Windows 操作系统安全防护强制性要求Word文件下载.docx
《Windows 操作系统安全防护强制性要求Word文件下载.docx》由会员分享,可在线阅读,更多相关《Windows 操作系统安全防护强制性要求Word文件下载.docx(41页珍藏版)》请在冰点文库上搜索。
IUSR_MACHINENAME、IWAN_MACHINENAME等不需要使用的用户
设置完成后使用secedit/refreshpolicymachine_policy命令刷新策略以快速生效(建议重新启动系统)
2.补充操作说明
如果设备需要文件共享,则不应设置从网络访问此计算机项
禁止除管理员外的一般用户远程登录计算机或关闭计算机,同时禁止无用帐号的登录
1.3.禁用Guest(来宾)帐户
禁用Guest帐号,降低被攻击的风险
进入“控制面板->
管理工具->
计算机管理”,在“系统工具->
本地用户和组->
用户”
1、参考配置操作
用户”:
Guest帐号->
属性->
已停用
1.4.禁止使用超级管理员帐号
防止系统被入侵后,入侵者直接获取最高用户权限
XP系统多用于日常办公使用,可禁止使用超级管理员账号,一般日常办公使用普通用户
右键->
新用户->
自定义用户名
默认新加的用户为普通用户权限,建议安装软件安装在非系统盘下。
防止系统被入侵后直接获取最高用户权限
1.5.删除多余的账号
删除或禁用多余的系统账号
开始—控制面板—管理工具—计算机管理—本地用户和组—用户:
删除或者禁用多余的账号,建议只保留一个当前使用的账号
关闭多余的系统账号
2.日志审核策略配置
2.1.设置主机审核策略
设置主机审核策略
在“本地安全策略”-“本地策略”中查看系统“审核策略”
审核策略更改成功,失败
审核登录事件成功,失败
审核对象访问失败
审核目录服务访问成功,失败
审核特权使用失败
审核系统事件成功,失败
审核账户登录事件成功,失败
审核帐户管理成功,失败
对重要事件进行审核记录,便于问题的追溯。
2.2.调整事件日志的大小及覆盖策略
调整事件日志的大小及覆盖策略
日志类型日志大小覆盖策略
应用程序日志K覆盖早于天的日志
安全日志K覆盖早于天的日志
系统日志K覆盖早于天的日志
右键点击“我的电脑”-“管理”-“事件查看器”-右键点击“系统”-“属性”-修改“最大文件大小”
应用程序日志80000K覆盖早于30天的日志
安全日志80000K覆盖早于30天的日志
系统日志80000K覆盖早于30天的日志
其他日志(如存在)80000K覆盖早于30天的日志
增加日志文件的容量,避免由于日志文件容量过小导致重要日志记录遗漏
2.3.启用系统失败日志记录功能
启用系统失败日志记录功能
右键“我的电脑”-“属性”-“高级”-“启动和故障恢复”-“设置”
右键“我的电脑”-“属性”-“高级”-“启动和故障恢复”-“设置”,将“将事件写入系统日志”、“发送管理警报”这两项的勾上。
再将下面的“写入调试信息”设置为“完全内存存储”
3.安全选项策略配置
3.1.设置挂起会话的空闲时间
设置Microsoft网络服务器挂起会话的空闲时间
查看系统当前设置
在管理工具->
本地安全策略->
选择本地策略->
选择安全选项->
Microsoft网络服务器:
在挂起会话之前所需的空闲时间(小于等于5分钟)
设置挂起会话之前所需的空闲时间为5分钟
3.2.禁止发送未加密的密码到第三方SMB服务器
Microsoft网络客户端:
发送未加密的密码到第三方SMB服务器
Microsoft网络客户端:
发送未加密的密码到第三方SMB服务器(已禁用)
禁止发送未加密的密码到第三方SMB服务器
3.3.禁用对所有驱动器和文件夹进行软盘复制和访问
故障恢复控制台:
允许对所有驱动器和文件夹进行软盘复制和访问
查看系统当前设置:
允许对所有驱动器和文件夹进行软盘复制和访问(禁用)
Windows控制台恢复的另一个特性是它禁止访问硬盘驱动器上的所有文件和目录。
它仅允许访问每个卷的根目录和%systemroot%目录及子目录,即使是这样它还限制不允许把硬盘驱动器上的文件拷贝到软盘上。
3.4.禁止故障恢复控制台自动登录
允许自动系统管理级登录
允许自动系统管理级登录(禁用)
防止非法用户通过恢复控制台(无需密码)自动登录到系统
3.5.关机时清除虚拟内存页面文件
关机时清除虚拟内存页面文件
关机:
清除虚拟内存页面文件(启用)
页面文件中可能含有敏感的资料,关机的时候清除虚拟内存页面文件,防止造成意外的信息泄漏。
3.6.禁止系统在未登录前关机
允许系统在未登录前关机
允许系统在未登录前关机(禁用)
禁止用户未登录系统状态下关闭计算机
3.7.不显示上次登录的用户名
交互式登录:
不显示上次的用户名
不显示上次的用户名(启用)
登录时不显示上次的用户名,防止暴露用户名。
3.8.登录时需要按CTRL+ALT+DEL
不需要按Ctrl+Alt+Del
不需要按Ctrl+Alt+Del(禁用)
登录时需要按CTRL+ALT+DEL。
3.9.可被缓存的前次登录个数
可被缓存的前次登录个数(在域控制器不可用的情况下)
可被缓存的前次登录个数(设置缓存数为3-5,此项对域服务器无效。
