Wnow主机操作系统加固规范V.docx
《Wnow主机操作系统加固规范V.docx》由会员分享,可在线阅读,更多相关《Wnow主机操作系统加固规范V.docx(32页珍藏版)》请在冰豆网上搜索。
Wnow主机操作系统加固规范V
Windows主机操作系统加固规范
2020年4月
目 录
本文档是Windows操作系统的对于Win系统的设备账号认证、日志、协议、补丁升级、文件系统管理等方面的安全配置要求,共26项。
对系统的安全配置审计、加固操作起到指导性作用。
1账号管理、认证授权
1.1账号
1.1.1SHG-Windows-01-01-01
编号
SHG-Windows-01-01-01
名称
按照用户类型分配账号
实施目的
根据系统的要求,设定不同的账户和账户组,管理员用户,数据库用户,审计用户,来宾用户等。
问题影响
账号混淆,权限不明确,存在用户越权使用的可能。
系统当前状态
进入“控制面板->管理工具->计算机管理”,在“系统工具->本地用户和组”:
记录当前用户状态
实施步骤
参考配置操作:
进入“控制面板->管理工具->计算机管理”,在“系统工具->本地用户和组”。
结合要求和实际业务情况判断符合要求,根据系统的要求,设定不同的账户和账户组,管理员用户,数据库用户,审计用户,来宾用户。
回退方案
删除新增加的用户,还原用户权限到初始设置。
部分操作可能无法回退。
判断依据
进入“控制面板->管理工具->计算机管理”,在“系统工具->本地用户和组”:
查看账户和账户组,管理员用户,数据库用户,审计用户,来宾用户等。
根据系统的要求和实际业务情况判断是否符合要求。
实施风险
高
重要等级
★★★
备注
1.1.2SHG-Windows-01-01-02
编号
SHG-Windows-01-01-02
名称
系统无效帐户清理
实施目的
删除或锁定与设备运行、维护等与工作无关的账号,提高系统帐户安全。
问题影响
如果不清理无效帐户,则系统将面临默认账号被非法利用的风险
系统当前状态
进入“控制面板->管理工具->计算机管理”,在“系统工具->本地用户和组”:
记录当前用户状态,备份系统SAM文件。
实施步骤
参考配置操作:
进入“控制面板->管理工具->计算机管理”,在“系统工具->本地用户和组”。
删除或锁定与设备运行、维护等与工作无关的账号。
回退方案
增加被删除的用户,激活被锁定的用户,还原用户权限到初始设置。
部分操作可能无法回退。
判断依据
进入“控制面板->管理工具->计算机管理”,在“系统工具->本地用户和组”:
查看是否删除或锁定与设备运行、维护等与工作无关的账号。
根据系统的要求和实际业务情况判断是否符合要求
实施风险
高
重要等级
★★★
备注
1.1.3SHG-Windows-01-01-03
编号
SHG-Windows-01-01-03
名称
重命名Administrator,禁用GUEST
实施目的
对于管理员帐号,要求更改缺省帐户名称;禁用guest(来宾)帐号。
提高系统安全性。
问题影响
管理员帐号容易被猜解;Guest账号容易被非法利用
系统当前状态
进入“控制面板->管理工具->计算机管理”,在“系统工具->本地用户和组”。
记录当前用户状态
实施步骤
参考配置操作:
进入“控制面板->管理工具->计算机管理”,在“系统工具->本地用户和组”。
Administrator->属性->更改名称
Guest帐号->属性->已停用
回退方案
重命名用户名称,还原用户属性设置
判断依据
进入“控制面板->管理工具->计算机管理”,在“系统工具->本地用户和组”:
查看管理员账号Administrator名称是否修改,Guest账号是否禁用。
实施风险
低
重要等级
★
备注
1.2口令
1.2.1SHG-Windows-01-02-01
编号
SHG-Windows-01-02-01
名称
配置密码策略
实施目的
设置密码策略,减少密码安全风险;防止系统弱口令的存在,减少安全隐患。
对于采用静态口令认证技术的设备,口令长度至少6位,且密码规则至少应采用字母(大小写穿插)加数字加标点符号(包括通配符)的方式。
问题影响
增加系统密码被暴力破解的成功率
系统当前状态
进入“控制面板->管理工具->本地安全策略”,在“帐户策略->密码策略”:
记录当前密码策略情况。
实施步骤
参考配置操作:
进入“控制面板->管理工具->本地安全策略”,在“帐户策略->密码策略”。
“密码必须符合复杂性要求”选择“已启动”设置如下策略
策略
默认设置
推荐最低设置
强制执行密码历史记录
记住1个密码
记住5个密码
