windows安全加固说明文档
<p>[windows安全加固说明文档.docx](<a href="http://60.191.64.5:16100/server/index.php?s=/api/attachment/visitFile/sign/a51fe2bedfe39ae6fef07f8c9be9f7e7">http://60.191.64.5:16100/server/index.php?s=/api/attachment/visitFile/sign/a51fe2bedfe39ae6fef07f8c9be9f7e7</a> "[windows安全加固说明文档.docx")</p>
<p>注:此次实验操作系统为windows server 2008 r2,其他版本系统可自行参考对照。</p>
<h3>1.账号管理</h3>
<h4>1.1.密码策略</h4>
<h5>1.1.1.密码复杂性</h5>
<p><strong>说明:</strong>此安全设置确定密码是否必须符合复杂性要求。如果启用此策略,密码必须符合下列最低要求:
1)不能包含用户的帐户名,不能包含用户姓名中超过两个连续字符的部分
2)至少有八个字符长
3)包含以下四类字符中的三类字符:
英文大写字母(A 到 Z)
英文小写字母(a 到 z)
10 个基本数字(0 到 9)
非字母字符(例如 !、$、#、%)
在更改或创建密码时执行复杂性要求。
<strong>配置方式:</strong>点击“开始->管理工具->本地安全策略”,在“帐户策略->密码策略->“密码必须符合复杂性要求”选择启用。
<img src="http://60.191.64.5:16100/server/index.php?s=/api/attachment/visitFile/sign/8bee0d8ec57972449b0c644d331dc656" alt="" /></p>
<h5>1.1.2.密码长度最小值</h5>
<p><strong>说明:</strong>此安全设置确定用户帐户密码包含的最少字符数。
<strong>配置方式:</strong>点击“开始->管理工具->本地安全策略”,在“帐户策略->密码策略->“密码长度最小值”更改为8。
<img src="http://60.191.64.5:16100/server/index.php?s=/api/attachment/visitFile/sign/51eaf37ff50a6a47346e56935e6eb796" alt="" /></p>
<h5>1.1.3.密码最短使用期限</h5>
<p><strong>说明:</strong>此安全设置确定在用户更改某个密码之前必须使用该密码一段时间(以天为单位)。可以设置一个介于 1 和 998 天之间的值,或者将天数设置为 0,允许立即更改密码。
<strong>配置方式:</strong>点击“开始->管理工具->本地安全策略”,在“帐户策略->密码策略->“密码最短使用期限”更改为10。
<img src="http://60.191.64.5:16100/server/index.php?s=/api/attachment/visitFile/sign/0abe50ef487be6c7b58c8c0d48f25f7e" alt="" /></p>
<h5>1.1.4.密码最长使用期限</h5>
<p><strong>说明:</strong>此安全设置确定在系统要求用户更改某个密码之前可以使用该密码的期间(以天为单位)。可以将密码设置为在某些天数(介于 1 到 999 之间)后到期,或者将天数设置为 0,指定密码永不过期。如果密码最长使用期限介于 1 和 999 天之间,密码最短使用期限必须小于密码最长使用期限。如果将密码最长使用期限设置为 0,则可以将密码最短使用期限设置为介于 0 和 998 天之间的任何值。
<strong>注意:</strong> 安全最佳操作是将密码设置为 30 到 90 天后过期,具体取决于您的环境。这样,攻击者用来破解用户密码以及访问网络资源的时间将受到限制。
<strong>配置方式:</strong>点击“开始->管理工具->本地安全策略”,在“帐户策略->密码策略->“密码最长使用期限”更改为90。
<img src="http://60.191.64.5:16100/server/index.php?s=/api/attachment/visitFile/sign/e16709d2c7db19fed67f38c057400a69" alt="" /></p>
<h5>1.1.5.强制密码历史</h5>
<p><strong>说明:</strong>此安全设置确定再次使用某个旧密码之前必须与某个用户帐户关联的唯一新密码数。该值必须介于 0 个和 24 个密码之间。此策略使管理员能够通过确保旧密码不被连续重新使用来增强安全性。
