Windows 操作系统安全防护强制性要求Word下载.docx

1、 IUSR_MACHINENAME、IWAN_MACHINENAME等不需要使用的用户设置完成后使用secedit /refreshpolicymachine_policy命令刷新策略以快速生效（建议重新启动系统）2补充操作说明如果设备需要文件共享，则不应设置从网络访问此计算机项禁止除管理员外的一般用户远程登录计算机或关闭计算机，同时禁止无用帐号的登录1.3. 禁用Guest（来宾）帐户禁用Guest帐号，降低被攻击的风险进入“控制面板-管理工具-计算机管理”，在“系统工具-本地用户和组-用户”1、参考配置操作用户”：Guest帐号-属性已停用1.4. 禁止使用超级管理员帐号防止系统被入侵后，

2、入侵者直接获取最高用户权限XP系统多用于日常办公使用，可禁止使用超级管理员账号，一般日常办公使用普通用户右键新用户自定义用户名默认新加的用户为普通用户权限，建议安装软件安装在非系统盘下。防止系统被入侵后直接获取最高用户权限1.5. 删除多余的账号删除或禁用多余的系统账号开始控制面板管理工具计算机管理本地用户和组用户：删除或者禁用多余的账号，建议只保留一个当前使用的账号关闭多余的系统账号2. 日志审核策略配置2.1. 设置主机审核策略设置主机审核策略在“本地安全策略”“本地策略”中查看系统“审核策略”审核策略更改成功，失败审核登录事件成功，失败审核对象访问失败审核目录服务访问成功，失败审核特权使

3、用失败审核系统事件成功，失败审核账户登录事件成功，失败审核帐户管理成功，失败对重要事件进行审核记录，便于问题的追溯。2.2. 调整事件日志的大小及覆盖策略调整事件日志的大小及覆盖策略日志类型日志大小覆盖策略应用程序日志 K 覆盖早于天的日志安全日志 K 覆盖早于天的日志系统日志 K 覆盖早于天的日志右键点击“我的电脑”-“管理”-“事件查看器”-右键点击“系统”-“属性”-修改“最大文件大小”应用程序日志 80000 K 覆盖早于 30 天的日志安全日志 80000 K 覆盖早于 30 天的日志系统日志 80000K 覆盖早于 30 天的日志其他日志（如存在） 80000 K 覆盖早于 30

4、天的日志增加日志文件的容量，避免由于日志文件容量过小导致重要日志记录遗漏2.3. 启用系统失败日志记录功能启用系统失败日志记录功能右键“我的电脑” - “属性” - “高级” - “启动和故障恢复” - “设置”右键“我的电脑” - “属性” - “高级” - “启动和故障恢复” - “设置”，将“将事件写入系统日志”、“发送管理警报”这两项的勾上。再将下面的“写入调试信息”设置为“完全内存存储”3. 安全选项策略配置3.1. 设置挂起会话的空闲时间设置Microsoft 网络服务器挂起会话的空闲时间查看系统当前设置在管理工具-本地安全策略-选择本地策略-选择安全选项- Microsoft网络

5、服务器：在挂起会话之前所需的空闲时间（小于等于 5分钟）设置挂起会话之前所需的空闲时间为 5分钟3.2. 禁止发送未加密的密码到第三方 SMB 服务器Microsoft 网络客户端：发送未加密的密码到第三方 SMB 服务器 Microsoft网络客户端：发送未加密的密码到第三方 SMB 服务器（已禁用）禁止发送未加密的密码到第三方 SMB 服务器3.3. 禁用对所有驱动器和文件夹进行软盘复制和访问故障恢复控制台:允许对所有驱动器和文件夹进行软盘复制和访问查看系统当前设置：允许对所有驱动器和文件夹进行软盘复制和访问（禁用）Windows 控制台恢复的另一个特性是它禁止访问硬盘驱动器上的所有文件和

