Windows安全配置檢測指導(dǎo)書

本文格式為Word版，下載可任意編輯——Windows安全配置檢測指導(dǎo)書

Windows服務(wù)器安全配置指導(dǎo)書

1

目錄

1.

常規(guī)檢查內(nèi)容.1..1.1.2.......1.1.3...1.1.4...1.1.5..........0.1.2.

Windows系統(tǒng)安全基線配置規(guī)范1補丁管理1

補丁安裝1用戶帳號與口令安全1

密碼策略1賬戶鎖定策略2用戶權(quán)限設(shè)置3禁用Guest（來賓）帳戶7修改管理員帳號名稱8停用不使用的帳號9日志與審核10

審核策略10設(shè)置系統(tǒng)日志11服務(wù)優(yōu)化13

關(guān)閉不必要的服務(wù)13加固SNMP服務(wù)16安全防護17

使用NTFS文件系統(tǒng)錯誤！未定義書簽。屏幕保護17文件共享19防病毒管理20啟用系統(tǒng)自帶防火墻20刪除默認(rèn)共享22限制匿名用戶連接23檢測網(wǎng)絡(luò)服務(wù)掛起時間24關(guān)閉驅(qū)動器自動運行25檢查數(shù)據(jù)執(zhí)行保護26檢測DDOS攻擊保護設(shè)置27檢查日期服務(wù)器28

1

.2.

檢查登錄超時設(shè)置28檢測加密或數(shù)字簽名安全通道的數(shù)據(jù)的設(shè)置29檢測會話限制30關(guān)閉不要的自啟動項31

專項檢查內(nèi)容3....

惡意或異常進(jìn)程32異常端口檢測33日志檢查錯誤！未定義書簽。帳號檢查錯誤！未定義書簽。文件檢查34網(wǎng)絡(luò)連接檢查34定時作業(yè)檢查35無關(guān)軟件安裝36

2

1.常規(guī)檢查內(nèi)容

1.1.Windows系統(tǒng)安全基線配置規(guī)范1.1.1.補丁管理.補丁安裝

配置說明安裝必要的安全補丁，阻止已知漏洞所造成的要挾。要求內(nèi)容安裝必要的安全補丁1．參考配置操作補丁升級：1、手動安裝：使用IE訪問，按提醒安裝必要的activeX控件后，按提醒安裝補丁操作指南2、開始–控制面板–自動更新，在自動更新面板中選中自動（建議）(U)，然后根據(jù)個人需求設(shè)置升級時間3、將IE版本升為6.0以上.2．補充操作說明可使用微軟基準(zhǔn)安全分析器（MSBA）對補丁安裝狀況進(jìn)行掃描，下載地址：http://./china/technet/security/tools/mbsahome.mspx1.檢測操作檢測方法檢查補丁（以下兩種方式中任意一種）：1、開始–控制面板–添加/刪除程序，選中“顯示更新〞查看是否更新成功1.1.2.用戶帳號與口令安全.密碼策略

配置說明限制密碼的最小長度并且密碼必需符合繁雜性要求，這樣可以有效的防止遠(yuǎn)程或本地的惡意用戶對計算機帳戶進(jìn)行口令破解。要求內(nèi)容設(shè)置密碼策略，防止用戶因口令過短易猜解，啟用本機組策略中密碼必需符合繁雜性要求的策略。1

1．參考配置操作檢查賬戶鎖定策略是否設(shè)置：開始→運行→gpedit.msc計算機配置→Windows設(shè)置→安全設(shè)置→帳戶策略→->密碼策略〞；或開始→運行→本地安全策略→帳戶策略→密碼策略；“密碼必需符合繁雜性要求〞選擇“已啟用〞“密碼長度最小值〞設(shè)置為8個字符“密碼最長存留期〞2級、2+級系統(tǒng)設(shè)置為“90天〞；3級系統(tǒng)設(shè)置為“60天〞“強制密碼歷史〞設(shè)置為“記住5個密碼〞“密碼最短保存期〞設(shè)置為“1天〞操作指南“用可還原密碼〞設(shè)置為“已禁用〞.賬戶鎖定策略

配置說明對于惡意嘗試口令破解的用戶，設(shè)置鎖定策略可以有效阻止其破解的速度。要求內(nèi)容設(shè)置用戶鎖定策略，防止惡意用戶使用暴力破解工具進(jìn)行口令枚舉。2

1．參考配置操作檢查賬戶鎖定策略是否設(shè)置：開始→運行→gpedit.msc計算機配置→Windows設(shè)置→安全設(shè)置→帳戶策略→帳戶鎖定策略或者開始→運行→本地安全策略→帳戶策略→帳戶鎖定策略；做如下設(shè)置：?帳戶鎖定時間：5分鐘?帳戶鎖定閥值：5次無效登錄?重置帳戶鎖定計數(shù)器：3分鐘操作指南2．補充操作說明設(shè)置不當(dāng)可能導(dǎo)致帳號大面積鎖定，在域環(huán)境中應(yīng)防備設(shè)置。Administrator帳號本身不會被鎖定。.用戶權(quán)限設(shè)置阻止除管理員外的一般用戶遠(yuǎn)程登錄計算機或關(guān)閉計算機，同時阻止無用帳號的登配置說明錄，可以防止惡意用戶通過破解一般低權(quán)限的用戶口令后使用該用戶登錄進(jìn)行提權(quán)攻擊。要求內(nèi)容設(shè)置用戶權(quán)限，防止用戶越權(quán)進(jìn)行惡意操作。1．參考配置操作操作指南檢查用戶權(quán)限策略是否設(shè)置：開始→運行→本地安全策略→本地策略→用戶權(quán)限分派；此處有較多項選擇項，建議對以下四項進(jìn)行檢查：3

?從遠(yuǎn)程系統(tǒng)強制關(guān)機?關(guān)閉系統(tǒng)?拒絕本地登錄建議做如下設(shè)置：?從遠(yuǎn)程系統(tǒng)強制關(guān)機：administrators4

?關(guān)閉系統(tǒng)：administrators5

?拒絕本地登錄：IUSR_MACHINENAME、IWAN_MACHINENAME等不需要使用的用戶6

2．補充操作說明假使服務(wù)器作為文件共享服務(wù)器使用，則不應(yīng)設(shè)置從網(wǎng)絡(luò)訪問此計算機項.禁用Guest（來賓）帳戶

配置說明將guest帳號禁用降低被攻擊的風(fēng)險要求內(nèi)容默認(rèn)狀況下，在運行Windows2000Server的系統(tǒng)上禁用來賓帳戶。假使啟用來賓帳戶，則請將它禁用。操作指南1、參考配置操作進(jìn)入“控制面板->管理工具->計算機管理〞，在“系統(tǒng)工具->本地用戶和組->用戶〞：7

右鍵點擊guest帳號－>屬性－>勾選帳戶已禁用.修改管理員帳號名稱

配置說明為了防止黑客暴力破解管理員口令，要求修改administrator管理員名稱要求內(nèi)容對于管理員帳號，要求更改缺省帳戶名稱8

1、參考配置操作進(jìn)入“控制面板->管理工具->計算機管理〞，在“系統(tǒng)工具->本地用戶和組〞：操作指南右鍵點擊Administrator帳戶－>重命名－>更改名稱注：假使無法進(jìn)行修改則需加強對administrator賬號密碼的強訪問控制，啟用嚴(yán)格的密碼策略并定期更換密碼。.停用不使用的帳號

配置說明每一個帳號都可能被惡意用戶利用，所以，減少帳號的數(shù)量也就減小了要挾。要求內(nèi)容檢查用戶，停用不使用的帳號，減小來自用戶帳號丟失的要挾。1．參考配置操作詢問系統(tǒng)管理員，日常正常維護和使用中需要用到的用戶帳號，其他帳號應(yīng)刪除，對操作指南于無法立刻確認(rèn)是否使用的帳號應(yīng)停用刪除和停用帳號可使用如下：控制面板->管理工具->計算機管理〞，在“系統(tǒng)工具->本地用戶和組中右鍵點擊不用的帳號，刪除即可。9