<strong>配置方式:</strong>点击“开始->管理工具->本地安全策略”,在“帐户策略->密码策略->“强制密码历史”更改为5。
<img src="http://60.191.64.5:16100/server/index.php?s=/api/attachment/visitFile/sign/cb73fe4af227f35810e3b3647037cf8a" alt="" /></p>
<h5>1.1.6.禁用可还原的加密来存储密码</h5>
<p><strong>说明:</strong>此安全设置确定操作系统是否使用可还原的加密来储存密码。此策略为某些应用程序提供支持,这些应用程序使用的协议需要用户密码来进行身份验证。使用可还原的加密储存密码与储存纯文本密码在本质上是相同的。因此,除非应用程序需求比保护密码信息更重要,否则绝不要启用此策略。
<strong>配置方式:</strong>点击“开始->管理工具->本地安全策略”,在“帐户策略->密码策略->“用可还原的加密来存储密码”选择禁用。
<img src="http://60.191.64.5:16100/server/index.php?s=/api/attachment/visitFile/sign/fe59be485e4e12e15701e559f8ad69db" alt="" /></p>
<h4>1.2.帐户锁定策略</h4>
<h5>1.2.1.帐户锁定时间</h5>
<p><strong>说明:</strong>此安全设置确定锁定帐户在自动解锁之前保持锁定的分钟数。可用范围从 0 到 99,999 分钟。如果将帐户锁定时间设置为 0,帐户将一直被锁定直到管理员明确解除对它的锁定。如果定义了帐户锁定阈值,则帐户锁定时间必须大于或等于重置时间。
<strong>配置方式:</strong>点击“开始->管理工具->本地安全策略”,在“帐户策略->账户锁定策略->“帐户锁定时间”更改为5分钟。
<img src="http://60.191.64.5:16100/server/index.php?s=/api/attachment/visitFile/sign/fc36c8182159d2450c0c75230c6bd618" alt="" /></p>
<h5>1.2.2.帐户锁定阀值</h5>
<p><strong>说明:</strong>此安全设置确定导致用户帐户被锁定的登录尝试失败的次数。在管理员重置锁定帐户或帐户锁定时间期满之前,无法使用该锁定帐户。可以将登录尝试失败次数设置为介于 0 和 999 之间的值。如果将值设置为 0,则永远不会锁定帐户。在使用 Ctrl+Alt+Del 或密码保护的屏幕保护程序锁定的工作站或成员服务器上的密码尝试失败将计作登录尝试失败。
<strong>配置方式:</strong>点击“开始->管理工具->本地安全策略”,在“帐户策略->账户锁定策略->“帐户锁定阀值”更改为5次。
<img src="http://60.191.64.5:16100/server/index.php?s=/api/attachment/visitFile/sign/5665517bfec72b68f479196236ec32c8" alt="" /></p>
<h5>1.2.3.复位帐户锁定计数器</h5>
<p><strong>说明:</strong>此安全设置确定在某次登录尝试失败之后将登录尝试失败计数器重置为 0 次错误登录尝试之前需要的时间。可用范围是 1 到 99,999 分钟。如果定义了帐户锁定阈值,此重置时间必须小于或等于帐户锁定时间。
<strong>配置方式:</strong>点击“开始->管理工具->本地安全策略”,在“帐户策略->账户锁定策略->“【复位|重置】帐户锁定计数器”更改为3分钟。
<img src="http://60.191.64.5:16100/server/index.php?s=/api/attachment/visitFile/sign/96746bd37db35a7f0c679d1b7665c0da" alt="" /></p>
<h4>1.3.用户权限设置</h4>
<h5>1.3.1.从远程系统强制关机</h5>
<p><strong>说明:</strong>此安全设置确定允许哪些用户从网络上的远程位置关闭计算机。误用此用户权限会导致拒绝服务。
<strong>配置方式:</strong>点击“开始->管理工具->本地安全策略”,在“本地策略->用户权限分配->“从远程系统强制关机”仅保留Administrators。
<img src="http://60.191.64.5:16100/server/index.php?s=/api/attachment/visitFile/sign/b3fafb68a7562abcae12e370d305761f" alt="" /></p>
<h5>1.3.2.关闭系统</h5>
<p><strong>说明:</strong>此安全设置确定哪些在本地登录到计算机的用户可以使用关机命令关闭操作系统。误用此用户权限会导致拒绝服务。
<strong>配置方式:</strong>点击“开始->管理工具->本地安全策略”,在“本地策略->用户权限分配->“关闭系统”仅保留Administrators。
<img src="http://60.191.64.5:16100/server/index.php?s=/api/attachment/visitFile/sign/c75fa81ad18194a291257f1c4559320f" alt="" /></p>
<h5>1.3.3.从网络访问此计算机</h5>
<p><strong>说明:</strong>此用户权限确定允许哪些用户和组通过网络连接到计算机。此用户权限不影响远程桌面服务。
<strong>配置方式:</strong>点击“开始->管理工具->本地安全策略”,在“本地策略->用户权限分配->“从网络访问此计算机”,设置对应权限用户。
<img src="http://60.191.64.5:16100/server/index.php?s=/api/attachment/visitFile/sign/66657e1d84d39acee7fdda573f56dbe9" alt="" /></p>
<h5>1.4.禁用Guest用户</h5>
<p><strong>说明:</strong>将guest帐号禁用降低被攻击的风险。
<strong>配置方式</strong>:进入控制面板->管理工具->计算机管理,在“系统工具->本地用户和组”:找到guest用户将guest用户禁用。
<img src="http://60.191.64.5:16100/server/index.php?s=/api/attachment/visitFile/sign/0b033b9674ba915b38a4b32a00003f87" alt="" /></p>
<h5>1.5.停用不使用的帐号</h5>
<p><strong>说明:</strong>每一个帐号都可能被恶意用户利用,所以,减少帐号的数量也就减小了威胁。
<strong>配置方式:</strong>进入“控制面板->管理工具->计算机管理”,在“系统工具->本地用户和组->用户”选择非业务的账号右键删除或者点击属性禁用该账号。
<img src="http://60.191.64.5:16100/server/index.php?s=/api/attachment/visitFile/sign/c92a68d0c808ea996d7d9dfc8ae36502" alt="" /></p>
<h5>1.6.审核登录事件</h5>
<p><strong>说明:</strong>此安全设置确定 OS 是否对尝试登录此计算机或从中注销的用户的每个实例进行审核。在已登录用户帐户的登录会话终止时,将生成注销事件。如果定义此策略设置,则管理员可以指定是仅审核成功、仅审核失败、同时审核成功和失败还是根本不审核这些事件(即既不审核成功也不审核失败)。
<strong>配置方式</strong>:进入“控制面板”--“管理工具”--"本地安全策略"--“审核策略”,查看“审核登录事件”更改为成功。
<img src="http://60.191.64.5:16100/server/index.php?s=/api/attachment/visitFile/sign/749c99a627fccd6964ee82ba5af3c28b" alt="" /></p>
<h4>1.7.审核对象访问</h4>
<p><strong>说明:</strong>此安全设置确定 OS 是否对访问非 Active Directory 对象的用户尝试进行审核。仅当对象已指定了系统访问控制列表(SACL),并且请求的访问类型(读取、写入或修改)和发出请求的帐户与 SACL 中的设置相匹配时才生成审核。
<strong>配置方式:</strong>进入“控制面板”--“管理工具”--"本地安全策略"--“审核策略”,查看“审核对象访问”更改为成功与失败。
<img src="http://60.191.64.5:16100/server/index.php?s=/api/attachment/visitFile/sign/2be42fc8d13a505193ee553131023fbc" alt="" /></p>
<h4>1.8.审核系统事件</h4>
<p><strong>说明:</strong>此安全设置确定 OS 是否对以下任何事件进行审核:
• 尝试更改系统时间
• 尝试安全启动或关闭系统
