Windows操作系统安全加固规范 包括日志配置、通信协议(IP协议安全)

安全设备/系统

156人已加入

描述

本文针对Windows操作系统的账号管理、账户授权、日志配置、通信协议(IP协议安全)以及设置其他安全进行合规性检查和配置。

一、账户管理:

1、分配账号:

进入“控制面板->管理工具->计算机管理”,在“系统工具->本地用户和组”,结合要求和实际业务情况判断符合要求,根据系统的要求,设定不同的账户和账户组。

操作系统

2、清除无效账户:

进入“控制面板->管理工具->计算机管理”,在“系统工具->本地用户和组”,删除或锁定与设备运行、维护等与工作无关的账号。

3、更改缺省账户名称;禁用guest(来宾)账号:

进入“控制面板->管理工具->计算机管理”,在“系统工具->本地用户和组”。Administrator->属性-> 更改名称,Guest账号->属性-> 已停用。

操作系统

4、配置密码策略:

进入“控制面板->管理工具->本地安全策略”,在“账户策略->密码策略”。“密码必须符合复杂性要求”选择“已启动”设置符合要求的策略。

操作系统

5、配置账户锁定策略:

进入“控制面板->管理工具->本地安全策略”,在“账户策略->账户锁定策略”。

操作系统

二、账户授权:

1、远端系统强制关机设置:

进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权利指派”。“从远端系统强制关机”设置为“只指派给Administrators组”。

2、关闭系统设置:

进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权利指派”。“关闭系统”设置为“只指派给Administrators组”。

操作系统

3、“取得文件或其它对象的所有权”设置:

进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权利指派”。“取得文件或其它对象的所有权”设置为“只指派给Administrators组”。

操作系统

4“从本地登录此计算机”设置:

进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权利指派”,“从本地登录此计算机”设置为“指定授权用户”。

操作系统

5、“从网络访问此计算机”设置:

进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权利指派”,“从网络访问此计算机”设置为“指定授权用户”。

操作系统

三、日志配置:

1、审核策略设置:

开始->运行-> 执行“控制面板->管理工具->本地安全策略->审核策略”

审核登录事件,双击,设置为成功和失败都审核。

“审核策略更改”设置为“成功”和“失败”都要审核

“审核对象访问”设置为“成功”和“失败”都要审核

“审核目录服务器访问”设置为“成功”和“失败”都要审核

“审核特权使用”设置为“成功”和“失败”都要审核

“审核系统事件”设置为“成功”和“失败”都要审核

“审核账户管理”设置为“成功”和“失败”都要审核

“审核过程追踪”设置为“失败”需要审核

操作系统

2、日志记录策略设置:

进入“控制面板->管理工具->事件查看器”,在“事件查看器(本地)”中:

“应用日志”属性中的日志大小设置不小于“8192KB”,设置当达到最大的日志尺寸时,“按需要改写事件”

“系统日志”属性中的日志大小设置不小于“8192KB”,设置当达到最大的日志尺寸时,“按需要改写事件”

“安全日志”属性中的日志大小设置不小于“8192KB” ,设置当达到最大的日志尺寸时,“按需要改写事件”。

操作系统

操作系统

操作系统

四、通信协议(IP协议安全):

1、启用TCP/IP筛选:

系统管理员出示业务所需端口列表。根据列表只开放系统与业务所需端口。进入“控制面板->网络连接->本地连接”,进入“Internet协议(TCP/IP)属性->高级TCP/IP设置”,在“选项”的属性中启用网络连接上的TCP/IP筛选,只开放业务所需要的TCP,UDP端口和IP协议。

操作系统

2、开启系统防火墙:

系统管理员出示业务所需端口列表。根据列表只开放系统与业务所需端口。进入“控制面板->网络连接->本地连接”,在高级选项的设置中:启用Windows防火墙。在“例外”中配置允许业务所需的程序接入网络。在“例外->编辑->更改范围”编辑允许接入的网络地址范围。

操作系统

3、启用SYN攻击保护:

在“开始->运行->键入regedit”启用 SYN 攻击保护的命名值位于注册表项HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices 之下。值名称:SynAttackProtect。推荐值:2。

以下部分中的所有项和值均位于注册表项 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices 之下。

指定必须在触发 SYNflood 保护之前超过的 TCP 连接请求阈值。值名称:TcpMaxPortsExhausted。推荐值:5。

启用SynAttackProtect 后,该值指定SYN_RCVD 状态中的 TCP 连接阈值,超过 SynAttackProtect 时,触发 SYN flood 保护。值名称:TcpMaxHalfOpen。推荐值数据:500。

