Windows安全加固手冊
1身份鑒別
1.1密碼安全策略
要求:操作系統和數據庫系統管理用戶身份鑒別信息應具有不易被冒用的特點,口令應有復雜度要求并定期更換。
目的:設置有效的密碼策略,防止攻擊者破解出密碼。
操作步驟:
【位置】開始—管理工具—本地安全策略—帳戶策略—密碼策略,加固設置為下圖所示:
1.2帳號鎖定策略
要求:應啟用登錄失敗處理功能,可采取結束會話、限制非法登錄次數和自動退出等措施。
目的:遭遇密碼破解時,暫時鎖定帳號,降低密碼被猜解的可能性。
操作步驟:
【位置】開始—管理工具—本地安全策略—帳戶策略—帳號鎖定策略,加固后如下圖所示:
1.3安全的遠程管理方式
要求:當對服務器進行遠程管理時,應采取必要措施,防止鑒別信息在網絡傳輸過程中被竊聽。
目的:防止遠程管理過程中,密碼等敏感信息被竊聽
操作步驟:
【位置】開始—管理工具—遠程桌面服務—遠程桌面會話主機配置,右鍵“RDP-Tcp”,選擇“屬性”—“常規”,加固后如下圖所示:
2訪問控制
2.1關閉默認共享
要求:應啟用訪問控制功能,依據安全策略控制用戶對資源的訪問。
目的:如果沒有關閉系統默認共享,攻擊者通過 IPC$方式暴力破解帳戶的密碼,而后利用系統默認共享如:C$、D$等,對系統的硬盤進行訪問
操作步驟:
【位置】開始—管理工具—共享和存儲管理,記錄當前配置,默認如下圖所示:
右鍵依次點擊C$、D$、ADMIN$,停止共享,加固后如下圖所示:
net share C$ /del
net share D$ /del
net share ADMIN$ /del
操作步驟:
【位置】運行—regedit進入注冊表,在HKEY_LOCAL_MACHINE—SYSTEM—CurrentControlSet—Services—LanmanServer—Parameters下,新增AutoShareServer、AutoShareWks兩個鍵,類型為DWORD(32位),值為0,如下圖所示:
2.2用戶權限分配
要求:應根據管理用戶的角色分配權限,實現管理用戶的權限分離,僅授予管理用戶所需的最小權限。
目的:如果系統沒有對帳號進行嚴格的權限分配,則黑客可以利用低權限的帳號登陸終端,甚至關閉系統。
操作步驟:
【位置】開始—管理工具—本地安全策略—本地策略—用戶權限分配,“關閉系統”,記錄當前配置,默認如下圖所示:
只保留Administrators組、其它全部刪除
“允許通過遠程桌面服務登錄”,記錄當前配置,默認如下圖所示:
只保留Administrators組、其它全部刪除
2.3禁止未登錄前關機
目的:禁止系統在未登錄前關機,防止非法用戶隨意關閉系統。
操作步驟:
【位置】開始—管理工具—本地安全策略—本地策略—安全選項—“關機:允許系統在未登錄的情況下關閉”,默認如下圖所示:
2.4重命名默認帳號
要求:應嚴格限制默認帳戶的訪問權限,重命名系統默認帳戶,修改這些帳戶的默認口令。
目的:修改默認帳號,防止攻擊者破解密碼。
操作步驟:
【位置】開始—管理工具—計算機管理—系統工具—本地用戶和組—用戶,可修改成下圖所示:
2.5多余帳號
要求:應及時刪除多余的、過期的帳戶,避免共享帳戶的存在。
目的:刪除或禁用臨時、過期及可疑的帳號,防止被非法利用。
操作步驟:
【位置】開始—管理工具—計算機管理—系統工具—本地用戶和組—用戶,詢問管理員每個帳號的用途,確認多余的帳號,然后右鍵點擊“刪除”或“禁用”。可使用net user 用戶名 命令查看該用戶的詳細信息,如下所示:
3安全審計
要求:
審計范圍應覆蓋到服務器和重要客戶端上的每個操作系統用戶和數據庫用戶;
審計內容應包括重要用戶行為、系統資源的異常使用和重要系統命令的使用等系統內重要的安全相關事件;