密码最长期限
42天
90天
密码最短期限
0天
2天
最短密码长度
0个字符
8个字符
密码必须符合复杂性要求
禁用
启用
为域中所有用户使用可还原的加密来储存密码
禁用
禁用
回退方案
还原密码策略到加固之前配置
判断依据
进入“控制面板->管理工具->本地安全策略”,在“帐户策略->密码策略”:
查看“密码必须符合复杂性要求”是否选择“已启动”。
实施风险
低
重要等级
★★★
备注
1.2.2SHG-Windows-01-02-02
编号
SHG-Windows-01-02-02
名称
配置账户锁定策略
实施目的
设置有效的账户锁定策略有助于防止攻击者猜出系统账户的密码。
问题影响
增加系统密码被暴力破解的成功率
系统当前状态
进入“控制面板->管理工具->本地安全策略”,在“帐户策略->账户锁定策略”:
记录当前账户锁定策略情况。
实施步骤
参考配置操作:
进入“控制面板->管理工具->本地安全策略”,在“帐户策略->账户锁定策略”。
设置如下策略:
策略
默认设置
推荐最低设置
账户锁定时间
未定义
30分钟
账户锁定阈值
0
6次无效登录
复位账户锁定计数器
未定义
30分钟
回退方案
还原账户锁定策略到加固之前配置
判断依据
进入“控制面板->管理工具->本地安全策略”,在“帐户策略->账户锁定策略”:
查看安全策略是否设置为已启动和按要求配置。
实施风险
低
重要等级
★★★
备注
1.3授权
1.3.1SHG-Windows-01-03-01
编号
SHG-Windows-01-03-01
名称
远端系统强制关机设置
实施目的
防止远程用户非法关机,在本地安全设置中从远端系统强制关机只指派给Administrators组
问题影响
增加系统被管理员以外的用户非法关闭的风险
系统当前状态
进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权利指派”:
查看并记录“从远端系统强制关机”的当前设置。
实施步骤
参考配置操作:
进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权利指派”。
“从远端系统强制关机”设置为“只指派给Administrators组”。
回退方案
还原“从远端系统强制关机”的设置到加固之前配置。
判断依据
进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权利指派”:
查看“从远端系统强制关机”是否设置为“只指派给Administrators组”。
实施风险
低
重要等级
★★★
备注
1.3.2SHG-Windows-01-03-02
编号
SHG-Windows-01-03-02
名称
关闭系统设置
实施目的
防止管理员以外的用户非法关机,在本地安全设置中关闭系统仅指派给Administrators组
问题影响
增加系统被管理员以外的用户非法关闭的风险
系统当前状态
进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权利指派”:
查看并记录“关闭系统”的当前设置。
实施步骤
参考配置操作:
进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权利指派”。
“关闭系统”设置为“只指派给Administrators组”。
回退方案
还原“关闭系统”的设置到加固之前配置
判断依据
进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权利指派”:
查看“关闭系统”是否设置为“只指派给Administrators组”。
实施风险
低
重要等级
★★★
备注
1.3.3SHG-Windows-01-03-03
编号
SHG-Windows-01-03-03
名称
“取得文件或其它对象的所有权”设置
实施目的
防止用户非法获取文件,在本地安全设置中取得文件或其它对象的所有权仅指派给Administrators
问题影响
增加系统除管理员以外的用户非法获取文件的风险
系统当前状态
进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权利指派”:
查看并记录“取得文件或其它对象的所有权”的当前设置。
实施步骤
参考配置操作:
进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权利指派”。
“取得文件或其它对象的所有权”设置为“只指派给Administrators组”。
