Windows主机操作系统加固规范VWord文件下载.docx

1、部分操作可能无法回退。判断依据查看账户和账户组，管理员用户，数据库用户，审计用户，来宾用户等。根据系统的要求和实际业务情况判断是否符合要求。实施风险高重要等级备注1.1.2 SHG-Windows-01-01-02SHG-Windows-01-01-02系统无效帐户清理删除或锁定与设备运行、维护等与工作无关的账号，提高系统帐户安全。如果不清理无效帐户，则系统将面临默认账号被非法利用的风险记录当前用户状态，备份系统SAM文件。删除或锁定与设备运行、维护等与工作无关的账号。增加被删除的用户，激活被锁定的用户，还原用户权限到初始设置。查看是否删除或锁定与设备运行、维护等与工作无关的账号。根据系统的要

2、求和实际业务情况判断是否符合要求1.1.3 SHG-Windows-01-01-03SHG-Windows-01-01-03重命名Administrator，禁用GUEST对于管理员帐号，要求更改缺省帐户名称；禁用guest（来宾）帐号。提高系统安全性。管理员帐号容易被猜解；Guest账号容易被非法利用Administrator属性 更改名称Guest帐号- 已停用重命名用户名称，还原用户属性设置查看管理员账号Administrator名称是否修改，Guest账号是否禁用。低1.2 口令1.2.1 SHG-Windows-01-02-01SHG-Windows-01-02-01配置密码策略设置

3、密码策略，减少密码安全风险；防止系统弱口令的存在，减少安全隐患。对于采用静态口令认证技术的设备，口令长度至少6位，且密码规则至少应采用字母（大小写穿插）加数字加标点符号（包括通配符）的方式。增加系统密码被暴力破解的成功率本地安全策略”，在“帐户策略-密码策略”：记录当前密码策略情况。密码策略”。“密码必须符合复杂性要求”选择“已启动”设置如下策略策略默认设置推荐最低设置强制执行密码历史记录记住 1 个密码记住5个密码密码最长期限42 天90 天密码最短期限0 天2 天最短密码长度0 个字符8 个字符密码必须符合复杂性要求禁用启用为域中所有用户使用可还原的加密来储存密码还原密码策略到加固之前配置

4、查看“密码必须符合复杂性要求” 是否选择“已启动”。1.2.2 SHG-Windows-01-02-02SHG-Windows-01-02-02配置账户锁定策略设置有效的账户锁定策略有助于防止攻击者猜出系统账户的密码。账户锁定策略”：记录当前账户锁定策略情况。账户锁定策略”。设置如下策略：账户锁定时间未定义30 分钟账户锁定阈值6 次无效登录复位账户锁定计数器还原账户锁定策略到加固之前配置查看安全策略是否设置为已启动和按要求配置。1.3 授权1.3.1 SHG-Windows-01-03-01SHG-Windows-01-03-01远端系统强制关机设置防止远程用户非法关机，在本地安全设置中从远

5、端系统强制关机只指派给Administrators组增加系统被管理员以外的用户非法关闭的风险本地安全策略”，在“本地策略-用户权利指派”:查看并记录“从远端系统强制关机”的当前设置。用户权利指派”。“从远端系统强制关机”设置为“只指派给Administrators组”。还原“从远端系统强制关机”的设置到加固之前配置。查看“从远端系统强制关机”是否设置为“只指派给Administrators组”。1.3.2 SHG-Windows-01-03-02SHG-Windows-01-03-02关闭系统设置防止管理员以外的用户非法关机，在本地安全设置中关闭系统仅指派给Administrators组查看并

6、记录“关闭系统”的当前设置。“关闭系统”设置为“只指派给Administrators组”。还原“关闭系统”的设置到加固之前配置查看“关闭系统”是否设置为“只指派给Administrators组”。1.3.3 SHG-Windows-01-03-03SHG-Windows-01-03-03“取得文件或其它对象的所有权”设置防止用户非法获取文件，在本地安全设置中取得文件或其它对象的所有权仅指派给Administrators增加系统除管理员以外的用户非法获取文件的风险查看并记录“取得文件或其它对象的所有权”的当前设置。“取得文件或其它对象的所有权”设置为“只指派给Administrators组”。还