• 尝试加载可扩展身份验证组件
• 由于审核系统失败而导致已审核事件丢失
• 安全日志大小超过可配置的警告阈值级别。
<strong>配置方式:</strong>进入“控制面板”--“管理工具”--"本地安全策略"--“审核策略”,查看“审核系统事件”更改为成功。
<img src="http://60.191.64.5:16100/server/index.php?s=/api/attachment/visitFile/sign/6c78816d63c06961d31098ee8f39827c" alt="" /></p>
<h4>1.9.设置系统日志</h4>
<h5>应用程序日志大小上限</h5>
<p><strong>说明:</strong>设置日志容量和覆盖规则,保证日志存储。
<strong>配置方式:</strong>进入“控制面板->管理工具->事件查看器”,在“事件查看器(本地)”中:“应用程序日志”属性中的日志大小设置为“102400KB”,设置当达到最大的日志尺寸时,“按需要覆盖事件(旧事件优先)”。
<img src="http://60.191.64.5:16100/server/index.php?s=/api/attachment/visitFile/sign/5f190afe798708c23dddcbbb840b4590" alt="" /></p>
<h5>安全日志大小上限</h5>
<p><strong>说明:</strong>设置日志容量和覆盖规则,保证日志存储。
<strong>配置方式:</strong>进入“控制面板->管理工具->事件查看器”,在“事件查看器(本地)”中:“安全日志”属性中的日志大小设置为“102400KB”,设置当达到最大的日志尺寸时,“按需要覆盖事件(旧事件优先)”。
<img src="http://60.191.64.5:16100/server/index.php?s=/api/attachment/visitFile/sign/d37569b395bb16d0b8885fe96df118cd" alt="" /></p>
<h5>系统日志大小上限</h5>
<p><strong>说明:</strong>设置日志容量和覆盖规则,保证日志存储。
<strong>配置方式:</strong>进入“控制面板->管理工具->事件查看器”,在“事件查看器(本地)”中:“系统日志”属性中的日志大小设置为“51200KB”,设置当达到最大的日志尺寸时,“按需要覆盖事件(旧事件优先)”。
<img src="http://60.191.64.5:16100/server/index.php?s=/api/attachment/visitFile/sign/3e80c7d3447c584173f6eb69ad031bf5" alt="" /></p>
<h4>1.10.屏幕保护程序</h4>
<p><strong>说明:</strong>设置带密码的屏幕保护,并将时间设定为10分钟,可有效增强安全性。
<strong>配置方式:</strong>进入“控制面板->个性化->屏幕保护程序”,启用屏幕保护程序,设置等待时间为“10分钟”,启用“在恢复时显示登录屏幕”。
<img src="http://60.191.64.5:16100/server/index.php?s=/api/attachment/visitFile/sign/9715df9d77d8208667a53bc10b4fd608" alt="" /></p>
<h5>1.11.防病毒管理</h5>
<p>说明:安装必要的防病毒软件,并及时更新,减少病毒对主机的威胁
<img src="http://60.191.64.5:16100/server/index.php?s=/api/attachment/visitFile/sign/e7d7482047297cd68592156ef7ec520b" alt="" />
<img src="http://60.191.64.5:16100/server/index.php?s=/api/attachment/visitFile/sign/e5324c9cc2efdbb33de037cf8c0f501a" alt="" /></p>
<h5>1.12.启用系统自带防火墙</h5>
<p>启用防火墙
<strong>说明:</strong>启用系统自带防火墙,避免遭受远程入侵和病毒攻击。
<strong>配置方式:</strong>点击“开始”->“控制面板”->“windows防火墙”->“打开或关闭windows防火墙”启用所有的防火墙状态。
<img src="http://60.191.64.5:16100/server/index.php?s=/api/attachment/visitFile/sign/f427c19d165c0b307861d36477ecb521" alt="" /></p>
