系统安全配置技术规范WindowsWord格式.docx
《系统安全配置技术规范WindowsWord格式.docx》由会员分享,可在线阅读,更多相关《系统安全配置技术规范WindowsWord格式.docx(20页珍藏版)》请在冰豆网上搜索。
进入“控制面板->
管理工具->
计算机管理->
系统工具->
本地用户和组”:
审核不必要的用户和组,审核隶属的组权限,审核组用户。
操作步骤
根据系统的要求和实际业务情况,设定不同的和组,如管理员用户、数据库用户、审计用户、来宾用户等。
删除或锁定与设备运行、维护等与工作无关的
回退操作
回退到原有的配置设置
操作风险
需要确认用途
2.2【基本】按照用户角色分配不同权限的
按照用户角色分配不同权限的,保证用户权限最小化
审核用户和组,审核隶属的组权限,审核组用户。
需要确认用途,确认用户所需权限
2.3【基本】口令策略设置不符合复杂度要求
口令策略设置不符合复杂度要求,口令过于简单,易被黑客破译
本地安全策略”,在“策略->
密码策略”中:
检查“密码必须符合复杂度要求”设置
设置“密码必须符合复杂度要求”已开启
低风险
2.4【基本】设定不能重复使用口令
设定不能重复使用最近5次(含5次)已使用的口令
检查“强制密码历史”设置
设置“强制密码历史”大于等于5
2.5不使用系统默认用户名
administrator、guest等默认使用默认用户名,当攻击者发起穷举攻击时,使用默认用户名,会大大降低攻击者的攻击难度
检查administrator、guest是否存在。
administrator、guest重命名
可能导致某些自动登录的服务异常
2.6口令生存期不得长于90天
口令生存期不得长于90天,应定期更改用户口令
检查“密码最长存留期”设置
设置“密码最长存留期”小于等于90
2.7设定连续认证失败次数
设定连续认证失败次数超过6次(不含6次)锁定该账号
锁定策略”中:
检查“锁定阀值”设置
设置“锁定阀值”小于等于6
可能导致恶意尝试锁定
2.8远端系统强制关机的权限设置
将从远端系统强制关机仅指派给Administrators组,避免普通用户拥有额外的系统控制权限
本地安全策略”,在“本地策略->
用户权利指派”中:
检查“从远端系统强制关机”设置
设置“从远端系统强制关机”删除除Administrators以外其他项
可能导致某些系统功能异常或应用非正常运行
2.9关闭系统的权限设置
将关闭系统仅指派给Administrators组,避免普通用户拥有额外的系统控制权限
检查“关闭系统”设置
设置“关闭系统”删除除Administrators以外其他项
2.10取得文件或其它对象的所有权设置
将取得文件或其它对象的所有权设置仅指派给Administrators组,避免普通用户拥有额外的系统控制权限
检查“取得文件或其它对象的所有权”设置
设置“取得文件或其它对象的所有权”删除除Administrators以外其他项
回退
2.11将从本地登录设置为指定授权用户
将从本地登录设置为指定授权用户,将登陆权限赋予指定用户
本地安全策略”,在“本地安全策略->
检查“允许在本地登录”设置
设置“允许在本地登录”只保留授权用户,删除其他项
2.12将从网络访问设置为指定授权用户
将从网络访问设置为指定授权用户
检查“从网络访问”设置
设置“从网络访问”只保留授权用户,删除其他项
3.日志配置要求
3
3.1【基本】审核策略设置中成功失败都要审核
记录系统的所有审核信息,审核策略设置中成功失败都要审核
审核策略”中:
查看是否符合操作中提到的各标准
将不符合评估容项进行加固,安全标准设置如下:
审核策略更改:
成功和失败
审核登录事件:
审核系统事件:
审核管理:
审核对象访问:
审核特权使用:
审核目录服务访问:
审核过程跟踪:
失败
其他设置无要求。
开启无用的审核可能降低系统性能并占用一定磁盘空间
3.2【基本】设置日志查看器大小
将应用、系统、安全日志查看器大小设置为至少8192KB
事件查看器”,在“事件查看器(本地)”中:
(在应用程序日志、安全日志和系统日志上点右键,看属性中的日志大小上限设置,单位为KB。
)
将不符合评估容项进行加固,应用日志的容量为8192KB,安全日志的容量为8192KB,系统日志的容量为8192KB,设置当达到最大的日志大小时,“按需要覆盖事件”。
并且用户有流程定期转存日志
4.IP协议安全要求
4
4.1开启TCP/IP筛选
对于不自带windows防火墙的系统,需开启TCP/IP筛选,切只能开放业务所需要的TCP、UDP端口和IP协议
先请系统管理员出示业务所需端口列表。
进入“控制面板->
网络连接->
本地连接->
Internet协议(TCP/IP)属性->
高级TCP/IP设置”,在“选项”的属性中启用网络连接上的TCP/IP筛选,根据列表查看是否只开放业务所需要的TCP、UDP端口和IP协议。