回退方案
还原“取得文件或其它对象的所有权”的设置到加固之前配置
判断依据
进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权利指派”:
查看是否“取得文件或其它对象的所有权”设置为“只指派给Administrators组”。
实施风险
低
重要等级
★★★
备注
1.3.4SHG-Windows-01-03-04
编号
SHG-Windows-01-03-04
名称
“从本地登陆此计算机”设置
实施目的
防止用户非法登录主机,在本地安全设置中配置指定授权用户允许本地登陆此计算机
问题影响
增加物理临近攻击和本地物理攻击以及非授权用户非法登陆主机的风险
系统当前状态
进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权利指派”:
查看并记录“从本地登陆此计算机”的当前设置。
实施步骤
参考配置操作:
进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权利指派”
“从本地登陆此计算机”设置为“指定授权用户”
回退方案
还原“从本地登陆此计算机”的设置到加固之前配置
判断依据
进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权利指派”:
查看是否“从本地登陆此计算机”设置为“指定授权用户”。
实施风险
低
重要等级
★★★
备注
1.3.5SHG-Windows-01-03-05
编号
SHG-Windows-01-03-05
名称
“从网络访问此计算机”设置
实施目的
防止网络用户非法访问主机,在组策略中只允许授权帐号从网络访问(包括网络共享等,但不包括终端服务)此计算机。
问题影响
增加非授权用户非法访问主机的风险
系统当前状态
进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权利指派”:
查看并记录“从网络访问此计算机”的当前设置。
实施步骤
1、参考配置操作
进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权利指派”
“从网络访问此计算机”设置为“指定授权用户”
回退方案
还原“从网络访问此计算机”的设置到加固之前配置
判断依据
进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权利指派”:
查看是否“从网络访问此计算机”设置为“指定授权用户”。
实施风险
低
重要等级
★★★
备注
2日志配置
2.1.1SHG-Windows-02-01-01
编号
SHG-Windows-02-01-01
名称
审核策略设置
实施目的
设置审核策略,记录系统重要的事件日志,设备应配置日志功能,对用户登录进行记录,记录内容包括用户登录使用的账号,登录是否成功,登录时间,以及远程登录时,用户使用的IP地址
问题影响
无法对用户的登陆以及登陆后对系统的操作过程、特权使用等进行日志记录
系统当前状态
进入“控制面板->管理工具->本地安全策略”,查看并记录“审核策略”的当前设置。
实施步骤
参考配置操作:
开始->运行->执行“控制面板->管理工具->本地安全策略->审核策略”
审核登录事件,双击,设置为成功和失败都审核。
“审核策略更改”设置为“成功”和“失败”都要审核
“审核对象访问”设置为“成功”和“失败”都要审核
“审核目录服务器访问”设置为“成功”和“失败”都要审核
“审核特权使用”设置为“成功”和“失败”都要审核
“审核系统事件”设置为“成功”和“失败”都要审核
“审核账户管理”设置为“成功”和“失败”都要审核
“审核过程追踪”设置为“失败”需要审核
回退方案
还原“审核策略”的设置到加固之前配置
判断依据
开始->运行->执行“控制面板->管理工具->本地安全策略->审核策略”:
查看是否设置为成功和失败都审核。
实施风险
低
重要等级
★★★
备注
2.1.2SHG-Windows-02-01-02
编号
SHG-Windows-02-01-02
名称
日志记录策略设置
实施目的
优化系统日志记录,防止日志溢出。
设置应用日志文件大小至少为8192KB,设置当达到最大的日志尺寸时,按需要改写事件
问题影响
如果日志的大小超过系统默认设置,则无法正常记录超过最大记录值后的所有系统日志、应用日志、安全日志等
系统当前状态
进入“控制面板->管理工具->事件查看器”,查看并记录“应用日志”、“系统日志”、“安全日志”的当前设置
