Windows操作系统加固修订版

Windows主机操作系统加固作业指导书第1页，共33页Windows主机操作系统加固作业指导书2020年2月修订版Windows主机操作系统加固作业指导书第2页，共33页目录11账号管理、认证授权...................................................411..11账号...........................................................411..11..11按照用户类型分配账号.....................................411..11..22系统无效帐户清理.........................................511..11..33重命名Administrator禁用GUEST............................611..22口令...........................................................711..22..11配置密码策略.............................................711..22..22配置账户锁定策略.........................................811..22..33禁止系统自动登录.........................................911..33授权..........................................错误!未定义书签。11..33..11远端系统强制关机设置....................................1011..33..22关闭系统设置............................................1111..33..33“取得文件或其它对象的所有权”设置......................1211..33..44“从本地登陆此计算机”设置..............................1311..33..55“从网络访问此计算机”设置..............................1422日志配置............................................................1522..11..11审核策略设置............................................1522..11..22日志记录策略设置........................................1633设备其他安全要求....................................................1833..11屏幕保护......................................................1833..11..11启用屏幕保护程序........................................1833..11..22设置Microsoft网络服务器挂起时间........................1933..22共享文件夹及访问权限..........................................2033..22..11关闭默认共享............................................2033..22..22设置共享文件夹访问权限..................................2133..33补丁管理......................................................2233..33..11安装系统补丁............................................2233..44防病毒管理....................................................2333..44..11安装、更新杀毒软件......................................2333..44..22数据执行保护配置........................................2433..44..33强化TCP/IP堆栈防止拒绝服务攻击.........................25Windows主机操作系统加固作业指导书第3页，共33页33..55Windows服务...................................................2633..55..11关闭不必要的服务........................................2633..55..22修改SNMP服务密码.......................................2833..55..33屏蔽业务无关的端口......................................29Windows主机操作系统加固作业指导书第4页，共33页11账账号号管管理理、、认认证证授授权权11..11账账号号11..11..11按按照照用用户户类类型型分分配配账账号号编号Windows-01-01-01名称按照用户类型分配账号实施目的根据系统的要求，设定不同的账户和账户组，管理员用户，数据库用户，审计用户，来宾用户等。问题影响账号混淆，权限不明确，存在用户越权使用的可能。