審計記錄應包括事件的日期、時間、類型、主體標識、客體標識和結果等;應能夠根據記錄數據進行分析,并生成審計報表;
應保護審計進程,避免受到未預期的中斷;
應保護審計記錄,避免受到未預期的刪除、修改或覆蓋等。
3.1審核策略設置
目的:開啟審核策略,若日后系統出現故障、安全事故則可以查看系統日志文件,排除故障、追查入侵者的信息等。
操作步驟:
【位置】運行—管理工具—本地安全策略—本地策略—審核策略,策略建議設置為:
3.2 安全日志屬性設置
目的:防止重要日志信息被覆蓋
操作步驟:
【位置】開始—管理工具—事件查看器—Windows日志,“應用程序”、“系統”、“安全” 依次如下操作:
4剩余信息保護
4.1不記住用戶名和密碼
目的:應保證操作系統和數據庫管理系統用戶的鑒別信息所在的存儲空間,被釋放或再分配給其他用戶前得到完全清除,無論這些信息是存放在硬盤上還是在內存中。
操作步驟:
【位置】開始—管理工具—本地安全策略—本地策略—安全選項
“交互式登錄:不顯示最后的用戶名”,默認如下圖所示:
選擇“已啟用”
4.2清理內存信息
要求:應確保系統內的文件、目錄和數據庫記錄等資源所在的存儲空間,被釋放或重新分配給其他用戶前得到完全清除。
目的:及時清理存放在系統中的用戶鑒別信息,防止信息外泄,被黑客利用
操作步驟:
【位置】開始—管理工具—本地安全策略—本地策略—安全選項—關機:清除虛擬內存頁面文件,設定如下所示:
4.3關閉調試信息
目的:系統啟動失敗時,為了分析啟動失敗的原因,內存信息會自動轉儲到硬盤中。其中數據對普通用戶無用,及時清理存這些信息或禁止出錯轉儲,防止外泄被黑客利用。
操作步驟:
【位置】開始—計算機—右鍵“屬性”—高級系統設置—高級—啟動和故障恢復—設置,設定如下所示:
5入侵防范
5.1卸載冗余組件
要求:操作系統遵循最小安裝的原則,僅安裝需要的組件和應用程序,并通過設置升級服務器等方式保持系統補丁及時得到更新。
目的:卸載WScript.Shell, Shell.application這兩個組件,防止黑客通過腳本來提權。
操作步驟:
【位置】運行—cmd,執行如下信息:
5.2關閉不必要服務
目的:關閉與系統業務無關或不必要的服務,減小系統被黑客被攻擊、滲透的風險。
操作步驟:
【位置】開始—管理工具—服務,可禁用如下服務:
IPHelper (Ipv6技術 啟動類型:禁用 服務狀態:停止)
RemoteRegistry (Ipv6技術 啟動類型:禁用 服務狀態:停止)
Themes (主題管理 啟動類型:禁用 服務狀態:停止)
6惡意代碼防范
6.1毒軟件
要求:應安裝防惡意代碼軟件,并及時更新防惡意代碼軟件版本和惡意代碼庫。
目的:安裝殺毒軟件,對惡意代碼等進行防范及查殺。
推薦殺毒軟件:
卡巴斯基:http://devbuilds.kaspersky-labs.com/devbuilds/KVRT/latest/full/KVRT.exe
大蜘蛛:http://free.drweb.ru/download+cureit+free
火絨安全軟件:https://www.huorong.cn
360殺毒:http://sd.#/download_center.html
7系統資源控制
7.1屏幕保護
要求:應根據安全策略設置登錄終端的操作超時鎖定。
目的:設置屏保密碼,提高服務器的安全性
操作步驟:
【位置】開始—控制面板—顯示—更改屏幕保護程序,如下所示:
7.2設置會話超時鎖定策略
要求:設置會話超時鎖定功能,提高服務器的安全性。
操作步驟:
【位置】運行—gpedit.msc—計算機配置—管理模版—Windows組件—遠程桌面服務—遠程桌面會話主機—會話時間限制—設置活動但空閑的遠程桌面服務會話的時間限制,設定如下信息:
