Windows操作系统安全加固规范
2022-7-24 00:6:47 Author: 哆啦安全(查看原文) 阅读量:71 收藏

      本文针对Windows操作系统的账号管理、账户授权、日志配置、通信协议(IP协议安全)以及设置其他安全进行合规性检查和配置。

一、账户管理:

1、分配账号

  进入“控制面板->管理工具->计算机管理”,在“系统工具->本地用户和组”,结合要求和实际业务情况判断符合要求,根据系统的要求,设定不同的账户和账户组

2、清除无效账户:

  进入“控制面板->管理工具->计算机管理”,在“系统工具->本地用户和组”删除或锁定与设备运行、维护等与工作无关的账号。

3、更改缺省账户名称;禁用guest(来宾)账号:

进入“控制面板->管理工具->计算机管理”,在“系统工具->本地用户和组”。Administrator>属性-> 更改名称,Guest->属性-> 已停用。

4、配置密码策略:

  进入“控制面板->管理工具->本地安全策略”,在“户策略->密码策略”。密码必须符合复杂性要求”选择已启动”设置符合要求的策略。

5、配置账户锁定策略:

  进入“控制面板->管理工具->本地安全策略”,在“户策略->账户锁定策略”。

二、账户授权:

1、远端系统强制关机设置

  进入控制面板->管理工具->本地安全策略,在本地策略->用户权利指派”。从远端系统强制关机”设置为“只指派给Administrators组”。

2、关闭系统设置:

  进入控制面板->管理工具->本地安全策略,在本地策略->用户权利指派”。关闭系统”设置为“只指派给Administrators组”。

3、“取得文件或其它对象的所有权”设置:

  进入控制面板->管理工具->本地安全策略,在本地策略->用户权利指派”。“取得文件或其它对象的所有权”设置为“只指派给Administrators组”。

4“从本地登录此计算机”设置:

  进入控制面板->管理工具->本地安全策略,在本地策略->用户权利指派”,“从本地登此计算机”设置为“指定授权用户”。

5、“从网络访问此计算机”设置:

  进入控制面板->管理工具->本地安全策略,在本地策略->用户权利指派”,“从网络访问此计算机”设置为“指定授权用户”。

三、日志配置:

1、审核策略设置:

  开始->运行-> 执行“控制面板->管理工具->本地安全策略->审核策略”

  审核登录事件,双击,设置为成功和失败都审核。

  “审核策略更改设置为“成功”和“失败”都要审核

  “审核对象访问”设置为“成功”和“失败”都要审核

  “审核目录服务器访问设置为“成功”和“失败”都要审核

  “审核特权使用设置为成功失败都要审核

  “审核系统事件设置为成功失败都要审核

  “审核账户管理设置为成功失败都要审核

  “审核过程追踪设置为失败需要审核

2、日志记录策略设置:

   进入“控制面板->管理工具->事件查看器”,在“事件查看器(本地)”中:

应用日志”属性中的日志大小设置不小于8192KB,设置当达到最大的日志尺寸时,按需要改写事件

 “系统日志”属性中的日志大小设置不小于8192KB,设置当达到最大的日志尺寸时,按需要改写事件

 “安全日志”属性中的日志大小设置不小于8192KB ,设置当达到最大的日志尺寸时,按需要改写事件”。

四、通信协议(IP协议安全):

1、启用TCP/IP筛选:

  系统管理员出示业务所需端口列表。根据列表只开放系统与业务所需端口。进入控制面板->网络连接->本地连接,进入Internet协议(TCP/IP)属性->高级TCP/IP设置,在选项的属性中启用网络连接上的TCP/IP筛选,只开放业务所需要的TCPUDP端口和IP协议。

2、开启系统防火墙:

  系统管理员出示业务所需端口列表。根据列表只开放系统与业务所需端口。进入控制面板->网络连接->本地连接,在高级选项的设置中:启用Windows防火墙。在“例外”中配置允许业务所需的程序接入网络。在“例外->编辑->更改范围”编辑允许接入的网络地址范围。

3、启用SYN攻击保护:

  在“开始->运行->键入regedit”启用 SYN 攻击保护的命名值位于注册表项HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services 之下。名称:SynAttackProtect。推荐值:2。

 以下部分中的所有项和值均位于注册表项 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services 之下。

指定必须在触发 SYNflood 保护之前超过的 TCP 连接请求阈值。值名称:TcpMaxPortsExhausted。推荐值:5。

  启用SynAttackProtect 后,该值指定SYN_RCVD 状态中的 TCP 连接阈值,超过 SynAttackProtect 时,触发 SYN flood 保护。值名称:TcpMaxHalfOpen。推荐值数据:500。

  启用 SynAttackProtect 后,指定至少发送了一次重传的 SYN_RCVD 状态中的 TCP 连接阈值。超过 SynAttackProtect 时,触发 SYN flood 保护。值名称:TcpMaxHalfOpenRetried。推荐值数据:400。