6、目录。它仅允许访问每个卷的根目录和%systemroot%目录及子目录，即使是这样它还限制不允许把硬盘驱动器上的文件拷贝到软盘上。3.4. 禁止故障恢复控制台自动登录允许自动系统管理级登录允许自动系统管理级登录（禁用）防止非法用户通过恢复控制台（无需密码）自动登录到系统3.5. 关机时清除虚拟内存页面文件关机时清除虚拟内存页面文件关机：清除虚拟内存页面文件（启用）页面文件中可能含有敏感的资料，关机的时候清除虚拟内存页面文件，防止造成意外的信息泄漏。3.6. 禁止系统在未登录前关机允许系统在未登录前关机允许系统在未登录前关机（禁用）禁止用户未登录系统状态下关闭计算机3.7. 不显示上次登录的用户

7、名交互式登录：不显示上次的用户名不显示上次的用户名（启用）登录时不显示上次的用户名，防止暴露用户名。3.8. 登录时需要按 CTRL+ALT+DEL不需要按 Ctrl+Alt+Del不需要按 Ctrl+Alt+Del（禁用）登录时需要按 CTRL+ALT+DEL。3.9. 可被缓存的前次登录个数可被缓存的前次登录个数（在域控制器不可用的情况下）可被缓存的前次登录个数（设置缓存数为 3-5，此项对域服务器无效。）减少用户在本地缓存的登录信息，防止敏感信息泄露3.10. 不允许 SAM 帐户和共享的匿名枚举网络访问：不允许 SAM 帐户和共享的匿名枚举不允许 SAM 帐户和共享的匿名枚举（启用）禁

8、止使用匿名用户空连接枚举系统敏感信息3.11. 不允许为网络身份验证储存凭证或 .NET Passports不允许为网络身份验证储存凭证或 .NET passports不允许为网络身份验证储存凭证或 .NET passports（启用）3.12. 如果无法记录安全审核则立即关闭系统审核：如果无法记录安全审核则立即关闭系统如果无法记录安全审核则立即关闭系统（启用）3.13. 禁止从本机发送远程协助邀请禁止从本机发送远程协助邀请右键“我的电脑”-“属性”-“远程”-去除“允许从这台计算机发送远程协助邀请”前的勾3.14. 关闭故障恢复自动重新启动关闭故障恢复自动重新启动右键“我的电脑”-“属性”-

9、“高级”-“启动和故障恢复设置”-去除“自动重新启动”前的勾禁止故障恢复自动重新启动4. 用户权限策略配置4.1. 禁止用户组通过终端服务登录通过终端服务拒绝登录：添加 Guests、User 组选择用户权限分配-“通过终端服务拒绝登录”中添加 Guests、User 组禁止用户组通过终端服务拒绝登录4.2. 只允许管理组通过终端服务登录通过终端服务允许登录：删除所有用户组“关闭系统”中删除所有用户组禁止通过终端服务登录4.3. 限制从网络访问此计算机从网络访问此计算机中删除BackupOperators“从网络访问此计算机”中删除BackupOperators5. 用户权限策略配置5.1.

10、禁止自动登录禁止自动登录禁止自动登录：编辑注册表HKLMSoftwareMicrosoftWindows NTCurrentVersionWinlogonAutoAdminLogon（REG_DWORD） 值设置为0（如无需新建）5.2. 禁止光驱自动运行禁止光驱自动运行HKLMSystemCurrentControlSetServicesCDrom Autorun（REG_DWORD） 值设置为 0（如无需新建）禁止 CD 自动运行5.3. 启用源路由欺骗保护启用源路由欺骗保护启用源路由欺骗保护：HKLMSystemCurrentControlSet ServicesTcpipParamet

11、ers新建（REG_DWORD） 值名称为 DisableIPSourceRouting 参数为 2防护在网络上发生的源路由欺骗无，如服务器启用路由功能，则会影响相关功能。5.4. 删除 IPC 共享删除 IPC 共享使用 net share 命令查看系统当前的共享资源：禁用 IPC 连接 : 打开注册表编辑器，依次展开HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa 分支，在右侧窗口中找到restrictanonymous子键，将其值改1即可。删除服务器上的管理员共享 : HKLMSystemCurrentControlSetServic

12、esLanmanServerParametersAutoShareServer （如无需新建）（REG_DWORD）值参数为 0如系统存在其他人为设置共享，建议删除。删除主机因为管理而开放的共享，减小安全风险某些应用软件可能需要系统默认共享，应询问管理员确认。6. 网络与服务加固6.1. 卸载、禁用、停止不需要的服务卸载、禁用、停止不需要的服务检测分析系统已启动的不必要的服务包括：停止、禁用不需要的服务，如有必要则卸载已安装的服务。下面列出部分服务以做参考：AlerterClipbookComputer BrowserInternet Connection SharingMessengerRe