7、原“取得文件或其它对象的所有权”的设置到加固之前配置用户权利指派”：查看是否“取得文件或其它对象的所有权”设置为“只指派给Administrators组”。1.3.4 SHG-Windows-01-03-04SHG-Windows-01-03-04“从本地登陆此计算机”设置防止用户非法登录主机，在本地安全设置中配置指定授权用户允许本地登陆此计算机增加物理临近攻击和本地物理攻击以及非授权用户非法登陆主机的风险查看并记录“从本地登陆此计算机”的当前设置。用户权利指派”“从本地登陆此计算机”设置为“指定授权用户”还原“从本地登陆此计算机”的设置到加固之前配置查看是否“从本地登陆此计算机”设置为“指定

8、授权用户”。1.3.5 SHG-Windows-01-03-05SHG-Windows-01-03-05“从网络访问此计算机”设置防止网络用户非法访问主机，在组策略中只允许授权帐号从网络访问（包括网络共享等，但不包括终端服务）此计算机。增加非授权用户非法访问主机的风险查看并记录“从网络访问此计算机”的当前设置。1、参考配置操作“从网络访问此计算机”设置为“指定授权用户”还原“从网络访问此计算机”的设置到加固之前配置查看是否“从网络访问此计算机”设置为“指定授权用户”。2 日志配置2.1.1 SHG-Windows-02-01-01SHG-Windows-02-01-01审核策略设置设置审核策略

9、，记录系统重要的事件日志，设备应配置日志功能，对用户登录进行记录，记录内容包括用户登录使用的账号，登录是否成功，登录时间，以及远程登录时，用户使用的IP地址无法对用户的登陆以及登陆后对系统的操作过程、特权使用等进行日志记录本地安全策略”，查看并记录“审核策略”的当前设置。开始-运行- 执行“控制面板-本地安全策略-审核策略”审核登录事件，双击，设置为成功和失败都审核。“审核策略更改”设置为“成功”和“失败”都要审核“审核对象访问”设置为“成功”和“失败”都要审核“审核目录服务器访问”设置为“成功”和“失败”都要审核“审核特权使用”设置为“成功”和“失败”都要审核“审核系统事件”设置为“成功”和

10、“失败”都要审核“审核账户管理”设置为“成功”和“失败”都要审核“审核过程追踪”设置为“失败”需要审核还原“审核策略”的设置到加固之前配置审核策略”：查看是否设置为成功和失败都审核。2.1.2 SHG-Windows-02-01-02SHG-Windows-02-01-02日志记录策略设置优化系统日志记录，防止日志溢出。设置应用日志文件大小至少为8192KB，设置当达到最大的日志尺寸时，按需要改写事件如果日志的大小超过系统默认设置，则无法正常记录超过最大记录值后的所有系统日志、应用日志、安全日志等事件查看器”，查看并记录“应用日志”、“系统日志”、“安全日志”的当前设置事件查看器”，在“事件查

11、看器（本地）”中：“应用日志”属性中的日志大小设置不小于“8192KB” ,设置当达到最大的日志尺寸时，“按需要改写事件”“系统日志”属性中的日志大小设置不小于“8192KB” ,设置当达到最大的日志尺寸时，“按需要改写事件”“安全日志”属性中的日志大小设置不小于“8192KB” ,设置当达到最大的日志尺寸时，“按需要改写事件”还原“应用日志”、“系统日志”、“安全日志”的设置到加固之前配置查看各项日志属性中日志大小是否设置为不小于“8192KB” ,是否设置当达到最大的日志尺寸时，“按需要改写事件”。3 通信协议3.1 IP协议安全3.1.1 SHG-Windows-03-01-01SHG-

12、Windows-03-01-01启用TCP/IP筛选过滤不必要的端口，提高系统安全性，对没有自带防火墙的Windows系统，启用Windows系统的IP安全机制（IPSec）或网络连接上的TCP/IP筛选，只开放业务所需要的TCP，UDP端口和IP协议如不有效过滤系统中存在的不必要的端口以及默认的端口会增加潜在被攻击和非法利用的安全风险进入“控制面板网络连接本地连接”，进入“Internet协议（TCP/IP）属性高级TCP/IP设置”，在“选项”的属性中查看“网络连接上的TCP/IP筛选”的状态，并记录系统管理员出示业务所需端口列表。根据列表只开放系统与业务所需端口。高级TCP/IP设置”，

13、在“选项”的属性中启用网络连接上的TCP/IP筛选，只开放业务所需要的TCP，UDP端口和IP协议。还原高级TCP/IP的设置到加固之前配置高级TCP/IP设置”，在“选项”的属性中启用网络连接上的TCP/IP筛选，查看是否只开放业务所需要的TCP，UDP端口和IP协议。利用Netstat an命令查看当前系统开放端口是否与系统管理员所出示的业务所需端口列表相对应；如发现存在与业务和应用无关的端口，则查明后在TPC/IP筛选配置中将其过滤掉。3.1.2 SHG-Windows-03-01-02开启系统防火墙启用Windows XP和Windows 2003自带防火墙，过滤不必要的端口，提高系统

