”,双击“管理工具”,再双击“计算机管理”,打开“计算机管理”控制台;
2、单击控制台树中的“用户”;
3、右键单击要更改的“guest”帐户,然后单击“属性”;
4、选中“帐户已禁用”复选框;
5、确定退出。
禁用某个用户帐户时,该用户将不允许登录。
该帐户将出现在详细信息窗格中,图标上显示一个X号。
无可预见的风险。
网络服务加固
1
在不影响业务系统正常运行情况下,停止或禁用与承载业务无关的服务
1、单击“开始”和“控制面板”,双击“管理工具”,再双击“计算机管理”,打开“计算机管理”控制台;
2、单击控制台树中的“服务和应用程序”,在展开的树下单击“服务”;
3、右键单击右边列表中的不影响业务系统正常运行情况服务,然后单击“属性”;
4、在“启动类型”中选择停止或禁用,如“服务状态”为已启动,则单击下面的“停止”按钮;
5、确定退出。
下面列举了容易造成安全隐患的服务,应根据实际的应用情况,如果不需要可以设置为已禁止或是手动:
如果您由于启用或禁用某项服务而在启动计算机时遇到问题,则您可以在安全模式下启动计算机。
然后可以更改服务配置或者还原默认配置。
应用系统或程序可能对特定的系统服务有依赖关系,影响应用系统或程序的正常运行。
服务
Alerter
Clipbook
ComputerBrowser
FaxService
InternetConnectionSharing
IndexingService
Messenger
NetMeetingRemoteDesktopSharing
NetworkDDE
NetworkDDEDSDM
RemoteAccessConnectionManager
RoutingandRemoteAccess
SimpleMailTransportProtocol(SMTP)
TaskScheduler
Telnet
2
屏蔽承载业务无关的网络端口
1、打开“开始”-“控制面板”-“管理工具”-“计算机管理”,在“服务和应用程序”下的“服务”中,保证“WindowsFirewall/InternetConnectionSharing”服务已启动;
2、单击“开始”和“控制面板”,双击“Windows防火墙”,打开“Windows防火墙”设置对话框;
3、在“常规”选项卡中选择“启用”,保证“不允许例外”没有被选中;
无。
没有在“例外”选项卡中正确配置网络程序或端口,可能影响网络程序的正常运行。
4、在“例外”选项卡中仅添加业务使用的网络程序或端口;
5、在“例外”选项卡中“安全日志记录栏”点击设置按钮,选择“记录被丢弃的数据包”和“记录成功的连接”;
6、确定退出。
数据访问控制加固
1
将系统重要的文件或目录的访问权限修改为管理员完全控制、数据拥有者完全控制或配置特殊权限,避免EVERYONE完全控制
1、打开Windows资源管理器。
2、找到系统中重要的文件或目录(比如:
Windows目录、数据目录)右键单击其相应的文件或文件夹,单击“属性”,然后单击“安全”选项卡。
3、给予与管理员(Administrators)完全控制权限,给予数据拥有者(CREATOROWNER)完全控制或配置特别的权限,对于需要使用文件或文件夹的用户和组,一般只赋予“读取和运行”、“列出文件夹目录”及“读取”权限,对于EVERYONE用户,应清除不需要的“允许”复选框,避免赋予“完全控制”权限。
4、具体操作如下:
a)要为没有显示于“组或用户名称”框中的组或用户设置权限,请单击“添加”。
键入想要为其设置权限的组或用户的名称,然后单击“确定”;
b)要更改或删除现有的组或用户的权限,请单击该组或用户的名称,在下面的权限框中更改;
c)要允许或拒绝某一权限,请在“用户或组的权限”框中,选中“允许”或“拒绝”复选框;
d)要从“组或用户名称”框中删除组或者用户,选中组或用户名,单击“删除”;
无。
实施访问控制后,可能影响有些用户对相关资源的访问。
2
将系统分区FAT32格式转换为NTFS格式
1、检查系统分区:
双击“我的电脑”右键单击C盘盘符,,然后单击“属性”,在“常规”标签页中,查看文件系统为FAT32;
2、关闭所有打开的应用程序;
3、点击开始-运行,输入”CMD”按确定,在命令提示符下键入转换命令,比如要将驱动器E上的卷转换为NTFS并且显示所有消息,请键入:
converte:
/fs:
ntfs/v;
如果convert
对磁盘的操作异常可能导致数据的丢失。
4、要查看convert命令帮助,请键入:
convert/。
无法锁定驱动器(例如,驱动器是系统卷或当前驱动器),则它会在下次重新启动计算机时转换该驱动器。
如果您不能立即重新启动计算机以完成转换,则请安排一个重新启动计算机的时间,并为转换过程留出所需要的时间。
对于从FAT或FAT32转换为NTFS的卷,由于目前正在使用磁盘,将会在与最初以NTFS格式化的卷的不同位置创建MFT,这样卷的性能可能不如最初以NTFS格式化的卷的性能那么好。
为取得最佳的性能,请考虑重新创建这些卷并以NTFS文件系统进行格式化。
网络访问控制加固
1
关闭多余的远程管理方式
1、查看系统中已有的远程管理方式,比如:
VNC、远程桌面、Netmeeting、DameWareMiniRemoteControl等;
2、关闭远程管理程序或服务,如果确实需要,选取一种安全的远程管理方式。
对于重要的服务器建议通过专用硬件的方式(比如通过终端服务器)实现远程管理。
开启远程管理方式存在暴力密码攻击、中间人攻击等风险。
2
安装远程管理服务程序的补丁或者使用安全的远程管理方式
1、对于选定的远程管理方式,安装其最新版本,并安装最新补丁程序;
2、选择的远程管理方式需支持会话加密,并进行正确的安全设置。
无。
无可预见的风险。
3
设置访问控制策略限制能够访问本机的用户或IP地址
1、对于选定的远程管理方式,应能设置访问控制策略,对来访的IP地址或用户名进行限制;
2、比如对于远程桌面,必须使用远程桌面用户组控制用于管理的远程桌面的终端服务器的连接权限。
无。
无可预见的风险。
4
禁止匿名用户枚举SAM
1、单击“开始”和“控制面板”,双击“管理工具”,再双击“本地安全策略”,打开“本地安全设置”控制台;
2、进入控制台树中的“安全设置”\“本地策略”\“安全选项”;
无。
帐户和共享
3、在右边窗格中右键“网络访问:
不允许SAM帐户和共享的匿名枚举”策略,然后单击“属性”;
4、将该策略设置为“已禁用”;
5、确定退出。
可能影响与客户端、服务和应用程序的兼容性。
5
禁止默认共享(IPC$、C$、D$...)
1、点击“开始”、“运行”,输入”regedit”命令按确定,打开注册表;
2、在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
\LanmanServer\Parameters下,修改AutoShareServer(2000server,2003)键或Autosharewks(2000professional,XP)键:
类型为REG_DWORD,值为0。
如果不存在则添加此键值。
如果删除这些共享,可能对依赖这些共享的管理员和程序或服务造成一些问题。
例如,SMS和MicrosoftOperationsManager2000都需要管理共享才能正确安装和运作。
此外,许多第三方网络备份应用程序也需要管理共享。
口令策略加固
1
设置口令长度,重要系统的用户口令长度>8位;一般系统的用户口令长度>6位
1、单击“开始”和“控制面板”,双击“管理工具”,再双击“本地安全策略”,打开“本地安全设置”控制台;
2、进入控制台树中的“安全设置”\“帐户策略”\“密码策略”;
3、在右边窗格中,右键单击“密码长度最小值”策略设置,然后单击“属性”;
4、重要系统的用户输入最小密码长度大于8位,一般系统的用户输入最小密码长度大于6位;
5、单击“确定”退出。
无。
无可预见的风险。
2
开启口令复杂性要求
1、单击“开始”和“控制面板”,双击“管理工具”,再双击“本地安全策略”,打开“本地安全设置”控制台;
2、进入控制台树中的“安全设置”\“帐户策略”\“密码策略”;
3、在右边窗格中,右键单击“密码必须符合复杂性要求”策略设置,然后单击“属性”;
4、将此策略设置为“已启用”;
5、单击“确定”退出。
如启用该策略,则密码必须符合以下最低要求:
不包含全部或部分的用户帐户名
长度至少为六个字符
包含来自以下四个类别中的三个的字符:
英文大写字母(从A到Z)
英文小写字母(从a到z)
10个基本数字(从0到9)
非字母字符(例如,!
