Windows安全评估

Windows安全评估1.ServicePacks和Hotfixs安装情况检查方法：运行cmd打开命令提示符窗口,再输入systeminfo查看目前补丁信息检查项符合不符合不适用1、系统已经安装最新的ServicePack详述2、系统已经安装所有的hotfix2.审计和帐号策略检查方法：操作：点击开始-设置-控制面板，然后双击管理工具，最后双击本地安全策略，开始进行检查检查项符合不符合不适用1、密码策略：密码必须符合复杂性要求，是否启用2、密码策略：密码长度最小值（8）3、密码策略：密码最长使用期限（90天）4、密码策略：密码最短使用期限（1天）5、密码策略：强制密码历史（24）详述6、密码策略：用可还原的加密来储存密码（禁用）7、帐户锁定策略：复位帐户锁定计数器（15分钟之后）8、帐户锁定策略：帐户锁定时间（15分钟）9、帐户锁定策略：帐户锁定阀值（3次无效登录）10、安全选项：帐户：来宾状态（已禁用）11、审核策略：审核策略更改（成功和失败）12、审核策略：审核登录事件（成功和失败）13、审核策略：审核对象访问（失败）详述14、审核策略：审核目录服务访问（未定义）详述15、审核策略：审核特权使用（失败）详述16、审核策略：审核系统事件（成功和失败）详述17、审核策略：审核帐户登录事件（成功和失败）18、审核策略：审核帐户管理（成功和失败）详述19、事件查看器：登录保持方式（需要时覆盖事件日志）20、事件查看器：安全日志最大占用空间（80Mb）3.安全设置检查方法：操作：点击开始-设置-控制面板，然后双击管理工具，最后双击本地安全策略，选择安全选项进行检查检查项符合不符合不适用1、Microsoft网络服务器：当登录时间用完时自动注销用户（启用）2、Microsoft网络服务器：在挂起会话之前所需的空闲时间（小于等于30分钟）3、Microsoft网络客户端：发送未加密的密码到第三方SMB服务器:（禁用）4、故障恢复控制台:允许对所有驱动器和文件夹进行软盘复制和访问（禁用）5、故障恢复控制台:允许自动系统管理级登录（禁用）6、关机：清除虚拟内存页面文件（启用）7、关机：允许系统在未登录前关机（禁用）8、交互式登录：不显示上次的用户名（启用）9、交互式登录：不需要按Ctrl+Alt+Del（禁用）10、交互式登录：可被缓存的前次登录个数（在域控制器不可用的情况下）（0）11、帐户：重命名系统管理员账户（除了Administrator的其它名字）12、网络访问：不允许SAM帐户和共享的匿名枚举（启用）13、网络访问：不允许为网络身份验证储存凭证或.NETpassports(启用）14、审核：如果无法记录安全审核则立即关闭系统（启用）15、审核：对全局系统对象的访问进行审核（启用）16、审核：对备份和还原权限的使用进行审核（启用）检查方法：操作：点击开始-设置-控制面板，然后双击管理工具，最后双击本地安全策略，选择用户权限分配进行检查。检查项符合不符合不适用1、关闭系统:只有Administrators组2、通过终端服务拒绝登陆：加入Guests、User组3、通过终端服务允许登陆：只加入Administrators组4、从网络访问此计算机中删除PowerUsers和BackupOperators4.注册表安全设置检查方法：运行regedit,然后进行检查检查项符合不符合不适用1、禁止自动登录:HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon\AutoAdminLogon(REG_DWORD)02、禁止CD自动运行:HKLM\System\CurrentControlSet\Services\CDrom\Autorun(REG_DWORD)03、删除服务器上的管理员共享:HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters\AutoShareServer(REG_DWORD)04、源路由欺骗保护:HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\DisableIPSourceRouting(REG_DWORD)25、帮助防止碎片包攻击:HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\EnablePMTUDiscovery(REG_DWORD)16、防止SYNFlood攻击:HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\SynAttackProtect(REG_DWORD)27、SYN攻击保护-管理TCP半开sockets的最大数目:HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\TcpMaxHalfOpen(REG_DWORD)100或5005.不必要的服务检查方法：操作：点击开始-设置-控制面板，然后双击管理工具，最后双击服务，开始进行检查检查项符合不符合不适用1、Alerter–禁止详述2、Clipbook–禁止详述3、ComputerBrowser–禁止详述4、InternetConnectionSharing–禁止5、Messenger–禁止6、RemoteRegistryService–禁止7、RoutingandRemoteAccess–禁止8、SimpleMailTrasferProtocol(SMTP)–禁止详述9、SimpleNetworkManagementProtocol(SNMP)Service–禁止10、SimpleNetworkManagementProtocol(SNMP)Trap–禁止11、Telnet–禁止12、WorldWideWebPublishingService–禁止6.文件系统检查方法：检查项符合不符合不适用1、所有的磁盘卷使用NTFS文件系统详述7.个人版防火墙和防病毒软件检查方法：检查项符合不符合不适用1、已经安装第三方个人版防火墙2、已经安装防病毒软件3、防病毒软件的特征码和检查引擎已经更新到最新。4、防病毒软件已设置自动更新8.后门查找检查方法：netstat-an检查项符合不符合不适用1、不存在异常端口(netstat-an)