实施步骤
1、参考配置操作
进入“控制面板->管理工具->事件查看器”,在“事件查看器(本地)”中:
“应用日志”属性中的日志大小设置不小于“8192KB”,设置当达到最大的日志尺寸时,“按需要改写事件”
“系统日志”属性中的日志大小设置不小于“8192KB”,设置当达到最大的日志尺寸时,“按需要改写事件”
“安全日志”属性中的日志大小设置不小于“8192KB”,设置当达到最大的日志尺寸时,“按需要改写事件”
回退方案
还原“应用日志”、“系统日志”、“安全日志”的设置到加固之前配置
判断依据
进入“控制面板->管理工具->事件查看器”,在“事件查看器(本地)”中:
查看各项日志属性中日志大小是否设置为不小于“8192KB”,是否设置当达到最大的日志尺寸时,“按需要改写事件”。
实施风险
低
重要等级
★
备注
3通信协议
3.1IP协议安全
3.1.1SHG-Windows-03-01-01
编号
SHG-Windows-03-01-01
名称
启用TCP/IP筛选
实施目的
过滤不必要的端口,提高系统安全性,对没有自带防火墙的Windows系统,启用Windows系统的IP安全机制(IPSec)或网络连接上的TCP/IP筛选,只开放业务所需要的TCP,UDP端口和IP协议
问题影响
如不有效过滤系统中存在的不必要的端口以及默认的端口会增加潜在被攻击和非法利用的安全风险
系统当前状态
进入“控制面板->网络连接->本地连接”,进入“Internet协议(TCP/IP)属性->高级TCP/IP设置”,在“选项”的属性中查看“网络连接上的TCP/IP筛选”的状态,并记录
实施步骤
参考配置操作:
系统管理员出示业务所需端口列表。
根据列表只开放系统与业务所需端口。
进入“控制面板->网络连接->本地连接”,进入“Internet协议(TCP/IP)属性->高级TCP/IP设置”,在“选项”的属性中启用网络连接上的TCP/IP筛选,只开放业务所需要的TCP,UDP端口和IP协议。
回退方案
还原高级TCP/IP的设置到加固之前配置
判断依据
系统管理员出示业务所需端口列表。
根据列表只开放系统与业务所需端口。
进入“控制面板->网络连接->本地连接”,进入“Internet协议(TCP/IP)属性->高级TCP/IP设置”,在“选项”的属性中启用网络连接上的TCP/IP筛选,查看是否只开放业务所需要的TCP,UDP端口和IP协议。
利用Netstat–an命令查看当前系统开放端口是否与系统管理员所出示的业务所需端口列表相对应;如发现存在与业务和应用无关的端口,则查明后在TPC/IP筛选配置中将其过滤掉。
实施风险
高
重要等级
★
备注
3.1.2SHG-Windows-03-01-02
编号
SHG-Windows-03-01-01
名称
开启系统防火墙
实施目的
启用WindowsXP和Windows2003自带防火墙,过滤不必要的端口,提高系统安全性。
根据业务需要限定允许访问网络的应用程序和允许远程登陆该设备的IP地址范围。
问题影响
没有访问控制,系统可能被非法登陆或使用,从而增加潜在被攻击的安全风险
系统当前状态
进入“控制面板->网络连接->本地连接”,在高级选项的属性中查看Windows防火墙的状态,并记录详细情况。
实施步骤
参考配置操作:
系统管理员出示业务所需端口列表。
根据列表只开放系统与业务所需端口。
进入“控制面板->网络连接->本地连接”,在高级选项的设置中:
启用Windows防火墙。
在“例外”中配置允许业务所需的程序接入网络。
在“例外->编辑->更改范围”编辑允许接入的网络地址范围。
回退方案
还原高级系统防火墙设置到加固之前配置。
判断依据
进入“控制面板->网络连接->本地连接”,在高级选项的设置中,查看是否启用Windows防火墙。
查看是否在“例外”中配置允许业务所需的程序接入网络。
查看是否在“例外->编辑->更改范围”编辑允许接入的网络地址范围。
实施风险
高
重要等级
★
备注
3.1.3SHG-Windows-03-01-03
编号
SHG-Windows-03-01-03
名称
启用SYN攻击保护
实施目的
启用SYN攻击保护,提高系统安全性;指定触发SYN洪水攻击保护所必须超过的TCP连接请求数阀值为5;指定处于SYN_RCVD状态的TCP连接数的阈值为500;指定处于至少已发送一次重传的SYN_RCVD状态中的TCP连接数的阈值为400。
问题影响
如不启用SYN攻击保护,系统则容易被SYN拒绝服务攻击后导致迅速当机。
系统当前状态