、$、#、%)
更改或创建密码时,会强制执行复杂性要求。
设置帐号策略后可能导致不符合帐号策略的帐号无法登陆,需修改帐号密码,同时管理人员有忘记口令的风险。
3
设置口令最短、最长存留期
1、单击“开始”和“控制面板”,双击“管理工具”,再双击“本地安全策略”,打开“本地安全设置”控制台;
2、进入控制台树中的“安全设置”\“帐户策略”\“密码策略”;
3、在右边窗格中,右键单击“密码最短使用期限”策略设置,然后单击“属性”;
4、将此策略设置为“2”天,单击“确定”;
5、在右边窗格中,右键单击“密码最长使用期限”策略设置,然后单击“属性”;
6、将此策略设置为“60”天;
7、单击“确定”退出。
密码最长使用期限默认值:
42天、密码最短使用期限默认值:
1天。
某些用于启动服务的用户帐号在没有设置密码永不过期的情况下,有可能在密码存留期过后出现服务运行不正常的情况
用户鉴别加固
1
配置帐户锁定登录失败锁定次数、锁定时间
1、单击“开始”和“控制面板”,双击“管理工具”,再双击“本地安全策略”,打开“本地安全设置”控制台;
2、进入控制台树中的“安全设置”\“帐户策略”\“帐户锁定策略”;
3、在右边窗格中,右键单击“复位帐户锁定计数器”策略设置,然后单击“属性”;
4、将此策略设置为“30”分钟后,单击“确定”;
5、在右边窗格中,右键单击“帐户锁定时间”
该安全设置确定在登录尝试失败计数器被复位为0(即0次失败登录尝试)之前,尝试登录失败之后所需的分钟数。
有效范围为1到99,999分钟之间,如果定义了帐户锁定阈值,则该复位时间必须小于或等于帐户锁定时间。
无可预见的风险。
策略设置,然后单击“属性”;
6、将此策略设置为“30”分钟后,单击“确定”;
7、在右边窗格中,右键单击“帐户锁定阀值”策略设置,然后单击“属性”;
8、将此策略设置为“5”次;
9、单击“确定”退出。
2
禁止系统自动登录
1、点击“开始”、“运行”,输入”regedit”命令按确定,打开注册表;
2、将HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon\下的子键:
AutoAdminLogon设置为0;
3、单击“开始”和“控制面板”,双击“管理工具”,再双击“本地安全策略”,打开“本地安全设置”控制台;
4、进入控制台树中的“安全设置”\“本地策略”\“安全选项”;
5、在右边窗格中右键“交互式启动,不需要按Ctrl+Alt+Del键”策略,然后单击“属性”;
6、将该策略设置为“已禁用”;
7、确定退出。
无。
个别应用系统可能需要采用无人职守自启动方式,故设置禁止自动登录后,可能导致这些系统无法正常启用。
3
配置管理控制台超时自动锁定时间,设置屏保口令保护
1、单击“开始”和“控制面板”,双击“显示”图标,出现显示属性设置对话框;
2、单击“屏幕保护程序”选项卡;
3、从“屏幕保护程序”下拉菜单中选择屏幕保护程序;
4、在“等待:
”对话框中输入启动屏幕保护程序之前系统必须等待的分钟数(建议默认值为15分钟以内);
5、选中“在恢复时使用密码保护”复选框;
6、单击“确定”退出。
无。
无可预见的风险。
审计策略加固
1
1、单击“开始”和“控制面板”,双击“管理工具”,再双击“本地安全策略”,打开“本地安全设置”控制台;
2、进入控制台树中的“安全设置”\“本地策略”\“审核策略”;
3、在右边窗格中右键“审核登录事件”策略,然后单击“属性”;
无。
配置系统审核策略,配置审核登录事件、审核帐户登录事件、审核帐户管理、审核策略管理、审核系统事件等
4、将该策略设置为审核“成功”、“失败”,单击“确定;
5、对于审核帐户登录事件、审核帐户管理、审核策略管理、审核系统事件等,按上面3、4步操作;
6、确定退出。
具体审核策略设置参考如下:
审核策略更改
成功
审核登录事件
成功,失败
审核对象访问
无审核
审核过程追踪
无审核
审核目录服务访问
无审核(有活动目录的设为“成功,失败”)
审核特权使用
无审核
审核系统事件
成功
审核帐号登录事件
成功,失败
审核帐户管理
成功,失败
增加审核数据量,若不合理设置审核数据存储空间,可能发生系统拒绝服务风险。
2
对审计产生的数据分配合理的存储空间
进入“控制面板\管理工具\计算机管理”,展开“事件查看器”设置”应用程序”、”安全性”、”系统”的日志大小各为100M,按需要改写日志。
根据对日志保存周期要求,在设置后的一个周期内不时检查服务器,以验证您的所设置的日志大小是否根据需要保留了足够的事件,并根据日志使用情况调整日志大小。
按需要改写日志将可能
从日志中删除较旧的事件。
攻击者可以利用这种配置,生成大量无关事件来覆盖他们的任何攻击证据。
漏洞加固
1
安装系统安全补丁
1、点击“开始”、“运行”,输入””命令按确定,打开组策略;
2、进入控制台树中的“本地计算机策略”\“计算机配置”\“管理模板”\“Windows组件”\“WindowsUpdate”;
3、在右边窗格中,右键单击“配置自动更新”策略设置,然后单击“属性”;
4、将此策略设置为“启用”,在配置自动更新中选择:
“3-自动下载并通知安装”,单击“确定”;
5、在右边窗格中,右键单击“指定IntranetMicrosoft更新服务位置”策略设置,然后单击“属性”;
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- Windows 操作 系统安全 加固 实施细则