)
减少用户在本地缓存的登录信息,防止敏感信息泄露
3.10.不允许SAM帐户和共享的匿名枚举
网络访问:
不允许SAM帐户和共享的匿名枚举
不允许SAM帐户和共享的匿名枚举(启用)
禁止使用匿名用户空连接枚举系统敏感信息
3.11.不允许为网络身份验证储存凭证或.NETPassports
不允许为网络身份验证储存凭证或.NETpassports
不允许为网络身份验证储存凭证或.NETpassports(启用)
3.12.如果无法记录安全审核则立即关闭系统
审核:
如果无法记录安全审核则立即关闭系统
如果无法记录安全审核则立即关闭系统(启用)
3.13.禁止从本机发送远程协助邀请
禁止从本机发送远程协助邀请
右键“我的电脑”-“属性”-“远程”-去除“允许从这台计算机发送远程协助邀请”前的勾
3.14.关闭故障恢复自动重新启动
关闭故障恢复自动重新启动
右键“我的电脑”-“属性”-“高级”-“启动和故障恢复设置”-去除“自动重新启动”前的勾
禁止故障恢复自动重新启动
4.用户权限策略配置
4.1.禁止用户组通过终端服务登录
通过终端服务拒绝登录:
添加Guests、User组
选择用户权限分配->
“通过终端服务拒绝登录”中添加Guests、User组
禁止用户组通过终端服务拒绝登录
4.2.只允许管理组通过终端服务登录
通过终端服务允许登录:
删除所有用户组
“关闭系统”中删除所有用户组
禁止通过终端服务登录
4.3.限制从网络访问此计算机
从网络访问此计算机中删除BackupOperators
“从网络访问此计算机”中删除BackupOperators
5.用户权限策略配置
5.1.禁止自动登录
禁止自动登录
禁止自动登录:
编辑注册表
HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon\AutoAdminLogon(REG_DWORD)值设置为0(如无需新建)
5.2.禁止光驱自动运行
禁止光驱自动运行
HKLM\System\CurrentControlSet\Services\CDrom\Autorun(REG_DWORD)值设置为0(如无需新建)
禁止CD自动运行
5.3.启用源路由欺骗保护
启用源路由欺骗保护
启用源路由欺骗保护:
HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\
新建(REG_DWORD)值名称为DisableIPSourceRouting参数为2
防护在网络上发生的源路由欺骗
无,如服务器启用路由功能,则会影响相关功能。
5.4.删除IPC共享
删除IPC共享
使用netshare命令查看系统当前的共享资源:
禁用IPC连接:
打开注册表编辑器,依次展开HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]分支,在右侧窗口中找到"
restrictanonymous"
子键,将其值改"
1"
即可。
删除服务器上的管理员共享:
HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters\AutoShareServer(如无需新建)(REG_DWORD)值参数为0
如系统存在其他人为设置共享,建议删除。
删除主机因为管理而开放的共享,减小安全风险
某些应用软件可能需要系统默认共享,应询问管理员确认。
6.网络与服务加固
6.1.卸载、禁用、停止不需要的服务
卸载、禁用、停止不需要的服务
检测分析系统已启动的不必要的服务包括:
停止、禁用不需要的服务,如有必要则卸载已安装的服务。
下面列出部分服务以做参考:
Alerter
Clipbook
ComputerBrowser
InternetConnectionSharing
Messenger
RemoteRegistryService
RoutingandRemoteAccess
Server
ShellHardwareDetection
TCP/IPNetBIOSHelperService
TerminalServices
TaskScheduler
Telnet
SimpleMailTrasferProtocol(SMTP)
SimpleNetworkManagementProtocol(SNMP)Service
SimpleNetworkManagementProtocol(SNMP)Trap
WorldWideWebPublishingService
避免未知漏洞给主机带来的潜在风险
可能由于管理员对主机所开放服务不了解,导致有用服务被停止或卸载。
实施前请与相关应用开发厂商联系确认该服务与业务应用无关联。
6.2.禁用不必要进程,防止病毒程序运行
大部分恶意程序、病毒、脚本运行均会显示相应的进程,在微软停止对XP系统服务后,应加强日常的安全管理,禁用不必要的进程或程序,降低系统风险,同时减少系统资源使用。
开始–运行–输入tasklist
停止、禁用不需要的进程,如有必要则禁用已安装的程序。
下面列出部分病毒进程名以做参考:
180ax.exe
a.exe
actalert.exe
adaware.exe
Alchem.exe
alevir.exe
aqadcup.exe
archive.exe
arr.exe
ARUpdate.exe
asm.exe
av.exe
avserve.exe
avserve2.exe
backWeb.exe
bargains.exe
basfipm.exe
belt.exe
Biprep.exe
blss.exe
bokja.exe
bootconf.exe
bpc.exe
brasil.exe
Buddy.exe
bundle.exe
bvt.exe
cashback.exe
cmd32.exe
cmesys.exe
conime.exe
conscorr.exe
crss.exe
cxtpls.exe
datemanager.exe
dcomx.exe
Desktop.exe
directs.exe
divx.exe
dllreg.exe
dmserver.exe
dpi.exe
dssagent.exe
dvdkeyauth.exe
emsw.exe
exdl.exe
exec.exe
explore.exe
explored.exe
Fash.exe
ffisearch.exe
fntldr.exe
fsg_4104.exe
FVProtect.exe
game.exe
gator.exe
gmt.exe
goidr.exe
hbinst.exe
hbsrv.exe
hwclock.exe
hxdl.exe
hxiul.exe
iedll.exe
iedriver.exe
iexplorer.exe
infus.exe
infwin.exe
intdel.exe
isass.exe
istsvc.exe
jawa32.exe
jdbgmrg.exe
kazza.exe
keenvalue.exe
kernel32.exe
lass.exe
lmu.exe
loader.exe
lssas.exe
mapisvc32.exe
mario.exe
md.exe
mfin32.exe
mmod.exe
mostat.exe
msapp.exe
msbb.exe
msblast.exe
mscache.exe
msccn32.exe
mscman.exe
msdm.exe
msgfix.exe
msiexec16.exe
msinfo.exe
mslagent.exe
mslaugh.exe
msmc.exe
msmgt.exe
msmsgri32.exe
MSN.exe
msrexe.exe
mssvc32.exe
mssys.exe
msvxd.exe
mwsoemon.exe
mwsvm.exe
netd32.exe
nls.exe
nssys32.exe
nstask32.exe
nsupdate.exe
ntfs64.exe
NTOSA32.exe
omniscient.exe
onsrvr.exe
optimize.exe
P2PNetworking.exe
pcsvc.exe
pgmonitr.exe
PIB.exe
powerscan.exe
prizesurfer.exe
prmt.exe
prmvr.exe
ray.exe
rb32.exe
rcsync.exe
rk.exe
run32dll.exe
rundll16.exe
ruxdll32.exe
saap.exe
sahagent.exe
saie.exe
sais.exe
salm.exe
satmat.exe
save.exe
savenow.exe
sc.exe
scam32.exe
scrsvr.exe
scvhost.exe
SearchUpdate33.exe
SearchUpgrader.exe
soap.exe
spoler.exe
Ssk.exe
start.exe
stcloader.exe
Susp.exe
svc.exe
svchosts.exe
svshost.exe
SyncroAd.exe
sysfit.exe
system.exe
system32.exe
tb_setup.exe
teekids.exe
tibs3.exe
trickler.exe
ts.exe
ts2.exe
tsa.exe
tsadbot.exe
tsl.exe
tsm2.exe
Tvm.exe
tvmd.exe
tvtmd.exe
update.exe
updater.exe
updmgr.exe
VVSN.exe
wast.exe
web.exe
webdav.exe
webrebates.exe
webrebates0.exe
win-bugsfix.exe
win_upd2.exe
win32.exe
win32us.exe
winactive.exe
winad.exe
winadalt.exe
winadctl.exe
WinAdTools.exe
WINdirect.exe
windows.exe
wingo.exe
wininetd.exe
wininit.exe
winl
升级会员 