注：假使新建賬號必需使用，則需嚴(yán)格設(shè)置賬號的密碼策略并設(shè)置該賬號對操作系統(tǒng)的最小權(quán)限。如下圖所示位置。1.1.3.日志與審核.審核策略配置說明設(shè)置審核策略的目的在于當(dāng)?shù)卿?、訪問等行為發(fā)生時，通過審核日志記錄具體行為人和具體行為，以便在出現(xiàn)問題后進(jìn)行追溯。10

要求內(nèi)容加強審核策略，以便出現(xiàn)安全問題后進(jìn)行追查。1．參考配置操作對審核策略進(jìn)行檢查：開始→運行→gpedit.msc計算機配置→Windows設(shè)置→安全設(shè)置→本地策略→審核策略對審核策略進(jìn)行如下設(shè)置：?審核策略更改：成功，失敗?審核帳戶登錄事件：成功，失敗?審核對象訪問：成功，失敗?審核進(jìn)程跟蹤蹤：無審核?審核目錄服務(wù)訪問：成功?審核特權(quán)使用：成功，失敗?審核系統(tǒng)事件：成功?審核登錄事件：成功?審核帳戶管理：成功，失敗操作指南.設(shè)置系統(tǒng)日志

11

設(shè)置系統(tǒng)日志大小是為了防止惡意用戶在攻擊系統(tǒng)時由于產(chǎn)生大量日志信息而導(dǎo)致配置說明存儲空間不足。而設(shè)置不覆蓋日志則是為了防止新日志覆蓋較老的有用日志信息，導(dǎo)致無法追溯。要求內(nèi)容設(shè)置日志容量和覆蓋規(guī)則，保證日志存儲。1．參考配置操作開始→運行→eventvwr右鍵選擇日志，屬性，進(jìn)行如下設(shè)置：?應(yīng)用日志上限大?。海?級、2+級）51200KB；（3級）102400KB?安全日志上限大?。海?級、2+級）51200KB；（3級）102400KB?系統(tǒng)日志上限大小：（2級、2+級）51200KB；（3級）102400KB?達(dá)到日志上限大小時：2級、2+級改寫久于60天的事件；3級改寫久于90天的事件2．補充操作說明建議對每個日志項均進(jìn)行如上操作，同時應(yīng)保證磁盤空間操作指南12

注：通過檢查日志信息20M只能覆蓋一個月，建議默認(rèn)大小調(diào)整為61440KB。1.1.4.服務(wù)優(yōu)化

.關(guān)閉不必要的服務(wù)配置說明禁用日常工作中不需要使用的服務(wù)，減小系統(tǒng)負(fù)荷，同時也能降低某些服務(wù)中未知的漏洞所帶來的風(fēng)險。要求內(nèi)容關(guān)閉不必要的服務(wù)，減少安全要挾，同時降低系統(tǒng)負(fù)荷。1．參考配置操作開始–運行–輸入services.msc檢查啟動類型為自動的服務(wù)操作指南建議關(guān)閉以下服務(wù)：ComputerBrowserDHCPClient13

RemoteRegistryServiceRoutingandRemoteAccessSimpleNetworkManagementProtocol(SNMP)Trap（可選）Telnet關(guān)閉方法：雙擊需要關(guān)閉的服務(wù)，將啟動類型設(shè)置為禁用，點擊中止按鈕以中止當(dāng)前正在運行的服務(wù)2．補充操作說明以下是對部分服務(wù)的作用說明，服務(wù)是否關(guān)閉需結(jié)合業(yè)務(wù)系統(tǒng)由用戶進(jìn)行判斷：RemoteRegistry，遠(yuǎn)程連接注冊表SNMPService，snmp服務(wù)若網(wǎng)管需要可開放該服務(wù)，但需修改缺省SNMP團體名和僅對指定管理IP開放Telnet，telnet服務(wù)端DHCPClient，DHCP客戶端，關(guān)閉則無法自動獲取IP14

