Windows操作系统加固修订版.docx
- 文档编号:3295990
- 上传时间:2022-11-21
- 格式:DOCX
- 页数:33
- 大小:79.50KB
Windows操作系统加固修订版.docx
《Windows操作系统加固修订版.docx》由会员分享,可在线阅读,更多相关《Windows操作系统加固修订版.docx(33页珍藏版)》请在冰豆网上搜索。
Windows操作系统加固修订版
Windows主机操作系统
加固作业指导书
2018年10月修订版
目录
1账号管理、认证授权4
1.1账号4
1.1.1按照用户类型分配账号4
1.1.2系统无效帐户清理5
1.1.3重命名Administrator禁用GUEST6
1.2口令7
1.2.1配置密码策略7
1.2.2配置账户锁定策略8
1.2.3禁止系统自动登录9
1.3授权10
1.3.1远端系统强制关机设置10
1.3.2关闭系统设置11
1.3.3“取得文件或其它对象的所有权”设置12
1.3.4“从本地登陆此计算机”设置13
1.3.5“从网络访问此计算机”设置14
2日志配置15
2.1.1审核策略设置15
2.1.2日志记录策略设置16
3设备其他安全要求18
3.1屏幕保护18
3.1.1启用屏幕保护程序18
3.1.2设置Microsoft网络服务器挂起时间19
3.2共享文件夹及访问权限20
3.2.1关闭默认共享20
3.2.2设置共享文件夹访问权限21
3.3补丁管理22
3.3.1安装系统补丁22
3.4防病毒管理23
3.4.1安装、更新杀毒软件23
3.4.2数据执行保护配置24
3.4.3强化TCP/IP堆栈防止拒绝服务攻击25
3.5Windows服务26
3.5.1关闭不必要的服务26
3.5.2修改SNMP服务密码28
3.5.3屏蔽业务无关的端口29
1账号管理、认证授权
1.1账号
1.1.1按照用户类型分配账号
编号
Windows-01-01-01
名称
按照用户类型分配账号
实施目的
根据系统的要求,设定不同的账户和账户组,管理员用户,数据库用户,审计用户,来宾用户等。
问题影响
账号混淆,权限不明确,存在用户越权使用的可能。
系统当前状态
进入“控制面板->管理工具->计算机管理”,在“系统工具->本地用户和组”:
记录当前用户状态
实施步骤
参考配置操作:
进入“控制面板->管理工具->计算机管理”,在“系统工具->本地用户和组”。
结合要求和实际业务情况判断符合要求,根据系统的要求,设定不同的账户和账户组,管理员用户,数据库用户,审计用户,来宾用户。
回退方案
删除新增加的用户,还原用户权限到初始设置。
部分操作可能无法回退。
判断依据
进入“控制面板->管理工具->计算机管理”,在“系统工具->本地用户和组”:
查看账户和账户组,管理员用户,数据库用户,审计用户,来宾用户等。
根据系统的要求和实际业务情况判断是否符合要求。
实施风险
高
重要等级
★★★
备注
1.1.2系统无效帐户清理
编号
Windows-01-01-02
名称
系统无效帐户清理
实施目的
删除或锁定与设备运行、维护等与工作无关的账号,提高系统帐户安全。
问题影响
如果不清理无效帐户,则系统将面临默认账号被非法利用的风险
系统当前状态
进入“控制面板->管理工具->计算机管理”,在“系统工具->本地用户和组”:
记录当前用户状态,备份系统SAM文件。
实施步骤
参考配置操作:
进入“控制面板->管理工具->计算机管理”,在“系统工具->本地用户和组”。
删除或锁定与设备运行、维护等与工作无关的账号。
回退方案
增加被删除的用户,激活被锁定的用户,还原用户权限到初始设置。
部分操作可能无法回退。
判断依据
进入“控制面板->管理工具->计算机管理”,在“系统工具->本地用户和组”:
查看是否删除或锁定与设备运行、维护等与工作无关的账号。
根据系统的要求和实际业务情况判断是否符合要求
实施风险
高
重要等级
★★★
备注
1.1.3重命名Administrator禁用GUEST
编号
Windows-01-01-03
名称
重命名Administrator,禁用GUEST
实施目的
对于管理员帐号,要求更改缺省帐户名称;禁用guest(来宾)帐号。
提高系统安全性。
问题影响
管理员帐号容易被猜解;Guest账号容易被非法利用
系统当前状态
进入“控制面板->管理工具->计算机管理”,在“系统工具->本地用户和组”。
记录当前用户状态
实施步骤
参考配置操作:
进入“控制面板->管理工具->计算机管理”,在“系统工具->本地用户和组”。
Administrator->属性->更改名称
Guest帐号->属性->已停用
回退方案
重命名用户名称,还原用户属性设置
判断依据
进入“控制面板->管理工具->计算机管理”,在“系统工具->本地用户和组”:
查看管理员账号Administrator名称是否修改,Guest账号是否禁用。
实施风险
低
重要等级
★
备注
1.2口令
1.2.1配置密码策略
编号
Windows-01-02-01
名称
配置密码策略
实施目的
设置密码策略,减少密码安全风险;防止系统弱口令的存在,减少安全隐患。
对于采用静态口令认证技术的设备,口令长度至少8位,且密码规则至少应采用字母(大小写穿插)加数字加标点符号(包括通配符)的方式。
问题影响
增加系统密码被暴力破解的成功率
系统当前状态
进入“控制面板->管理工具->本地安全策略”,在“帐户策略->密码策略”:
记录当前密码策略情况。
实施步骤
参考配置操作:
进入“控制面板->管理工具->本地安全策略”,在“帐户策略->密码策略”。
“密码必须符合复杂性要求”选择“已启动”设置如下策略
策略
默认设置
推荐最低设置
强制执行密码历史记录
记住1个密码
记住5个密码
密码最长期限
42天
180天
密码最短期限
0天
1天
最短密码长度
0个字符
8个字符
密码必须符合复杂性要求
禁用
启用
为域中所有用户使用可还原的加密来储存密码
禁用
禁用
回退方案
还原密码策略到加固之前配置
判断依据
进入“控制面板->管理工具->本地安全策略”,在“帐户策略->密码策略”:
查看“密码必须符合复杂性要求”是否选择“已启动”。
实施风险
低
重要等级
★★★
备注
1.2.2配置账户锁定策略
编号
Windows-01-02-02
名称
配置账户锁定策略
实施目的
设置有效的账户锁定策略有助于防止攻击者猜出系统账户的密码。
问题影响
增加系统密码被暴力破解的成功率
系统当前状态
进入“控制面板->管理工具->本地安全策略”,在“帐户策略->账户锁定策略”:
记录当前账户锁定策略情况。
实施步骤
参考配置操作:
进入“控制面板->管理工具->本地安全策略”,在“帐户策略->账户锁定策略”。
设置如下策略:
策略
默认设置
推荐最低设置
账户锁定时间
未定义
15分钟
账户锁定阈值
0
5次无效登录
复位账户锁定计数器
未定义
15分钟
回退方案
还原账户锁定策略到加固之前配置
判断依据
进入“控制面板->管理工具->本地安全策略”,在“帐户策略->账户锁定策略”:
查看安全策略是否设置为已启动和按要求配置。
实施风险
低
重要等级
★★★
备注
1.2.3禁止系统自动登录
编号
Windows-01-02-03
名称
禁止系统自动登录
实施目的
禁止系统自动登录
问题影响
增加系统密码被暴力破解的成功率
系统当前状态
进入“控制面板->管理工具->本地安全策略”,在“帐户策略->账户锁定策略”:
记录当前账户锁定策略情况。
实施步骤
参考配置操作:
1、点击开始运行输入“regedit”打开注册表
2、HKLM\Software\Microsoft\WindowsNT\CurrentVersion\winlogon把autoadminlogon子键设置为0
开始->控制面板->管理工具->本地安全策略->本地安全设置,进入控制台本地策略/安全选项
可匿名访问的共享:
DFS$、COMCFG
不允许sam账户的匿名枚举:
启用
不允许sam账户和共享的匿名枚举:
启用
允许在未登录前关机:
禁用
LANManager身份验证级别:
仅发送HTLM响应
发送未加密的密码以连接到第三方SMB服务器:
禁用
允许弹出可移动媒体:
administrators
在断开会话之前所需的空闲时间:
15
如果无法记录安全审计则立即关闭系统:
禁用
登录屏幕上不要显示上次登录的用户名:
启用
禁用按CTRL+ALT+DEL进行登录的设置:
启用
在关机时清理虚拟内存页面交换文件:
启用
回退方案
还原账户锁定策略到加固之前配置
判断依据
进入“控制面板->管理工具->本地安全策略”
实施风险
低
重要等级
★★★
备注
1.3用户权限指派
1.3.1远端系统强制关机设置
编号
Windows-01-03-01
名称
远端系统强制关机设置
实施目的
防止远程用户非法关机,在本地安全设置中从远端系统强制关机只指派给Administrators组
问题影响
增加系统被管理员以外的用户非法关闭的风险
系统当前状态
进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权利指派”:
查看并记录“从远端系统强制关机”的当前设置。