在“开始->运行->键入regedit”
查看并记录注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services、SynAttackProtect的值并记录。
查看并记录注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services之下。
TcpMaxPortsExhausted
TcpMaxHalfOpen
TcpMaxHalfOpenRetried
的值并记录
实施步骤
参考配置操作:
在“开始->运行->键入regedit”
启用SYN攻击保护的命名值位于注册表项HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services之下。
值名称:
SynAttackProtect。
推荐值:
2。
以下部分中的所有项和值均位于注册表项HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services之下。
指定必须在触发SYNflood保护之前超过的TCP连接请求阈值。
值名称:
TcpMaxPortsExhausted。
推荐值:
5。
启用SynAttackProtect后,该值指定SYN_RCVD状态中的TCP连接阈值,超过SynAttackProtect时,触发SYNflood保护。
值名称:
TcpMaxHalfOpen。
推荐值数据:
500。
启用SynAttackProtect后,指定至少发送了一次重传的SYN_RCVD状态中的TCP连接阈值。
超过SynAttackProtect时,触发SYNflood保护。
值名称:
TcpMaxHalfOpenRetried。
推荐值数据:
400。
回退方案
还原注册表设置到加固之前配置
判断依据
在开始->运行里输入regedit,进入注册表中打开相应的注册项,查看键值是否已启用和配置,各注册表键值是否均按要求设置。
实施风险
高
重要等级
★
备注
4设备其他安全要求
4.1屏幕保护
4.1.1SHG-Windows-04-01-01
编号
SHG-Windows-04-01-01
名称
启用屏幕保护程序
实施目的
启用屏幕保护程序,防止管理员忘记锁定机器被非法攻击;设置带密码的屏幕保护,并将时间设定为5分钟
问题影响
如未启动屏幕保护并采用密码恢复,一旦管理员操作系统后忘记锁定主机,则容易被非法攻击,以及增加本地物理临近攻击的风险。
系统当前状态
进入“控制面板->显示->屏幕保护程序”:
查看是否启用屏幕保护程序并记录当前的设置
实施步骤
参考配置操作:
进入“控制面板->显示->屏幕保护程序”:
启用屏幕保护程序,设置等待时间为“5分钟”,启用“在恢复时使用密码保护”。
回退方案
还原屏幕保护程序设置到加固之前配置。
判断依据
进入“控制面板->显示->屏幕保护程序”:
查看是否启用屏幕保护程序,设置等待时间为“5分钟”,启用“在恢复时使用密码保护”。
在系统桌面上点击鼠标右键,打开属性,查看屏幕保护程序选项是否已启动和配置。
实施风险
低
重要等级
★★★
备注
4.1.2SHG-Windows-04-01-02
编号
SHG-Windows-04-01-02
名称
设置Microsoft服务器挂起时间
实施目的
设置Microsoft服务器挂起时间,防止管理员忘记锁定机器被非法利用;对于远程登陆的帐号,设置不活动断连时间15分钟
问题影响
管理员忘记锁定而被非法利用
系统当前状态
进入“控制面板->管理工具->本地安全策略”,在“本地策略->安全选项”:
查看是否“Microsoft服务器”设置为“在挂起会话之前所需的空闲时间”为15分钟。
实施步骤
参考配置操作:
进入“控制面板->管理工具->本地安全策略”,在“本地策略->安全选项”:
“Microsoft服务器”设置为“在挂起会话之前所需的空闲时间”为15分钟。
回退方案
还原“挂起会话之前所需的空闲时间”设置到加固之前配置
判断依据
进入“控制面板->管理工具->本地安全策略”,在“本地策略->安全选项”:
查看是否“Microsoft服务器”设置为“在挂起会话之前所需的空闲时间”为15分钟。
实施风险
低
重要等级
★★★
备注
4.2共享文件夹及访问权限
4.2.1SHG-Windows-04-02-01
编号
SHG-Windows-04-02-01
名称
关闭默认共享
实施目的
非域环境中,关闭Windows硬盘默认共享,例如C$,D$,提高系统安全
升级会员 