注：假使必需使用DHCP服務(wù)，則開啟，開啟后通過系統(tǒng)防火墻增加針對使用DHCP服務(wù)的訪問控制規(guī)則。具體配置位置如下，新建規(guī)則時對端口下UDP端口67、68進(jìn)行限制訪問。新增安全規(guī)則后，雙機安全規(guī)則進(jìn)行對源IP地址的限制，部署如下：15

.加固SNMP服務(wù)（如上面snmp服務(wù)為關(guān)閉狀態(tài)此步驟可忽略）通過SNMP服務(wù)，遠(yuǎn)程惡意用戶可以列舉本地的帳號、帳號組、運行的進(jìn)程、安裝的配置說明補丁和軟件等敏感信息，禁用或修改SNMP配置可以有效防止遠(yuǎn)程惡意用戶的這類行為。要求內(nèi)容加固SNMP服務(wù)，防止遠(yuǎn)程惡意用戶通過SNMP枚舉本地信息。1．參考配置操作通過上面的方法，假使發(fā)現(xiàn)系統(tǒng)中安裝了SNMPService服務(wù)，且該服務(wù)無法禁用，可使用以下方法進(jìn)行加固：1、修改SNMP團體名?開始→運行→services.msc操作指南?找到SNMPService并雙擊開啟屬性面板?屬性面板中選擇安全選項卡?在接受團體名稱處選中原有的易猜解的團體名并點編輯，在此修改不同團體名的名稱和權(quán)限?點確定至退出面板2．補充操作說明16

1.1.5.安全防護.屏幕保護

要求內(nèi)容設(shè)置帶密碼的屏幕保護，并將時間設(shè)定為3分鐘。1、參考配置操作操作指南進(jìn)入“控制面板－>顯示－>特性化－>屏幕保護程序〞：啟用屏幕保護程序，設(shè)置等待時間為“3分鐘〞，啟用“在恢復(fù)時使用密碼保護〞17

18

.文件共享

要求內(nèi)容原則上阻止配置文件共享，但因工作需要必需配置共享，須設(shè)置帳戶與口令1、參考配置操作操作指南查看每個共享文件夾的共享權(quán)限，只允許授權(quán)的賬戶擁有權(quán)限共享此文件夾。進(jìn)入“控制面板->管理工具->計算機管理〞，進(jìn)入“系統(tǒng)工具－>共享文件夾〞：查看每個共享文件夾的共享權(quán)限，只將權(quán)限授權(quán)于指定賬戶。1、判定條件檢測方法查看每個共享文件夾的共享權(quán)限僅限于業(yè)務(wù)需要，不設(shè)置成為“everyone〞。2、檢測操作進(jìn)入“控制面板->管理工具->計算機管理〞，進(jìn)入“系統(tǒng)工具－>共享文件夾〞：19

查看每個共享文件夾的共享權(quán)限。刪除不必要的共享文件夾和默認(rèn)共享。注：如需進(jìn)行共享時，新建特定的共享文件夾并設(shè)置權(quán)限。.防病毒管理

配置說明安裝必要的防病毒軟件，并及時更新，減少病毒對主機的要挾。要求內(nèi)容安裝必要的防病毒軟件，并及時更新。操作指南安裝防病毒軟件，并且及時更新病毒庫。??1、判定條件已安裝防病毒軟件，病毒碼更新時間不早于15天，各系統(tǒng)病毒碼升級時間要求參見各系統(tǒng)相關(guān)規(guī)定。檢測方法?2、檢測操作控制面板->添加或刪除程序，是否安裝有防病毒軟件。開啟防病毒軟件控制面板，查看病毒碼更新日期。.啟用系統(tǒng)自帶防火墻