13、mote Registry ServiceRouting and Remote AccessServerShell Hardware DetectionTCP/IP NetBIOS Helper ServiceTerminal ServicesTask SchedulerTelnetSimple Mail Trasfer Protocol（SMTP）Simple Network Management Protocol（SNMP） ServiceSimple Network Management Protocol（SNMP） TrapWorld Wide Web Publishing Servi

14、ce避免未知漏洞给主机带来的潜在风险可能由于管理员对主机所开放服务不了解，导致有用服务被停止或卸载。实施前请与相关应用开发厂商联系确认该服务与业务应用无关联。6.2. 禁用不必要进程，防止病毒程序运行大部分恶意程序、病毒、脚本运行均会显示相应的进程，在微软停止对XP系统服务后，应加强日常的安全管理，禁用不必要的进程或程序，降低系统风险，同时减少系统资源使用。开始 运行 输入 tasklist停止、禁用不需要的进程，如有必要则禁用已安装的程序。下面列出部分病毒进程名以做参考：180ax.exea.exeactalert.exeadaware.exeAlchem.exealevir.exeaqad

15、cup.exearchive.exearr.exeARUpdate.exeasm.exeav.exeavserve.exeavserve2.exebackWeb.exebargains.exebasfipm.exebelt.exeBiprep.exeblss.exebokja.exebootconf.exebpc.exebrasil.exeBuddy.exebundle.exebvt.execashback.execmd32.execmesys.execonime.execonscorr.execrss.execxtpls.exedatemanager.exedcomx.exeDesktop.

16、exedirects.exedivx.exedllreg.exedmserver.exedpi.exedssagent.exedvdkeyauth.exeemsw.exeexdl.exeexec.exeexplore.exeexplored.exeFash.exeffisearch.exefntldr.exefsg_4104.exeFVProtect.exegame.exegator.exegmt.exegoidr.exehbinst.exehbsrv.exehwclock.exehxdl.exehxiul.exeiedll.exeiedriver.exeiexplorer.exeinfus.

17、exeinfwin.exeintdel.exeisass.exeistsvc.exejawa32.exejdbgmrg.exekazza.exekeenvalue.exekernel32.exelass.exelmu.exeloader.exelssas.exemapisvc32.exemario.exemd.exemfin32.exemmod.exemostat.exemsapp.exemsbb.exemsblast.exemscache.exemsccn32.exemscman.exemsdm.exemsgfix.exemsiexec16.exemsinfo.exemslagent.exe

18、mslaugh.exemsmc.exemsmgt.exemsmsgri32.exeMSN.exemsrexe.exemssvc32.exemssys.exemsvxd.exemwsoemon.exemwsvm.exenetd32.exenls.exenssys32.exenstask32.exensupdate.exentfs64.exeNTOSA32.exeomniscient.exeonsrvr.exeoptimize.exeP2P Networking.exepcsvc.exepgmonitr.exePIB.exepowerscan.exeprizesurfer.exeprmt.exep

19、rmvr.exeray.exerb32.exercsync.exerk.exerun32dll.exerundll16.exeruxdll32.exesaap.exesahagent.exesaie.exesais.exesalm.exesatmat.exesave.exesavenow.exesc.exescam32.exescrsvr.exescvhost.exeSearchUpdate33.exeSearchUpgrader.exesoap.exespoler.exeSsk.exestart.exestcloader.exeSusp.exesvc.exesvchosts.exesvsho

20、st.exeSyncroAd.exesysfit.exesystem.exesystem32.exetb_setup.exeteekids.exetibs3.exetrickler.exets.exets2.exetsa.exetsadbot.exetsl.exetsm2.exeTvm.exetvmd.exetvtmd.exeupdate.exeupdater.exeupdmgr.exeVVSN.exewast.exeweb.exewebdav.exewebrebates.exewebrebates0.exewin-bugsfix.exewin_upd2.exewin32.exewin32us.exewinactive.exewinad.exewinadalt.exewinadctl.exeWinAdTools.exeWINdirect.exewindows.exewingo.exewininetd.exewininit.exewinlock.ex