Windows 操作系统安全防护强制性要求.docx

1、Windows 操作系统安全防护强制性要求Windows 操作系统安全防护强制性要求二一四年五月1. 系统用户口令及策略加固1.1. 系统用户口令策略加固实施名称：系统用户口令策略加固系统当前状态：查看系统“本地安全设置”“帐户策略”中“ 密码策略”和“账号锁定策略”当前情况实施方案：密码必须符合复杂性要求：启用密码长度最小值 8 个字符密码最长使用期限： 90 天强制密码历史： 24 个记住的密码帐户锁定阀值： 3 次无效登录帐户锁定时间： 15 分钟复位帐户锁定计数器： 15 分钟之后策略更改后，督促现有用户更改其登录口令以符合最新策略要求。实施目的：保障用户账号及口令的安全，防止口令猜测

2、攻击。实施风险：无1.2. 用户权限设置实施名称：禁止除管理员外的一般用户远程登录计算机或关闭计算机，同时禁止无用帐号的登录，可以防止恶意用户通过破解一般低权限的用户口令后使用该用户登录进行提权攻击。系统当前状态：开始 运行 gpedit.msc计算机配置 Windows设置 安全设置 本地策略 用户权利指派实施方案：1参考配置操作检查用户权限策略是否设置：开始 运行 gpedit.msc计算机配置 Windows设置 安全设置 本地策略 用户权利指派此处有较多选项，建议对以下四项进行检查： 从网络访问此计算机（可选） 从远程系统强制关机 拒绝本地登录建议做如下设置： 从远程系统强制关机的权利

3、仅指派给Administrators 设置取得文件或其它对象的所有权为只指派给Administrators组 拒绝本地登录： IUSR_MACHINENAME、IWAN_MACHINENAME等不需要使用的用户设置完成后使用secedit /refreshpolicymachine_policy命令刷新策略以快速生效（建议重新启动系统）2补充操作说明如果设备需要文件共享，则不应设置从网络访问此计算机项实施目的：禁止除管理员外的一般用户远程登录计算机或关闭计算机，同时禁止无用帐号的登录实施风险：无1.3. 禁用Guest（来宾）帐户实施名称：禁用Guest帐号，降低被攻击的风险系统当前状态：进入

4、“控制面板-管理工具-计算机管理”，在“系统工具-本地用户和组-用户”实施方案：1、参考配置操作进入“控制面板-管理工具-计算机管理”，在“系统工具-本地用户和组-用户”：Guest帐号-属性已停用实施目的：禁用Guest帐号，降低被攻击的风险实施风险：无1.4. 禁止使用超级管理员帐号实施名称：防止系统被入侵后，入侵者直接获取最高用户权限系统当前状态：进入“控制面板-管理工具-计算机管理”，在“系统工具-本地用户和组-用户”实施方案：XP系统多用于日常办公使用，可禁止使用超级管理员账号，一般日常办公使用普通用户1、参考配置操作进入“控制面板-管理工具-计算机管理”，在“系统工具-本地用户和组

5、-用户”：右键新用户自定义用户名2补充操作说明默认新加的用户为普通用户权限，建议安装软件安装在非系统盘下。实施目的：防止系统被入侵后直接获取最高用户权限实施风险：无1.5. 删除多余的账号实施名称：删除或禁用多余的系统账号系统当前状态：实施方案：开始控制面板管理工具计算机管理本地用户和组用户：删除或者禁用多余的账号，建议只保留一个当前使用的账号实施目的：关闭多余的系统账号实施风险：无2. 日志审核策略配置2.1. 设置主机审核策略实施名称：设置主机审核策略系统当前状态：在“本地安全策略”“本地策略”中查看系统“审核策略”实施方案：审核策略更改成功，失败审核登录事件成功，失败审核对象访问失败审核

6、目录服务访问成功，失败审核特权使用失败审核系统事件成功，失败审核账户登录事件成功，失败审核帐户管理成功，失败实施目的：对重要事件进行审核记录，便于问题的追溯。实施风险：无2.2. 调整事件日志的大小及覆盖策略实施名称：调整事件日志的大小及覆盖策略系统当前状态：日志类型日志大小覆盖策略应用程序日志 K 覆盖早于天的日志安全日志 K 覆盖早于天的日志系统日志 K 覆盖早于天的日志实施方案：右键点击“我的电脑”-“管理”-“事件查看器”-右键点击“系统”-“属性”-修改“最大文件大小”日志类型日志大小覆盖策略应用程序日志 80000 K 覆盖早于 30 天的日志安全日志 80000 K 覆盖早于 3

7、0 天的日志系统日志 80000K 覆盖早于 30 天的日志其他日志（如存在） 80000 K 覆盖早于 30 天的日志实施目的：增加日志文件的容量，避免由于日志文件容量过小导致重要日志记录遗漏实施风险：无2.3. 启用系统失败日志记录功能实施名称：启用系统失败日志记录功能系统当前状态：右键“我的电脑” - “属性” - “高级” - “启动和故障恢复” - “设置”实施方案：1、参考配置操作右键“我的电脑” - “属性” - “高级” - “启动和故障恢复” - “设置”，将“将事件写入系统日志”、“发送管理警报”这两项的勾上。再将下面的“写入调试信息”设置为“完全内存存储”实施目的：启用系

8、统失败日志记录功能实施风险：无3. 安全选项策略配置3.1. 设置挂起会话的空闲时间实施名称：设置Microsoft 网络服务器挂起会话的空闲时间系统当前状态：查看系统当前设置实施方案：在管理工具-本地安全策略-选择本地策略-选择安全选项- Microsoft网络服务器：在挂起会话之前所需的空闲时间（小于等于 5分钟）实施目的：设置挂起会话之前所需的空闲时间为 5分钟实施风险：无3.2. 禁止发送未加密的密码到第三方 SMB 服务器实施名称：Microsoft 网络客户端：发送未加密的密码到第三方 SMB 服务器系统当前状态：查看系统当前设置实施方案：在管理工具-本地安全策略-选择本地策略-选

9、择安全选项- Microsoft网络客户端：发送未加密的密码到第三方 SMB 服务器（已禁用）实施目的：禁止发送未加密的密码到第三方 SMB 服务器实施风险：无3.3. 禁用对所有驱动器和文件夹进行软盘复制和访问实施名称：故障恢复控制台:允许对所有驱动器和文件夹进行软盘复制和访问系统当前状态：查看系统当前设置：实施方案：在管理工具-本地安全策略-选择本地策略-选择安全选项-故障恢复控制台:允许对所有驱动器和文件夹进行软盘复制和访问（禁用）实施目的：Windows 控制台恢复的另一个特性是它禁止访问硬盘驱动器上的所有文件和目录。它仅允许访问每个卷的根目录和%systemroot%目录及子目录，即

10、使是这样它还限制不允许把硬盘驱动器上的文件拷贝到软盘上。实施风险：无3.4. 禁止故障恢复控制台自动登录实施名称：故障恢复控制台:允许自动系统管理级登录系统当前状态：查看系统当前设置：实施方案：在管理工具-本地安全策略-选择本地策略-选择安全选项-故障恢复控制台:允许自动系统管理级登录（禁用）实施目的：防止非法用户通过恢复控制台（无需密码）自动登录到系统实施风险：无3.5. 关机时清除虚拟内存页面文件实施名称：关机时清除虚拟内存页面文件系统当前状态：查看系统当前设置：实施方案：在管理工具-本地安全策略-选择本地策略-选择安全选项-关机：清除虚拟内存页面文件（启用）实施目的：页面文件中可能含有敏

11、感的资料，关机的时候清除虚拟内存页面文件，防止造成意外的信息泄漏。实施风险：无3.6. 禁止系统在未登录前关机实施名称：关机：允许系统在未登录前关机系统当前状态：查看系统当前设置：实施方案：在管理工具-本地安全策略-选择本地策略-选择安全选项-关机：允许系统在未登录前关机（禁用）实施目的：禁止用户未登录系统状态下关闭计算机实施风险：无3.7. 不显示上次登录的用户名实施名称：交互式登录：不显示上次的用户名系统当前状态：查看系统当前设置：实施方案：在管理工具-本地安全策略-选择本地策略-选择安全选项-交互式登录：不显示上次的用户名（启用）实施目的：登录时不显示上次的用户名，防止暴露用户名。实施风

12、险：无3.8. 登录时需要按 CTRL+ALT+DEL实施名称：交互式登录：不需要按 Ctrl+Alt+Del系统当前状态：查看系统当前设置：实施方案：在管理工具-本地安全策略-选择本地策略-选择安全选项-交互式登录：不需要按 Ctrl+Alt+Del（禁用）实施目的：登录时需要按 CTRL+ALT+DEL。实施风险：无3.9. 可被缓存的前次登录个数实施名称：交互式登录：可被缓存的前次登录个数（在域控制器不可用的情况下）系统当前状态：查看系统当前设置：实施方案：在管理工具-本地安全策略-选择本地策略-选择安全选项-交互式登录：可被缓存的前次登录个数（设置缓存数为 3-5，此项对域服务器无效。