注意异常端口,与管理员追查异常端口相关项。
对没有自带防火墙的Windows系统,启用Windows系统的IP安全机制(IPSec)或网络连接上的TCP/IP筛选,只开放业务所需要的TCP、UDP端口和IP协议。
必须正确设置网络访问控制策略,否则可能导致某些应用无常访问网络
4.2启用防火墙
启用Windows自带防火墙,且根据业务需要限定允许访问网络的应用程序,和允许远程登陆该设备的IP地址围
本地连接”,在高级选项的设置中,查看是否启用Windows防火墙。
查看是否在“例外”中配置允许业务所需的程序接入网络。
查看是否在“例外->
编辑->
更改围”编辑允许接入的网络地址围。
将不符合评估容项进行加固,启用Windows自带防火墙。
根据业务需要限定允许访问网络的应用程序,和允许远程登陆该设备的IP地址围。
4.3启用SYN攻击保护
启用SYN攻击保护,当攻击者发起SYN攻击时,避免CPU和存资源被过度消耗
在“开始->
运行->
键入regedit”。
启用SYN攻击保护的命名值位于注册表项HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services之下:
值名称:
SynAttackProtect
Windows2000推荐值:
2
Windows2003推荐值:
1
以下部分中的所有项和值均位于注册表项HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services之下:
指定必须在触发SYNflood保护之前超过的TCP连接请求阈值:
TcpMaxPortsExhausted
推荐值:
5
启用SynAttackProtect后,该值指定SYN_RCVD状态中的TCP连接阈值,超过SynAttackProtect时,触发SYNflood保护:
TcpMaxHalfOpen
推荐值数据:
500
启用SynAttackProtect后,指定至少发送了一次重传的SYN_RCVD状态中的TCP连接阈值,超过SynAttackProtect时,触发SYNflood保护:
TcpMaxHalfOpenRetried
400
1、备份注册表原有的配置设置
2、将不符合评估容项进行加固,启用SYN攻击保护:
指定触发SYN洪水攻击保护所必须超过的TCP连接请求数阀值为5;
指定处于SYN_RCVD状态的TCP连接数的阈值为500;
指定处于至少已发送一次重传的SYN_RCVD状态中的TCP连接数的阈值为400。
5.服务配置要求
5
5.1【基本】启用NTP服务
启用NTP服务,配置统一服务器时钟,应开启NTP服务向网络指定的NTPserver同步时钟。
对于已加入域的服务器,系统将自动与域控服务器同步时钟;
对于未加入域的服务器,需按以下步骤配置。
点击桌面右下角时钟栏,开启“更改日期和时钟设置”-“internet时间”
开启“自动与internet时间服务器同步”选型,在服务器栏中填写NTPserver的IP地址,然后点击“立即更新”
恢复系统原有NTP配置
需要时间源,中风险,系统时间更改
5.2【基本】关闭不必要的服务
列出所需要服务的列表(包括所需的系统服务),不在此列表的服务需关闭
计算机管理”,进入“服务和应用程序”:
查看所有服务,不在此列表的服务需关闭。
关闭不需要的服务
关闭或停止某些服务可能导致应用运行异常
5.3【基本】关闭不必要的启动项
关闭不必要的启动项,优化系统资源,同时减少引入不必要的系统漏洞
“开始->
MSconfig”启动菜单中检查启动项
关闭不必要的启动项
需要确认启动项是否必须
5.4【基本】关闭自动播放功能
关闭自动播放功能,避免执行未经扫描或确认的文件,从而引入木马或病毒
点击开始→运行→输入gpedit.msc,打开组策略编辑器,计算机配置→管理模板→系统,在右边窗格中双击“关闭自动播放”,检查“关闭自动播放”项设置
在“关闭自动播放”对话框中,选择“已启用”,并选择“所有驱动器”,确定即可
5.5【基本】审核HOST文件的可疑条目
删除HOST文件下的可疑条目
查看是否符合操作中提到的标准,检查C:
\windows\system32\drivers\etc目录下的用于静态DNS解析的HOSTS文件容是否正常
1、备份HOSTS文件
2、将不符合评估容项进行加固,确保C:
\windows\system32\drivers\etc目录下的用于静态DNS解析的HOSTS文件容正常,对于未知条目可以与管理员追查
将备份的HOSTS文件替换更改的文件
与系统管理员确认后可执行加固
5.6【基本】存在未知或无用的应用程序
存在未知或无用的应用程序,应定期清理应用程序列表中无用或未知的程序,防止系统被植入木马或病毒