实施步骤
参考配置操作:
进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权利指派”。
“从远端系统强制关机”设置为“只指派给Administrators组”。
回退方案
还原“从远端系统强制关机”的设置到加固之前配置。
判断依据
进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权利指派”:
查看“从远端系统强制关机”是否设置为“只指派给Administrators组”。
实施风险
低
重要等级
★★★
备注
1.3.2关闭系统设置
编号
Windows-01-03-02
名称
关闭系统设置
实施目的
防止管理员以外的用户非法关机,在本地安全设置中关闭系统仅指派给Administrators组
问题影响
增加系统被管理员以外的用户非法关闭的风险
系统当前状态
进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权利指派”:
查看并记录“关闭系统”的当前设置。
实施步骤
参考配置操作:
进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权利指派”。
“关闭系统”设置为“只指派给Administrators组”。
回退方案
还原“关闭系统”的设置到加固之前配置
判断依据
进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权利指派”:
查看“关闭系统”是否设置为“只指派给Administrators组”。
实施风险
低
重要等级
★★★
备注
1.3.3“取得文件或其它对象的所有权”设置
编号
Windows-01-03-03
名称
“取得文件或其它对象的所有权”设置
实施目的
防止用户非法获取文件,在本地安全设置中取得文件或其它对象的所有权仅指派给Administrators
问题影响
增加系统除管理员以外的用户非法获取文件的风险
系统当前状态
进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权利指派”:
查看并记录“取得文件或其它对象的所有权”的当前设置。
实施步骤
参考配置操作:
进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权利指派”。
“取得文件或其它对象的所有权”设置为“只指派给Administrators组”。
回退方案
还原“取得文件或其它对象的所有权”的设置到加固之前配置
判断依据
进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权利指派”:
查看是否“取得文件或其它对象的所有权”设置为“只指派给Administrators组”。
实施风险
低
重要等级
★★★
备注
1.3.4“从本地登陆此计算机”设置
编号
Windows-01-03-04
名称
“从本地登陆此计算机”设置
实施目的
防止用户非法登录主机,在本地安全设置中配置指定授权用户允许本地登陆此计算机
问题影响
增加物理临近攻击和本地物理攻击以及非授权用户非法登陆主机的风险
系统当前状态
进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权利指派”:
查看并记录“从本地登陆此计算机”的当前设置。
实施步骤
参考配置操作:
进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权利指派”
“从本地登陆此计算机”设置为“指定授权用户”
回退方案
还原“从本地登陆此计算机”的设置到加固之前配置
判断依据
进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权利指派”:
查看是否“从本地登陆此计算机”设置为“指定授权用户”。
实施风险
低
重要等级
★★★
备注
1.3.5“从网络访问此计算机”设置
编号
Windows-01-03-05
名称
“从网络访问此计算机”设置
实施目的
防止网络用户非法访问主机,在组策略中只允许授权帐号从网络访问(包括网络共享等,但不包括终端服务)此计算机。
问题影响
增加非授权用户非法访问主机的风险
系统当前状态
进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权利指派”:
查看并记录“从网络访问此计算机”的当前设置。
实施步骤
1、参考配置操作