<h5>1.13.检查日期服务器</h5>
<p><strong>说明:</strong>对于Windows操作系统,应该配置时间服务器时钟同步,以保证记录日志的时间的正确。
<strong>配置方式:</strong>
1、打开命令提示符,运行命令“services.msc”打开服务面板,在右边窗格中找到名称为“Windows Time”的服务,点击右键,“启动”此服务,并且设置其启动方式为自动。
2、打开命令提示符,运行命令“timedate.cpl”打开“时间和日期属性”对话框,切换到“Internet时间”选项卡,勾选“与Internet时间服务器同步”,配置服务器地址为标准值之一。
<img src="http://60.191.64.5:16100/server/index.php?s=/api/attachment/visitFile/sign/b9b6f746550bb09b9f159e0d01d21b21" alt="" /></p>
<h5>1.14.提示用户在密码过期之前更改密码</h5>
<p><strong>说明:</strong>确定提前多长时间(以天为单位)向用户发出其密码即将过期的警告。借助该提前警告,用户有时间构造足够强大的密码。
<strong>配置方式:</strong>点击“开始”->“管理工具”->“本地安全策略”->“安全选项”->“交互式登录:提示用户在过期之前更改密码”更改提示天数。</p>
<h3>2.补丁安装</h3>
<p>说明:安装必要的安全补丁。安装补丁时,应先对服务器系统进行兼容性测试。
配置方式:
1)手动安装:使用IE访问http://update.microsoft.com,按提示安装必要的activeX控件后,按提示安装补丁。
2)控制面板->【自动更新|Windows Update】,在自动更新面板中选中自动(建议)(U),然后根据个人需求设置升级时间。
3)注意:对于实际业务环境服务器,建议使用通知并自动下载更新,但由管理员选择是否安装更新,而不是使用自动安装更新,防止自动更新补丁对实际业务环境产生影响。
<img src="http://60.191.64.5:16100/server/index.php?s=/api/attachment/visitFile/sign/82142884f97962031c86e1deafde26a3" alt="" /></p>
<h3>3.系统服务</h3>
<h4>3.1.检测 DDOS 攻击</h4>
<p><strong>说明:</strong>通过设置syn相关参数检测DDOS攻击。
<strong>配置方式:</strong>
在“开始->运行->键入regedit”启用 SYN 攻击保护的命名值位于注册表项HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters 之下添加以下几个键值:
1)启用SYN攻击保护:
值名称:SynAttackProtect.推荐值:2.类型为:DWORD值(REG_DWORD)。 (注意:标准值为16进制表示)的数值,若已存在则修改其数据。此数据的有效值为2)。
2)检查TCP连接请求阈值:
值名称:TcpMaxPortsExhausted.推荐值:5.类型为:DWORD值(REG_DWORD)。(注意:标准值为16进制表示)的数值,若已存在则修改其数据。此数据的有效值为在0-ffff(16进制)。
3)设置处于SYN_RCVD 状态下的 TCP 连接阈值:
值名称:TcpMaxHalfOpen.推荐值数据:500.类型为:DWORD值(REG_DWORD)。(注意:标准值为16进制表示)的数值,若已存在则修改其数据。此数据的有效值为在64-ffff(16进制)。
4)处于SYN_RCVD 状态下,且至少已经进行了一次重新传输的TCP连接阈值:
值名称:TcpMaxHalfOpenRetried.推荐值数据:400类型为:DWORD值(REG_DWORD)。(注意:标准值为16进制表示)的数值,若已存在则修改其数据。此数据的有效值为在50-ffff(16进制)。
5)通过将此注册表值修改为 0,能够在收到 ICMP 重定向数据包时禁止创建高成本的主机路由:
值名称:EnableICMPRedirect.推荐值数据:0类型为:DWORD值(REG_DWORD)。(注意:标准值为16进制表示)的数值,若已存在则修改其数据。此数据的有效值为在0-1(0表示启用,1表示禁用)
<img src="http://60.191.64.5:16100/server/index.php?s=/api/attachment/visitFile/sign/670e3f8c11e9114d5160499c986803a9" alt="" /></p>