Windows操作系统安全加固规范 包括日志配置、通信协议(IP协议安全)
安全设备/系统
描述
本文针对Windows操作系统的账号管理、账户授权、日志配置、通信协议(IP协议安全)以及设置其他安全进行合规性检查和配置。
一、账户管理:
1、分配账号:
进入“控制面板->管理工具->计算机管理”,在“系统工具->本地用户和组”,结合要求和实际业务情况判断符合要求,根据系统的要求,设定不同的账户和账户组。
2、清除无效账户:
进入“控制面板->管理工具->计算机管理”,在“系统工具->本地用户和组”,删除或锁定与设备运行、维护等与工作无关的账号。
3、更改缺省账户名称;禁用guest(来宾)账号:
进入“控制面板->管理工具->计算机管理”,在“系统工具->本地用户和组”。Administrator->属性-> 更改名称,Guest账号->属性-> 已停用。
4、配置密码策略:
进入“控制面板->管理工具->本地安全策略”,在“账户策略->密码策略”。“密码必须符合复杂性要求”选择“已启动”设置符合要求的策略。
5、配置账户锁定策略:
进入“控制面板->管理工具->本地安全策略”,在“账户策略->账户锁定策略”。
二、账户授权:
1、远端系统强制关机设置:
进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权利指派”。“从远端系统强制关机”设置为“只指派给Administrators组”。
2、关闭系统设置:
进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权利指派”。“关闭系统”设置为“只指派给Administrators组”。
3、“取得文件或其它对象的所有权”设置:
进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权利指派”。“取得文件或其它对象的所有权”设置为“只指派给Administrators组”。
4“从本地登录此计算机”设置:
进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权利指派”,“从本地登录此计算机”设置为“指定授权用户”。
5、“从网络访问此计算机”设置:
进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权利指派”,“从网络访问此计算机”设置为“指定授权用户”。
三、日志配置:
1、审核策略设置:
开始->运行-> 执行“控制面板->管理工具->本地安全策略->审核策略”
审核登录事件,双击,设置为成功和失败都审核。
“审核策略更改”设置为“成功”和“失败”都要审核
“审核对象访问”设置为“成功”和“失败”都要审核
“审核目录服务器访问”设置为“成功”和“失败”都要审核
“审核特权使用”设置为“成功”和“失败”都要审核
“审核系统事件”设置为“成功”和“失败”都要审核
“审核账户管理”设置为“成功”和“失败”都要审核
“审核过程追踪”设置为“失败”需要审核
2、日志记录策略设置:
进入“控制面板->管理工具->事件查看器”,在“事件查看器(本地)”中:
“应用日志”属性中的日志大小设置不小于“8192KB”,设置当达到最大的日志尺寸时,“按需要改写事件”
“系统日志”属性中的日志大小设置不小于“8192KB”,设置当达到最大的日志尺寸时,“按需要改写事件”
“安全日志”属性中的日志大小设置不小于“8192KB” ,设置当达到最大的日志尺寸时,“按需要改写事件”。
四、通信协议(IP协议安全):
1、启用TCP/IP筛选:
系统管理员出示业务所需端口列表。根据列表只开放系统与业务所需端口。进入“控制面板->网络连接->本地连接”,进入“Internet协议(TCP/IP)属性->高级TCP/IP设置”,在“选项”的属性中启用网络连接上的TCP/IP筛选,只开放业务所需要的TCP,UDP端口和IP协议。
2、开启系统防火墙:
系统管理员出示业务所需端口列表。根据列表只开放系统与业务所需端口。进入“控制面板->网络连接->本地连接”,在高级选项的设置中:启用Windows防火墙。在“例外”中配置允许业务所需的程序接入网络。在“例外->编辑->更改范围”编辑允许接入的网络地址范围。
3、启用SYN攻击保护:
在“开始->运行->键入regedit”启用 SYN 攻击保护的命名值位于注册表项HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices 之下。值名称:SynAttackProtect。推荐值:2。
以下部分中的所有项和值均位于注册表项 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices 之下。
指定必须在触发 SYNflood 保护之前超过的 TCP 连接请求阈值。值名称:TcpMaxPortsExhausted。推荐值:5。
启用SynAttackProtect 后,该值指定SYN_RCVD 状态中的 TCP 连接阈值,超过 SynAttackProtect 时,触发 SYN flood 保护。值名称:TcpMaxHalfOpen。推荐值数据:500。
启用 SynAttackProtect 后,指定至少发送了一次重传的 SYN_RCVD 状态中的 TCP 连接阈值。超过 SynAttackProtect 时,触发 SYN flood 保护。值名称:TcpMaxHalfOpenRetried。推荐值数据:400。
Windows Server 2012
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParametersSynAttackProtect推荐值:2
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParametersTcpMaxHalfOpen推荐值:500
Windows Server 2008
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesSynAttackProtect推荐值:2