进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权利指派”
“从网络访问此计算机”设置为“指定授权用户”
回退方案
还原“从网络访问此计算机”的设置到加固之前配置
判断依据
进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权利指派”:
查看是否“从网络访问此计算机”设置为“指定授权用户”。
实施风险
低
重要等级
★★★
备注
2日志配置
2.1.1审核策略设置
编号
Windows-02-01-01
名称
审核策略设置
实施目的
设置审核策略,记录系统重要的事件日志,设备应配置日志功能,对用户登录进行记录,记录内容包括用户登录使用的账号,登录是否成功,登录时间,以及远程登录时,用户使用的IP地址
问题影响
无法对用户的登陆以及登陆后对系统的操作过程、特权使用等进行日志记录
系统当前状态
进入“控制面板->管理工具->本地安全策略”,查看并记录“审核策略”的当前设置。
实施步骤
参考配置操作:
开始->运行->执行“控制面板->管理工具->本地安全策略->审核策略”
审核登录事件,双击,设置为成功和失败都审核。
“审核策略更改”设置为“成功”和“失败”都要审核
“审核对象访问”设置为“成功”和“失败”都要审核
“审核目录服务器访问”设置为“成功”和“失败”都要审核
“审核特权使用”设置为“成功”和“失败”都要审核
“审核系统事件”设置为“成功”和“失败”都要审核
“审核账户管理”设置为“成功”和“失败”都要审核
“审核过程追踪”设置为“失败”需要审核
回退方案
还原“审核策略”的设置到加固之前配置
判断依据
开始->运行->执行“控制面板->管理工具->本地安全策略->审核策略”:
查看是否设置为成功和失败都审核。
实施风险
低
重要等级
★★★
备注
2.1.2日志记录策略设置
编号
Windows-02-01-02
名称
日志记录策略设置
实施目的
优化系统日志记录,防止日志溢出。
设置应用日志文件大小至少为8192KB,设置当达到最大的日志尺寸时,按需要改写事件
问题影响
如果日志的大小超过系统默认设置,则无法正常记录超过最大记录值后的所有系统日志、应用日志、安全日志等
系统当前状态
进入“控制面板->管理工具->事件查看器”,查看并记录“应用日志”、“系统日志”、“安全日志”的当前设置
实施步骤
1、参考配置操作
进入“控制面板->管理工具->事件查看器”,在“事件查看器(本地)”中:
“应用日志”属性中的日志大小设置不小于“100M”,设置当达到最大的日志尺寸时,“按需要改写事件”改成180天
“系统日志”属性中的日志大小设置不小于“100M”,设置当达到最大的日志尺寸时,“按需要改写事件”改成180天
“安全日志”属性中的日志大小设置不小于“100M”,设置当达到最大的日志尺寸时,“按需要改写事件”改成180天
回退方案
还原“应用日志”、“系统日志”、“安全日志”的设置到加固之前配置
判断依据
进入“控制面板->管理工具->事件查看器”,在“事件查看器(本地)”中:
查看各项日志属性中日志大小是否设置为不小于“100M”,是否设置当达到最大的日志尺寸时,“按需要改写事件”。
实施风险
低
重要等级
★
备注
3设备其他安全要求
3.1屏幕保护
3.1.1启用屏幕保护程序
编号
Windows-04-01-01
名称
启用屏幕保护程序
实施目的
启用屏幕保护程序,防止管理员忘记锁定机器被非法攻击;设置带密码的屏幕保护,并将时间设定为5分钟
问题影响
如未启动屏幕保护并采用密码恢复,一旦管理员操作系统后忘记锁定主机,则容易被非法攻击,以及增加本地物理临近攻击的风险。
系统当前状态
进入“控制面板->显示->屏幕保护程序”:
查看是否启用屏幕保护程序并记录当前的设置
实施步骤
参考配置操作:
进入“控制面板->显示->屏幕保护程序”:
启用屏幕保护程序,设置等待时间为“10分钟”,启用“在恢复时使用密码保护”。
回退方案
还原屏幕保护程序设置到加固之前配置。
判断依据
进入“控制面板->显示->屏幕保护程序”:
查看是否启用屏幕保护程序,设置等待时间为“10分钟”,启用“在恢复时使用密码保护”。
在系统桌面上点击鼠标右键,打开属性,查看屏幕保护程序选项是否已启动和配置。
实施风险
低
重要等级
★★★
备注
3.1.2设置Microsoft网络服务器挂起时间
编号
Windows-04-01-02
名称
设置Microsoft网络服务器挂起时间
实施目的
设置Microsoft网络服务器挂起时间,防止管理员忘记锁定机器被非法利用;对于远程登陆的帐号,设置不活动断连时间15分钟