14、安全性。根据业务需要限定允许访问网络的应用程序和允许远程登陆该设备的IP地址范围。没有访问控制，系统可能被非法登陆或使用，从而增加潜在被攻击的安全风险本地连接”，在高级选项的属性中查看Windows防火墙的状态，并记录详细情况。本地连接”，在高级选项的设置中：启用Windows防火墙。在“例外”中配置允许业务所需的程序接入网络。在“例外-编辑-更改范围”编辑允许接入的网络地址范围。还原高级系统防火墙设置到加固之前配置。本地连接”，在高级选项的设置中，查看是否启用Windows防火墙。查看是否在“例外”中配置允许业务所需的程序接入网络。查看是否在“例外-3.1.3 SHG-Windows-03-

15、01-03SHG-Windows-03-01-03启用SYN攻击保护启用SYN攻击保护，提高系统安全性；指定触发SYN洪水攻击保护所必须超过的TCP连接请求数阀值为5；指定处于 SYN_RCVD 状态的 TCP 连接数的阈值为500；指定处于至少已发送一次重传的 SYN_RCVD 状态中的 TCP 连接数的阈值为400。如不启用SYN攻击保护，系统则容易被SYN拒绝服务攻击后导致迅速当机。在“开始-键入regedit”查看并记录注册表HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices、SynAttackProtect的值并记录。查看并记录注册表H

16、KEY_LOCAL_MACHINESYSTEMCurrentControlSetServices 之下。TcpMaxPortsExhaustedTcpMaxHalfOpenTcpMaxHalfOpenRetried的值并记录启用 SYN 攻击保护的命名值位于注册表项 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices 之下。值名称：SynAttackProtect。推荐值：2。以下部分中的所有项和值均位于注册表项 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices 之下。指定必须在触发 SYN fl

17、ood 保护之前超过的 TCP 连接请求阈值。TcpMaxPortsExhausted。5。启用 SynAttackProtect 后，该值指定 SYN_RCVD 状态中的 TCP 连接阈值，超过 SynAttackProtect 时，触发 SYN flood 保护。TcpMaxHalfOpen。推荐值数据：500。启用 SynAttackProtect 后，指定至少发送了一次重传的 SYN_RCVD 状态中的 TCP 连接阈值。超过 SynAttackProtect 时，触发 SYN flood 保护。TcpMaxHalfOpenRetried。400。还原注册表设置到加固之前配置在开始-运

18、行里输入regedit，进入注册表中打开相应的注册项，查看键值是否已启用和配置，各注册表键值是否均按要求设置。4 设备其他安全要求4.1 屏幕保护4.1.1 SHG-Windows-04-01-01SHG-Windows-04-01-01启用屏幕保护程序启用屏幕保护程序，防止管理员忘记锁定机器被非法攻击；设置带密码的屏幕保护，并将时间设定为5分钟如未启动屏幕保护并采用密码恢复，一旦管理员操作系统后忘记锁定主机，则容易被非法攻击，以及增加本地物理临近攻击的风险。显示屏幕保护程序”：查看是否启用屏幕保护程序 并记录当前的设置启用屏幕保护程序，设置等待时间为“5分钟”，启用“在恢复时使用密码保护”。

19、还原屏幕保护程序设置到加固之前配置。查看是否启用屏幕保护程序，设置等待时间为“5分钟”，启用“在恢复时使用密码保护”。在系统桌面上点击鼠标右键，打开属性，查看屏幕保护程序选项是否已启动和配置。4.1.2 SHG-Windows-04-01-02SHG-Windows-04-01-02设置Microsoft网络服务器挂起时间设置Microsoft网络服务器挂起时间，防止管理员忘记锁定机器被非法利用；对于远程登陆的帐号，设置不活动断连时间15分钟管理员忘记锁定而被非法利用安全选项”：查看是否“Microsoft网络服务器”设置为“在挂起会话之前所需的空闲时间”为15分钟。“Microsoft网络服务器”设置为“在挂起会话之前所需的空闲时间”为15分钟。还原“挂起会话之前所需的空闲时间”设置到加固之前配置4.2 共享文件夹及访问权限4.2.1 SHG-Windows-04-02-01SHG-Windows-04-02-01关闭默认共享非域环境中，关闭Windows硬盘默认共