13、）实施目的：减少用户在本地缓存的登录信息，防止敏感信息泄露实施风险：无3.10. 不允许 SAM 帐户和共享的匿名枚举实施名称：网络访问：不允许 SAM 帐户和共享的匿名枚举系统当前状态：查看系统当前设置：实施方案：在管理工具-本地安全策略-选择本地策略-选择安全选项-网络访问：不允许 SAM 帐户和共享的匿名枚举（启用）实施目的：禁止使用匿名用户空连接枚举系统敏感信息实施风险：无3.11. 不允许为网络身份验证储存凭证或 .NET Passports实施名称：网络访问：不允许为网络身份验证储存凭证或 .NET passports系统当前状态：查看系统当前设置：实施方案：在管理工具-本地安全策

14、略-选择本地策略-选择安全选项-网络访问：不允许为网络身份验证储存凭证或 .NET passports(启用）实施目的：不允许为网络身份验证储存凭证或 .NET passports实施风险：无3.12. 如果无法记录安全审核则立即关闭系统实施名称：审核：如果无法记录安全审核则立即关闭系统系统当前状态：查看系统当前设置：实施方案：在管理工具-本地安全策略-选择本地策略-选择安全选项-审核：如果无法记录安全审核则立即关闭系统（启用）实施目的：如果无法记录安全审核则立即关闭系统实施风险：无3.13. 禁止从本机发送远程协助邀请实施名称：禁止从本机发送远程协助邀请系统当前状态：查看系统当前设置：实施方

15、案：右键“我的电脑”-“属性”-“远程”-去除“允许从这台计算机发送远程协助邀请”前的勾实施目的：禁止从本机发送远程协助邀请实施风险：无3.14. 关闭故障恢复自动重新启动实施名称：关闭故障恢复自动重新启动系统当前状态：查看系统当前设置：实施方案：右键“我的电脑”-“属性”-“高级”-“启动和故障恢复设置”-去除“自动重新启动”前的勾实施目的：禁止故障恢复自动重新启动实施风险：无4. 用户权限策略配置4.1. 禁止用户组通过终端服务登录实施名称：通过终端服务拒绝登录：添加 Guests、User 组系统当前状态：查看系统当前设置：实施方案：在管理工具-本地安全策略-选择本地策略-选择用户权限分

16、配-“通过终端服务拒绝登录”中添加 Guests、User 组实施目的：禁止用户组通过终端服务拒绝登录实施风险：无4.2. 只允许管理组通过终端服务登录实施名称：通过终端服务允许登录：删除所有用户组系统当前状态：查看系统当前设置：实施方案：在管理工具-本地安全策略-选择本地策略-选择用户权限分配-“关闭系统”中删除所有用户组实施目的：禁止通过终端服务登录实施风险：无4.3. 限制从网络访问此计算机实施名称：从网络访问此计算机中删除BackupOperators系统当前状态：查看系统当前设置：实施方案：在管理工具-本地安全策略-选择本地策略-选择用户权限分配-“从网络访问此计算机”中删除Back

17、upOperators实施目的：从网络访问此计算机中删除BackupOperators实施风险：无5. 用户权限策略配置5.1. 禁止自动登录实施名称：禁止自动登录系统当前状态：实施方案：禁止自动登录：编辑注册表HKLMSoftwareMicrosoftWindows NTCurrentVersionWinlogonAutoAdminLogon(REG_DWORD) 值设置为0（如无需新建）实施目的：禁止自动登录实施风险：无5.2. 禁止光驱自动运行实施名称：禁止光驱自动运行系统当前状态：实施方案：禁止自动登录：编辑注册表HKLMSystemCurrentControlSetServicesC

18、Drom Autorun(REG_DWORD) 值设置为 0（如无需新建）实施目的：禁止 CD 自动运行实施风险：无5.3. 启用源路由欺骗保护实施名称：启用源路由欺骗保护系统当前状态：实施方案：启用源路由欺骗保护：编辑注册表HKLMSystemCurrentControlSet ServicesTcpipParameters新建(REG_DWORD) 值名称为 DisableIPSourceRouting 参数为 2实施目的：防护在网络上发生的源路由欺骗实施风险：无，如服务器启用路由功能，则会影响相关功能。5.4. 删除 IPC 共享实施名称：删除 IPC 共享系统当前状态：使用 net s

19、hare 命令查看系统当前的共享资源：实施方案：禁用 IPC 连接 : 打开注册表编辑器，依次展开HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa 分支，在右侧窗口中找到restrictanonymous子键，将其值改1即可。删除服务器上的管理员共享 : HKLMSystemCurrentControlSetServicesLanmanServerParametersAutoShareServer （如无需新建）(REG_DWORD)值参数为 0如系统存在其他人为设置共享，建议删除。实施目的：删除主机因为管理而开放的共享，减小安全风险实施风