问题影响
管理员忘记锁定而被非法利用
系统当前状态
进入“控制面板->管理工具->本地安全策略”,在“本地策略->安全选项”:
查看是否“Microsoft网络服务器”设置为“在挂起会话之前所需的空闲时间”为15分钟。
实施步骤
参考配置操作:
进入“控制面板->管理工具->本地安全策略”,在“本地策略->安全选项”:
“Microsoft网络服务器”设置为“在挂起会话之前所需的空闲时间”为15分钟。
回退方案
还原“挂起会话之前所需的空闲时间”设置到加固之前配置
判断依据
进入“控制面板->管理工具->本地安全策略”,在“本地策略->安全选项”:
查看是否“Microsoft网络服务器”设置为“在挂起会话之前所需的空闲时间”为15分钟。
实施风险
低
重要等级
★★★
备注
3.2共享文件夹及访问权限
3.2.1关闭默认共享
编号
Windows-04-02-01
名称
关闭默认共享
实施目的
非域环境中,关闭Windows硬盘默认共享,例如C$,D$,提高系统安全性能
问题影响
防止攻击者利用系统默认共享如:
C$、D$等,非法对系统的硬盘进行访问,以及通过IPC$方式暴力破解帐户和密码
系统当前状态
查看并记录:
注册表
HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters\增加了REG_DWORD类型的AutoShareServer键的值。
实施步骤
参考配置操作:
进入“开始->运行->Regedit”,进入注册表编辑器,
更改注册表键值:
在HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters\下,增加REG_DWORD类型的AutoShareServer键,值为0。
回退方案
还原“AutoShareServer”键的值设置到加固之前配置
判断依据
进入“开始->运行->Regedit”,进入注册表编辑器,查看HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters\下,是否已增加REG_DWORD类型的AutoShareServer键,值为0。
实施风险
低
重要等级
★
备注
3.2.2设置共享文件夹访问权限
编号
Windows-04-02-02
名称
设置共享文件夹访问权限
实施目的
设置共享文件夹访问权限,防止用户非法访问。
只允许授权的账户拥有权限共享此文件夹。
问题影响
增加系统未授权的用户非法访问共享文件夹的风险
系统当前状态
进入“控制面板->管理工具->计算机管理”,进入“系统工具->共享文件夹”:
查看并记录每个共享文件夹的共享权限。
实施步骤
参考配置操作:
进入“控制面板->管理工具->计算机管理”,进入“系统工具->共享文件夹”:
查看每个共享文件夹的共享权限,只将权限授权于指定账户。
回退方案
还原每个共享文件夹的共享权限到加固之前配置
判断依据
进入“控制面板->管理工具->计算机管理”,进入“系统工具->共享文件夹”:
查看每个共享文件夹的共享权限。
查看每个共享文件夹的共享权限是否仅限于业务需要,不设置成为“everyone”。
实施风险
低
重要等级
★★★
备注
3.3补丁管理
3.3.1安装系统补丁
编号
Windows-04-03-01
名称
安装系统补丁
实施目的
修复系统漏洞。
应安装最新的ServicePack补丁集。
对服务器系统应先进行兼容性测试。
问题影响
如系统未打补丁或补丁未打全,不是最新的补丁,则面临容易被攻击、渗透和控制的风险
系统当前状态
控制面板->添加或删除程序->显示更新打钩,查看并记录当前系统安装的补丁
实施步骤
参考配置操作:
安装最新的ServicePack补丁集,以及最新的Hotfix补丁。
目前WindowsXP的ServicePack为SP3。
Windows2000的ServicePack为SP4,Windows2003的ServicePack为SP2
回退方案
卸载新安装的补丁
判断依据
进入控制面板->添加或删除程序->显示更新打钩,查看是否XP系统已安装SP3,Win2000系统已安装SP4,Win2003系统已安装SP2。
同时检查所有的hotfix,并查看系统安装的最后一个补丁的发布日期是否与最近最
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- Windows 操作系统 加固 修订版
![提示](https://static.bdocx.com/images/bang_tan.gif)