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpMaxPortsExhausted推荐值:5
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpMaxHalfOpen推荐值:500HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpMaxHalfOpenRetried推荐值:400
五、设置其他安全要求:
1、启用屏幕保护程序:
进入“控制面板->显示->屏幕保护程序”:启用屏幕保护程序,设置等待时间为“5分钟”,启用“在恢复时使用密码保护”。
2、设置Microsoft网络服务器挂起时间:
进入“控制面板->管理工具->本地安全策略”,在“本地策略->安全选项”:“Microsoft网络服务器”设置为“在挂起会话之前所需的空闲时间”为15分钟。
3、关闭默认共享:
进入“开始->运行->Regedit”,进入注册表编辑器更改注册表键值:在HKLMSystemCurrentControlSetServicesLanmanServerParameters下,增加REG_DWORD类型的AutoShareServer键,值为0。
4、设置共享文件夹访问权限:
进入“控制面板->管理工具->计算机管理”,进入“系统工具->共享文件夹”:查看每个共享文件夹的共享权限,只将权限授权于指定账户。
5、安装系统补丁:
安装最新的Service Pack补丁集,以及最新的Hotfix补丁。目前Windows XP的Service Pack为SP3。Windows2000的Service Pack为SP4,Windows 2003的Service Pack为SP2。
注意:安装补丁前,应对操作系统进行兼容性测试,避免补丁打上后系统无法正常使用。
6、安装、更新杀毒软件:
安装防病毒软件,并将病毒库更新到最新的版本。
7、数据执行保护配置:
进入“控制面板->系统”,在“高级”选项卡的“性能”下的“设置”。进入 “数据执行保护”选项卡。设置为“仅为基本 Windows 操作系统程序和服务启用DEP”。
8、关闭服务:
进入“控制面板->管理工具->计算机管理”,进入“服务和应用程序”:
查看所有服务,不在此列表的服务都需要(还是评估一下吧)关闭。
| 服务 | 启动类型 | 包括在成员服务器基准策略中的理由 |
| COM+ 事件服务 | 手动 | 允许组件服务的管理 |
| DHCP 客户端 | 自动 | 更新动态 DNS 中的记录所需 |
| 分布式链接跟踪客户端 | 自动 | 用来维护 NTFS 卷上的链接 |
| DNS 客户端 | 自动 | 允许解析 DNS 名称 |
| 事件日志 | 自动 | 允许在事件日志中查看事件日志消息 |
| 逻辑磁盘管理器 | 自动 | 需要它来确保动态磁盘信息保持最新 |
| 逻辑磁盘管理器管理服务 | 手动 | 需要它以执行磁盘管理 |
| Netlogon | 自动 | 加入域时所需 |
| 网络连接 | 手动 | 网络通讯所需 |
| 性能日志和警报 | 手动 | 收集计算机的性能数据,向日志中写入或触发警报 |
| 即插即用 | 自动 | Windows 标识和使用系统硬件时所需 |
| 受保护的存储区 | 自动 | 需要用它保护敏感数据,如私钥 |
| 远程过程调用 (RPC) | 自动 | Windows 中的内部过程所需 |
| 远程注册服务 | 自动 | hfnetchk 实用工具所需(参见附注) |
| 安全账户管理器 | 自动 | 存储本地安全账户的帐户信息 |
| 服务器 | 自动 | hfnetchk 实用工具所需(参见附注) |
| 系统事件通知 | 自动 | 在事件日志中记录条目所需 |
| TCP/IP NetBIOS Helper 服务 | 自动 | 在组策略中进行软件分发所需(可用来分发修补程序) |
| Windows 管理规范驱动程序 | 手动 | 使用“性能日志和警报”实现性能警报时所需 |
| Windows 时间服务 | 自动 | 需要它来保证 Kerberos 身份验证有一致的功能 |
| 工作站 | 自动 | 加入域时所需 |
9、修改SNMP服务密码:
打开“控制面板”,打开“管理工具”中的“服务”,找到“SNMP Service”,单击右键打开“属性”面板中的“安全”选项卡,在这个配置界面中,可以修改community strings,也就是微软所说的“团体名称”。
10、关闭无效启动项:
“开始->运行->MSconfig”启动菜单中,取消不必要的启动项。
11、关闭Windows自动播放功能:
点击开始→运行→输入gpedit.msc,打开组策略编辑器,浏览到计算机配置→管理模板→系统,在右边窗格中双击“关闭自动播放”,对话框中选择所有驱动器,确定即可。
-
常用通信协议有哪些2008-06-03 0
-
工业控制通信协议modbus TCP安全性如何保障?2019-09-12 0
-
RFID应用系统中的Tag-reader安全通信协议,看完你就懂了2021-05-26 0
-
TCP/IP协议是什么2021-08-05 0
-
什么是TCP/IP通信协议呢2021-11-01 0
-
基于Linux的TCP/IP协议栈安全性研究2009-06-03 395
-
基于IPSEC安全协议的INTERNET通信安全2009-09-02 576
-
Windows系统安全模式另类应用2010-01-27 616
-
军用嵌入式操作系统安全性方案2011-06-08 892
-
基于IPSEC安全协议的网络通信安全2011-07-07 777
-
汉邦DVR通信协议规范2.02017-01-04 682
-
移动智能终端操作系统安全的评估方法2017-10-31 849
-
局域网中通信协议的特点与配置分析2017-12-12 1593
-
windows10操作系统安全模式的使用技巧2019-06-12 949
-
通信协议的特点2023-05-06 987
全部0条评论
快来发表一下你的评论吧 !