20、险：某些应用软件可能需要系统默认共享，应询问管理员确认。6. 网络与服务加固6.1. 卸载、禁用、停止不需要的服务实施名称：卸载、禁用、停止不需要的服务系统当前状态：检测分析系统已启动的不必要的服务包括：实施方案：停止、禁用不需要的服务，如有必要则卸载已安装的服务。下面列出部分服务以做参考：AlerterClipbookComputer BrowserInternet Connection SharingMessengerRemote Registry ServiceRouting and Remote AccessServerShell Hardware DetectionTCP/IP Ne

21、tBIOS Helper ServiceTerminal ServicesTask SchedulerTelnetTerminal ServicesSimple Mail Trasfer Protocol(SMTP)Simple Network Management Protocol(SNMP) ServiceSimple Network Management Protocol(SNMP) TrapWorld Wide Web Publishing Service实施目的：避免未知漏洞给主机带来的潜在风险实施风险：可能由于管理员对主机所开放服务不了解，导致有用服务被停止或卸载。实施前请与相关应

22、用开发厂商联系确认该服务与业务应用无关联。6.2. 禁用不必要进程，防止病毒程序运行实施名称：大部分恶意程序、病毒、脚本运行均会显示相应的进程，在微软停止对XP系统服务后，应加强日常的安全管理，禁用不必要的进程或程序，降低系统风险，同时减少系统资源使用。系统当前状态：开始 运行 输入 tasklist实施方案：停止、禁用不需要的进程，如有必要则禁用已安装的程序。下面列出部分病毒进程名以做参考：180ax.exea.exeactalert.exeadaware.exeAlchem.exealevir.exeaqadcup.exearchive.exearr.exeARUpdate.exeasm.

23、exeav.exeavserve.exeavserve2.exebackWeb.exebargains.exebasfipm.exebelt.exeBiprep.exeblss.exebokja.exebootconf.exebpc.exebrasil.exeBuddy.exebundle.exebvt.execashback.execmd32.execmesys.execonime.execonscorr.execrss.execxtpls.exedatemanager.exedcomx.exeDesktop.exedirects.exedivx.exedllreg.exedmserver.

24、exedpi.exedssagent.exedvdkeyauth.exeemsw.exeexdl.exeexec.exeexplore.exeexplored.exeFash.exeffisearch.exefntldr.exefsg_4104.exeFVProtect.exegame.exegator.exegmt.exegoidr.exehbinst.exehbsrv.exehwclock.exehxdl.exehxiul.exeiedll.exeiedriver.exeiexplorer.exeinfus.exeinfwin.exeintdel.exeisass.exeistsvc.ex

25、ejawa32.exejdbgmrg.exekazza.exekeenvalue.exekernel32.exelass.exelmu.exeloader.exelssas.exemapisvc32.exemario.exemd.exemfin32.exemmod.exemostat.exemsapp.exemsbb.exemsblast.exemscache.exemsccn32.exemscman.exemsdm.exemsgfix.exemsiexec16.exemsinfo.exemslagent.exemslaugh.exemsmc.exemsmgt.exemsmsgri32.exe

26、MSN.exemsrexe.exemssvc32.exemssys.exemsvxd.exemwsoemon.exemwsvm.exenetd32.exenls.exenssys32.exenstask32.exensupdate.exentfs64.exeNTOSA32.exeomniscient.exeonsrvr.exeoptimize.exeP2P Networking.exepcsvc.exepgmonitr.exePIB.exepowerscan.exeprizesurfer.exeprmt.exeprmvr.exeray.exerb32.exercsync.exerk.exeru

27、n32dll.exerundll16.exeruxdll32.exesaap.exesahagent.exesaie.exesais.exesalm.exesatmat.exesave.exesavenow.exesc.exescam32.exescrsvr.exescvhost.exeSearchUpdate33.exeSearchUpgrader.exesoap.exespoler.exeSsk.exestart.exestcloader.exeSusp.exesvc.exesvchosts.exesvshost.exeSyncroAd.exesysfit.exesystem.exesys

28、tem32.exetb_setup.exeteekids.exetibs3.exetrickler.exets.exets2.exetsa.exetsadbot.exetsl.exetsm2.exeTvm.exetvmd.exetvtmd.exeupdate.exeupdater.exeupdmgr.exeVVSN.exewast.exeweb.exewebdav.exewebrebates.exewebrebates0.exewin-bugsfix.exewin_upd2.exewin32.exewin32us.exewinactive.exewinad.exewinadalt.exewinadctl.exeWinAdTools.exeWINdirect.exewindows.exewingo.exewininetd.exewininit.exewinl