启用 SynAttackProtect 后,指定至少发送了一次重传的 SYN_RCVD 状态中的 TCP 连接阈值。超过 SynAttackProtect 时,触发 SYN flood 保护。值名称:TcpMaxHalfOpenRetried。推荐值数据:400。

Windows Server 2012

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParametersSynAttackProtect推荐值:2

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParametersTcpMaxHalfOpen推荐值:500

Windows Server 2008

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesSynAttackProtect推荐值:2

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpMaxPortsExhausted推荐值:5

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpMaxHalfOpen推荐值:500HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpMaxHalfOpenRetried推荐值:400

五、设置其他安全要求:

1、启用屏幕保护程序:

进入“控制面板->显示->屏幕保护程序”:启用屏幕保护程序,设置等待时间为“5分钟”,启用“在恢复时使用密码保护”。

操作系统

2、设置Microsoft网络服务器挂起时间:

进入“控制面板->管理工具->本地安全策略”,在“本地策略->安全选项”:“Microsoft网络服务器”设置为“在挂起会话之前所需的空闲时间”为15分钟。

3、关闭默认共享:

进入“开始->运行->Regedit”,进入注册表编辑器更改注册表键值:在HKLMSystemCurrentControlSetServicesLanmanServerParameters下,增加REG_DWORD类型的AutoShareServer键,值为0。

4、设置共享文件夹访问权限:

进入“控制面板->管理工具->计算机管理”,进入“系统工具->共享文件夹”:查看每个共享文件夹的共享权限,只将权限授权于指定账户。

操作系统

5、安装系统补丁:

安装最新的Service Pack补丁集,以及最新的Hotfix补丁。目前Windows XP的Service Pack为SP3。Windows2000的Service Pack为SP4,Windows 2003的Service Pack为SP2。

注意:安装补丁前,应对操作系统进行兼容性测试,避免补丁打上后系统无法正常使用。

6、安装、更新杀毒软件:

安装防病毒软件,并将病毒库更新到最新的版本。

7、数据执行保护配置:

进入“控制面板->系统”,在“高级”选项卡的“性能”下的“设置”。进入 “数据执行保护”选项卡。设置为“仅为基本 Windows 操作系统程序和服务启用DEP”。

操作系统

8、关闭服务:

进入“控制面板->管理工具->计算机管理”,进入“服务和应用程序”:

查看所有服务,不在此列表的服务都需要(还是评估一下吧)关闭。

 

服务 启动类型 包括在成员服务器基准策略中的理由
COM+ 事件服务 手动 允许组件服务的管理
DHCP 客户端 自动 更新动态 DNS 中的记录所需
分布式链接跟踪客户端 自动 用来维护 NTFS 卷上的链接
DNS 客户端 自动 允许解析 DNS 名称
事件日志 自动 允许在事件日志中查看事件日志消息
逻辑磁盘管理器 自动 需要它来确保动态磁盘信息保持最新
逻辑磁盘管理器管理服务 手动 需要它以执行磁盘管理
Netlogon 自动 加入域时所需
网络连接 手动 网络通讯所需
性能日志和警报 手动 收集计算机的性能数据,向日志中写入或触发警报
即插即用 自动 Windows 标识和使用系统硬件时所需
受保护的存储区 自动 需要用它保护敏感数据,如私钥
远程过程调用 (RPC) 自动 Windows 中的内部过程所需
远程注册服务 自动 hfnetchk 实用工具所需(参见附注)
安全账户管理器 自动 存储本地安全账户的帐户信息
服务器 自动 hfnetchk 实用工具所需(参见附注)
系统事件通知 自动 在事件日志中记录条目所需
TCP/IP NetBIOS Helper 服务 自动 在组策略中进行软件分发所需(可用来分发修补程序)
Windows 管理规范驱动程序 手动 使用“性能日志和警报”实现性能警报时所需
Windows 时间服务 自动 需要它来保证 Kerberos 身份验证有一致的功能
工作站 自动 加入域时所需

 

9、修改SNMP服务密码:

打开“控制面板”,打开“管理工具”中的“服务”,找到“SNMP Service”,单击右键打开“属性”面板中的“安全”选项卡,在这个配置界面中,可以修改community strings,也就是微软所说的“团体名称”。

10、关闭无效启动项:

“开始->运行->MSconfig”启动菜单中,取消不必要的启动项。

操作系统

11、关闭Windows自动播放功能:

点击开始→运行→输入gpedit.msc,打开组策略编辑器,浏览到计算机配置→管理模板→系统,在右边窗格中双击“关闭自动播放”,对话框中选择所有驱动器,确定即可。

操作系统

 

打开APP阅读更多精彩内容
声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉

全部0条评论

快来发表一下你的评论吧 !

×
20
完善资料,
赚取积分