配置說明啟用系統(tǒng)自帶防火墻，避免遭遇遠(yuǎn)程入侵和病毒攻擊。要求內(nèi)容如系統(tǒng)自帶防火墻應(yīng)啟用防火墻功能20

1．參考配置操作開啟“控制面板〞選擇“WINDOWS防火墻〞-開啟或關(guān)閉windows防火墻；操作指南21

建議屏蔽以下端口：TCP135TCP139TCP4452．補充操作說明TCP139和TCP445作為Windows的SMB和CIFS主要通信端口，假使將這兩個端口關(guān)閉，則意味著該系統(tǒng)無法作為文件共享服務(wù)器。假使服務(wù)器必需做文件共享則可忽略。注：如需關(guān)閉防火墻，則需要對關(guān)閉防火墻服務(wù)器進(jìn)行從網(wǎng)絡(luò)邊界防火墻進(jìn)行訪問控制規(guī)則的配置，阻止對服務(wù)器的探測。.刪除默認(rèn)共享

配置說明通過刪除默認(rèn)共享，可以阻止遠(yuǎn)程通過共享方式訪問本機。22

要求內(nèi)容刪除IPC$、ADMIN$、C$、D$等默認(rèn)共享，減少來自網(wǎng)絡(luò)共享的要挾。開始--運行(輸入)cmd彈出命令提醒符在命令提醒符輸入:netshare查看系統(tǒng)中的共享關(guān)閉默認(rèn)共享輸入:netshare共享名(如C$)/del操作指南.限制匿名用戶連接配置說明通過禁用SAM枚舉可以有效防止遠(yuǎn)程用戶使用掃描器獲取本地信息。提升LANManager的版本是為了加強在共享會話過程中認(rèn)證強度，防止口令破解。要求內(nèi)容限制匿名用戶連接權(quán)限，防止用戶遠(yuǎn)程枚舉本地帳號。1．參考配置操作檢查其他安全項的設(shè)置：開始→運行→gpedit.msc操作指南計算機配置→Windows設(shè)置→安全設(shè)置→本地策略→安全選項建議檢查以下兩項：?對匿名連接的額外限制?不允許枚舉SAM帳號和共享23

將這兩項啟用。2．補充操作說明加強SMB會話散列中的加密強度，增加會話劫持后的破解難度；防止惡意用戶使用空連接（NullSession）對本地賬戶信息進(jìn)行枚舉。域環(huán)境中不建議進(jìn)行該設(shè)置

.檢測網(wǎng)絡(luò)服務(wù)掛起時間

配置說明防止管理員疏忽導(dǎo)致,忘掉掛起會話,導(dǎo)致信息泄漏要求內(nèi)容設(shè)置最小掛起時間。1．參考配置操作進(jìn)入控制面板->管理工具->本地安全策略，在本地策略->安全選項：操作指南設(shè)置Microsoft網(wǎng)絡(luò)服務(wù)器設(shè)置為在掛起會話之前所需的空閑時間為規(guī)定時間:5分鐘（300秒）24

.關(guān)閉驅(qū)動器自動運行

配置說明Windows自動播放功能存在安全隱患，需要關(guān)閉自動播放功能。要求內(nèi)容關(guān)閉所有驅(qū)動器Windows自動播放功能操作指南1、參考配置操作控制面板→自動播放，在為所有媒體和設(shè)備使用自動播放不打勾。25

.檢查數(shù)據(jù)執(zhí)行保護要求內(nèi)容對于WindowsXPSP2及Windows2023對Windows操作系統(tǒng)程序和服務(wù)啟用系統(tǒng)自帶DEP功能(數(shù)據(jù)執(zhí)行保護)，防止在受保護內(nèi)存位置運行有害代碼。1、參考配置操作操作指南進(jìn)入“控制面板－>系統(tǒng)〞，在“高級〞選項卡的“性能〞下的“設(shè)置〞。進(jìn)入“數(shù)據(jù)執(zhí)行保護〞選項卡。設(shè)置為“僅為基本W(wǎng)indows操作系統(tǒng)程序和服務(wù)啟用DEP〞。26

注：開啟DEP功能，可防止有害程序在內(nèi)存中執(zhí)行。0.

