<track id="hlljh"></track>

    <address id="hlljh"></address>

        <address id="hlljh"><ruby id="hlljh"></ruby></address>

        Windows操作系統安全加固

        發布者:王宇發布時間:2018-05-22瀏覽次數:908

        來源:https://help.aliyun.com/knowledge_detail/49781.html


        本文檔旨在指導系統管理人員或安全檢查人員進行Windows操作系統的安全合規性檢查和配置。


        1. 賬戶管理和認證授權

        1.1 賬戶

        默認賬戶安全

        • 禁用Guest賬戶。

        • 禁用或刪除其他無用賬戶(建議先禁用賬戶三個月,待確認沒有問題后刪除。)

        操作步驟

        打開 控制面板 > 管理工具 > 計算機管理,在 系統工具 > 本地用戶和組 > 用戶 中,雙擊 Guest 帳戶,在屬性中選中 帳戶已禁用,單擊 確定。

        按照用戶分配帳戶

        按照用戶分配帳戶。根據業務要求,設定不同的用戶和用戶組。例如,管理員用戶,數據庫用戶,審計用戶,來賓用戶等。

        操作步驟

        打開 控制面板 > 管理工具 > 計算機管理,在 系統工具 > 本地用戶和組 中,根據您的業務要求設定不同的用戶和用戶組,包括管理員用戶、數據庫用戶、審計用戶、來賓用戶等。

        定期檢查并刪除與無關帳戶

        定期刪除或鎖定與設備運行、維護等與工作無關的帳戶。

        操作步驟

        打開 控制面板 > 管理工具 > 計算機管理,在 系統工具 > 本地用戶和組 中,刪除或鎖定與設備運行、維護等與工作無關的帳戶。

        不顯示最后的用戶名

        配置登錄登出后,不顯示用戶名稱。

        操作步驟:

        打開 控制面板 > 管理工具 > 本地安全策略,在 本地策略 > 安全選項 中,雙擊 交互式登錄:不顯示最后的用戶名,選擇 已啟用 并單擊 確定。

        log

        1.2 口令

        密碼復雜度

        密碼復雜度要求必須滿足以下策略:

        • 最短密碼長度要求八個字符。

        • 啟用本機組策略中密碼必須符合復雜性要求的策略。
          即密碼至少包含以下四種類別的字符中的兩種:

          • 英語大寫字母 A, B, C, … Z

          • 英語小寫字母 a, b, c, … z

          • 西方阿拉伯數字 0, 1, 2, … 9

          • 非字母數字字符,如標點符號,@, #, $, %, &, *等


        操作步驟

        打開 控制面板 > 管理工具 > 本地安全策略,在 帳戶策略 > 密碼策略 中,確認 密碼必須符合復雜性要求 策略已啟用。

        密碼最長留存期

        對于采用靜態口令認證技術的設備,帳戶口令的留存期不應長于90天。

        操作步驟打開 控制面板 > 管理工具 > 本地安全策略,在 帳戶策略 > 密碼策略 中,配置 密碼最長使用期限 不大于90天。pwd

        帳戶鎖定策略

        對于采用靜態口令認證技術的設備,應配置當用戶連續認證失敗次數超過10次后,鎖定該用戶使用的帳戶。

        操作步驟

        打開 控制面板 > 管理工具 > 本地安全策略,在 帳戶策略 > 帳戶鎖定策略 中,配置 帳戶鎖定閾值 不大于10次。

        配置樣例:

        con

        1.3 授權

        遠程關機

        在本地安全設置中,從遠端系統強制關機權限只分配給Administrators組。

        操作步驟

        打開 控制面板 > 管理工具 > 本地安全策略,在 本地策略 > 用戶權限分配 中,配置 從遠端系統強制關機 權限只分配給Administrators組。

        本地關機

        在本地安全設置中關閉系統權限只分配給Administrators組。

        操作步驟

        打開 控制面板 > 管理工具 > 本地安全策略,在 本地策略 > 用戶權限分配 中,配置 關閉系統 權限只分配給Administrators組。

        用戶權限指派

        在本地安全設置中,取得文件或其它對象的所有權權限只分配給Administrators組。

        操作步驟

        打開 控制面板 > 管理工具 > 本地安全策略,在 本地策略 > 用戶權限分配 中,配置 取得文件或其它對象的所有權 權限只分配給Administrators組。

        授權帳戶登錄

        在本地安全設置中,配置指定授權用戶允許本地登錄此計算機。

        操作步驟

        打開 控制面板 > 管理工具 > 本地安全策略,在 本地策略 > 用戶權限分配 中,配置 允許本地登錄 權限給指定授權用戶。

        授權帳戶從網絡訪問

        在本地安全設置中,只允許授權帳號從網絡訪問(包括網絡共享等,但不包括終端服務)此計算機。

        操作步驟

        打開 控制面板 > 管理工具 > 本地安全策略,在 本地策略 > 用戶權限分配 中,配置 從網絡訪問此計算機 權限給指定授權用戶。

        au1

        2. 日志配置操作

        2.1 日志配置

        審核登錄

        設備應配置日志功能,對用戶登錄進行記錄。記錄內容包括用戶登錄使用的帳戶、登錄是否成功、登錄時間、以及遠程登錄時、及用戶使用的IP地址。

        操作步驟

        打開 控制面板 > 管理工具 > 本地安全策略,在 本地策略 > 審核策略 中,設置 審核登錄事件。

        審核策略

        啟用本地安全策略中對Windows系統的審核策略更改,成功和失敗操作都需要審核。

        操作步驟

        打開 控制面板 > 管理工具 > 本地安全策略,在 本地策略 > 審核策略 中,設置 審核策略更改。

        審核對象訪問

        啟用本地安全策略中對Windows系統的審核對象訪問,成功和失敗操作都需要審核。

        操作步驟

        打開 控制面板 > 管理工具 > 本地安全策略,在 本地策略 > 審核策略 中,設置 審核對象訪問。

        審核事件目錄服務訪問

        啟用本地安全策略中對Windows系統的審核目錄服務訪問,僅需要審核失敗操作。

        操作步驟

        打開 控制面板 > 管理工具 > 本地安全策略,在 本地策略 > 審核策略 中,設置 審核目錄服務器訪問。

        審核特權使用

        啟用本地安全策略中對Windows系統的審核特權使用,成功和失敗操作都需要審核。

        操作步驟

        打開 控制面板 > 管理工具 > 本地安全策略,在 本地策略 > 審核策略 中,設置 審核特權使用。

        審核系統事件

        啟用本地安全策略中對Windows系統的審核系統事件,成功和失敗操作都需要審核。

        操作步驟

        打開 控制面板 > 管理工具 > 本地安全策略,在 本地策略 > 審核策略 中,設置 審核系統事件。

        審核帳戶管理

        啟用本地安全策略中對Windows系統的審核帳戶管理,成功和失敗操作都要審核。

        操作步驟

        打開 控制面板 > 管理工具 > 本地安全策略,在 本地策略 > 審核策略 中,設置 審核帳戶管理。

        審核過程追蹤

        啟用本地安全策略中對Windows系統的審核進程追蹤,僅失敗操作需要審核。

        操作步驟

        打開 控制面板 > 管理工具 > 本地安全策略,在 本地策略 > 審核策略 中,設置 審核進程追蹤。au

        日志文件大小

        設置應用日志文件大小至少為 8192 KB,可根據磁盤空間配置日志文件大小,記錄的日志越多越好。并設置當達到最大的日志尺寸時,按需要輪詢記錄日志。

        操作步驟

        打開 控制面板 > 管理工具 > 事件查看器,配置 應用日志、系統日志、安全日志 屬性中的日志大小,以及設置當達到最大的日志尺寸時的相應策略。
        log

        3. IP協議安全配置

        3.1 IP協議安全

        啟用SYN攻擊保護

        啟用SYN攻擊保護。

        • 指定觸發SYN洪水攻擊保護所必須超過的TCP連接請求數閾值為5。

        • 指定處于 SYN_RCVD 狀態的 TCP 連接數的閾值為500。

        • 指定處于至少已發送一次重傳的 SYN_RCVD 狀態中的 TCP 連接數的閾值為400。

        操作步驟

        打開 注冊表編輯器,根據推薦值修改注冊表鍵值。

        Windows Server 2012

        • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\SynAttackProtect
          推薦值:2

        • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\TcpMaxHalfOpen
          推薦值:500

        Windows Server 2008

        • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SynAttackProtect
          推薦值:2

        • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMaxPortsExhausted
          推薦值:5

        • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMaxHalfOpen
          推薦值:500

        • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMaxHalfOpenRetried
          推薦值:400

        4. 文件權限

        4.1 共享文件夾及訪問權限

        關閉默認共享

        非域環境中,關閉Windows硬盤默認共享,例如C$,D$。

        操作步驟

        打開 注冊表編輯器,根據推薦值修改注冊表鍵值。

        注意: Windows Server 2012版本已默認關閉Windows硬盤默認共享,且沒有該注冊表鍵值。

        • HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters\AutoShareServer
          推薦值: 0

        共享文件夾授權訪問

        每個共享文件夾的共享權限,只允許授權的帳戶擁有共享此文件夾的權限。

        操作步驟

        每個共享文件夾的共享權限僅限于業務需要,不要設置成為 Everyone。打開 控制面板 > 管理工具 > 計算機管理,在 共享文件夾 中,查看每個共享文件夾的共享權限。

        5. 服務安全

        5.1 禁用TCP/IP上的NetBIOS

        禁用TCP/IP上的NetBIOS協議,可以關閉監聽的 UDP 137(netbios-ns)、UDP 138(netbios-dgm)以及 TCP 139(netbios-ssn)端口。

        操作步驟

        1. 在 計算機管理 > 服務和應用程序 > 服務 中禁用 TCP/IP NetBIOS Helper 服務。

        2. 在網絡連接屬性中,雙擊 Internet協議版本4(TCP/IPv4),單擊 高級。在 WINS 頁簽中,進行如下設置:
          bios

        禁用不必要的服務

        禁用不必要的服務,請參考:
        ser

        6.安全選項

        6.1 啟用安全選項

        操作步驟

        打開 控制面板 > 管理工具 > 本地安全策略,在 本地策略 > 安全選項 中,進行如下設置:
        audit

        6.2 禁用未登錄前關機

        服務器默認是禁止在未登錄系統前關機的。如果啟用此設置,服務器安全性將會大大降低,給遠程連接的黑客造成可乘之機,強烈建議禁用未登錄前關機功能。

        操作步驟

        打開 控制面板 > 管理工具 > 本地安全策略,在 本地策略 > 安全選項 中,禁用 關機: 允許系統在未登錄前關機 策略。
        sg

        7. 其他安全配置

        7.1 防病毒管理

        Windows系統需要安裝防病毒軟件。

        操作步驟

        安裝企業級防病毒軟件,并開啟病毒庫更新及實時防御功能。

        7.2 設置屏幕保護密碼和開啟時間

        設置從屏幕保護恢復時需要輸入密碼,并將屏幕保護自動開啟時間設定為五分鐘。

        操作步驟

        啟用屏幕保護程序,設置等待時間為 5分鐘,并啟用 在恢復時使用密碼保護。

        7.3 限制遠程登錄空閑斷開時間

        對于遠程登錄的帳戶,設置不活動超過時間15分鐘自動斷開連接。

        操作步驟

        打開 控制面板 > 管理工具 > 本地安全策略,在 本地策略 > 安全選項 中,設置 Microsoft網絡服務器:暫停會話前所需的空閑時間數量 屬性為15分鐘。

        7.4 操作系統補丁管理

        安裝最新的操作系統Hotfix補丁。安裝補丁時,應先對服務器系統進行兼容性測試。

        操作步驟

        安裝最新的操作系統Hotfix補丁。安裝補丁時,應先對服務器系統進行兼容性測試。

        注意:對于實際業務環境服務器,建議使用通知并自動下載更新,但由管理員選擇是否安裝更新,而不是使用自動安裝更新,防止自動更新補丁對實際業務環境產生影響。


        又浪又紧又丰满少妇,猫耳鱼网白丝自慰喷白浆,秋霞韩国理论A片在线观看免

          <track id="hlljh"></track>

          <address id="hlljh"></address>

              <address id="hlljh"><ruby id="hlljh"></ruby></address>