系统当前状态进入“控制面板-管理工具-计算机管理”，在“系统工具-本地用户和组”：记录当前用户状态实施步骤参考配置操作：进入“控制面板-管理工具-计算机管理”，在“系统工具-本地用户和组”。结合要求和实际业务情况判断符合要求，根据系统的要求，设定不同的账户和账户组，管理员用户，数据库用户，审计用户，来宾用户。回退方案删除新增加的用户，还原用户权限到初始设置。部分操作可能无法回退。判断依据进入“控制面板-管理工具-计算机管理”，在“系统工具-本地用户和组”：查看账户和账户组，管理员用户，数据库用户，审计用户，来宾用户等。根据系统的要求和实际业务情况判断是否符合要求。Windows主机操作系统加固作业指导书第5页，共33页实施风险高重要等级★★★备注11..11..22系系统统无无效效帐帐户户清清理理编号Windows-01-01-02名称系统无效帐户清理实施目的删除或锁定与设备运行、维护等与工作无关的账号，提高系统帐户安全。问题影响如果不清理无效帐户，则系统将面临默认账号被非法利用的风险系统当前状态进入“控制面板-管理工具-计算机管理”，在“系统工具-本地用户和组”：记录当前用户状态，备份系统SAM文件。实施步骤参考配置操作：进入“控制面板-管理工具-计算机管理”，在“系统工具-本地用户和组”。删除或锁定与设备运行、维护等与工作无关的账号。回退方案增加被删除的用户，激活被锁定的用户，还原用户权限到初始设置。部分操作可能无法回退。判断依据进入“控制面板-管理工具-计算机管理”，在“系统工具-本地用户和组”：查看是否删除或锁定与设备运行、维护等与工作无关的账号。根据系统的要求和实际业务情况判断是否符合要求实施风险高重要等级★★★Windows主机操作系统加固作业指导书第6页，共33页备注11..11..33重重命命名名AAddmmiinniissttrraattoorr禁禁用用GGUUEESSTT编号Windows-01-01-03名称重命名Administrator，禁用GUEST实施目的对于管理员帐号，要求更改缺省帐户名称；禁用guest（来宾）帐号。提高系统安全性。问题影响管理员帐号容易被猜解；Guest账号容易被非法利用系统当前状态进入“控制面板-管理工具-计算机管理”，在“系统工具-本地用户和组”。记录当前用户状态实施步骤参考配置操作：进入“控制面板-管理工具-计算机管理”，在“系统工具-本地用户和组”。Administrator－属性－更改名称Guest帐号-属性－已停用回退方案重命名用户名称，还原用户属性设置判断依据进入“控制面板-管理工具-计算机管理”，在“系统工具-本地用户和组”：查看管理员账号Administrator名称是否修改，Guest账号是否禁用。实施风险低重要等级★备注Windows主机操作系统加固作业指导书第7页，共33页11..22口口令令11..22..11配配置置密密码码策策略略编号Windows-01-02-01名称配置密码策略实施目的设置密码策略，减少密码安全风险；防止系统弱口令的存在，减少安全隐患。对于采用静态口令认证技术的设备，口令长度至少8位，且密码规则至少应采用字母（大小写穿插）加数字加标点符号（包括通配符）的方式。问题影响增加系统密码被暴力破解的成功率系统当前状态进入“控制面板-管理工具-本地安全策略”，在“帐户策略-密码策略”：记录当前密码策略情况。实施步骤参考配置操作：进入“控制面板-管理工具-本地安全策略”，在“帐户策略-密码策略”。“密码必须符合复杂性要求”选择“已启动”设置如下策略策略默认设置推荐最低设置强制执行密码历史记录记住1个密码记住5个密码密码最长期限42天180天密码最短期限0天1天最短密码长度0个字符8个字符密码必须符合复杂性要求禁用启用为域中所有用户使用可还原的加密来储存密码禁用禁用回退方案还原密码策略到加固之前配置判断依据进入“控制面板-管理工具-本地安全策略”，在“帐户策略Windows主机操作系统加固作业指导书第8页，共33页-密码策略”：查看“密码必须符合复杂性要求”是否选择“已启动”。实施风险低重要等级★★★备注11..22..22配配置置账账户户锁锁定定策策略略编号Windows-01-02-02名称配置账户锁定策略实施目的设置有效的账户锁定策略有助于防止攻击者猜出系统账户的密码。问题影响增加系统密码被暴力破解的成功率系统当前状态进入“控制面板-管理工具-本地安全策略”，在“帐户策略-账户锁定策略”：记录当前账户锁定策略情况。实施步骤参考配置操作：进入“控制面板-管理工具-本地安全策略”，在“帐户策略-账户锁定策略”。设置如下策略：策略默认设置推荐最低设置账户锁定时间未定义15分钟账户锁定阈值05次无效登录复位账户锁定计数器未定义15分钟回退方案还原账户锁定策略到加固之前配置判断依据进入“控制面板-管理工具-本地安全策略”，在“帐户策略Windows主机操作系统加固作业指导书第9页，共33页-账户锁定策略”：查看安全策略是否设置为已启动和按要求配置。实施风险低重要等级★★★备注11..22..33禁禁止止系系统统自自动动登登录录编号Windows-01-02-03名称禁止系统自动登录实施目的禁止系统自动登录问题影响增加系统密码被暴力破解的成功率系统当前状态进入“控制面板-管理工具-本地安全策略”，在“帐户策略-账户锁定策略”：记录当前账户锁定策略情况。实施步骤参考配置操作：1、点击开始运行输入“regedit”打开注册表2、HKLM\Software\Microsoft\WindowsNT\CurrentVersion\winlogon把autoadminlogon子键设置为0开始-控制面板-管理工具-本地安全策略-本地安全设置，进入控制台本地策略/安全选项可匿名访问的共享：DFS$、COMCFG不允许sam账户的匿名枚举：启用不允许sam账户和共享的匿名枚举：启用允许在未登录前关机：禁用LANManager身份验证级别：仅发送HTLM