检查“添加或删除程序”面板中的列表
备份需要协助的应用程序的配置文件
不要安装不必要的应用程序,向管理员确认可卸载的应用软件项
重新安装卸载的应用重新,恢复配置文件
需要确认应用是否必须,可能需要重启系统
5.7【基本】关闭默认共享
关闭默认共享,未经确认的共享操作,尤其是对everyone的共享,会对信息安全造成严重威胁
netshare或计算机管理--共享
关闭Windows硬盘默认共享,例如ADMIN$,C$,D$。
进入“开始->
运行->
Regedit”,进入注册表编辑器,更改注册表键值:
在HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters\下,增加REG_DWORD类型的AutoShareServer键,值为0。
可能导致某些必须使用共享的应用非正常运行
5.8【基本】非everyone的授权共享
共享文件夹中,设置只允许授权的账户拥有权限共享此文件夹
检查共享文件夹中的授权用户
设置共享文件夹中的授权用户为指定用户,而非everyone
须经测试,可能导致某些使用共享的应用异常
5.9【基本】SNMPCommunityString设置
如需启用SNMP服务,修改默认的SNMPCommunityString设置
检查“SNMPService”,“属性”面板中的“安全”选项卡的communitystrings设置
communitystrings改为其他,不是默认的“public”
可能导致服务不正常
5.10【基本】删除可匿名访问共享
删除可匿名访问共享,共享文件应明确共享对象,且不允许匿名访问
安全选项”中:
检查“网络访问:
可匿名访问的共享”设置
删除“网络访问:
可匿名访问的共享”中的所有项
5.11关闭远程注册表
关闭远程注册表,防止用户远程修改或查看系统注册表
检查“RemoteRegistry”
设置“RemoteRegistry”已停用
某些应用可能需要此功能
5.12对于远程登陆的,设置不活动断开时间为1小时
对于远程登陆的,设置不活动断开时间为1小时,长时间空闲账户将自动退出
检查“Microsoft网络服务器:
在挂起会话前所需的空闲时间”设置
设置“Microsoft网络服务器:
在挂起会话前所需的空闲时间”小于等于1小时
可能导致某些应用运行异常
5.13IIS服务补丁更新
如需启用IIS服务,IIS服务补丁需及时更新
检查IIS版本
安装IIS补丁包或升级到IIS6.0
卸载IIS补丁包
6.其它配置要求
6
6.1【基本】安装防病毒软件
安装防病毒软件和防病毒软件并及时升级
检查杀毒软件的安装和升级情况
安装杀毒软件并升级到最新版本
卸载杀毒软件或回退到以前版本
需要重启并可能误删正常的系统或应用文件
6.2【基本】配置WSUS补丁更新服务器
指定系统获取补丁的位置,将更新源指向WSUS服务器
1.执行regedit调出注册表编辑器
2.查看参数
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate]
"
WUServer"
和"
WUStatusServer"
,确认其是否为"
10.23.134.8"
管理员使用域账号登录\\10.23.134.8\wsus-reg,下载WSUS配置程序,配置程序包括:
办公服务器组:
对应注册表文件为serverbg.reg
业务服务器组:
对应注册表文件为serveryw.reg
用户根据业务需要选择下载相应的配置程序,执行完*.reg文件后,重启automaticupdate服务,并在命令行下执行wuauclt/detectnow,开启客户端主动触发更新机制。
修改注册表配置,恢复更新服务器指向
需要重启且未经测试的补丁可能导致应用运行异常
6.3【基本】ServicePack补丁更新
ServicePack补丁未及时更新,将为攻击者提供入侵漏洞
检查ServicePack补丁版本
安装最新ServicePack补丁包
卸载ServicePack补丁包
6.4【基本】Hotfix补丁更新
Hotfix补丁更新,将为攻击者提供入侵漏洞
检查Hotfix补丁版本
安装最新Hotfix补丁包
卸载Hotfix补丁包
6.5设置带密码的屏幕保护
设置带密码的屏幕保护,并将时间设定为5分钟,防止合法用户未及时退出登录,造成数据泄露
显示->
屏幕保护程序”:
查看是否符合操作中提到的标准
将不符合评估容项进行加固,查看是否启用屏幕保护程序,设置等待时间为“5分钟”,启用“在恢复时使用密码保护”。
6.6交互式登录不显示上次登录用户名
交互式登录未设置不显示上次登录的用户名,攻击者可以此获取系统用户信息,降低攻击难度
检查“交互式登录:
不显示上次的用户名”设置
设置“交互式登录:
不显示上次的用户名”为已开启
升级会员 