檢測DDOS攻擊保護設(shè)置

配置說明防止服務(wù)器被ddos攻擊要求內(nèi)容設(shè)置syn相關(guān)參數(shù)。1．參考配置操作A.在開始->運行->鍵入regedit,在注冊表項HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\Tcpip\\Parameters操作指南下，值名稱為SynAttackProtect,推薦值為2B.在開始->運行->鍵入regedit,在注冊表項HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\Tcpip\\ParametersTcpMaxPortsExhausted=5C.在開始->運行->鍵入regedit,在注冊表項下，值名稱為27

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\Tcpip\\Parameters下，值名稱為TcpMaxHalfOpen=500D.在開始->運行->鍵入regedit,在注冊表項HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\Tcpip\\Parameters下，值名稱為TcpMaxHalfOpenRetried=400E.在開始->運行->鍵入regedit,在注冊表項HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\Tcpip\\Parameters下，值名稱為EnableICMPRedirect=標(biāo)準(zhǔn)值開啟系統(tǒng)防火墻也可防護ddos攻擊。1.要求內(nèi)容檢查日期服務(wù)器

對于Windows操作系統(tǒng),應(yīng)當(dāng)配置時間服務(wù)器時鐘同步,以保證記錄日志的時間的正確.控制面板->管理工具->服務(wù)->開啟時間服務(wù)控制面板->管理工具->服務(wù)->將時間服務(wù)設(shè)置成自動操作指南2.

檢查登錄超時設(shè)置

要求內(nèi)容檢查登錄超時的設(shè)置信息28

配置Windows設(shè)置.在登錄超時后應(yīng)當(dāng),鎖定計算機.登錄時間完成時,應(yīng)當(dāng)注銷計算機.配置:進(jìn)入控制面板->管理工具->本地安全策略->安全選項->設(shè)置超過登錄時間后強制注銷操作指南注：假使服務(wù)器上運行中間件等則無需開啟。3.

檢測加密或數(shù)字簽名安全通道的數(shù)據(jù)的設(shè)置

要求內(nèi)容對于域控制器設(shè)備應(yīng)當(dāng)保證數(shù)據(jù)傳輸?shù)陌踩?、參考配置操作進(jìn)入控制面板->管理工具->本地安全策略->安全選項->啟用加密或數(shù)字簽名安全通道的數(shù)據(jù)（總是）進(jìn)入控制面板->管理工具->本地安全策略->安全選項->啟用加密安全通道的數(shù)據(jù)（如操作指南果可能）進(jìn)入控制面板->管理工具->本地安全策略->安全選項->啟用數(shù)字簽名安全通道的數(shù)據(jù)（假使可能）進(jìn)入控制面板->管理工具->本地安全策略->安全選項->啟用檢查是否啟用需要強會話密鑰29

4.

檢測會話限制

要求內(nèi)容對于域控設(shè)備應(yīng)當(dāng)對會話功能進(jìn)行限制.1、參考配置操作?檢查是否啟用不顯示上次的用戶名:進(jìn)入控制面板->管理工具->本地安全策略->安全選項->啟用不顯示上次的用戶名操作指南進(jìn)入控制面板->管理工具->本地安全策略->安全選項->停用不需要按ctrl+alt+del30

進(jìn)入控制面板->管理工具->本地安全策略->安全選項->密碼到期前提醒用戶更改密碼5.

關(guān)閉不要的自啟動項

要求內(nèi)容列出系統(tǒng)啟動時自動加載的進(jìn)程和服務(wù)列表，不在此列表的需關(guān)閉。操作指南1、參考配置操作“開始->運行->MSconfig〞啟動菜單中，取消不必要的啟動項。31

注：啟動項只配置業(yè)務(wù)系統(tǒng)需要的或必需開啟運行的程序。2.專項檢查內(nèi)容2.1.惡意或異常進(jìn)程配置說明查看進(jìn)程信息，發(fā)現(xiàn)不正常的進(jìn)程。檢查是否存在未被授權(quán)的應(yīng)用程序或服務(wù)要求內(nèi)容關(guān)閉不必要的服務(wù)與進(jìn)程，減少安全要挾，同時降低系統(tǒng)負(fù)荷。1、參考配置操作運行taskmgr.exe，觀測“進(jìn)程〞標(biāo)簽中是否存在類似explor