Windows Server 2012

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\SynAttackProtect推荐值:2

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\TcpMaxHalfOpen推荐值:500

Windows Server 2008

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SynAttackProtect推荐值:2

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMaxPortsExhausted推荐值:5

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMaxHalfOpen推荐值:500HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMaxHalfOpenRetried推荐值:400

五、设置其他安全要求:

1、启用屏幕保护程序:

  进入“控制面板->显示->屏幕保护程序”:启用屏幕保护程序,设置等待时间为“5分钟”,启用“在恢复时使用密码保护”。

2、设置Microsoft网络服务器挂起时间:

  进入控制面板->管理工具->本地安全策略”,在“本地策略->安全选项”:“Microsoft网络服务器”设置为在挂起会话之前所需的空闲时间”为15分钟。

3、关闭默认共享:

  进入“开始->运行->Regedit”,进入注册表编辑器更改注册表键值:在HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters\下,增加REG_DWORD类型的AutoShareServer键,值为0。

4、设置共享文件夹访问权限:

  进入“控制面板->管理工具->计算机管理”,进入“系统工具->共享文件夹”:查看每个共享文件夹的共享权限,只将权限授权于指定账户。

5、安装系统补丁:

  安装最新的Service Pack补丁集,以及最新的Hotfix补丁。目前Windows XP的Service Pack为SP3。Windows2000的Service Pack为SP4,Windows 2003的Service Pack为SP2。

注意:安装补丁前,应对操作系统进行兼容性测试,避免补丁打上后系统无法正常使用。

6、安装、更新杀毒软件:

  安装防病毒软件,并将病毒库更新到最新的版本

7、数据执行保护配置:

  进入控制面板->系统,在“高级”选项卡的“性能”下的“设置”。进入数据执行保护选项卡。设置为“仅为基本 Windows 操作系统程序和服务启用DEP”。

8、关闭服务:

  进入“控制面板->管理工具->计算机管理”,进入“服务和应用程序”:

查看所有服务,不在此列表的服务都需要(还是评估一下吧)关闭。

服务

启动类型

包括在成员服务器基准策略中的理由

COM+ 事件服务

手动

允许组件服务的管理

DHCP 客户端

自动

更新动态 DNS 中的记录所需

分布式链接跟踪客户端

自动

用来维护 NTFS 卷上的链接

DNS 客户端

自动

允许解析 DNS 名称

事件日志

自动

允许在事件日志中查看事件日志消息

逻辑磁盘管理器

自动

需要它来确保动态磁盘信息保持最新

逻辑磁盘管理器管理服务

手动

需要它以执行磁盘管理

Netlogon

自动

加入域时所需

网络连接

手动

网络通讯所需

性能日志和警报

手动

收集计算机的性能数据,向日志中写入或触发警报

即插即用

自动

Windows 标识和使用系统硬件时所需

受保护的存储区

自动

需要用它保护敏感数据,如私钥

远程过程调用 (RPC)

自动

Windows 中的内部过程所需

远程注册服务

自动

hfnetchk 实用工具所需(参见附注)

安全户管理器

自动

存储本地安全户的帐户信息

服务器

自动

hfnetchk 实用工具所需(参见附注)

系统事件通知

自动

在事件日志中记录条目所需

TCP/IP NetBIOS Helper 服务

自动

在组策略中进行软件分发所需(可用来分发修补程序)

Windows 管理规范驱动程序

手动

使用性能日志和警报实现性能警报时所需

Windows 时间服务

自动

需要它来保证 Kerberos 身份验证有一致的功能

工作站

自动

加入域时所需

9、修改SNMP服务密码:

  打开控制面板,打开管理工具中的服务,找到“SNMP Service”,单击右键打开属性面板中的安全选项卡,在这个配置界面中,可以修改community strings,也就是微软所说的团体名称

10、关闭无效启动项:

“开始->运行->MSconfig”启动菜单中,取消不必要的启动项。

11、关闭Windows自动播放功能:

  点击开始运行输入gpedit.msc,打开组策略编辑器,浏览到计算机配置管理模板系统,在右边窗格中双击关闭自动播放,对话框中选择所有驱动器,确定即可。

推荐阅读

零基础培训课程+技术指导服务(技术交流社群)

零基础学编程/零基础学安全/零基础学逆向实战速成培训班


文章来源: http://mp.weixin.qq.com/s?__biz=Mzg2NzUzNzk1Mw==&mid=2247493275&idx=2&sn=a3793f770c11f48b67eab347a18f6bc4&chksm=ceb8a3d5f9cf2ac35542949af5eb992bd570bf99667c337b15129d2644c4c6a10c8718588d89#rd
如有侵权请联系:admin#unsafe.sh