Windows 操作系统安全防护强制性要求Word文档格式.docx

1、1.2.用户权限设置禁止除管理员外的一般用户远程登录计算机或关闭计算机，同时禁止无用帐号的登录，可以防止恶意用户通过破解一般低权限的用户口令后使用该用户登录进行提权攻击。开始 运行 计算机配置 Windows设置 安全设置 本地策略 用户权利指派1参考配置操作检查用户权限策略是否设置：此处有较多选项，建议对以下四项进行检查： 从网络访问此计算机（可选） 从远程系统强制关机 拒绝本地登录建议做如下设置： 从远程系统强制关机的权利仅指派给Administrators 设置取得文件或其它对象的所有权为只指派给Administrators组 拒绝本地登录： IUSR_MACHINENAME、IWAN_

2、MACHINENAME等不需要使用的用户设置完成后使用secedit /refreshpolicymachine_policy命令刷新策略以快速生效（建议重新启动系统）2补充操作说明如果设备需要文件共享，则不应设置从网络访问此计算机项禁止除管理员外的一般用户远程登录计算机或关闭计算机，同时禁止无用帐号的登录1.3.禁用Guest（来宾）帐户禁用Guest帐号，降低被攻击的风险进入“控制面板-管理工具-计算机管理”，在“系统工具-本地用户和组-用户”1、参考配置操作用户”：Guest帐号-属性已停用1.4.禁止使用超级管理员帐号防止系统被入侵后，入侵者直接获取最高用户权限XP系统多用于日常办公使

3、用，可禁止使用超级管理员账号，一般日常办公使用普通用户右键新用户自定义用户名默认新加的用户为普通用户权限，建议安装软件安装在非系统盘下。防止系统被入侵后直接获取最高用户权限1.5.删除多余的账号删除或禁用多余的系统账号开始控制面板管理工具计算机管理本地用户和组用户：删除或者禁用多余的账号，建议只保留一个当前使用的账号关闭多余的系统账号2.日志审核策略配置2.1.设置主机审核策略设置主机审核策略在“本地安全策略”“本地策略”中查看系统“审核策略”审核策略更改成功，失败审核登录事件成功，失败审核对象访问失败审核目录服务访问成功，失败审核特权使用失败审核系统事件成功，失败审核账户登录事件成功，失败审

4、核帐户管理成功，失败对重要事件进行审核记录，便于问题的追溯。2.2.调整事件日志的大小及覆盖策略调整事件日志的大小及覆盖策略日志类型日志大小覆盖策略应用程序日志 K 覆盖早于天的日志安全日志 K 覆盖早于天的日志系统日志 K 覆盖早于天的日志右键点击“我的电脑”-“管理”-“事件查看器”-右键点击“系统”-“属性”-修改“最大文件大小”应用程序日志 80000 K 覆盖早于 30 天的日志安全日志 80000 K 覆盖早于 30 天的日志系统日志 80000K 覆盖早于 30 天的日志其他日志（如存在） 80000 K 覆盖早于 30 天的日志增加日志文件的容量，避免由于日志文件容量过小导致重

5、要日志记录遗漏2.3.启用系统失败日志记录功能启用系统失败日志记录功能右键“我的电脑” - “属性” - “高级” - “启动和故障恢复” - “设置”右键“我的电脑” - “属性” - “高级” - “启动和故障恢复” - “设置”，将“将事件写入系统日志”、“发送管理警报”这两项的勾上。再将下面的“写入调试信息”设置为“完全内存存储”3.安全选项策略配置3.1.设置挂起会话的空闲时间设置Microsoft 网络服务器挂起会话的空闲时间查看系统当前设置在管理工具-本地安全策略-选择本地策略-选择安全选项- Microsoft网络服务器：在挂起会话之前所需的空闲时间（小于等于 5分钟）设置挂起

6、会话之前所需的空闲时间为 5分钟3.2.禁止发送未加密的密码到第三方 SMB 服务器Microsoft 网络客户端：发送未加密的密码到第三方 SMB 服务器 Microsoft网络客户端：发送未加密的密码到第三方 SMB 服务器（已禁用）禁止发送未加密的密码到第三方 SMB 服务器3.3.禁用对所有驱动器和文件夹进行软盘复制和访问故障恢复控制台:允许对所有驱动器和文件夹进行软盘复制和访问查看系统当前设置：允许对所有驱动器和文件夹进行软盘复制和访问（禁用）Windows 控制台恢复的另一个特性是它禁止访问硬盘驱动器上的所有文件和目录。它仅允许访问每个卷的根目录和%systemroot%目录及子目

7、录，即使是这样它还限制不允许把硬盘驱动器上的文件拷贝到软盘上。3.4.禁止故障恢复控制台自动登录允许自动系统管理级登录允许自动系统管理级登录（禁用）防止非法用户通过恢复控制台（无需密码）自动登录到系统3.5.关机时清除虚拟内存页面文件关机时清除虚拟内存页面文件关机：清除虚拟内存页面文件（启用）页面文件中可能含有敏感的资料，关机的时候清除虚拟内存页面文件，防止造成意外的信息泄漏。3.6.禁止系统在未登录前关机允许系统在未登录前关机允许系统在未登录前关机（禁用）禁止用户未登录系统状态下关闭计算机3.7.不显示上次登录的用户名交互式登录：不显示上次的用户名不显示上次的用户名（启用）登录时不显示上次的

8、用户名，防止暴露用户名。3.8.登录时需要按 CTRL+ALT+DEL不需要按 Ctrl+Alt+Del不需要按 Ctrl+Alt+Del（禁用）登录时需要按 CTRL+ALT+DEL。3.9.可被缓存的前次登录个数可被缓存的前次登录个数（在域控制器不可用的情况下）可被缓存的前次登录个数（设置缓存数为 3-5，此项对域服务器无效。）减少用户在本地缓存的登录信息，防止敏感信息泄露3.10.不允许 SAM 帐户和共享的匿名枚举网络访问：不允许 SAM 帐户和共享的匿名枚举不允许 SAM 帐户和共享的匿名枚举（启用）禁止使用匿名用户空连接枚举系统敏感信息3.11.不允许为网络身份验证储存凭证或 .N

9、ET Passports不允许为网络身份验证储存凭证或 .NET passports不允许为网络身份验证储存凭证或 .NET passports（启用）3.12.如果无法记录安全审核则立即关闭系统审核：如果无法记录安全审核则立即关闭系统如果无法记录安全审核则立即关闭系统（启用）3.13.禁止从本机发送远程协助邀请禁止从本机发送远程协助邀请右键“我的电脑”-“属性”-“远程”-去除“允许从这台计算机发送远程协助邀请”前的勾3.14.关闭故障恢复自动重新启动关闭故障恢复自动重新启动右键“我的电脑”-“属性”-“高级”-“启动和故障恢复设置”-去除“自动重新启动”前的勾禁止故障恢复自动重新启动4.用

10、户权限策略配置4.1.禁止用户组通过终端服务登录通过终端服务拒绝登录：添加 Guests、User 组选择用户权限分配-“通过终端服务拒绝登录”中添加 Guests、User 组禁止用户组通过终端服务拒绝登录4.2.只允许管理组通过终端服务登录通过终端服务允许登录：删除所有用户组“关闭系统”中删除所有用户组禁止通过终端服务登录4.3.限制从网络访问此计算机从网络访问此计算机中删除BackupOperators“从网络访问此计算机”中删除BackupOperators5.用户权限策略配置5.1.禁止自动登录禁止自动登录禁止自动登录：编辑注册表HKLMSoftwareMicrosoftWindow

11、s NTCurrentVersionWinlogonAutoAdminLogon（REG_DWORD） 值设置为0（如无需新建）5.2.禁止光驱自动运行禁止光驱自动运行HKLMSystemCurrentControlSetServicesCDrom Autorun（REG_DWORD） 值设置为 0（如无需新建）禁止 CD 自动运行5.3.启用源路由欺骗保护启用源路由欺骗保护启用源路由欺骗保护：HKLMSystemCurrentControlSet ServicesTcpipParameters新建（REG_DWORD） 值名称为 DisableIPSourceRouting 参数为 2防护在

12、网络上发生的源路由欺骗无，如服务器启用路由功能，则会影响相关功能。5.4.删除 IPC 共享删除 IPC 共享使用 net share 命令查看系统当前的共享资源：禁用 IPC 连接 : 打开注册表编辑器，依次展开HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa 分支，在右侧窗口中找到restrictanonymous子键，将其值改1即可。删除服务器上的管理员共享 : HKLMSystemCurrentControlSetServicesLanmanServerParametersAutoShareServer （如无需新建）（REG_DW

13、ORD）值参数为 0如系统存在其他人为设置共享，建议删除。删除主机因为管理而开放的共享，减小安全风险某些应用软件可能需要系统默认共享，应询问管理员确认。6.网络与服务加固6.1.卸载、禁用、停止不需要的服务卸载、禁用、停止不需要的服务检测分析系统已启动的不必要的服务包括：停止、禁用不需要的服务，如有必要则卸载已安装的服务。下面列出部分服务以做参考：AlerterClipbookComputer BrowserInternet Connection SharingMessengerRemote Registry ServiceRouting and Remote AccessServerShel

14、l Hardware DetectionTCP/IP NetBIOS Helper ServiceTerminal ServicesTask SchedulerTelnetSimple Mail Trasfer Protocol（SMTP）Simple Network Management Protocol（SNMP） ServiceSimple Network Management Protocol（SNMP） TrapWorld Wide Web Publishing Service避免未知漏洞给主机带来的潜在风险可能由于管理员对主机所开放服务不了解，导致有用服务被停止或卸载。实施前请与相

15、关应用开发厂商联系确认该服务与业务应用无关联。6.2.禁用不必要进程，防止病毒程序运行大部分恶意程序、病毒、脚本运行均会显示相应的进程，在微软停止对XP系统服务后，应加强日常的安全管理，禁用不必要的进程或程序，降低系统风险，同时减少系统资源使用。开始 运行 输入 tasklist停止、禁用不需要的进程，如有必要则禁用已安装的程序。下面列出部分病毒进程名以做参考：P2P 删除不必要的进程或程序，降低系统风险，同时减少系统资源使用6.3.关闭不必要启动项，防止病毒程序开机启动大部分恶意程序、病毒、脚本均是通过启动项来实现程序启动，禁用不必要的主机开机启动脚本及程序，降低系统风险。开始 运行 输入

16、msconfig 检查系统启动项目停止、禁用不需要的启动项，如有必要则禁用不需要的启动项。下面列出部分病毒启动项以做参考：禁用不必要的启动服务，防止恶意程序自动运行。6.4.检查是否开启不必要的端口在微软停止对XP系统的服务后，XP系统将面临更多的安全风险。关闭不必要的端口，可减少主机暴露的风险，加强系统的安全性。开始 运行 cmd，输入netstat -an1 参考配置操作开始 运行 cmd，输入netstat -ano查询结果如发现某个端口已开启，查通过查询进程对应PID进行关闭关闭不必要的端口，减少主机暴露的风险。6.5.修改默认的远程桌面端口检查远程桌面（RDP）服务端口运行命令“re

17、gedit”打开注册表编辑器，浏览到路径“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp”打开命令提示符，运行命令“regedit”打开注册表编辑器，浏览到路径“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp”，修改名称为“PortNumber”的数值的数据，使其不等于标准值（注意：标准值为16进制表示）。此数据的有效值为1-65535修改默认的远程桌面（RDP）服

18、务端口，减少主机暴露的风险。6.6.启用客户端自带防火墙启用客户端自带防火墙打开“控制面板”选择“WINDOWS防火墙”打开“控制面板”选择“WINDOWS防火墙”点选“启用”选项建议屏蔽以下端口：TCP 135TCP 139TCP 445TCP 139和TCP 445作为Windows的SMB和CIFS主要通信端口，如果将这两个端口关闭，则意味着该系统无法作为文件共享服务器。3.如启用了第三方防火墙，此windows防火墙可不启用为了将风险降低到最低，应加强安全意识的管理。启用系统自带防火墙，能够降低系统遭受远程入侵和病毒攻击的风险。6.7.检测 DDOS 攻击保护设置检测 DDOS 攻击保

19、护设置开始-运行-键入regedit,在注册表项 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters 下在开始-键入regedit,在注册表项 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters 下，修改以下几个值：值名称为SynAttackProtect,推荐值为2；值名称为TcpMaxPortsExhausted=5值名称为TcpMaxHalfOpen=500值名称为TcpMaxHalfOpenRetried=400值名称为Enable

20、ICMPRedirect=标准值2 补充操作说明注册表如没有对应的项，则新建设置syn相关参数。6.8.检测 ICMP攻击保护设置检测 ICMP攻击保护设置打开命令提示符，运行命令“regedit”打开注册表编辑器，浏览到路径“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters”打开命令提示符，运行命令“regedit”打开注册表编辑器，浏览到路径“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters”，添加名称为“EnableICMPRedirect”、类型为DWORD、数据为标准值的数值，若已存在则修改其数据。此数据的有效值为0-1禁用ICMP重定向。6.9.检测 TCP碎片攻击保护设置检测 TCP碎片攻击保护设置打开命令提示符，运行命令“regedit”打开注册表编辑器，浏览到路径“HKEY_LOCAL_M